Microsoft Entra 雲端同步的必要條件
本文提供使用 Microsoft Entra Cloud Sync 作為身分識別解決方案的指引。
雲端布建代理程式需求
您需要下列專案才能使用 Microsoft Entra Cloud Sync:
- 網域 管理員 istrator 或 Enterprise 管理員 istrator 認證,以建立 Microsoft Entra 連線 雲端同步 gMSA (群組受管理的服務帳戶)來執行代理程序服務。
- 不是來賓使用者的 Microsoft Entra 租使用者混合式身分識別系統管理員帳戶。
- 使用 Windows 2016 或更新版本布建代理程式的內部部署伺服器。 此伺服器應該是以 Active Directory 系統管理層模型為基礎的第 0 層伺服器。 支援在域控制器上安裝代理程式。
- AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
- 高可用性是指 Microsoft Entra Cloud Sync 能夠持續運作,且長時間沒有失敗。 藉由安裝並執行多個作用中的代理程式,即使一個代理程式應該失敗,Microsoft Entra Cloud Sync 仍可繼續運作。 Microsoft 建議安裝 3 個作用中的代理程式以達到高可用性。
- 內部部署防火牆組態。
群組受管理的服務帳戶
群組受控服務帳戶是一個受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理、將管理委派給其他系統管理員的能力,以及將這項功能延伸至多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 系統會提示您在安裝期間提供系統管理認證,以便建立此帳戶。 帳號會顯示為 domain\provAgentgMSA$。 如需 gMSA 的詳細資訊,請參閱 群組受管理的服務帳戶。
gMSA 的必要條件
- gMSA 網域樹系中的 Active Directory 架構必須更新為 Windows Server 2012 或更新版本。
- 域控制器上的PowerShell RSAT模組 。
- 網域中至少有一個域控制器必須執行 Windows Server 2012 或更新版本。
- 安裝代理程式的已加入網域伺服器必須是 Windows Server 2016 或更新版本。
自定義 gMSA 帳戶
如果您要建立自定義 gMSA 帳戶,您必須確定帳戶具有下列許可權。
| 類型 | 名稱 | 存取 | 套用至 |
|---|---|---|---|
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系裝置物件 |
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系 InetOrgPerson 物件 |
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系電腦物件 |
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系 foreignSecurityPrincipal 物件 |
| 允許 | gMSA 帳戶 | 完全控制 | 子系群組物件 |
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系使用者物件 |
| 允許 | gMSA 帳戶 | 讀取全部內容 | 子系連絡人物件 |
| 允許 | gMSA 帳戶 | 建立/刪除用戶物件 | 這個物件和所有子代物件 |
如需如何升級現有代理程式以使用 gMSA 帳戶的步驟,請參閱 群組受管理的服務帳戶。
如需如何為群組受管理的服務帳戶準備 Active Directory 的詳細資訊,請參閱 群組受管理的服務帳戶概觀。
在 Microsoft Entra 系統管理中心
- 在您的 Microsoft Entra 租使用者上建立僅限雲端的混合式身分識別系統管理員帳戶。 如此一來,如果您的內部部署服務失敗或無法使用,您可以管理租用戶的設定。 瞭解如何 新增僅限雲端的混合式身分識別系統管理員帳戶。 完成此步驟對於確保您不會鎖定租用戶至關重要。
- 將一或多個 自定義功能變數名稱 新增至您的 Microsoft Entra 租使用者。 您的使用者可以使用下列其中一個功能變數名稱登入。
在 Active Directory 的目錄中
執行 IdFix 工具來準備目錄屬性以進行同步處理。
在您的內部部署環境中
- 使用至少 4 GB RAM 和 .NET 4.7.1+ 執行時間,識別執行 Windows Server 2016 或更新版本的已加入網域主機伺服器。
- 本機伺服器上的PowerShell執行原則必須設定為 [未定義] 或 [遠端簽署]。
- 如果您的伺服器與 Microsoft Entra ID 之間有防火牆,請參閱 防火牆和 Proxy 需求。
注意
不支援在 Windows Server Core 上安裝雲端布建代理程式。
將 Microsoft Entra 識別符布建至 Active Directory - 必要條件
若要將布建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
一般需求
- 至少具有混合式 管理員 istrator 角色的 Microsoft Entra 帳戶。
- 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory 網域服務 環境。
- AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
- 使用組建 1.1.1370.0 版或更新版本布建代理程式。
注意
服務帳戶的許可權只會在全新安裝期間指派。 如果您要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派許可權:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手動設定許可權,您必須確定所有子系群組和用戶對象的讀取、寫入、建立和刪除所有屬性。
根據預設,這些許可權不會套用至 管理員 SDHolder 物件 Microsoft Entra 布建代理程式 gMSA PowerShell Cmdlet
- 布建代理程式必須能夠與通訊埠 TCP/389 (LDAP) 和 TCP/3268 (全域編錄) 上的一或多個域控制器通訊。
- 全域編錄查閱篩選出無效成員資格參考的必要專案
- Microsoft Entra 連線 組建 2.2.8.0 版或更新版本
- 需要支援使用 Microsoft Entra 連線 同步處理的內部部署使用者成員資格
- 需要將 AD:user:objectGUID 同步處理至 AAD:user:onPremisesObjectIdentifier
支援的群組
只支援下列專案:
- 僅支援雲端建立的安全組
- 這些群組可以指派或動態成員資格。
- 這些群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
- 同步處理且屬於此雲端建立安全組成員的內部部署用戶帳戶,可以來自相同網域或跨網域,但全都必須來自相同的樹系。
- 這些群組會以通用的AD群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
- 不支援大於 50,000 個成員的群組。
- 每個直接子巢狀群組都會計算為參考群組中的一個成員
- 如果在 Active Directory 中手動更新群組,則不支援 Microsoft Entra ID 與 Active Directory 之間的群組對帳。
其他資訊
以下是將群組布建至 Active Directory 的其他資訊。
- 使用雲端同步布建至AD的群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
- 所有這些用戶都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
- 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra 連線 Sync (2.2.8.0) 同步處理雲端使用者 onPremisesObjectIdentifier 屬性
- 如果您使用 Microsoft Entra 連線 Sync (2.2.8.0) 來同步處理使用者,而不是 Microsoft Entra Cloud Sync,而且想要使用布建至 AD,它必須是 2.2.8.0 或更新版本。
- 僅支援從 Microsoft Entra ID 佈建到 Active Directory 的一般 Microsoft Entra ID 租使用者。 不支援 B2C 之類的租使用者。
- 群組布建工作會排定每 20 分鐘執行一次。
更多需求
TLS 需求
注意
傳輸層安全性 (TLS) 是一種通訊協定,可提供安全的通訊。 變更 TLS 設定會影響整個樹系。 如需詳細資訊,請參閱 更新以在 Windows 中啟用 TLS 1.1 和 TLS 1.2 做為預設安全通訊協定。
裝載 Microsoft Entra 連線 雲端布建代理程式的 Windows 伺服器必須先啟用 TLS 1.2,才能安裝。
若要啟用 TLS 1.2,請遵循下列步驟。
將內容 複製到.reg 檔案,然後執行檔案,以滑鼠右鍵按下並選擇 [合併],以設定下列登錄機碼:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001重新啟動伺服器。
防火牆和 Proxy 需求
如果伺服器與 Microsoft Entra ID 之間有防火牆,請設定下列項目:
請確定代理程式可以透過下列埠對 Microsoft Entra ID 提出 輸出 要求:
連接埠號碼 描述 80 在驗證 TLS/SSL 憑證時下載證書吊銷清單(CRL)。 443 處理與服務的所有輸出通訊。 8080 (選用) 如果埠 443 無法使用,代理程式會每隔 10 分鐘報告其狀態。 此狀態會顯示在 Microsoft Entra 系統管理中心。 如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。
如果您的防火牆或 Proxy 可讓您指定安全後綴,請新增連線:
| URL | 描述 |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
代理程式會使用這些 URL 與 Microsoft Entra 雲端服務通訊。 |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
代理程式會使用這些 URL 與 Microsoft Entra 雲端服務通訊。 |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
代理程式會使用這些 URL 來驗證憑證。 |
login.windows.net |
代理程式會在註冊程序期間使用這些 URL。 |
NTLM 需求
您不應該在執行 Microsoft Entra 布建代理程式的 Windows Server 上啟用 NTLM,如果已啟用,您應該確定停用它。
已知的限制
以下是已知的限制:
差異同步處理
- 差異同步的群組範圍篩選不支持超過 50,000 個成員。
- 當您刪除做為群組範圍篩選一部分的群組時,屬於群組成員的使用者不會遭到刪除。
- 當您重新命名範圍中的 OU 或群組時,差異同步將不會移除使用者。
布建記錄
- 布建記錄不會清楚區分建立和更新作業。 您可能會看到更新的建立作業,以及建立的更新作業。
群組重新命名或 OU 重新命名
- 如果您在 AD 中重新命名位於指定組態範圍的群組或 OU,雲端同步作業將無法辨識 AD 中的名稱變更。 工作不會進入隔離區,保持健康。
範圍篩選
使用 OU 範圍篩選時
- 您最多只能針對指定的組態同步處理 59 個不同的 OU 或安全組。
- 支援巢狀 OU(也就是說,您可以同步具有 130 個巢狀 OU 的 OU,但無法在相同組態中同步 60 個不同的 OU)。
密碼雜湊同步處理
- 不支援搭配 InetOrgPerson 使用密碼哈希同步處理。