Vereisten voor Azure AD Connect cloudsynchronisatie

Dit artikel bevat richtlijnen voor het kiezen en gebruiken Azure Active Directory (Azure AD) Connect-cloudsynchronisatie als uw identiteitsoplossing.

Vereisten voor de inrichtingsagent voor de cloud

U hebt het volgende nodig om cloudsynchronisatie Azure AD Connect gebruiken:

  • Referenties van domeinbeheerder of ondernemingsbeheerder om de Azure AD Connect Cloud Sync gMSA (door een groep beheerd serviceaccount) te maken om de agentservice uit te voeren.
  • Een beheerdersaccount voor hybride identiteit voor uw Azure AD-tenant dat geen gastgebruiker is.
  • Een on-premises server voor de inrichtingsagent met Windows 2016 of hoger. Deze server moet een laag 0-server zijn op basis van het Active Directory-beheerlaagmodel.
  • On-premises firewallconfiguraties.

Door groep beheerde serviceaccounts

Een door een groep beheerd serviceaccount is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) biedt, de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit ook uitbreidt naar meerdere servers. Azure AD Connect Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. U wordt tijdens de installatie om beheerdersreferenties gevraagd om dit account te maken. Het account wordt weergegeven als (domain\provAgentgMSA$). Zie Door groepen beheerde serviceaccounts voor meer informatie over een gMSA

Vereisten voor gMSA:

  1. Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2016.
  2. PowerShell RSAT-modules op een domeincontroller
  3. Ten minste één domeincontroller in het domein moet Windows Server 2016 worden uitgevoerd.
  4. Een server die lid is van een domein waarop de agent wordt geïnstalleerd, moet Windows Server 2016 of hoger zijn.

Aangepast gMSA-account

Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.

Type Naam Access Van toepassing op
Toestaan gMSA-account Alle eigenschappen lezen Aflopende apparaatobjecten
Toestaan gMSA-account Alle eigenschappen lezen Aflopende InetOrgPerson-objecten
Toestaan gMSA-account Alle eigenschappen lezen Aflopende computerobjecten
Toestaan gMSA-account Alle eigenschappen lezen Aflopende foreignSecurityPrincipal-objecten
Toestaan gMSA-account Volledig beheer Aflopende groepsobjecten
Toestaan gMSA-account Alle eigenschappen lezen Aflopende gebruikersobjecten
Toestaan gMSA-account Alle eigenschappen lezen Aflopende contactpersoonsobjecten
Toestaan gMSA-account Gebruikersobjecten maken/verwijderen Dit object en alle aflopende objecten

Zie Door groepen beheerde serviceaccounts voor stappen voor het upgraden van een bestaande agent voor het gebruik van een gMSA-account.

In het Azure Active Directory-beheercentrum

  1. Maak een account voor een hybride identiteitsbeheerder in de cloud in uw Azure AD-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet meer beschikbaar zijn. Meer informatie over het toevoegen van een beheerdersaccount voor hybride identiteiten in de cloud. Het is essentieel dat u deze stap hebt uitgevoerd om ervoor te zorgen dat uw tenant niet wordt vergrendeld.
  2. Voeg een of meer aangepaste domeinnamen toe aan uw Azure AD-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw directory in Active Directory

Voer het hulpprogramma IdFix uit om de mapkenmerken voor te bereiden voor synchronisatie.

In uw on-premises omgeving

  1. Identificeer een hostserver die lid is van een domein met Windows Server 2016 of hoger met minimaal 4 GB RAM-geheugen en .NET 4.7.1+-runtime.

  2. Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.

  3. Als er een firewall tussen uw servers en Azure AD is, configureert u de volgende items:

    • Zorg ervoor dat agenten uitgaande aanvragen voor Azure AD via de volgende poorten kunnen maken:

      Poortnummer Hoe dat wordt gebruikt
      80 Downloadt de certificaat intrekken lijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat.
      443 Verwerkt alle uitgaande communicatie met de service.
      8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in de Azure AD-portal.
    • Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.

    • Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe met * .msappproxy.net * .servicebus.windows.net. Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt.

    • Uw agenten hebben voor de eerste registratie toegang nodig tot login.windows.net en login.microsoftonline.com. Open uw firewall ook voor deze URL's.

    • Deblokker voor certificaatvalidatie de volgende URL's: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 en www . microsoft.com:80. Omdat deze URL's worden gebruikt voor certificaatvalidatie met andere Microsoft-producten, is het mogelijk dat u deze URL's al hebt gedeblokkeerd.

    Notitie

    Het installeren van de inrichtingsagent voor de cloud in Windows Server Core wordt niet ondersteund.

Aanvullende vereisten

TLS-vereisten

Notitie

Transport Layer Security (TLS) is een protocol dat voor beveiligde communicatie zorgt. Het wijzigen van de TLS-instellingen is van invloed op het hele forest. Zie Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows (Bijwerken voor het inschakelen van TLS 1.1 en TLS 1.2 als standaard beveiligde protocollen in WinHTTP in Windows) voor meer informatie.

Op de Windows-server die als host Azure AD Connect inrichtingsagent voor de cloud moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.

Volg deze stappen om TLS 1.2 in teschakelen.

  1. Stel de volgende registersleutels in:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Start de server opnieuw.

Bekende beperkingen

Hier volgen enkele bekende beperkingen:

Deltasynchronisatie

  • Groepsbereikfilters voor deltasynchronisatie bieden geen ondersteuning voor meer dan 50.000 leden.
  • Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
  • Wanneer u de naam van de OE of groep die binnen het bereik valt, verwijdert Delta Sync de gebruikers niet.

Inrichtingslogboeken

  • Inrichtingslogboeken maken geen duidelijk onderscheid tussen maak- en updatebewerkingen. Mogelijk ziet u een maakbewerking voor een update en een updatebewerking voor een maken.

Hernoemen van groepen of hernoemen van OE

  • Als u de naam van een groep of OE in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatie-taak de naamswijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft in orde.

Bereikfilter

Bij gebruik van OE-bereikfilter

  • U kunt maximaal 59 afzonderlijke OE's synchroniseren voor een bepaalde configuratie.
  • Geneste OE's worden ondersteund (dat wil zeggen, u kunt een OE synchroniseren met 130 geneste OE's, maar u kunt niet 60 afzonderlijke OE's synchroniseren in dezelfde configuratie).

Volgende stappen