Wymagania wstępne dotyczące synchronizacji usługi Azure AD Połączenie w chmurze

Ten artykuł zawiera wskazówki dotyczące wyboru i używania usługi Azure Active Directory (Azure AD) Połączenie w chmurze jako rozwiązania do zarządzania tożsamościami.

Wymagania agenta aprowowania w chmurze

Do korzystania z synchronizacji chmury w usłudze Azure AD Połączenie potrzebne są następujące elementy:

  • Poświadczenia administratora domeny lub Enterprise w celu utworzenia konta usługi agenta usługi Azure AD Połączenie Cloud Sync gMSA (zarządzanego przez grupę konta usługi).
  • Konto administratora tożsamości hybrydowej dla dzierżawy usługi Azure AD, które nie jest użytkownikiem-gościem.
  • Serwer lokalnego agenta aprowiwizowania z programem Windows 2016 lub nowszym. Ten serwer powinien być serwerem warstwy 0 opartym na modelu warstwy administracyjnej usługi Active Directory. Instalowanie agenta na kontrolerze domeny jest obsługiwane.
  • Wysoka dostępność odnosi się do możliwości synchronizacji Połączenie Azure AD w chmurze do ciągłego działania bez awarii przez długi czas. Dzięki zainstalowaniu i uruchomieniu wielu aktywnych agentów usługa Azure AD Połączenie w chmurze może nadal działać, nawet jeśli jeden z agentów powinien się nie powieść. Firma Microsoft zaleca, aby w celu wysokiej dostępności zainstalować 3 aktywnych agentów.
  • Konfiguracje zapory lokalnej.

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Usługa Azure AD Połączenie Cloud Sync obsługuje i używa konta gMSA do uruchamiania agenta. Podczas instalacji zostanie wyświetlony monit o poświadczenia administracyjne w celu utworzenia tego konta. Konto będzie wyświetlane jako (domena\provAgentgMSA$). Aby uzyskać więcej informacji na temat konta usługi zarządzanego przez grupę, zobacz Konta usług zarządzane przez grupę

Wymagania wstępne dotyczące gMSA:

  1. Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do Windows Server 2012 lub nowszej.
  2. Moduły RSAT programu PowerShell na kontrolerze domeny
  3. Co najmniej jeden kontroler domeny w domenie musi być uruchomiony Windows Server 2012 lub nowszym.
  4. Serwer przyłączony do domeny, na którym jest instalowany agent, musi być Windows Server 2016 lub nowszy.

Niestandardowe konto gMSA

Jeśli tworzysz niestandardowe konto gMSA, upewnij się, że konto ma następujące uprawnienia.

Typ Nazwa Access Dotyczy:
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Obiekty potomne urządzeń
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Obiekty potomne InetOrgPerson
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Obiekty komputerów potomnych
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Potomne obiekty foreignSecurityPrincipal
Zezwalaj Konto gMSA Pełna kontrola Obiekty grupy potomnych
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Obiekty potomne użytkownika
Zezwalaj Konto gMSA Odczytywanie wszystkich właściwości Obiekty potomne kontaktów
Zezwalaj Konto gMSA Tworzenie/usuwanie obiektów użytkownika Ten obiekt i wszystkie obiekty potomne

Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta w celu używania konta gMSA, zobacz Konta usług zarządzane przez grupę.

Tworzenie konta gMSA przy użyciu programu PowerShell

Aby utworzyć niestandardowe konto gMSA, możesz użyć poniższego skryptu programu PowerShell. Następnie możesz użyć polecenia cmdlet gMSA synchronizacji chmury, aby zastosować bardziej szczegółowe uprawnienia.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

Aby uzyskać dodatkowe informacje na temat powyższych cmdlet, zobacz Wprowadzenie with Group Managed Service Accounts (Zarządzanie kontami usług zarządzanymi przez grupę).

W centrum Azure Active Directory administracyjnego

  1. Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie usługi Azure AD. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne u ciebie nie powiodą się lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej tylko w chmurze. Ukończenie tego kroku ma kluczowe znaczenie dla zapewnienia, że dzierżawa nie zostanie zablokowana.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy usługi Azure AD. Użytkownicy mogą logować się przy użyciu jednej z tych nazw domen.

W katalogu w usłudze Active Directory

Uruchom narzędzie IdFix, aby przygotować atrybuty katalogu do synchronizacji.

W środowisku lokalnym

  1. Zidentyfikuj przyłączony do domeny serwer hosta z systemem Windows Server 2016 lub większym z co najmniej 4 GB pamięci RAM i środowiskiem uruchomieniowym .NET 4.7.1+.

  2. Zasady wykonywania programu PowerShell na serwerze lokalnym muszą być ustawione na wartość Niezdefiniowane lub RemoteSigned.

  3. Jeśli między serwerami a usługą Azure AD istnieje zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci mogą wykonać żądania wychodzące do usługi Azure AD za pośrednictwem następujących portów:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas sprawdzania poprawności certyfikatu TLS/SSL.
      443 Obsługuje całą komunikację wychodzącą z usługą.
      8080 (opcjonalnie) Agenci raportują swój stan co 10 minut na porcie 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu usługi Azure AD.
    • Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia do msappproxy.net * * i servicebus.windows.net. Jeśli nie, zezwolij na dostęp do zakresów adresów IPcentrum danych platformy Azure, które są aktualizowane co tydzień.

    • Agenci muszą mieć dostęp do witryn login.windows.net i login.microsoftonline.com na potrzeby rejestracji wstępnej. Otwórz również zaporę dla tych adresów URL.

    • Aby zweryfikować certyfikat, odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www . microsoft.com:80. Adresy te mogą już być odblokowane, ponieważ są używane do walidacji certyfikatów innych produktów firmy Microsoft.

    Uwaga

    Instalowanie agenta aprowowania w chmurze na Windows Server Core nie jest obsługiwane.

Wymagania dodatkowe

Wymagania protokołu TLS

Uwaga

Transport Layer Security (TLS) to protokół, który zapewnia bezpieczną komunikację. Zmiana ustawień zabezpieczeń TLS ma wpływ na cały las. Aby uzyskać więcej informacji, zobacz Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows(Aktualizacja w celu włączenia protokołu TLS 1.1 i TLS 1.2 jako domyślnych bezpiecznych protokołów w usłudze WinHTTP w usłudze Windows).

Serwer Windows hostujący agenta aprow Połączenie Azure AD w chmurze musi mieć włączony pakiet TLS 1.2 przed jego zainstalowaniem.

Aby włączyć usługę TLS 1.2, wykonaj następujące kroki.

  1. Ustaw następujące klucze rejestru:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Uruchom ponownie serwer.

Wymaganie NTLM

Nie należy włączać funkcji NTLM na serwerze Windows Server, na którym jest uruchomiony agent aprowowania usługi Azure AD Połączenie. Jeśli jest on włączony, upewnij się, że jest on wyłączany.

Znane ograniczenia

Poniżej przedstawiono znane ograniczenia:

Synchronizacja zmian

  • Filtrowanie zakresu grupy dla synchronizacji różnicowej nie obsługuje więcej niż 50 000 elementów członkowskich.
  • Po usunięciu grupy, która jest używana jako część filtru zakresu grupy, użytkownicy, którzy są jej członkami, nie zostaną usunięci.
  • Po zmianie nazwy grupy lub grupy, która jest w zakresie, synchronizacja różnicowa nie spowoduje usunięcia użytkowników.

Dzienniki aprowizacji

  • Dzienniki aprowizowania nie rozróżniują wyraźnie operacji tworzenia i aktualizowania. Możesz zobaczyć operację tworzenia dla aktualizacji i operację aktualizacji dla tworzenia.

Ponowne nazewnictwo grup lub ponowne nazewnictwo dla jęz.

  • W przypadku zmiany nazwy grupy lub nazwy użytkownika w usłudze AD, która jest w zakresie danej konfiguracji, zadanie synchronizacji w chmurze nie będzie w stanie rozpoznać zmiany nazwy w usłudze AD. Zadanie nie zostanie poddane kwarantannie i pozostanie w dobrej kondycji.

Filtr zakresu

W przypadku korzystania z filtru zakresu dla języka OU

  • Dla danej konfiguracji można zsynchronizować maksymalnie 59 oddzielnych jednostki.
  • Jednostki OU zagnieżdżone są obsługiwane (to oznacza, że można zsynchronizować jednostkę, która ma 130 zagnieżdżonych jednostki, ale nie można zsynchronizować 60 oddzielnych jednostki W tej samej konfiguracji).

Synchronizacja skrótów haseł

  • Używanie synchronizacji skrótów haseł z inetOrgPerson nie jest obsługiwane.

Następne kroki