Krav för Azure AD Anslut molnsynkronisering

Den här artikeln innehåller råd om hur du väljer och använder Azure Active Directory (Azure AD) för Anslut molnsynkronisering som din identitetslösning.

Krav för molnetableringsagenten

Du behöver följande för att använda Azure AD Anslut molnsynkronisering:

  • Autentiseringsuppgifter som domänadministratör eller företagsadministratör för att skapa Azure AD Anslut Cloud Sync gMSA (grupp hanterat tjänstkonto) för att köra agenttjänsten.
  • Ett hybrididentitetsadministratörskonto för din Azure AD-klientorganisation som inte är en gästanvändare.
  • En lokal server för etableringsagenten med Windows 2016 eller senare. Den här servern ska vara en server på nivå 0 som baseras på Active Directory-modellen på administratörsnivå. Det finns stöd för att installera agenten på en domänkontrollant.
  • Hög tillgänglighet avser Azure AD-Anslut molnsynkroniserings förmåga att arbeta kontinuerligt utan fel under en längre tid. Genom att ha flera aktiva agenter installerade och igång kan Azure AD Anslut molnsynkronisering fortsätta att fungera även om en agent skulle misslyckas. Microsoft rekommenderar att du har tre aktiva agenter installerade för hög tillgänglighet.
  • Lokala brandväggskonfigurationer.

Grupphanterade tjänstkonton

Ett grupp hanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad hantering av tjänstens huvudnamn (SPN), möjligheten att delegera hanteringen till andra administratörer och även utökar den här funktionen över flera servrar. Azure AD Anslut Cloud Sync stöder och använder ett gMSA för att köra agenten. Du uppmanas att ange administratörsbehörighet under installationen för att kunna skapa det här kontot. Kontot visas som (domain\provAgentgMSA$). Mer information om ett gMSA finns i Grupp hanterade tjänstkonton

Krav för gMSA:

  1. Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
  2. PowerShell RSAT-moduler på en domänkontrollant
  3. Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
  4. En domän ansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.

Anpassat gMSA-konto

Om du skapar ett anpassat gMSA-konto måste du se till att kontot har följande behörigheter.

Typ Name Access Gäller för
Tillåt gMSA-konto Läsa alla egenskaper Underordnade enhetsobjekt
Tillåt gMSA-konto Läsa alla egenskaper Underordnade InetOrgPerson-objekt
Tillåt gMSA-konto Läsa alla egenskaper Objekt för underordnade datorer
Tillåt gMSA-konto Läsa alla egenskaper Underordnade foreignSecurityPrincipal-objekt
Tillåt gMSA-konto Fullständig behörighet Underordnade gruppobjekt
Tillåt gMSA-konto Läsa alla egenskaper Underordnade användarobjekt
Tillåt gMSA-konto Läsa alla egenskaper Underordnade kontaktobjekt
Tillåt gMSA-konto Skapa/ta bort användarobjekt Det här objektet och alla underordnade objekt

Anvisningar för hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i Grupp hanterade tjänstkonton.

Skapa ett gMSA-konto med PowerShell

Du kan använda följande PowerShell-skript för att skapa ett anpassat gMSA-konto. Sedan kan du använda gMSA-cmdlets för molnsynkronisering för att tillämpa mer detaljerade behörigheter.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

Mer information om cmdletarna ovan finns i Komma igång med grupp-hanterade tjänstkonton.

I Azure Active Directory administrationscenter

  1. Skapa ett molnadministratörskonto för hybrididentitet i din Azure AD-klientorganisation. På så sätt kan du hantera konfigurationen av din klientorganisation om dina lokala tjänster misslyckas eller blir otillgängliga. Lär dig mer om hur du lägger till ett moln endast hybrididentitetsadministratörskonto. Slutförande av det här steget är viktigt för att se till att du inte blir utelåst från din klientorganisation.
  2. Lägg till ett eller flera anpassade domännamn i din Azure AD-klientorganisation. Användarna kan logga in med något av dessa domännamn.

I din katalog i Active Directory

Kör verktyget IdFix för att förbereda katalogattributen för synkronisering.

I din lokala miljö

  1. Identifiera en domän-ansluten värdserver som kör Windows Server 2016 eller senare med minst 4 GB RAM-minne och .NET 4.7.1+ körning.

  2. PowerShell-körningsprincipen på den lokala servern måste vara inställd på Undefined eller RemoteSigned.

  3. Om det finns en brandvägg mellan dina servrar och Azure AD konfigurerar du följande objekt:

    • Kontrollera att agenter kan göra utgående begäranden till Azure AD via följande portar:

      Portnummer Hur den används
      80 Laddar ned listor över återkallade certifikat (CRL) när TLS/SSL-certifikatet verifieras.
      443 Hanterar all utgående kommunikation med tjänsten.
      8080 (valfritt) Agenter rapporterar sin status var 10:e minut via port 8080 om port 443 inte är tillgänglig. Den här statusen visas i Azure AD-portalen.
    • Om brandväggen framtvingar regler baserat på de användare som genererar den öppnar du dessa portar för trafik från Windows-tjänster som körs som en nätverkstjänst.

    • Om brandväggen eller proxyservern tillåter att du anger säkra suffix lägger du till anslutningar till * .msappproxy.net * och .servicebus.windows.net. Om inte, tillåt åtkomst till AZURE-datacentrets IP-intervall, som uppdateras varje vecka.

    • Dina agenter behöver åtkomst till login.windows.net och login.microsoftonline.com för inledande registrering. Öppna även brandväggen för dessa URL:er.

    • För certifikatverifiering avblockerar du följande webbadresser: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 och www . microsoft.com:80. Dessa URL:er används för certifikatvalidering med andra Microsoft-produkter, och därför har du kanske redan avblockerat dem.

    Anteckning

    Installation av molnetableringsagenten på Windows Server Core stöds inte.

Ytterligare krav

TLS-krav

Anteckning

Transport Layer Security (TLS) är ett protokoll som tillhandahåller säker kommunikation. Om du ändrar TLS-inställningarna påverkas hela skogen. Mer information finns i Uppdatera för att aktivera TLS 1.1 och TLS 1.2som standard säkra protokoll i WinHTTP i Windows .

Den Windows som är värd för Azure AD Anslut molnetableringsagenten måste ha TLS 1.2 aktiverat innan du installerar det.

Följ dessa steg om du vill aktivera TLS 1.2.

  1. Ange följande registernycklar:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Starta om servern.

NTLM-krav

Du bör inte aktivera NTLM på den Windows Server som kör Azure AD Anslut-etableringsagenten och om den är aktiverad bör du kontrollera att du inaktiverar den.

Kända begränsningar

Följande är kända begränsningar:

Deltasynkronisering

  • Gruppomfångsfiltrering för deltasynkronisering stöder inte fler än 50 000 medlemmar.
  • När du tar bort en grupp som används som en del av ett gruppomfångsfilter tas inte användare som är medlemmar i gruppen bort.
  • När du byter namn på organisationsenheten eller gruppen som ingår i omfånget tar deltasynkronisering inte bort användarna.

Etableringsloggar

  • Etableringsloggar skiljer inte tydligt mellan åtgärder för att skapa och uppdatera. Du kan se en create-åtgärd för en uppdatering och en uppdateringsåtgärd för att skapa.

Namngivning av grupp eller organisationsenhetsnamngivning

  • Om du byter namn på en grupp eller organisationsenhet i AD som ingår i omfånget för en viss konfiguration kan molnsynkroniseringsjobbet inte identifiera namnändringen i AD. Jobbet förs inte i karantän och förblir felfritt.

Omfångsfilter

När du använder OU-omfångsfilter

  • Du kan bara synkronisera upp till 59 separata processorer för en viss konfiguration.
  • Kapslade organisationsenheten stöds (det vill säga du kan synkronisera en organisationsenhet som har 130 kapslade organisationsenheten, men du kan inte synkronisera 60 separata organisationsenheten i samma konfiguration).

Hash-synkronisering av lösenord

  • Det går inte att använda synkronisering av lösenordshashar med InetOrgPerson.

Nästa steg