متطلبات مزامنة سحابة Azure AD Connect

توفر هذه المقالة إرشادات حول كيفية اختيار واستخدام Azure Active Directory (Azure AD) connect مزامنة سحابة كحل للهوية الخاصة بك.

متطلبات عامل توفير سحابة

تحتاج إلى ما يلي لاستخدام Azure AD Connect مزامنة سحابة:

  • مسؤول المجال أو بيانات اعتماد مسؤول المؤسسة لإنشاء Azure AD Connect مزامنة gMSA (حساب الخدمة المُدارة بواسطة المجموعة) لتشغيل خدمة عامل.
  • حساب مسؤول هوية مختلط لمستأجر Azure AD ليس مستخدم ضيف.
  • خادم محلي لعامل التوفير مع Windows 2016 أو أحدث. يجب أن يكون هذا الخادم خادم المستوى 0 استناداً إلى نموذج الطبقة الإدارية "Active Directory". يتم دعم تثبيت العامل على وحدة تحكم المجال.
  • يشير التوفر العالي إلى قدرة Azure AD Connect مزامنة السحابة على العمل بشكل مستمر دون فشل لفترة طويلة. من خلال تثبيت عدة عوامل نشطة وتشغيلها، يمكن أن تستمر مزامنة سحابة Azure AD Connect في العمل حتى في حالة فشل وكيل واحد. توصي Microsoft بتثبيت 3 عوامل نشطة للتوفر العالي.
  • تكوينات جدار الحماية المحلية.

حسابات الخدمات المُدارة بواسطة مجموعة

حساب الخدمة المُدار بواسطة مجموعة هو حساب مجال مُدار يوفر إدارة تلقائية لكلمات المرور، وإدارة مبسطة لاسم الخدمة الأساسي (SPN)، والقدرة على تفويض الإدارة لمسؤولين آخرين، كما يوسع هذه الوظيفة عبر خوادم متعددة. يدعم Azure AD Connect متزامنة سحابة ويستخدم gMSA لتشغيل العامل. ستتم مطالبتك ببيانات الاعتماد الإدارية أثناء الإعداد، لإنشاء هذا الحساب. سيظهر الحساب كـ(domain\provAgentgMSA$). لمزيد من المعلومات عن حساب خدمة مُدارة بواسطة مجموعة، راجعحسابات خدمات مُدارة بواسطة مجموعة

الشروط الأساسية لـgMSA:

  1. مخطط "Active Directory" في مجموعة تفرعات المجال gMSA يجب تحديثها إلى Windows Server 2012 أو أحدث.
  2. وحدات PowerShell RSAT النمطية على وحدة تحكم مجال
  3. يجب تشغيل وحدة تحكم مجال واحدة على الأقل في المجال Windows Server 2012 أو أحدث.
  4. يجب أن يكون الخادم المنضم إلى المجال حيث يتم تثبيت الوكيل إما Windows Server 2016 أو أحدث.

حساب gMSA مخصص

إذا كنت تقوم بإنشاء حساب gMSA مخصص، تحتاج إلى التأكد من أن الحساب لديه الأذونات التالية.

النوع الاسم Access ينطبق على
السماح حساب gMSA قراءة جميع الخصائص عناصر الجهاز التابع
السماح حساب gMSA قراءة جميع الخصائص عناصر NET.OrgPerson التابعة
السماح حساب gMSA قراءة جميع الخصائص عناصر الكمبيوتر التابعة
السماح حساب gMSA قراءة جميع الخصائص العناصر الخارجية التابعة لانعدام الأمن
السماح حساب gMSA تحكم كامل عناصر المجموعة التابعة
السماح حساب gMSA قراءة جميع الخصائص عناصر المستخدم التابعة
السماح حساب gMSA قراءة جميع الخصائص عناصر جهة الاتصال التابعة
السماح حساب gMSA إنشاء/حذف عناصر المستخدم هذا الكائن وكافة عناصر التابعة

للحصول على خطوات حول كيفية ترقية عامل موجود لاستخدام حساب gMSA راجع حسابات الخدمات المدارة المجموعة.

إنشاء حساب gMSA مع PowerShell

يمكنك استخدام البرنامج النصي PowerShell التالية لإنشاء حساب gMSA مخصص. ثم يمكنك استخدام cmdlets مزامنة سحابة gMSA تطبيق أذونات أكثر دقة.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

للحصول على معلومات إضافية حول cmdlets أعلاه، راجع الشروع في استخدام حسابات الخدمة المدارة المجموعة.

في مركز إدارة Microsoft Azure Active Directory

  1. أنشئ حساب مسؤول هوية مختلطا للسحابة فقط على مستأجر Azure AD. بهذه الطريقة، يمكنك إدارة تكوين المستأجر الخاص بك إذا فشلت الخدمات المحلية الخاصة بك أو أصبحت غير متوفرة. تعرف على كيفية إضافة حساب مسؤول هوية مختلطة خدمة السحابة فقط. يعد إنهاء هذه الخطوة أمراً بالغ الأهمية لضمان عدم منعك من الوصول إلى المستأجر الخاص بك.
  2. أضف اسماً أو أكثر من أسماء المجالات المخصصة إلى مستأجر Azure AD. يمكن للمستخدمين تسجيل الدخول باستخدام أحد أسماء النطاقات هذه.

في الدليل في Active Directory

تشغيل الأداة IdFix لإعداد سمات الدليل للمزامنة.

في بيئتك الداخلية

  1. حدد خادماً مضيفاً مرتبطاً بالمجال يعمل بنظام Windows Server 2016 أو أحدث بحد أدنى 4 جيجا بايت من ذاكرة الوصول العشوائي ووقت تشغيل NET 4.7.1+.

  2. يجب تعيين سياسة تنفيذ PowerShell على الخادم المحلي على Undefined أو RemoteSigned.

  3. إذا كان هناك جدار حماية بين خوادمك وMicrosoft Azure Active Directory، فقم بالتكوين راجع متطلبات جدار الحماية والوكيل أدناه.

ملاحظة

تثبيت عامل توفير مجموعة سحابة على Windows Server Core غير معتمد.

الاحتياجات الإضافية

متطلبات أمان طبقة النقل (TLS)

ملاحظة

أمان طبقة النقل (TLS) هو بروتوكول يوفر اتصالات آمنة. يؤثر تغيير إعدادات TLS على مجموعة التفرعات بأكملها. لمزيد من المعلومات، راجع تحديث لتمكين TLS 1.1 وTLS 1.2 كبروتوكولات آمنة افتراضية في WinHTTP في Windows.

يجب أن يتم تمكين TLS 1.2 لخادم Windows الذي يستضيف وكيل التوفير السحابي لـ Azure AD Connect قبل تثبيته.

لتمكين TLS 1.2 اتبع الخطوات التالية.

  1. تعيين مفاتيح التسجيل التالية:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. أعد تشغيل الخادم.

متطلبات جدار الحماية والوكيل

إذا كان هناك جدار حماية بين الخوادم و Azure AD، فقم بتكوين العناصر التالية:

  • تأكد من أن الوكلاء يمكنهم تقديم طلبات صادرة إلى Azure AD عبر المنافذ التالية:

    رقم المنفذ كيف يتم استخدام هذه الخدمة
    80 تنزيل قوائم إلغاء شهادة (CRLs) أثناء التحقق من صحة شهادة TLS/SSL.
    443 يعالج جميع الاتصالات الصادرة مع الخدمة.
    8080 (اختياري) يقوم الوكلاء بالإبلاغ عن حالتهم كل 10 دقائق عبر المنفذ 8080، إذا لم يكن المنفذ 443 متوفراً. يتم عرض هذه الحالة في مدخل Azure AD.
  • إذا فرض جدار الحماية القواعد وفقاً للمستخدمين الأصليين، فافتح هذه المنافذ لحركة المرور من Windows services التي تعمل كخدمة شبكة اتصال.

  • إذا كان جدار الحماية أو الوكيل يسمح لك بتحديد لاحقات آمنة، فأضف الاتصالات:

عنوان URL كيف يتم استخدام هذه الخدمة
*.msappproxy.net
*.servicebus.windows.net
يستخدم الوكيل عناوين URL هذه للتواصل مع خدمة Microsoft Azure Active Directory السحابية.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
يستخدم الوكيل عناوين URL هذه للتواصل مع خدمة Microsoft Azure Active Directory السحابية.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
يستخدم الوكيل عناوين URL هذه للتحقق من الشهادات.
login.windows.net
يستخدم الوكيل عناوين URL هذه أثناء عملية التسجيل.

متطلبات NTLM

يجب عدم تمكين NTLM على خادم Windows الذي يقوم بتشغيل "عامل توفير Azure AD Connect" وإذا تم تمكين يجب التأكد من تعطيله.

القيود المعروفة

فيما يلي القيود المعروفة:

المزامنة دلتا

  • لا يعتمد تصفية نطاق المجموعة لمزامنة دلتا أكثر من 50000 عضو.
  • عند حذف مجموعة تستخدم كجزء من عامل تصفية نطاق مجموعة، لا يتم حذف المستخدمين الذين هم أعضاء في المجموعة.
  • عند إعادة تسمية OU أو المجموعة الموجودة في نطاق، لن تقوم مزامنة دلتا بإزالة المستخدمين.

سجلات توفير الخدمة

  • لا تفرق سجلات التوفير بوضوح بين عمليات الإنشاء والتحديث. قد ترى عملية إنشاء لتحديث وعملية تحديث لإنشاء.

إعادة تسمية المجموعة أو إعادة تسمية OU

  • إذا قمت بإعادة تسمية مجموعة أو OU في AD في نطاق تكوين معين، فلن تتمكن مهمة مزامنة سحابة من التعرف على تغيير الاسم في AD. لن تدخل الوظيفة في عزل وستظل سليمة.

عامل تصفية النطاق

عند استخدام عامل تصفية النطاق OU

  • يمكنك مزامنة ما يصل إلى 59 وحدات OUs منفصلة لتكوين معين فقط.
  • يتم اعتماد وحدات OU المتداخلة (أي يمكنك مزامنة OU يحتوي على 130 وحدات OUs متداخلة، ولكن لا يمكنك مزامنة 60 وحدات OUs منفصلة في نفس التكوين).

مزامنة تجزئة كلمة المرور

  • استخدام مزامنة تجزئة كلمة المرور مع InetOrgPerson غير معتمد.

الخطوات التالية