Предварительные требования для облачной синхронизации Microsoft Entra

В этой статье приводятся рекомендации по использованию Microsoft Entra Cloud Sync в качестве решения для удостоверений.

Требования к агенту облачной подготовки

Для использования Microsoft Entra Cloud Sync вам потребуется следующее:

• Учетные данные Администратор istrator или Enterprise Администратор istrator для создания учетной записи microsoft Entra Подключение облачной синхронизации gMSA (групповая управляемая учетная запись службы) для запуска службы агента.
• Учетная запись администратора гибридного удостоверения для клиента Microsoft Entra, который не является гостевым пользователем.
• Локальный сервер для агента подготовки с Windows 2016 или более поздней версии. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory. Поддерживается установка агента на контроллере домена.
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
• Высокий уровень доступности относится к способности Microsoft Entra Cloud Sync непрерывно работать без сбоя в течение длительного времени. При наличии нескольких активных агентов, установленных и запущенных, Microsoft Entra Cloud Sync может продолжать функционировать, даже если один агент должен завершиться ошибкой. Для обеспечения высокой доступности корпорация Майкрософт рекомендует установить 3 активных агента.
• Конфигурации для локального брандмауэра.

Групповые управляемые учетные записи служб

Управляемая учетная запись службы — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы, возможность делегировать управление другим администраторам, а также расширяет эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Во время установки вам будет предложено указать учетные данные администратора, чтобы создать эту учетную запись. Учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см . в разделе "Групповые управляемые учетные записи служб".

Предварительные требования для gMSA

1. Необходимо обновить схему Active Directory в лесу домена gMSA до Windows Server 2012 или более поздней версии.
2. Модули RSAT PowerShell на контроллере домена.
3. По крайней мере один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
4. Сервер, присоединенный к домену, на котором устанавливается агент, должен работать под Windows Server 2016 или ОС более поздней версии.

Настраиваемая учетная запись gMSA

Если вы создаете пользовательскую учетную запись gMSA, необходимо убедиться, что у учетной записи есть следующие разрешения.

Тип	Имя.	Открыть	Применяется к
Разрешить	Учетная запись gMSA	Чтение всех свойств	Дочерние объекты устройств
Разрешить	Учетная запись gMSA	Чтение всех свойств	Дочерние объекты InetOrgPerson
Разрешить	Учетная запись gMSA	Чтение всех свойств	Дочерние объекты компьютера
Разрешить	Учетная запись gMSA	Чтение всех свойств	Дочерние объекты foreignSecurityPrincipal
Разрешить	Учетная запись gMSA	Полный контроль	Дочерние объекты группы
Разрешить	Учетная запись gMSA	Чтение всех свойств	Потомки объектов-пользователей
Разрешить	Учетная запись gMSA	Чтение всех свойств	Дочерние объекты контакта
Разрешить	Учетная запись gMSA	Создание и удаление объектов-пользователей	Этот объект и все дочерние объекты

Инструкции по обновлению существующего агента для использования учетной записи gMSA см . в группе управляемых учетных записей служб.

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в обзоре групповых управляемых учетных записей служб.

В Центре администрирования Microsoft Entra

1. Создайте учетную запись администратора гибридного удостоверения только для облака в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте больше о том, как добавить облачную учетную запись администратора гибридных удостоверений. Выполнение этого шага очень важно, чтобы не потерять доступ к клиенту.
2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В каталоге Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

1. Выберите присоединенный к домену сервер узла под управлением Windows Server 2016 или более поздней версии, на котором есть не менее 4 ГБ ОЗУ и среда выполнения .NET 4.7.1 или более поздней версии.
2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.
3. Если между серверами и идентификатором Microsoft Entra есть брандмауэр, см . требования к брандмауэру и прокси-серверу.

Примечание.

Установка агента подготовки облака в Windows Server Core не поддерживается.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

• Учетная запись Microsoft Entra с ролью гибридного Администратор istrator.
• Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
• Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам Администратор SDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

• Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
  • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
• Microsoft Entra Подключение с сборкой версии 2.2.8.0 или более поздней
  • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Подключение
  • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы

Поддерживается только следующее:

• Поддерживаются только созданные облаком группы безопасности
• Эти группы могут назначить или динамическую членство.
• Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
• Эти группы записываются обратно с помощью групп AD, область универсальных. Локальная среда должна поддерживать универсальную группу область.
• Группы, превышающие 50 000 членов, не поддерживаются.
• Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
• Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

• Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Все эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
• OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
• Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Подключение Sync (2.2.8.0)
• Если вы используете microsoft Entra Подключение Sync (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.2.8.0 или более поздней версии.
• Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
• Задание подготовки группы планируется выполнять каждые 20 минут.

Дополнительные требования

• Минимальная версия Microsoft платформа .NET Framework 4.7.1

Требования к TLS

Примечание.

Протокол TLS обеспечивает безопасность обмена данными. Изменение параметров TLS влияет на весь лес. Дополнительные сведения см. в статье Обновление, предусматривающее использование TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Сервер Windows, на котором размещен агент подготовки облака Microsoft Entra Подключение, должен быть включен протокол TLS 1.2 перед установкой.

Чтобы включить TLS 1.2, сделайте следующее:

1. Задайте следующие разделы реестра, скопируйте содержимое в файл .reg , а затем запустите файл (щелкните правой кнопкой мыши и нажмите кнопку "Объединить").

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.

• Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

  Номер порта	Description
  80	Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
  443	Обработка всего исходящего трафика для службы.
  8080 (необязательно)	Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra.

• Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

• Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, добавьте следующие подключения:

Общедоступное облако

URL	Description
*.msappproxy.net *.servicebus.windows.net	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Агент использует эти URL-адреса для проверки сертификатов.
login.windows.net	Агент использует эти URL-адреса в процессе регистрации.

Облако для государственных организаций США

URL	Description
*.msappproxy.us *.servicebus.usgovcloudapi.net	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Агент использует эти URL-адреса для проверки сертификатов.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Агент использует эти URL-адреса в процессе регистрации.

• Если вы не можете добавить подключения, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure, которые обновляются еженедельно.

Требование NTLM

Вы не должны включить NTLM на Windows Server, на котором запущен агент подготовки Microsoft Entra, и если он включен, убедитесь, что он отключен.

Известные ограничения

Ниже известные ограничения:

синхронизация изменений;

• Фильтрация область групп для разностной синхронизации не поддерживает более 50 000 членов.
• При удалении группы, которая используется как часть фильтра групповой области, пользователи, входящие в эту группу, не удаляются.
• При переименовании подразделения или группы, которая находится в область, разностная синхронизация не удаляет пользователей.

Подготовка журналов

• Журналы подготовки не четко различаются между операциями создания и обновления. Вы можете увидеть операцию создания для обновления и операцию обновления для создания.

Переименование групп или переименование подразделения

• Если вы переименовываете группу или подразделение в AD, которая находится в область для данной конфигурации, задание облачной синхронизации не сможет распознать изменение имени в AD. Работа не перейдет в карантин и остается здоровой.

Область действия фильтра

При использовании фильтра подразделений

• Для данной конфигурации можно синхронизировать только до 59 отдельных подразделений или групп безопасности.
• Поддерживаются вложенные подразделения (то есть в одной конфигурации можно синхронизировать подразделение с 130 вложенными подразделениями, но нельзя синхронизировать 60 отдельных подразделений).

Синхронизация хэша паролей

• Синхронизация хэша паролей с InetOrgPerson не поддерживается.

Следующие шаги

• Что собой представляет подготовка?
• Что такое облачная синхронизация Microsoft Entra?