Wymagania wstępne dotyczące usługi Microsoft Entra Cloud Sync
Ten artykuł zawiera wskazówki dotyczące wybierania i używania usługi Microsoft Entra Cloud Sync jako rozwiązania do obsługi tożsamości.
Wymagania dotyczące agenta aprowizacji w chmurze
Do korzystania z usługi Microsoft Entra Cloud Sync potrzebne są następujące elementy:
- Poświadczenia Administracja istratora domeny lub Administracja istratora przedsiębiorstwa w celu utworzenia konta usługi agenta zarządzanego przez usługę microsoft Entra Połączenie w chmurze( konta usługi zarządzanej przez grupę).
- Konto administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra, które nie jest użytkownikiem-gościem.
- Serwer lokalny dla agenta aprowizacji z systemem Windows 2016 lub nowszym. Ten serwer powinien być serwerem warstwy 0 na podstawie modelu warstwy administracyjnej usługi Active Directory. Instalowanie agenta na kontrolerze domeny jest obsługiwane.
- Wysoka dostępność odnosi się do możliwości ciągłego działania usługi Microsoft Entra Cloud Sync bez awarii przez długi czas. Po zainstalowaniu i uruchomieniu wielu aktywnych agentów usługa Microsoft Entra Cloud Sync może nadal działać, nawet jeśli jeden agent powinien zakończyć się niepowodzeniem. Firma Microsoft zaleca zainstalowanie 3 aktywnych agentów w celu zapewnienia wysokiej dostępności.
- Konfiguracje zapory lokalnej.
Konta usług zarządzane przez grupę
Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Usługa Microsoft Entra Cloud Sync obsługuje i używa zarządzanego konta zarządzanego do uruchamiania agenta. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto. Konto będzie wyświetlane jako domain\provAgentgMSA$. Aby uzyskać więcej informacji o gMSA, zobacz konta usług zarządzane przez grupę.
Wymagania wstępne dotyczące usługi gMSA
- Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
- Moduły RSAT programu PowerShell na kontrolerze domeny.
- Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
- Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.
Niestandardowe konto gMSA
Jeśli tworzysz niestandardowe konto gMSA, upewnij się, że konto ma następujące uprawnienia.
| Type | Nazwisko | Access | Dotyczy |
|---|---|---|---|
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty urządzenia podrzędnego |
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty InetOrgPerson obiektów potomnych |
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty komputera podrzędnego |
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty podrzędne foreignSecurityPrincipal |
| Zezwalaj | konto gMSA | Pełna kontrola | Obiekty grupy podrzędnej |
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty użytkownika podrzędnego |
| Zezwalaj | konto gMSA | Odczytywanie wszystkich właściwości | Obiekty kontaktów potomnych |
| Zezwalaj | konto gMSA | Tworzenie/usuwanie obiektów użytkownika | Ten obiekt i wszystkie obiekty podrzędne |
Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta do korzystania z konta zarządzanego przez grupę, zobacz konta usługi zarządzane przez grupę.
Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.
W centrum administracyjnym firmy Microsoft Entra
- Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej tylko w chmurze. Ukończenie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
- Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.
W katalogu w usłudze Active Directory
Uruchom narzędzie IdFix, aby przygotować atrybuty katalogu do synchronizacji.
W środowisku lokalnym
- Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2016 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego platformy .NET 4.7.1 lub nowszej.
- Zasady wykonywania programu PowerShell na serwerze lokalnym muszą być ustawione na wartość Niezdefiniowane lub RemoteSigned.
- Jeśli istnieje zapora między serwerami i identyfikatorem entra firmy Microsoft, zobacz Wymagania zapory i serwera proxy poniżej.
Uwaga
Instalowanie agenta aprowizacji w chmurze w systemie Windows Server Core nie jest obsługiwane.
Wymagania dodatkowe
- Minimalna wersja programu Microsoft .NET Framework 4.7.1
Wymagania protokołu TLS
Uwaga
Transport Layer Security (TLS) to protokół zapewniający bezpieczną komunikację. Zmiana ustawień protokołu TLS wpływa na cały las. Aby uzyskać więcej informacji, zobacz Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows (Aktualizacja w celu włączenia protokołów TLS 1.1 i TLS 1.2 jako domyślnych bezpiecznych protokołów w systemie Windows).
Przed zainstalowaniem serwera z systemem Windows, który hostuje agenta aprowizacji w chmurze firmy Microsoft Połączenie w chmurze, musi być włączony protokół TLS 1.2.
Aby włączyć protokół TLS 1.2, wykonaj następujące kroki.
Ustaw następujące klucze rejestru, kopiując zawartość do pliku .reg , a następnie uruchamiając plik (kliknij prawym przyciskiem myszy i wybierz polecenie Scal):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Uruchom ponownie serwer.
Wymagania dotyczące zapory i serwera proxy
Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:
Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:
Numer portu Zastosowanie 80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL. 443 Obsługuje całą komunikację wychodzącą z usługą. 8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym Microsoft Entra. Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.
Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia:
| URL | Zastosowanie |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Agent używa tych adresów URL do weryfikowania certyfikatów. |
login.windows.net |
Agent używa tych adresów URL podczas procesu rejestracji. |
Wymaganie NTLM
Nie należy włączać protokołu NTLM w systemie Windows Server z uruchomionym agentem aprowizacji firmy Microsoft Entra i jeśli jest włączony, upewnij się, że został on wyłączony.
Znane ograniczenia
Poniżej przedstawiono znane ograniczenia:
Synchronizacja zmian
- Filtrowanie zakresu grupy na potrzeby synchronizacji różnicowej nie obsługuje więcej niż 50 000 elementów członkowskich.
- Jeśli usuniesz grupę używaną jako część filtru określania zakresu grupy, użytkownicy, którzy są członkami grupy, nie zostaną usunięci.
- W przypadku zmiany nazwy jednostki organizacyjnej lub grupy, która jest w zakresie, synchronizacja różnicowa nie spowoduje usunięcia użytkowników.
Dzienniki aprowizacji
- Dzienniki aprowizacji nie rozróżniają wyraźnie operacji tworzenia i aktualizacji. Może zostać wyświetlona operacja tworzenia dla aktualizacji i operacja aktualizacji dla utworzenia.
Ponowne nazewnictwo grup lub ponowne nazewnictwo jednostek organizacyjnych
- Jeśli zmienisz nazwę grupy lub jednostki organizacyjnej w usłudze AD, która jest w zakresie dla danej konfiguracji, zadanie synchronizacji chmury nie będzie mogło rozpoznać zmiany nazwy w usłudze AD. Zadanie nie przejdzie do kwarantanny i pozostanie w dobrej kondycji.
Filtr określania zakresu
W przypadku korzystania z filtru określania zakresu jednostek organizacyjnych
- Dla danej konfiguracji można zsynchronizować maksymalnie 59 oddzielnych jednostek organizacyjnych lub grup zabezpieczeń.
- Zagnieżdżone jednostki organizacyjne są obsługiwane (czyli można zsynchronizować jednostkę organizacyjną z 130 zagnieżdżonymi jednostkami organizacyjnymi, ale nie można zsynchronizować 60 oddzielnych jednostek organizacyjnych w tej samej konfiguracji).
Synchronizacja skrótów haseł
- Korzystanie z synchronizacji skrótów haseł z inetOrgPerson nie jest obsługiwane.