Prasyarat untuk Microsoft Entra Connect

Artikel ini menjelaskan prasyarat dan persyaratan perangkat keras untuk Microsoft Entra Koneksi.

Sebelum Anda menginstal Microsoft Entra Koneksi

Sebelum Anda menginstal Microsoft Entra Koneksi, ada beberapa hal yang Anda butuhkan.

Microsoft Entra ID

• Anda memerlukan penyewa Microsoft Entra. Anda mendapatkan satu penyewa dengan coba gratis Azure. Anda dapat menggunakan salah satu portal berikut untuk mengelola Microsoft Entra Koneksi:
  • Pusat admin Microsoft Entra.
  • Portal Office.
• Tambahkan dan verifikasi domain yang Anda rencanakan untuk digunakan di ID Microsoft Entra. Misalnya, jika Anda berencana menggunakan contoso.com untuk pengguna, pastikan domain ini telah diverifikasi dan Anda tidak hanya menggunakan domain default contoso.onmicrosoft.com.
• Penyewa Microsoft Entra memungkinkan, secara default, 50.000 objek. Saat Anda memverifikasi domain, batasnya meningkat menjadi 300.000 objek. Jika Anda membutuhkan lebih banyak objek di ID Microsoft Entra, buka kasus dukungan agar batasnya meningkat lebih jauh. Jika Anda memerlukan lebih dari 500.000 objek, Anda memerlukan lisensi, seperti Microsoft 365, Microsoft Entra ID P1 atau P2, atau Enterprise Mobility + Security.

Menyiapkan data lokal Anda

• Gunakan IdFix untuk mengidentifikasi kesalahan seperti masalah duplikat dan pemformatan di direktori Anda sebelum Anda menyinkronkan ke ID Microsoft Entra dan Microsoft 365.
• Tinjau fitur sinkronisasi opsional yang dapat Anda aktifkan di MICROSOFT Entra ID, dan evaluasi fitur mana yang harus Anda aktifkan.

Direktori Aktif lokal

• Versi skema Direktori Aktif dan tingkat fungsional hutan harus dalam versi Windows Server 2003 atau yang lebih baru. Pengendali domain dapat menjalankan versi apa pun selama versi skema dan persyaratan tingkat hutan terpenuhi. Anda mungkin memerlukan program dukungan berbayar jika Anda memerlukan dukungan untuk pengendali domain yang menjalankan Windows Server 2016 atau yang lebih lama.
• Kontroler domain yang digunakan oleh Microsoft Entra ID harus dapat ditulis. Menggunakan pengontrol domain baca-saja (RODC) tidak didukung, dan Microsoft Entra Koneksi tidak mengikuti pengalihan tulis apa pun.
• Menggunakan hutan atau domain lokal dengan menggunakan Nama NetBIOS dengan "titik-titik" (nama berisi titik ".") tidak didukung.
• Sebaiknya aktifkan keranjang sampah Direktori Aktif.

Kesalahan eksekusi Powershell

Microsoft Entra Koneksi menjalankan skrip PowerShell yang ditandatangani sebagai bagian dari penginstalan. Pastikan bahwa kebijakan eksekusi PowerShell akan memungkinkan berjalannya skrip.

Kebijakan eksekusi yang direkomendasikan selama penginstalan adalah "RemoteSigned".

Untuk mengetahui informasi selengkapnya tentang pengaturan kebijakan eksekusi PowerShell, lihat Set-ExecutionPolicy.

Server Microsoft Entra Koneksi

Server Microsoft Entra Koneksi berisi data identitas penting. Penting diketahui bahwa akses administratif ke server ini diamankan dengan benar. Ikuti panduan dalam Mengamankan akses dengan hak istimewa.

Server Microsoft Entra Koneksi harus diperlakukan sebagai komponen Tingkat 0 seperti yang didokumentasikan dalam model tingkat administratif Direktori Aktif. Sebaiknya perkeras server Microsoft Entra Koneksi sebagai aset Sarana Kontrol dengan mengikuti panduan yang disediakan dalam Akses Istimewa Aman

Untuk membaca selengkapnya tentang cara mengamankan lingkungan Direktori Aktif Anda, lihat Praktik terbaik untuk mengamankan Direktori Aktif.

Prasyarat penginstalan

• Microsoft Entra Koneksi harus diinstal pada Windows Server 2016 yang bergabung dengan domain atau yang lebih baru. Sebaiknya gunakan Windows Server 2022 yang bergabung dengan domain. Anda dapat menyebarkan Microsoft Entra Koneksi di Windows Server 2016 tetapi karena Windows Server 2016 dalam dukungan yang diperpanjang, Anda mungkin memerlukan program dukungan berbayar jika Anda memerlukan dukungan untuk konfigurasi ini.
• Versi .NET Framework minimum yang diperlukan adalah 4.6.2, dan versi .NET yang lebih baru juga didukung. .NET versi 4.8 dan yang lebih tinggi menawarkan kepatuhan aksesibilitas terbaik.
• Microsoft Entra Koneksi tidak dapat diinstal di Small Business Server atau Windows Server Essentials sebelum 2019 (Windows Server Essentials 2019 didukung). Server harus menggunakan standar Windows Server atau yang lebih baik.
• Server Microsoft Entra Koneksi harus memiliki GUI lengkap yang terinstal. Menginstal Microsoft Entra Koneksi di Windows Server Core tidak didukung.
• Server Microsoft Entra Koneksi tidak boleh mengaktifkan Kebijakan Grup Transkripsi PowerShell jika Anda menggunakan wizard Microsoft Entra Koneksi untuk mengelola konfigurasi Layanan Federasi Direktori Aktif (AD FS). Anda dapat mengaktifkan transkripsi PowerShell jika Anda menggunakan wizard microsoft Entra Koneksi untuk mengelola konfigurasi sinkronisasi.
• Jika Layanan Federasi Direktori Aktif sedang disebarkan:
  • Server tempat AD FS atau Proksi Aplikasi Web dipasang harus dalam versi Windows Server 2012 R2 atau yang lebih baru. Manajemen jarak jauh Windows harus diaktifkan pada server ini untuk penginstalan jarak jauh. Anda mungkin memerlukan program dukungan berbayar jika Anda memerlukan dukungan untuk Windows Server 2016 dan yang lebih lama.
  • Anda harus mengonfigurasi sertifikat TLS/SSL. Untuk mengetahui informasi selengkapnya, lihat Mengelola protokol SSL/TLS dan cipher suite untuk AD FS dan Mengelola sertifikat SSL di AD FS.
  • Anda harus mengonfigurasi resolusi nama.
• Tidak didukung untuk memutuskan dan menganalisis lalu lintas antara Microsoft Entra Koneksi dan ID Microsoft Entra. Hal ini dapat mengganggu layanan.
• Jika Administrator Identitas Hibrid Anda mengaktifkan MFA, URL https://secure.aadcdn.microsoftonline-p.comharus berada di daftar situs tepercaya. Anda diminta untuk menambahkan situs ini ke daftar situs tepercaya saat diminta untuk memberikan tantangan MFA yang belum ditambahkan sebelumnya. Anda dapat menggunakan Internet Explorer untuk menambahkannya ke situs tepercaya Anda.
• Jika Anda berencana menggunakan Microsoft Entra Koneksi Health untuk sinkronisasi, pastikan prasyarat untuk Microsoft Entra Koneksi Health juga terpenuhi. Untuk informasi selengkapnya, lihat Penginstalan agen Microsoft Entra Koneksi Health.

Memperkuat server Microsoft Entra Koneksi Anda

Kami menyarankan agar Anda mengeraskan server Microsoft Entra Koneksi Anda untuk mengurangi permukaan serangan keamanan untuk komponen penting lingkungan IT Anda ini. Mengikuti rekomendasi ini akan membantu mengurangi beberapa risiko keamanan bagi organisasi Anda.

• Sebaiknya perkuat server Microsoft Entra Koneksi sebagai aset Control Plane (sebelumnya Tingkat 0) dengan mengikuti panduan yang disediakan dalam model tingkat administratif Secure Privileged Access dan Active Directory.
• Batasi akses administratif ke server Microsoft Entra Koneksi hanya untuk administrator domain atau grup keamanan lain yang dikontrol dengan ketat.
• Buat akun khusus untuk semua personel dengan akses hak istimewa. Administrator tidak boleh menjelajahi web, memeriksa email mereka, dan melakukan tugas produktivitas sehari-hari dengan akun hak istimewa yang tinggi.
• Ikuti panduan yang disediakan dalam Mengamankan akses hak istimewa.
• Tolak penggunaan autentikasi NTLM dengan server Microsoft Entra Koneksi. Berikut adalah beberapa cara untuk melakukan ini: Membatasi NTLM di Microsoft Entra Koneksi Server dan Membatasi NTLM pada domain
• Pastikan setiap mesin memiliki kata sandi administrator lokal yang unik. Untuk informasi selengkapnya, lihat Solusi Kata Sandi Administrator Lokal (Windows LAPS) dapat mengonfigurasi kata sandi acak unik di setiap stasiun kerja dan server menyimpannya di Direktori Aktif yang dilindungi oleh ACL. Hanya pengguna resmi yang memenuhi syarat yang dapat membaca atau meminta reset kata sandi akun administrator lokal ini. Panduan tambahan untuk mengoperasikan lingkungan dengan Windows LAPS dan stasiun kerja akses istimewa (PAW) dapat ditemukan dalam Standar operasional berdasarkan prinsip sumber yang bersih.
• Terapkan stasiun kerja akses dengan hak istimewa khusus untuk semua personel dengan akses hak istimewa ke sistem informasi organisasi Anda.
• Ikuti panduan tambahan ini untuk mengurangi permukaan serangan lingkungan Direktori Aktif Anda.
• Ikuti memantau perubahan pada konfigurasi federasi untuk menyiapkan pemberitahuan guna memantau perubahan pada kepercayaan yang ditetapkan antara Idp dan ID Microsoft Entra Anda.
• Aktifkan Autentikasi Multifaktor (MFA) untuk semua pengguna yang memiliki akses istimewa di MICROSOFT Entra ID atau di AD. Salah satu masalah keamanan dengan menggunakan Microsoft Entra Koneksi adalah bahwa jika penyerang bisa mendapatkan kontrol atas server Microsoft Entra Koneksi mereka dapat memanipulasi pengguna di ID Microsoft Entra. Untuk mencegah penyerang menggunakan kemampuan ini untuk mengambil alih akun Microsoft Entra, MFA menawarkan perlindungan sehingga bahkan jika penyerang berhasil misalnya mengatur ulang kata sandi pengguna menggunakan Microsoft Entra Koneksi mereka masih tidak dapat melewati faktor kedua.
• Nonaktifkan Soft Matching pada penyewa Anda. Soft Matching adalah fitur hebat untuk membantu mentransfer sumber otoritas untuk objek terkelola cloud yang ada ke Microsoft Entra Koneksi, tetapi dilengkapi dengan risiko keamanan tertentu. Jika Anda tidak memerlukannya, Anda harus menonaktifkan Soft Matching.
• Nonaktifkan Pengamanan Hard Match. Pengamanan hard match memungkinkan Microsoft Entra Koneksi untuk mengontrol objek yang dikelola cloud dan mengubah sumber otoritas untuk objek ke Direktori Aktif. Setelah sumber otoritas objek diambil alih oleh Microsoft Entra Koneksi, perubahan yang dilakukan pada objek Direktori Aktif yang ditautkan ke objek Microsoft Entra akan menimpa data Microsoft Entra asli - termasuk hash kata sandi, jika Sinkronisasi Hash Kata Sandi diaktifkan. Penyerang dapat menggunakan kemampuan ini untuk mengambil alih kontrol objek yang dikelola cloud. Untuk mengurangi risiko ini, nonaktifkan pengamanan hard match.

SQL Server yang digunakan oleh Microsoft Entra Koneksi

• Microsoft Entra Connect memerlukan database SQL Server untuk menyimpan data identitas. Secara default, SQL Server 2019 Express LocalDB (versi ringan SQL Server Express) diinstal. SQL Server Express memiliki batas ukuran sebesar 10 GB yang memungkinkan Anda mengelola sekitar 100.000 objek. Jika Anda perlu mengelola volume objek direktori yang lebih tinggi, arahkan wizard penginstalan ke penginstalan SQL Server yang berbeda. Jenis penginstalan SQL Server dapat memengaruhi performa Microsoft Entra Koneksi.
• Jika Anda menggunakan penginstalan SQL Server yang berbeda, persyaratan ini berlaku:
  • Microsoft Entra Koneksi mendukung semua versi SQL Server yang didukung mainstream hingga SQL Server 2022 yang berjalan di Windows. Silakan lihat artikel siklus hidup SQL Server untuk memverifikasi status dukungan versi SQL Server Anda. SQL Server 2012 tidak lagi didukung. Azure SQL Database tidak didukung sebagai database. Ini termasuk Azure SQL Database dan Azure SQL Managed Instance.
  • Anda harus menggunakan kolase SQL yang tidak peka terhadap huruf besar dan kecil. Susunan ini diidentifikasi dengan _CI_ dalam namanya. Menggunakan susunan peka huruf besar/kecil yang diidentifikasi oleh _CS_ dalam namanya tidak didukung.
  • Anda hanya dapat memiliki satu mesin sinkronisasi per instans SQL. Berbagi instans SQL dengan SINKRONISASI MIM, DirSync, atau Sinkronisasi Azure AD tidak didukung.

Akun

• Anda harus memiliki akun Administrator Global Microsoft Entra atau akun Administrator Identitas Hibrid untuk penyewa Microsoft Entra yang ingin Anda integrasikan. Ini harus berupa akun kerja atau organisasi dan tidak boleh akun Microsoft.
• Jika menggunakan pengaturan ekspres atau peningkatan dari DirSync, Anda harus memiliki akun Administrator Perusahaan untuk Direktori Aktif lokal Anda.
• Jika Anda menggunakan jalur penginstalan pengaturan kustom, Anda memiliki lebih banyak opsi. Untuk mengetahui informasi selengkapnya, lihat Pengaturan penginstalan kustom.

Konektivitas

• Server Microsoft Entra Koneksi memerlukan resolusi DNS untuk intranet dan internet. Server DNS harus dapat mengatasi nama baik ke Active Directory lokal Anda maupun titik akhir Microsoft Entra.

• Microsoft Entra Koneksi memerlukan konektivitas jaringan ke semua domain yang dikonfigurasi

• Microsoft Entra Koneksi memerlukan konektivitas jaringan ke domain akar semua forest yang dikonfigurasi

• Jika Anda memiliki firewall di intranet dan Anda perlu membuka port antara server Microsoft Entra Koneksi dan pengendali domain Anda, lihat Port Microsoft Entra Koneksi untuk informasi selengkapnya.

• Jika proksi atau firewall Anda membatasi URL mana yang dapat diakses, URL yang didokumentasikan dalam URL dan rentang alamat IP Office 365 harus dibuka. Lihat juga Brankas list URL pusat admin Microsoft Entra di firewall atau server proksi Anda.

  • Jika Anda menggunakan cloud Microsoft di Jerman atau cloud Microsoft Azure Government, lihat Pertimbangan instans layanan Microsoft Entra Koneksi Sync untuk URL.

• Microsoft Entra Koneksi (versi 1.1.614.0 dan setelahnya) secara default menggunakan TLS 1.2 untuk mengenkripsi komunikasi antara mesin sinkronisasi dan ID Microsoft Entra. Jika TLS 1.2 tidak tersedia pada sistem operasi yang mendasar, Microsoft Entra Koneksi secara bertahap kembali ke protokol yang lebih lama (TLS 1.1 dan TLS 1.0). Dari Microsoft Entra Koneksi versi 2.0 dan seterusnya. TLS 1.0 dan 1.1 tidak lagi didukung dan penginstalan akan gagal jika TLS 1.2 tidak diaktifkan.

• Sebelum versi 1.1.614.0, Microsoft Entra Koneksi secara default menggunakan TLS 1.0 untuk mengenkripsi komunikasi antara mesin sinkronisasi dan ID Microsoft Entra. Untuk mengubah ke TLS 1.2, ikuti langkah-langkah dalam Mengaktifkan TLS 1.2 untuk Microsoft Entra Koneksi.

• Jika Anda menggunakan proksi keluar untuk menyambungkan ke internet, pengaturan berikut di file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config harus ditambahkan untuk wizard penginstalan dan Microsoft Entra Koneksi Sync agar dapat tersambung ke internet dan ID Microsoft Entra. Teks ini harus dimasukkan di bagian bawah file. Dalam kode ini, <PROXYADDRESS> mewakili alamat IP proksi atau nama host yang sebenarnya.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Jika server proksi Anda memerlukan autentikasi, akun layanan harus berada dalam domain. Gunakan jalur penginstalan pengaturan yang disesuaikan untuk menentukan akun layanan kustom. Anda juga memerlukan perubahan yang berbeda untuk machine.config. Dengan perubahan ini dalam machine.config, wizard penginstalan dan sinkronisasi mesin merespons permintaan autentikasi dari server proksi. Di semua halaman wizard penginstalan, tidak termasuk halaman Konfigurasi, info masuk pengguna yang sudah masuk akan digunakan. Pada halaman Konfigurasi di akhir wizard penginstalan, konteksnya dialihkan ke akun layanan yang Anda buat. Bagian machine.config akan terlihat seperti ini:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Jika konfigurasi proksi sedang dilakukan dalam penyiapan yang ada, layanan Sinkronisasi ID Microsoft Entra perlu dimulai ulang sekali agar Microsoft Entra Koneksi membaca konfigurasi proksi dan memperbarui perilaku.

• Saat Microsoft Entra Koneksi mengirim permintaan web ke ID Microsoft Entra sebagai bagian dari sinkronisasi direktori, ID Microsoft Entra dapat memakan waktu hingga 5 menit untuk merespons. Server proksi yang memiliki konfigurasi batas waktu tidak aktif koneksi adalah hal yang umum. Pastikan konfigurasinya diatur ke setidaknya 6 menit atau lebih.

Untuk mengetahui informasi selengkapnya, lihat MSDN tentang elemen proksi default. Untuk mengetahui informasi selengkapnya saat Anda mengalami masalah konektivitas, lihat Memecahkan masalah konektivitas.

Lainnya

Opsional: Gunakan akun pengguna pengujian untuk memverifikasi sinkronisasi.

Prasyarat komponen

PowerShell dan .NET Framework

Microsoft Entra Koneksi bergantung pada Microsoft PowerShell 5.0 dan .NET Framework 4.5.1. Anda perlu memasang versi ini atau versi yang lebih baru di server Anda.

Mengaktifkan TLS 1.2 untuk Microsoft Entra Koneksi

Sebelum versi 1.1.614.0, Microsoft Entra Koneksi secara default menggunakan TLS 1.0 untuk mengenkripsi komunikasi antara server mesin sinkronisasi dan ID Microsoft Entra. Anda dapat mengonfigurasi aplikasi .NET untuk menggunakan TLS 1.2 secara default di server. Untuk mengetahui informasi selengkapnya tentang TLS 1.2, lihat Microsoft Security Advisory 2960358.

1. Pastikan Anda memasang perbaikan .NET 4.5.1 untuk sistem operasi Anda. Untuk mengetahui informasi selengkapnya, lihat Microsoft Security Advisory 2960358. Anda mungkin sudah memasang perbaikan ini atau rilis yang lebih baru pada server Anda.

2. Untuk semua sistem operasi, atur kunci registri ini dan mulai ulang server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Jika Anda juga ingin mengaktifkan TLS 1.2 antara server mesin sinkronisasi dan Server SQL jarak jauh, pastikan Anda memasang versi yang diperlukan untuk dukungan TLS 1.2 untuk Microsoft SQL Server.

Prasyarat DCOM pada server sinkronisasi

Selama penginstalan layanan sinkronisasi, Microsoft Entra Koneksi memeriksa keberadaan kunci registri berikut:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Di bawah kunci registri ini, Microsoft Entra Koneksi akan memeriksa untuk melihat apakah nilai berikut ada dan tidak rusak:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Prasyarat untuk penginstalan dan konfigurasi federasi

Windows Remote Management

Saat Anda menggunakan Microsoft Entra Koneksi untuk menyebarkan Layanan Federasi Direktori Aktif atau Web Proksi Aplikasi (WAP), periksa persyaratan berikut:

• Jika server target bergabung dengan domain, pastikan bahwa Windows Remote Managed diaktifkan.
  • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Enable-PSRemoting –force.
• Jika server target adalah komputer WAP yang tidak bergabung dengan domain, ada beberapa persyaratan tambahan:
  • Pada mesin target (mesin WAP):
    • Pastikan layanan Windows Remote Management/WS-Management (WinRM) berjalan melalui snap-in Layanan.
    • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Enable-PSRemoting –force.
  • Pada komputer tempat wizard berjalan (jika komputer target bergabung dengan non-domain atau merupakan domain yang tidak tepercaya):
    • Di jendela perintah PowerShell yang ditinggikan, gunakan perintah Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • Di manajer server:
      • Tambahkan host WAP DMZ ke kumpulan mesin. Di manajer server, pilih Kelola>Tambahkan Server, lalu gunakan tab DNS.
      • Pada tab Manajer Server Semua Server, klik kanan server WAP, lalu pilih Kelola Sebagai. Masukkan info masuk lokal (bukan domain) untuk mesin WAP.
      • Untuk memvalidasi konektivitas PowerShell jarak jauh, pada tab Manajer Server Semua Server, klik kanan server WAP dan pilih Windows PowerShell. Sesi PowerShell jarak jauh harus terbuka untuk memastikan sesi PowerShell jarak jauh dapat dibuat.

Persyaratan sertifikat TLS/SSL

• Sebaiknya gunakan sertifikat TLS/ SSL yang sama di semua simpul farm AD FS Anda dan semua server Proksi Aplikasi Web.
• Sertifikatnya harus sertifikat X509.
• Anda dapat menggunakan sertifikat yang ditandatangani sendiri di server federasi di lingkungan lab pengujian. Untuk lingkungan produksi, sebaiknya dapatkan sertifikat dari otoritas sertifikat publik.
  • Jika Anda menggunakan sertifikat yang tidak tepercaya secara publik, pastikan bahwa sertifikat yang dipasang pada setiap server Proksi Aplikasi Web dipercaya di server lokal dan di semua server federasi.
• Identitas sertifikat harus sesuai dengan nama layanan federasi (misalnya, sts.contoso.com).
  • Identitas adalah ekstensi nama alternatif subjek (SAN) jenis dNSName atau, jika tidak ada entri SAN, nama subjek ditentukan sebagai nama umum.
  • Beberapa entri SAN dapat ada dalam sertifikat yang disediakan salah satunya cocok dengan nama layanan federasi.
  • Jika Anda berencana menggunakan Workplace Join, SAN tambahan diperlukan dengan nilai enterpriseregistration. diikuti dengan akhiran nama utama pengguna (UPN) organisasi Anda, misalnya, enterpriseregistration.contoso.com.
• Sertifikat berdasarkan kunci generasi berikutnya (CNG) CryptoAPI dan penyedia penyimpanan kunci (KSP) tidak didukung. Akibatnya, Anda harus menggunakan sertifikat berdasarkan penyedia layanan kriptografi (CSP) dan bukan KSP.
• Sertifikat wild-card didukung.

Resolusi nama untuk server federasi

• Siapkan rekaman DNS untuk nama AD FS (misalnya, sts.contoso.com) untuk intranet (server DNS internal Anda) dan ekstranet (DNS publik melalui registrar domain Anda). Untuk rekaman DNS intranet, pastikan Anda menggunakan rekaman A dan bukan data CNAME. Menggunakan rekaman diperlukan agar autentikasi Windows bekerja dengan benar dari mesin yang bergabung dengan domain Anda.
• Jika Anda menyebarkan beberapa server AD FS atau server Proksi Aplikasi Web, pastikan Anda telah mengonfigurasi load balancer dan bahwa rekaman DNS untuk nama AD FS (misalnya, sts.contoso.com) menunjuk ke load balancer.
• Agar autentikasi terintegrasi Windows bekerja untuk aplikasi browser menggunakan Internet Explorer di intranet Anda, pastikan bahwa nama AD FS (misalnya, sts.contoso.com) ditambahkan ke zona intranet di Internet Explorer. Persyaratan ini dapat dikontrol melalui Kebijakan Grup dan disebarkan ke semua komputer yang bergabung dengan domain Anda.

Komponen pendukung Microsoft Entra Koneksi

Microsoft Entra Koneksi menginstal komponen berikut di server tempat Microsoft Entra Koneksi diinstal. Daftar ini untuk penginstalan Ekspres dasar. Jika Anda memilih untuk menggunakan SQL Server yang berbeda pada halaman Memasang layanan sinkronisasi, SQL Express LocalDB tidak dipasang secara lokal.

• Microsoft Entra Connect Health
• Utilitas Baris Perintah Microsoft SQL Server 2022
• Microsoft SQL Server 2022 Express LocalDB
• Klien Asli Microsoft SQL Server 2022
• Paket Redistribusi Microsoft Visual C++ 14

Persyaratan perangkat keras untuk Microsoft Entra Koneksi

Tabel berikut ini memperlihatkan persyaratan minimum untuk komputer Microsoft Entra Koneksi Sync.

Jumlah objek dalam Direktori Aktif	CPU	Memori	Ukuran hard drive
Kurang dari 10.000	1.6 GHz	6 GB	70 GB
10.000–50.000	1.6 GHz	6 GB	70 GB
50.000–100.000	1.6 GHz	16 GB	100 GB
Perlu versi lengkap SQL Server untuk 100.000 objek atau lebih. Menginstal secara lokal lebih disukai untuk performa yang lebih baik. Nilai berikut hanya valid untuk penginstalan Microsoft Entra Koneksi. Jika SQL Server akan diinstal pada server yang sama, memori, drive, dan CPU lebih lanjut diperlukan.
100.,000–300.000	1.6 GHz	32 GB	300 GB
300.000–600.000	1.6 GHz	32 GB	450 GB
Lebih dari 600.000	1.6 GHz	32 GB	500 GB

Persyaratan minimum untuk komputer yang menjalankan server AD FS atau Proksi Aplikasi Web adalah:

• CPU: Dual core 1.6 GHz atau lebih tinggi
• Memori: 2 GB atau lebih tinggi
• Azure komputer virtual: Konfigurasi A2 atau yang lebih tinggi

Langkah berikutnya

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.