Часто задаваемые вопросы по Microsoft Entra Connect

Корпорация Майкрософт рекомендует ужесточить сервер Microsoft Entra Подключение, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя приведенным ниже рекомендациям, вы уменьшите угрозы безопасности для своей организации.

• Развертывание Microsoft Entra Подключение на присоединенном к домену сервере и ограничение административного доступа к администраторам домена или другим строго контролируемым группам безопасности

Дополнительные сведения см. на следующих ресурсах:

• Защита групп администраторов

• Защита встроенных учетных записей администратора

• Повышение безопасности и поддержка за счет сокращения направлений атак

• Сокращение направлений атак на Active Directory

Такой сценарий поддерживается в сборках начиная с февраля 2016 года.

Установка Microsoft Entra Подключение поддерживается только при использовании мастера установки. Автоматическая установка не поддерживается.

Такой сценарий поддерживается в сборках начиная с февраля 2016 года.

Да. После установки агента можно выполнить регистрацию, используя следующий командлет PowerShell:

Register-AzureADConnectHealthADDSAgent -Credentials $cred

Да, этот сценарий поддерживается. См. дополнительные сведения об использовании нескольких доменов.

Нет, несколько соединителей для одного домена AD не поддерживаются.

Да, ниже приведены общие рекомендации о том, как это сделать. В настоящее время мы работаем над более подробным документом.

1. Архивирование базы данных ADSync LocalDB. Самый простой способ сделать это — использовать SQL Server Management Studio, установленную на том же компьютере, что и Microsoft Entra Подключение. Подключитесь к (LocalDb).\ADSync, затем создайте резервную копию базы данных ADSync.

2. Восстановите базу данных ADSync на удаленном экземпляре SQL.

3. Установите microsoft Entra Подключение в существующую удаленную базу данных SQL. В этой статье показано, как перейти на использование локальной базы данных SQL. Если вы выполняете миграцию с помощью удаленной базы данных SQL, на шаге 5 процесса необходимо также ввести существующую учетную запись службы, в которую будет выполняться служба синхронизации Windows. Ниже описана учетная запись модуля синхронизации.

   Используйте существующую учетную запись службы. По умолчанию Microsoft Entra Подключение использует учетную запись виртуальной службы для использования служб синхронизации. Если вы используете удаленный экземпляр SQL Server или требующий проверки подлинности прокси-сервер, вам необходима управляемая учетная запись службы или учетная запись службы в домене и пароль. В этом случае укажите учетную запись для использования. Убедитесь, что пользователи, которые запускают установку, являются системными администраторами SQL, чтобы можно было создать учетные данные для учетной записи службы. Дополнительные сведения см. в статье Microsoft Entra Подключение учетных записей и разрешений.

   Последняя сборка, подготовка базы данных теперь может выполняться администратором SQL, а затем устанавливается администратором Microsoft Entra Подключение с правами владельца базы данных. Дополнительные сведения см. в разделе "Установка Microsoft Entra Подключение с помощью делегированных разрешений администратора SQL".

Чтобы упростить работу, рекомендуется, чтобы пользователи, устанавливающие Microsoft Entra, Подключение быть системными администраторами в SQL. Однако с последними сборками теперь можно использовать делегированных администраторов SQL, как описано в разделе "Установка Microsoft Entra Подключение с помощью делегированных разрешений администратора SQL".

Ниже приведены сведения, в которых представлены некоторые рекомендации по проектированию и поддержке, накопленные нашими консультантами за свой многолетний опыт. Сведения представлены в виде маркированного списка, к которому можно быстро обратиться. Несмотря на то что мы попытались сделать этот список исчерпывающим, могут иметься дополнительные рекомендации, которые еще не внесены в этот список.

• Если используется full SQL, он должен оставаться локальным и удаленным.
  • Меньше прыжков.
  • Проще устранять неполадки.
  • Проще код.
  • Необходимо назначить ресурсы в SQL и разрешить затраты на Microsoft Entra Подключение и ОС
• Обход прокси-сервера, если это возможно, если вы не можете обойти прокси-сервер, необходимо убедиться, что значение времени ожидания больше 5 минут.
• Если требуется прокси-сервер, необходимо добавить сведения о нем в файл machine.config.
• Помните о локальных заданиях и обслуживании SQL и о том, как они повлияют на microsoft Entra Подключение - особенно повторное индексирование
• Убедитесь, что служба DNS может выполнять разрешение извне.
• Убедитесь, что спецификации серверов являются рекомендациями по использованию физических или виртуальных серверов
• Убедитесь, что при использовании виртуального сервера необходимые ресурсы выделены
• Убедитесь, что диск и конфигурация диска соответствуют рекомендациям для SQL Server.
• Установка и настройка Microsoft Entra Подключение Health для мониторинга
• Используйте пороговое значение удаления, встроенное в microsoft Entra Подключение.
• Внимательно проверьте обновления выпуска, чтобы подготовиться ко всем изменениям и новым атрибутам, которые могут быть добавлены.
• Резервное копирование всего
  • Создайте резервные копии ключей.
  • Создайте резервные копии правил синхронизации.
  • Создайте резервную копию конфигурации сервера.
  • Создайте резервную копию базы данных SQL.
• Убедитесь, что отсутствуют сторонние агенты резервного копирования, выполняющие резервное копирование SQL Server без модуля записи VSS SQL (обычно используется на виртуальных серверах с моментальными снимками сторонних разработчиков).
• Ограничьте объем настраиваемых правил синхронизации, поскольку они повышают сложность.
• Рассматривать серверы Microsoft Entra Подключение как серверы уровня 0
• Не стоит изменять правила синхронизации с облаком, не понимая достаточно глубоко влияние таких изменений и соответствующие бизнес-факторы.
• Убедитесь, что правильные порты URL-адреса и брандмауэра открыты для поддержки Microsoft Entra Подключение и Microsoft Entra Подключение Health
• Используйте атрибут с фильтрацией по облаку для устранения неполадок и предотвращения фантомных объектов.
• С помощью промежуточного сервера убедитесь, что вы используете средство документов конфигурации Microsoft Entra Подключение для согласованности между серверами
• Промежуточные серверы должны находиться в разных центрах обработки данных (физические расположения).
• Промежуточные серверы не предназначены для обеспечения высокой доступности, но у вас может быть несколько промежуточных серверов.
• Использование промежуточных серверов с задержкой может снизить вероятность простоя в случае ошибки.
• Сначала протестируйте и проверьте все обновления на промежуточном сервере.
• Всегда проверяйте экспортированные данные перед переключением на промежуточный сервер. Используйте промежуточный сервер для полного импорта и полной синхронизации, чтобы снизить влияние на бизнес.
• Обеспечение согласованности версий между серверами Microsoft Entra Подключение, как можно больше

№ Чтобы разрешить Microsoft Entra Подключение автоматически создавать учетную запись Microsoft Entra Подключение or, компьютер должен быть присоединен к домену.

Все сетевые программы, физические устройства или что-либо другое, ограничивающее максимальное время, которое может оставаться открытыми, должно использовать пороговое значение не менее пяти минут (300 секунд) для подключения между сервером, на котором установлен клиент Microsoft Entra Подключение и идентификатор Microsoft Entra. Это также относится ко всем ранее выпущенным инструментам синхронизации Microsoft Identity.

Хотя мы настоятельно рекомендуем использовать эту конфигурацию сети (см. статью), используя Microsoft Entra Подключение Sync с одним доменом меток, если конфигурация сети для домена одного уровня работает правильно. В сценариях SLD, где доменное имя Active Directory NetBIOS отличается от имени домена FQDN, оно не поддерживается для установки Microsoft Entra Подключение.

Нет, Microsoft Entra Подключение не поддерживает локальные леса, содержащие несвязанные пространства имен.

Нет, Microsoft Entra Подключение не поддерживает локальные леса или домены, в которых имя NetBIOS содержит точку (.).

Нет, Microsoft Entra Подключение не поддерживает чистую среду IPv6.

Нет, использование Microsoft Entra Подключение через NAT не поддерживается.

Рекомендации об обновлении сертификата см. в этом разделе.

Используйте инструкции, приведенные в статье Обновление сертификатов федерации для Office 365 и Azure AD.

№ Изменение имени сервера отрисовывает подсистему синхронизации, не удается подключиться к экземпляру базы данных SQL, и служба не может запуститься.

№ Они не поддерживаются.

Синхронизированные устройства можно создавать или настраивать локально. Если синхронизированное устройство включено в локальной среде, он может быть повторно включен в Центре администрирования Microsoft Entra, даже если ранее был отключен администратором. Чтобы отключить синхронизированное устройство, используйте локальную службу Active Directory для отключения учетной записи компьютера.

Синхронизированных пользователей можно создавать или настраивать локально. Если учетная запись включена локально, она может разблокировать блокировку входа, настроенную администратором.

Дополнительные сведения вы найдете в следующих статьях:

• Имена пользователей в Microsoft 365, Azure или Intune не совпадают с локальным именем участника-пользователя или альтернативным именем для входа
• Изменения не синхронизированы с помощью средства Azure Active Directory Sync после изменения имени участника-пользователя учетной записи пользователя для использования другого федеративного домена

Вы также можете настроить идентификатор Microsoft Entra, чтобы модуль синхронизации смог обновить имя участника-пользователя, как описано в функциях службы синхронизации Microsoft Entra Подключение.

Да, для мягкого сопоставления используется proxyAddress. Обратимое сопоставление не поддерживается для групп, которые не включены в почту.

Нет, вручную при задании атрибута ImmutableId в существующей группе Microsoft Entra или контактном объекте для жесткого сопоставления он в настоящее время не поддерживается.

За исключением командлетов, которые описаны на этом сайте, другие командлеты PowerShell, найденные в Microsoft Entra Подключение, не поддерживаются для использования клиентом.

№ Этот параметр не извлекает все параметры конфигурации и не должен использоваться. Вместо этого используйте мастер, чтобы создать базовую конфигурацию на втором сервере, и редактор правил синхронизации, чтобы создать сценарии PowerShell для перемещения настраиваемых правил между серверами. Дополнительные сведения см. в разделе Обновление со сменой сервера.

В настоящее время изменение HTML-атрибутов поля "Пароль" , включая тег автозаполнения, не поддерживается. В настоящее время мы работаем над функцией, которая позволяет использовать настраиваемый JavaScript, который позволяет добавить любой атрибут в поле "Пароль ".

В настоящее время изменение HTML-атрибутов поля ввода паролей , включая тег автозаполнения, не поддерживается. В настоящее время мы работаем над функцией, которая позволяет использовать настраиваемый JavaScript, который позволяет добавить любой атрибут в поле "Пароль ".

№

Мы советуем всем клиентам включить автоматическое обновление для установки Microsoft Entra Подключение. Преимущество в том, что вы всегда получаете последние исправления, включая обновления безопасности для уязвимостей, обнаруженных в Microsoft Entra Подключение. Обновление не составляет трудности и выполняется автоматически по мере доступности новой версии. Многие тысячи пользователей Microsoft Entra Подключение используют автоматическое обновление с каждым новым выпуском.

Процесс автоматического обновления всегда сначала устанавливает, подходит ли установка для автообновления. Если это допустимо, обновление выполняется и проверяется. Процесс также включает в себя анализ пользовательских изменений правил и определенных факторов среды. Если тесты показывают, что обновление выполнить не удалось, автоматически восстанавливается предыдущая версия.

В зависимости от размера среды, этот процесс может занять несколько часов. Пока обновление выполняется, синхронизация между Windows Server Active Directory и идентификатором Microsoft Entra не выполняется.

В прошлом году мы выпустили версию Microsoft Entra Подключение, которая в определенных обстоятельствах могла отключить функцию автоматического обновления на сервере. Исправлена проблема в Microsoft Entra Подключение версии 1.1.750.0. Если возникла проблема, ее можно устранить, выполнив сценарий PowerShell, чтобы восстановить его или вручную обновить до последней версии Microsoft Entra Подключение.

Чтобы запустить скрипт PowerShell, скачайте скрипт и запустите его на сервере Microsoft Entra Подключение в окне администрирования PowerShell. Чтобы узнать, как запустить скрипт, просмотрите это короткое видео.

Чтобы выполнить обновление вручную, необходимо скачать и запустить последнюю версию AADConnect.msi файла.

• Если текущая версия ниже 1.1.750.0, обновите систему до последней версии, которую можно скачать здесь.
• Если Подключение Microsoft Entra версии 1.1.750.0 или более поздней, дальнейшие действия не требуются. Вы уже используете версию, содержащую исправление автоматического обновления.

Да, чтобы повторно включить автоматическое обновление, необходимо обновить систему до версии 1.1.750.0 или выше. Обновите систему до последней версии, которую можно скачать здесь.

Да, по-прежнему необходимо обновить систему до версии 1.1.750.0 или выше. Включение службы автоматического обновления с помощью PowerShell не устраняет проблему автоматического обновления, обнаруженную в версиях до версии 1.1.750.0.

Вам не нужно знать имя пользователя и пароль, которые изначально использовались для обновления Microsoft Entra Подключение. Используйте любую учетную запись Microsoft Entra с ролью глобального Администратор istrator.

Чтобы проверить, какая версия Microsoft Entra Подключение установлена на сервере, перейдите к панель управления и найдите установленную версию Microsoft Entra Подключение, выбрав программы>и компоненты, как показано ниже.

Сведения об обновлении до последней версии см. в статье Microsoft Entra Подключение: обновление с предыдущей версии до последней.

Команда Microsoft Entra Подключение часто обновляет службу. Чтобы воспользоваться исправлениями ошибок и обновлениями системы безопасности, а также новыми функциями, важно поддерживать актуальность сервера с последней версией. Если включить автоматическое обновление, версия установленного программного обеспечения обновляется автоматически. Чтобы найти журнал выпусков версий Microsoft Entra Подключение, см. раздел Microsoft Entra Подключение: журнал выпусков версий.

Время, необходимое для обновления, зависит от размера вашего клиента. Возможно, для крупных организаций целесообразнее делать это вечером или на выходных. Во время обновления синхронизация не поддерживается.

Группа разработчиков Office работает над тем, чтобы обновления портала Office отражали текущее имя продукта. Он не отражает, какое средство синхронизации вы используете.

В предыдущей версии появилась ошибка, при которой в определенных обстоятельствах для состояния автоматического обновления устанавливается значение "Приостановлено". Вручную это возможно, но потребуется несколько сложных шагов. Лучше всего установить последнюю версию Microsoft Entra Подключение.

Нет, нет такой функции сегодня. Но мы рассматриваем возможность реализации этой функции в будущих выпусках.

Вы не будете получать уведомления о результатах обновления. Но мы рассматриваем возможность реализации этой функции в будущих выпусках.

Автоматическое обновление является первым шагом в процессе выпуска новой версии. Всякий раз, когда есть новый выпуск, обновления отправляются автоматически. Более новые версии Microsoft Entra Подключение предварительно объявлены в схеме развития Microsoft Entra.

Да, автоматическое обновление также обновляет Microsoft Entra Подключение Health.

Да, вы можете автоматически обновить сервер Microsoft Entra Подключение, который находится в промежуточном режиме.

В редких случаях служба Microsoft Entra Подключение не запускается после выполнения обновления. В таком случае перезагрузите сервер, что зачастую позволяет устранить ошибку. Если служба Microsoft Entra Подключение по-прежнему не запускается, откройте запрос в службу поддержки. Дополнительные сведения см. в разделе Как создать запрос на обслуживание в службу поддержки Microsoft 365.

Если вам нужна помощь по обновлению до более новой версии Microsoft Entra Подключение, откройте запрос в службу поддержки при создании запроса на обслуживание, чтобы обратиться в службу поддержки Microsoft 365.

Ниже приведены некоторые рекомендации, которые следует реализовать при синхронизации между Windows Server Active Directory и идентификатором Microsoft Entra.

Применение многофакторной проверки подлинности для всех синхронизированных учетных записей Microsoft Entra Multifactor authentication помогает защитить доступ к данным и приложениям, сохраняя простоту для пользователей. Эта служба предлагает дополнительную защиту за счет дополнительного способа аутентификации и, используя ряд простых методов проверки подлинности, обеспечивает строгую проверку. Направление пользователям запросов о необходимости Многофакторной идентификации зависит от настроек, заданных администратором. Подробнее о многофакторной идентификации можно прочитать здесь: https://www.microsoft.com/security/business/identity/mfa?rtc=1

Следуйте рекомендациям по безопасности сервера Microsoft Entra Подключение сервера, сервер Microsoft Entra Подключение содержит критически важные данные удостоверения и должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Также ознакомьтесь с нашими рекомендациями по защите сервера Microsoft Entra Подключение.

Включение PHS для обнаружения утечек учетных данных. Синхронизация хэша паролей также позволяет обнаруживать утечку учетных данных для гибридных учетных записей. Корпорация Майкрософт вместе со специалистами по теневому Интернету и правоохранительными органами работает над поиском общедоступных пар имен и паролей. Если мы обнаруживаем совпадение какой-либо из таких пар с пользователем, связанной учетной записи присваивается высокая степень риска.

Поиск в базе знаний Майкрософт

• Выполните поиск КБ для технических решений, чтобы устранить распространенные проблемы, связанные с поддержкой Microsoft Entra Подключение.

Страница вопросов Microsoft Q&A для идентификатора Microsoft Entra

• Найдите технические вопросы и ответы или задайте собственные вопросы, перейдя в сообщество Microsoft Entra.

Получение поддержки идентификатора Microsoft Entra

События 6311 (При выполнении операции обратного вызова сервер обнаружил непредвиденную ошибку) и 6401 (Непредвиденная ошибка контроллера управляющего агента) всегда заносятся в журнал после ошибки этапа синхронизации. Чтобы устранить эти ошибки, необходимо очистить ошибки этапа синхронизации. Дополнительные сведения см. в разделе "Устранение неполадок во время синхронизации и устранение неполадок синхронизации объектов с помощью Microsoft Entra Подключение Sync"