Prasyarat untuk Azure AD Connect

Artikel ini menjelaskan prasyarat dan persyaratan perangkat keras untuk Azure Active Directory (AAD) Connect.

Sebelum memasang Azure AD Connect

Sebelum memasang Azure AD Connect, ada beberapa hal yang Anda butuhkan.

AAD

  • Anda memerlukan penyewa AAD. Anda mendapatkan satu penyewa dengan coba gratis Azure. Anda dapat menggunakan salah satu portal berikut untuk mengelola Azure AD Connect:
  • Menambahkan dan memverifikasi domain yang Anda rencanakan untuk digunakan di AAD. Misalnya, jika Anda berencana menggunakan contoso.com untuk pengguna, pastikan domain ini telah diverifikasi dan Anda tidak hanya menggunakan domain default contoso.onmicrosoft.com.
  • Penyewa AAD memungkinkan 50.000 objek secara default. Saat Anda memverifikasi domain, batasnya meningkat menjadi 300.000 objek. Jika Anda membutuhkan lebih banyak objek di AAD, buka kasus dukungan agar batasnya meningkat lebih banyak. Jika memerlukan lebih dari 500.000 objek, Anda memerlukan lisensi, seperti Microsoft 365, AAD Premium, atau Enterprise Mobility + Security.

Menyiapkan data lokal Anda

Direktori Aktif Lokal

  • Versi skema Direktori Aktif dan tingkat fungsional hutan harus dalam versi Windows Server 2003 atau yang lebih baru. Pengendali domain dapat menjalankan versi apa pun selama versi skema dan persyaratan tingkat hutan terpenuhi.
  • Jika Anda berencana menggunakan fitur tulis balik kata sandi, pengendali domain harus menggunakan Windows Server 2016 atau yang lebih baru.
  • Pengendali domain yang digunakan oleh AAD harus dapat ditulis. Menggunakan pengendali domain baca-saja (RODC) tidak didukung, dan Azure AD Connect tidak mengikuti pengalihan tulis apa pun.
  • Menggunakan hutan atau domain lokal dengan menggunakan Nama NetBIOS dengan "titik-titik" (nama berisi titik ".") tidak didukung.
  • Sebaiknya aktifkan keranjang sampah Direktori Aktif.

Kesalahan eksekusi Powershell

Azure Active Directory Connect menjalankan skrip PowerShell yang ditandatangani sebagai bagian dari penginstalan. Pastikan bahwa kebijakan eksekusi PowerShell akan memungkinkan berjalannya skrip.

Kebijakan eksekusi yang direkomendasikan selama penginstalan adalah "RemoteSigned".

Untuk mengetahui informasi selengkapnya tentang pengaturan kebijakan eksekusi PowerShell, lihat Set-ExecutionPolicy.

Server Azure AD Connect

Server Azure AD Connect berisi data identitas penting. Penting diketahui bahwa akses administratif ke server ini diamankan dengan benar. Ikuti panduan dalam Mengamankan akses dengan hak istimewa.

Server Azure AD Connect harus diperlakukan sebagai komponen Tingkat 0 seperti yang didokumentasikan dalam model tingkat administratif Direktori Aktif

Untuk membaca selengkapnya tentang cara mengamankan lingkungan Direktori Aktif Anda, lihat Praktik terbaik untuk mengamankan Direktori Aktif.

Prasyarat penginstalan

  • Azure Active Directory Connect harus diinstal pada Windows Server 2016 atau yang lebih baru yang bergabung dengan domain.
  • Azure AD Connect tidak dapat dipasang pada Small Business Server atau Windows Server Essentials sebelum 2019 (Windows Server Essentials 2019 didukung). Server harus menggunakan standar Windows Server atau yang lebih baik.
  • Server Azure AD Connect harus memasang GUI lengkap. Memasang Azure AD Connect di Windows Server Core tidak didukung.
  • Server Azure AD Connect tidak boleh mengaktifkan Kebijakan Grup Transkripsi PowerShell jika Anda menggunakan panduan Azure AD Connect untuk mengelola konfigurasi Layanan Federasi Direktori Aktif (AD FS). Anda dapat mengaktifkan transkripsi PowerShell jika Anda menggunakan wizard Azure AD Connect untuk mengelola konfigurasi sinkronisasi.
  • Jika AD FS sedang disebarkan:
    • Server tempat AD FS atau Proksi Aplikasi Web dipasang harus dalam versi Windows Server 2012 R2 atau yang lebih baru. Manajemen jarak jauh Windows harus diaktifkan pada server ini untuk penginstalan jarak jauh.
    • Anda harus mengonfigurasi sertifikat TLS/SSL. Untuk mengetahui informasi selengkapnya, lihat Mengelola protokol SSL/TLS dan cipher suite untuk AD FS dan Mengelola sertifikat SSL di AD FS.
    • Anda harus mengonfigurasi resolusi nama.
  • Hal ini tidak didukung untuk memecahkan dan menganalisis lalu lintas antara Azure AD Connect dan Azure Active Directory. Hal ini dapat mengganggu layanan.
  • Jika administrator global Anda telah mengaktifkan MFA, URL https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com ada dalam daftar situs tepercaya. Anda diminta untuk menambahkan situs ini ke daftar situs tepercaya saat diminta untuk memberikan tantangan MFA yang belum ditambahkan sebelumnya. Anda dapat menggunakan Internet Explorer untuk menambahkannya ke situs tepercaya Anda.
  • Jika Anda berencana menggunakan Azure AD Connect Health untuk sinkronisasi, pastikan prasyarat untuk Azure AD Connect Health juga terpenuhi. Untuk mengetahui informasi selengkapnya, lihat Penginstalan agen Azure AD Connect Health.

Mengeraskan server Azure AD Connect Anda

Sebaiknya keraskan server Azure AD Connect Anda untuk mengurangi permukaan serangan keamanan untuk komponen penting ini dalam lingkungan IT Anda. Mengikuti rekomendasi ini akan membantu mengurangi beberapa risiko keamanan bagi organisasi Anda.

  • Perlakukan Azure AD Connect sama dengan pengendali domain dan sumber daya Tingkat 0 lainnya. Untuk mengetahui informasi selengkapnya, lihat Model tingkat administratif Direktori Aktif.
  • Batasi akses administratif ke server Azure AD Connect hanya untuk administrator domain atau grup keamanan lain yang dikontrol dengan ketat.
  • Buat akun khusus untuk semua personel dengan akses hak istimewa. Administrator tidak boleh menjelajahi web, memeriksa email mereka, dan melakukan tugas produktivitas sehari-hari dengan akun hak istimewa yang tinggi.
  • Ikuti panduan yang disediakan dalam Mengamankan akses hak istimewa.
  • Tolak penggunaan autentikasi NTLM dengan server AADConnect. Berikut adalah beberapa cara untuk melakukan langkah ini: Membatasi NTLM di Server AADConnect dan Membatasi NTLM pada domain
  • Pastikan setiap mesin memiliki kata sandi administrator lokal yang unik. Untuk mengetahui informasi selengkapnya, lihat Local Administrator Password Solution (LAPS) dapat mengonfigurasi kata sandi acak unik pada setiap stasiun kerja dan menyimpan server di Direktori Aktif yang dilindungi oleh ACL. Hanya pengguna resmi yang memenuhi syarat yang dapat membaca atau meminta reset kata sandi akun administrator lokal ini. Anda dapat memperoleh LAPS untuk digunakan pada workstation dan server dari Microsoft Download Center. Panduan tambahan untuk mengoperasikan lingkungan dengan LAPS dan stasiun kerja akses hak istimewa (ED) dapat ditemukan dalam Standar operasional berdasarkan prinsip sumber yang jelas.
  • Terapkan stasiun kerja akses dengan hak istimewa khusus untuk semua personel dengan akses hak istimewa ke sistem informasi organisasi Anda.
  • Ikuti panduan tambahan ini untuk mengurangi permukaan serangan lingkungan Direktori Aktif Anda.
  • Ikuti Memantau perubahan pada konfigurasi federasi untuk menyiapkan pemberitahuan guna memantau perubahan kepercayaan yang dibuat antara Idp dan Azure Active Directory Anda.
  • Aktifkan Autentikasi multifaktor (MFA) untuk semua pengguna yang memiliki akses istimewa di Azure Active Directory atau di AD. Salah satu masalah keamanan dengan menggunakan AADConnect adalah bahwa jika penyerang bisa mendapatkan kontrol atas server Azure AD Connect, mereka dapat memanipulasi pengguna di Azure Active Directory. Untuk mencegah penyerang menggunakan kemampuan ini untuk mengambil alih akun Azure AD, MFA menawarkan perlindungan sehingga bahkan jika penyerang berhasil mengatur ulang kata sandi pengguna menggunakan Azure AD Connect, mereka masih tidak dapat melewati faktor kedua.

SQL Server yang digunakan oleh Azure AD Connect

  • Azure AD Connect memerlukan database SQL Server untuk menyimpan data identitas. Secara default, SQL Server 2019 Express LocalDB (versi ringan SQL Server Express) diinstal. SQL Server Express memiliki batas ukuran sebesar 10 GB yang memungkinkan Anda mengelola sekitar 100.000 objek. Jika Anda perlu mengelola volume objek direktori yang lebih tinggi, arahkan wizard penginstalan ke penginstalan SQL Server yang berbeda. Jenis penginstalan SQL Server dapat memengaruhi performa Azure AD Connect.
  • Jika Anda menggunakan penginstalan SQL Server yang berbeda, persyaratan ini berlaku:
    • Azure AD Connect mendukung semua versi SQL Server dari 2012 (dengan paket layanan terbaru) ke SQL Server 2019. Azure SQL Database tidak didukung sebagai database.
    • Anda harus menggunakan kolase SQL yang tidak peka terhadap huruf besar dan kecil. Susunan ini diidentifikasi dengan _CI_ dalam namanya. Menggunakan susunan peka huruf besar/kecil yang diidentifikasi oleh _CS_ dalam namanya tidak didukung.
    • Anda hanya dapat memiliki satu mesin sinkronisasi per instans SQL. Berbagi instans SQL dengan FIM/MIM Sync, DirSync, atau Sinkronisasi AAD tidak didukung.

Akun

  • Anda harus memiliki akun Administrator Global AAD untuk penyewa AAD yang ingin Anda integrasikan. Ini harus berupa akun kerja atau organisasi dan tidak boleh akun Microsoft.
  • Jika menggunakan pengaturan ekspres atau peningkatan dari DirSync, Anda harus memiliki akun Administrator Perusahaan untuk Direktori Aktif lokal Anda.
  • Jika Anda menggunakan jalur penginstalan pengaturan kustom, Anda memiliki lebih banyak opsi. Untuk mengetahui informasi selengkapnya, lihat Pengaturan penginstalan kustom.

Konektivitas

  • Server Azure AD Connect memerlukan resolusi DNS untuk intranet dan internet. Server DNS harus bisa mengatasi nama baik untuk Direktori Aktif lokal maupun titik akhir AAD.

  • Azure AD Connect memerlukan konektivitas jaringan ke semua domain yang dikonfigurasi

  • Jika memiliki firewall di intranet dan Anda perlu membuka port antara server Azure AD Connect dan pengendali domain, lihat Port Azure AD Connect untuk mengetahui informasi selengkapnya.

  • Jika proksi atau firewall Anda membatasi URL mana yang dapat diakses, URL yang didokumentasikan dalam URL dan rentang alamat IP Office 365 harus dibuka. Selain itu, lihat Memasukkan URL portal Microsoft Azure di firewall atau server proksi Anda dalam daftar aman.

  • Azure AD Connect (versi 1.1.614.0 dan yang lebih baru) secara default menggunakan TLS 1.2 untuk mengenkripsi komunikasi antara mesin sinkronisasi dan AAD. Jika TLS 1.2 tidak tersedia di sistem operasi yang mendasarinya, Azure AD Connect secara bertahap kembali ke protokol yang lebih lama (TLS 1.1 dan TLS 1.0). Dari Azure Active Directory Connect versi 2.0 dan seterusnya. TLS 1.0 dan 1.1 tidak lagi didukung dan penginstalan akan gagal jika TLS 1.2 tidak diaktifkan.

  • Sebelum versi 1.1.614.0, Azure AD Connect secara default menggunakan TLS 1.0 untuk mengenkripsi komunikasi antara mesin sinkronisasi dan AAD. Untuk mengubah ke TLS 1.2, ikuti langkah-langkah di Mengaktifkan TLS 1.2 untuk Azure AD Connect.

  • Jika Anda menggunakan proksi keluar untuk menyambungkan ke internet, pengaturan berikut dalam file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config harus ditambahkan untuk wizard penginstalan dan sinkronisasi Azure AD Connect agar dapat terhubung ke internet dan AAD. Teks ini harus dimasukkan di bagian bawah file. Dalam kode ini, PROXYADDRESS> mewakili alamat IP proksi atau nama host yang sebenarnya.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Jika server proksi Anda memerlukan autentikasi, akun layanan harus berada dalam domain. Gunakan jalur penginstalan pengaturan yang disesuaikan untuk menentukan akun layanan kustom. Anda juga memerlukan perubahan yang berbeda untuk machine.config. Dengan perubahan ini dalam machine.config, wizard penginstalan dan sinkronisasi mesin merespons permintaan autentikasi dari server proksi. Di semua halaman wizard penginstalan, tidak termasuk halaman Konfigurasi, info masuk pengguna yang sudah masuk akan digunakan. Pada halaman Konfigurasi di akhir wizard penginstalan, konteksnya dialihkan ke akun layanan yang Anda buat. Bagian machine.config akan terlihat seperti ini:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Jika konfigurasi proksi sedang dilakukan dalam penyiapan yang sudah ada, layanan Microsoft Azure AD Sync perlu dimulai ulang sekali agar Azure AD Connect membaca konfigurasi proksi dan memperbarui perilaku.

  • Saat Azure AD Connect mengirim permintaan web ke AAD sebagai bagian dari sinkronisasi direktori, AAD bisa memakan waktu hingga 5 menit untuk merespons. Server proksi yang memiliki konfigurasi batas waktu tidak aktif koneksi adalah hal yang umum. Pastikan konfigurasinya diatur ke setidaknya 6 menit atau lebih.

Untuk mengetahui informasi selengkapnya, lihat MSDN tentang elemen proksi default. Untuk mengetahui informasi selengkapnya saat Anda mengalami masalah konektivitas, lihat Memecahkan masalah konektivitas.

Lainnya

Opsional: Gunakan akun pengguna pengujian untuk memverifikasi sinkronisasi.

Prasyarat komponen

PowerShell dan .NET Framework

Azure Active Directory Connect bergantung pada Microsoft PowerShell 5.0 dan .NET Framework 4.5.1. Anda perlu memasang versi ini atau versi yang lebih baru di server Anda.

Mengaktifkan TLS 1.2 untuk Azure AD Connect

Sebelum versi 1.1.614.0, Azure AD Connect secara default menggunakan TLS 1.0 untuk mengenkripsi komunikasi antara server mesin sinkronisasi dan AAD. Anda dapat mengonfigurasi aplikasi .NET untuk menggunakan TLS 1.2 secara default di server. Untuk mengetahui informasi selengkapnya tentang TLS 1.2, lihat Microsoft Security Advisory 2960358.

  1. Pastikan Anda memasang perbaikan .NET 4.5.1 untuk sistem operasi Anda. Untuk mengetahui informasi selengkapnya, lihat Microsoft Security Advisory 2960358. Anda mungkin sudah memasang perbaikan ini atau rilis yang lebih baru pada server Anda.

  2. Untuk semua sistem operasi, atur kunci registri ini dan mulai ulang server.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Jika Anda juga ingin mengaktifkan TLS 1.2 antara server mesin sinkronisasi dan Server SQL jarak jauh, pastikan Anda memasang versi yang diperlukan untuk dukungan TLS 1.2 untuk Microsoft SQL Server.

Prasyarat DCOM pada server sinkronisasi

Selama penginstalan layanan sinkronisasi, Azure AD Connect memeriksa keberadaan kunci registri berikut ini:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Di bawah kunci registri ini, Azure AD Connect akan memeriksa untuk melihat apakah nilai berikut ini ada dan tidak rusak:

Prasyarat untuk penginstalan dan konfigurasi federasi

Windows Remote Management

Saat Anda menggunakan Azure AD Connect untuk menyebarkan AD FS atau Proksi Aplikasi Web (WAP), periksa persyaratan berikut:

  • Jika server target bergabung dengan domain, pastikan bahwa Windows Remote Managed diaktifkan.
    • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Enable-PSRemoting –force.
  • Jika server target adalah mesin WAP yang tidak bergabung dengan domain, ada beberapa persyaratan tambahan:
    • Pada mesin target (mesin WAP):
      • Pastikan layanan Windows Remote Management/WS-Management (WinRM) berjalan melalui snap-in Layanan.
      • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Enable-PSRemoting –force.
    • Pada mesin tempat wizard dijalankan (jika mesin target bergabung dengan non-domain atau merupakan domain yang tidak tepercaya):
      • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • Di manajer server:
        • Tambahkan host WAP DMZ ke kumpulan mesin. Di manajer server, pilih KelolaTambahkan Server, lalu gunakan tab DNS.
        • Pada tab Manajer Server Semua Server, klik kanan server WAP, lalu pilih Kelola Sebagai. Masukkan info masuk lokal (bukan domain) untuk mesin WAP.
        • Untuk memvalidasi konektivitas PowerShell jarak jauh, pada tab Manajer Server Semua Server, klik kanan server WAP dan pilih Windows PowerShell. Sesi PowerShell jarak jauh harus terbuka untuk memastikan sesi PowerShell jarak jauh dapat dibuat.

Persyaratan sertifikat TLS/SSL

  • Sebaiknya gunakan sertifikat TLS/ SSL yang sama di semua simpul farm AD FS Anda dan semua server Proksi Aplikasi Web.
  • Sertifikatnya harus sertifikat X509.
  • Anda dapat menggunakan sertifikat yang ditandatangani sendiri di server federasi di lingkungan lab pengujian. Untuk lingkungan produksi, sebaiknya dapatkan sertifikat dari otoritas sertifikat publik.
    • Jika Anda menggunakan sertifikat yang tidak tepercaya secara publik, pastikan bahwa sertifikat yang dipasang pada setiap server Proksi Aplikasi Web dipercaya di server lokal dan di semua server federasi.
  • Identitas sertifikat harus sesuai dengan nama layanan federasi (misalnya, sts.contoso.com).
    • Identitas adalah ekstensi nama alternatif subjek (SAN) jenis dNSName atau, jika tidak ada entri SAN, nama subjek ditentukan sebagai nama umum.
    • Beberapa entri SAN dapat ada dalam sertifikat yang disediakan salah satunya cocok dengan nama layanan federasi.
    • Jika Anda berencana menggunakan Workplace Join, SAN tambahan diperlukan dengan nilai enterpriseregistration. diikuti dengan akhiran nama utama pengguna (UPN) organisasi Anda, misalnya, enterpriseregistration.contoso.com.
  • Sertifikat berdasarkan kunci generasi berikutnya (CNG) CryptoAPI dan penyedia penyimpanan kunci (KSP) tidak didukung. Akibatnya, Anda harus menggunakan sertifikat berdasarkan penyedia layanan kriptografi (CSP) dan bukan KSP.
  • Sertifikat wild-card didukung.

Resolusi nama untuk server federasi

  • Siapkan rekaman DNS untuk nama AD FS (misalnya, sts.contoso.com) untuk intranet (server DNS internal Anda) dan ekstranet (DNS publik melalui registrar domain Anda). Untuk rekaman DNS intranet, pastikan Anda menggunakan rekaman A dan bukan data CNAME. Menggunakan rekaman diperlukan agar autentikasi Windows bekerja dengan benar dari mesin yang bergabung dengan domain Anda.
  • Jika Anda menyebarkan beberapa server AD FS atau server Proksi Aplikasi Web, pastikan Anda telah mengonfigurasi load balancer dan bahwa rekaman DNS untuk nama AD FS (misalnya, sts.contoso.com) menunjuk ke load balancer.
  • Agar autentikasi terintegrasi Windows bekerja untuk aplikasi browser menggunakan Internet Explorer di intranet Anda, pastikan bahwa nama AD FS (misalnya, sts.contoso.com) ditambahkan ke zona intranet di Internet Explorer. Persyaratan ini dapat dikontrol melalui Kebijakan Grup dan disebarkan ke semua komputer yang bergabung dengan domain Anda.

Komponen pendukung Azure AD Connect

Azure AD Connect memasang komponen berikut ini di server tempat Azure AD Connect dipasang. Daftar ini untuk penginstalan Ekspres dasar. Jika Anda memilih untuk menggunakan SQL Server yang berbeda pada halaman Memasang layanan sinkronisasi, SQL Express LocalDB tidak dipasang secara lokal.

  • Azure AD Connect Health
  • Utilitas Baris Perintah Microsoft SQL Server 2019
  • Microsoft SQL Server 2019 Express LocalDB
  • Klien Asli Microsoft SQL Server 2019
  • Paket Redistribusi Microsoft Visual C++ 14

Persyaratan perangkat keras untuk Azure AD Connect

Tabel berikut ini memperlihatkan persyaratan minimum untuk komputer sinkronisasi Azure AD Connect.

Jumlah objek dalam Direktori Aktif CPU Memori Ukuran hard drive
Kurang dari 10.000 1.6 GHz 4 GB 70 GB
10.000–50.000 1.6 GHz 4 GB 70 GB
50.000–100.000 1.6 GHz 16 GB 100 GB
Perlu versi lengkap SQL Server untuk 100.000 objek atau lebih. Menginstal secara lokal lebih disukai untuk performa yang lebih baik.
100.,000–300.000 1.6 GHz 32 GB 300 GB
300.000–600.000 1.6 GHz 32 GB 450 GB
Lebih dari 600.000 1.6 GHz 32 GB 500 GB

Persyaratan minimum untuk komputer yang menjalankan server AD FS atau Proksi Aplikasi Web adalah:

  • CPU: Dual core 1.6 GHz atau lebih tinggi
  • Memori: 2 GB atau lebih tinggi
  • Azure komputer virtual: Konfigurasi A2 atau yang lebih tinggi

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal dengan Azure Active Directory.