Vereisten voor Microsoft Entra cloudsynchronisatie

Dit artikel bevat richtlijnen voor het gebruik van Microsoft Entra Cloud Sync als uw identiteitsoplossing.

Vereisten voor cloudinrichtingsagent

U hebt het volgende nodig om Microsoft Entra Cloud Sync te gebruiken:

• Domein Beheer istrator- of Enterprise Beheer istrator-referenties om de Microsoft Entra Verbinding maken cloudsynchronisatie gMSA (door groep beheerde serviceaccount) te maken om de agentservice uit te voeren.
• Een beheerdersaccount voor hybride identiteit voor uw Microsoft Entra-tenant die geen gastgebruiker is.
• Een on-premises server voor de inrichtingsagent met Windows 2016 of hoger. Deze server moet een server op laag 0 zijn op basis van het active Directory-beheerlaagmodel. Het installeren van de agent op een domeincontroller wordt ondersteund.
  • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
• Hoge beschikbaarheid verwijst naar de mogelijkheid van Microsoft Entra Cloud Sync om continu zonder fouten gedurende lange tijd te werken. Door meerdere actieve agents te installeren en uit te voeren, kan Microsoft Entra Cloud Sync blijven functioneren, zelfs als één agent zou moeten mislukken. Microsoft raadt aan drie actieve agents te installeren voor hoge beschikbaarheid.
• On-premises firewallconfiguraties.

Door groep beheerde serviceaccounts

Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) biedt, de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit ook uitbreidt via meerdere servers. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. U wordt tijdens de installatie gevraagd om beheerdersreferenties om dit account te maken. Het account wordt weergegeven als domain\provAgentgMSA$. Zie Beheerde serviceaccounts voor groepen voor meer informatie over een gMSA.

Vereisten voor gMSA

1. Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
2. PowerShell RSAT-modules op een domeincontroller.
3. Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
4. Een server die lid is van een domein waarop de agent wordt geïnstalleerd, moet Windows Server 2016 of hoger zijn.

Aangepast gMSA-account

Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.

Type	Naam	Access	Van toepassing op
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende apparaatobjecten
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende InetOrgPerson-objecten
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende computerobjecten
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende foreignSecurityPrincipal-objecten
Toestaan	gMSA-account	Volledige controle	Onderliggende groepsobjecten
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende gebruikersobjecten
Toestaan	gMSA-account	Alle eigenschappen lezen	Onderliggende contactpersoonobjecten
Toestaan	gMSA-account	Gebruikersobjecten maken/verwijderen	Dit object en alle onderliggende objecten

Zie beheerde serviceaccounts voor groepen voor stappen voor het upgraden van een bestaande agent voor het gebruik van een gMSA-account.

Zie het overzicht van beheerde serviceaccounts voor groepen voor meer informatie over het voorbereiden van uw Active Directory voor het beheerde serviceaccount van de groep.

In het Microsoft Entra-beheercentrum

1. Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet beschikbaar zijn. Meer informatie over het toevoegen van een hybride identiteitsbeheerdersaccount in de cloud. Het voltooien van deze stap is essentieel om ervoor te zorgen dat uw tenant niet wordt vergrendeld.
2. Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw directory in Active Directory

Voer het hulpprogramma IdFix uit om de adreslijstkenmerken voor te bereiden voor synchronisatie.

In uw on-premises omgeving

1. Identificeer een hostserver die lid is van een domein waarop Windows Server 2016 of hoger wordt uitgevoerd, met minimaal 4 GB RAM en .NET 4.7.1+ runtime.
2. Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.
3. Zie firewall- en proxyvereisten als er een firewall is tussen uw servers en Microsoft Entra ID.

Notitie

Het installeren van de agent voor cloudinrichting in Windows Server Core wordt niet ondersteund.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Algemene vereisten

• Microsoft Entra-account met ten minste een hybride Beheer istratorrol.
• On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
  • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
• Inrichtingsagent met buildversie 1.1.1370.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet toegepast op Beheer SDHolder-objecten standaard microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
• Microsoft Entra Verbinding maken met buildversie 2.2.8.0 of hoger
  • Vereist voor het ondersteunen van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Verbinding maken
  • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen

Alleen het volgende wordt ondersteund:

• Alleen cloudbeveiligingsgroepen worden ondersteund
• Deze groepen kunnen een toegewezen of dynamisch lidmaatschap hebben.
• Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
• Deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
• Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
• Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
• Afstemming van groepen tussen Microsoft Entra ID en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

• Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• Al deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
• De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
• Een on-premises gebruikersobjectGUID-kenmerk aan een cloudgebruikers kenmerk onPremisesObjectIdentifier kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Verbinding maken Sync (2.2.8.0)
• Als u Microsoft Entra Verbinding maken Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en inrichting voor AD wilt gebruiken, moet dit 2.2.8.0 of hoger zijn.
• Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor inrichting van Microsoft Entra-id naar Active Directory. Tenants zoals B2C worden niet ondersteund.
• De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.

Meer vereisten

• Minimaal Microsoft .NET Framework 4.7.1

TLS-vereisten

Notitie

Transport Layer Security (TLS) is een protocol dat veilige communicatie biedt. Het wijzigen van de TLS-instellingen is van invloed op het hele forest. Zie Update voor het inschakelen van TLS 1.1 en TLS 1.2 als standaard beveiligde protocollen in WinHTTP in Windows voor meer informatie.

Op de Windows-server waarop de Microsoft Entra-Verbinding maken cloudinrichtingsagent wordt gehost, moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.

Volg deze stappen om TLS 1.2 in te schakelen.

1. Stel de volgende registersleutels in door de inhoud te kopiëren naar een .reg bestand en voer het bestand uit (klik met de rechtermuisknop en kies Samenvoegen):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Start de server opnieuw.

Firewall- en proxyvereisten

Als er een firewall is tussen uw servers en Microsoft Entra ID, moet u de volgende items configureren:

• Zorg ervoor dat agents uitgaande aanvragen kunnen indienen bij Microsoft Entra ID via de volgende poorten:

  Poortnummer	Beschrijving
  80	Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat.
  443	Verwerkt alle uitgaande communicatie met de service.
  8080 (optioneel)	Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in het Microsoft Entra-beheercentrum.

• Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.

• Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe:

Openbare cloud

URL	Beschrijving
*.msappproxy.net *.servicebus.windows.net	De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	De agent gebruikt deze URL's om certificaten te controleren.
login.windows.net	De agent gebruikt deze URL's tijdens het registratieproces.

Cloud van de Amerikaanse overheid

URL	Beschrijving
*.msappproxy.us *.servicebus.usgovcloudapi.net	De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	De agent gebruikt deze URL's om certificaten te controleren.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	De agent gebruikt deze URL's tijdens het registratieproces.

• Als u geen verbindingen kunt toevoegen, staat u toegang toe tot de IP-bereiken van het Azure-datacenter, die wekelijks worden bijgewerkt.

NTLM-vereiste

Schakel NTLM niet in op de Windows Server waarop de Microsoft Entra-inrichtingsagent wordt uitgevoerd. Als deze is ingeschakeld, moet u ervoor zorgen dat u deze uitschakelt.

Bekende beperkingen

Hier volgen bekende beperkingen:

Deltasynchronisatie

• Het filteren van groepsbereiken voor deltasynchronisatie biedt geen ondersteuning voor meer dan 50.000 leden.
• Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
• Wanneer u de naam van de organisatie-eenheid of groep wijzigt die binnen het bereik valt, worden de gebruikers niet verwijderd door deltasynchronisatie.

Inrichtingslogboeken

• Het inrichten van logboeken maakt niet duidelijk onderscheid tussen het maken en bijwerken van bewerkingen. Mogelijk ziet u een bewerking voor het maken van een update en een updatebewerking voor een create.

Naam van groep wijzigen of organisatie-eenheid wijzigen

• Als u de naam van een groep of organisatie-eenheid in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatietaak de naamwijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft in orde.

Bereikfilter

Bij het gebruik van OE-bereikfilter

• U kunt maximaal 59 afzonderlijke organisatie-eenheden of beveiligingsgroepen synchroniseren voor een bepaalde configuratie.
• Geneste OE's worden ondersteund (dat wil gezegd, u kunt een organisatie-eenheid met 130 geneste OE's synchroniseren, maar u kunt geen 60 afzonderlijke OE's synchroniseren in dezelfde configuratie).

Wachtwoordhashsynchronisatie

• Het gebruik van wachtwoord-hashsynchronisatie met InetOrgPerson wordt niet ondersteund.

Volgende stappen

• Wat is inrichting?
• Wat is Microsoft Entra-cloudsynchronisatie?