Microsoft Entra Connect: Účty a oprávnění
Přečtěte si o účtech, které se používají a vytvářejí, a oprávnění, která jsou nutná k instalaci a používání Připojení Microsoft Entra.
Účty používané pro Microsoft Entra Připojení
Microsoft Entra Připojení používá tři účty k synchronizaci informací z místní služby Windows Server Active Directory (Windows Server AD) do Microsoft Entra ID:
Účet Připojení or služby AD DS: Slouží ke čtení a zápisu informací do služby Windows Server AD pomocí Doména služby Active Directory Services (AD DS).
Účet služby ADSync: Používá se ke spuštění synchronizační služby a přístupu k databázi SQL Serveru.
Účet Microsoft Entra Připojení or: Používá se k zápisu informací do MICROSOFT Entra ID.
K instalaci microsoft Entra Připojení potřebujete také následující účty:
Místní účet Správa istrator: Správce, který instaluje microsoft Entra Připojení a kdo má v počítači oprávnění místního Správa istratoru.
Účet Správa istrator služby AD DS Enterprise: Volitelně se používá k vytvoření požadovaného účtu Připojení or služby AD DS.
Účet Microsoft Entra Global Správa istrator: Používá se k vytvoření účtu Microsoft Entra Připojení or a ke konfiguraci ID Microsoft Entra. Účty globálních Správa istratorů a hybridní identity Správa istrator můžete zobrazit v Centru pro správu Microsoft Entra. Viz Seznam přiřazení rolí Microsoft Entra.
Účet SQL SA (volitelné):: Používá se k vytvoření databáze ADSync při použití úplné verze SQL Serveru. Instance SQL Serveru může být místní nebo vzdálená k instalaci microsoft Entra Připojení. Tento účet může být stejný jako účet Enterprise Správa istrator.
Zřízení databáze je nyní možné provést mimo pásmo správcem SQL Serveru a pak nainstalovat správcem Microsoft Entra Připojení, pokud má účet oprávnění vlastníka databáze (DBO). Další informace naleznete v tématu Instalace nástroje Microsoft Entra Připojení pomocí oprávnění delegovaného správce SQL.
Důležité
Počínaje buildem 1.4.###.#.# už nemůžete používat účet enterprise Správa istrator nebo účet domény Správa istrator jako účet Připojení or služby AD DS. Pokud se pokusíte zadat účet, který je podnikovým Správa istratorem nebo doménou Správa istrator pro použití existujícího účtu, zobrazí se v průvodci chybová zpráva a nemůžete pokračovat.
Poznámka:
Účty pro správu používané v Microsoft Entra Připojení můžete spravovat pomocí modelu podnikového přístupu. Organizace může použít model podnikového přístupu k hostování účtů pro správu, pracovních stanic a skupin v prostředí, které má silnější kontrolní mechanismy zabezpečení než produkční prostředí. Další informace najdete v tématu Model podnikového přístupu.
Globální role Správa istrator není po počátečním nastavení nutná. Po nastavení je jediným požadovaným účtem účet role Účty synchronizace adresářů. Místo odebrání účtu, který má roli Globální Správa istrator, doporučujeme změnit roli na roli, která má nižší úroveň oprávnění. Úplné odebrání účtu může představovat problémy, pokud budete někdy potřebovat spustit průvodce znovu. Pokud potřebujete znovu použít průvodce Microsoft Entra Připojení, můžete přidat oprávnění.
Instalace microsoft Entra Připojení
Průvodce instalací microsoft Entra Připojení nabízí dvě cesty:
- Expresní nastavení: V Microsoft Entra Připojení expresní nastavení průvodce vyžaduje více oprávnění, aby bylo možné snadno nakonfigurovat instalaci. Průvodce vytvoří uživatele a nastaví oprávnění, abyste je nemuseli používat.
- Vlastní nastavení: V Microsoft Entra Připojení vlastní nastavení máte v průvodci více možností a možností. V některých scénářích je ale důležité zajistit, abyste měli správná oprávnění sami.
Expresní nastavení
V expresním nastavení zadáte tyto informace v průvodci instalací:
- Přihlašovací údaje služby AD DS Enterprise Správa istrator
- Přihlašovací údaje microsoft Entra Global Správa istrator
Přihlašovací údaje služby AD DS Enterprise Správa istrator
Účet služby AD DS Enterprise Správa istrator slouží ke konfiguraci služby Windows Server AD. Tyto přihlašovací údaje se používají pouze během instalace. Podniková Správa istrator, nikoli doména Správa istrator, by se měla ujistit, že oprávnění ve Službě Windows Server AD lze nastavit ve všech doménách.
Pokud upgradujete z nástroje DirSync, přihlašovací údaje služby AD DS Enterprise Správa istrator slouží k resetování hesla pro účet, který použil nástroj DirSync. Vyžadují se také přihlašovací údaje microsoft Entra Global Správa istrator.
Přihlašovací údaje microsoft Entra Global Správa istrator
Přihlašovací údaje pro účet Microsoft Entra Global Správa istrator se používají pouze během instalace. Účet slouží k vytvoření účtu Microsoft Entra Připojení or, který synchronizuje změny s ID Microsoft Entra. Účet také umožňuje synchronizaci jako funkci v ID Microsoft Entra.
Další informace naleznete v tématu Global Správa istrator.
Požadovaná oprávnění účtu služby AD DS Připojení or pro expresní nastavení
Účet Připojení or služby AD DS se vytvoří pro čtení a zápis do služby Windows Server AD. Účet má při vytváření během instalace expresního nastavení následující oprávnění:
| Oprávnění | Použití |
|---|---|
| – Replikace změn adresáře – Replikovat všechny změny adresáře |
Synchronizace hodnot hash hesel |
| Čtení/zápis všech vlastností – Uživatel | Import a hybridní Exchange |
| Čtení/zápis všech vlastností – iNetOrgPerson | Import a hybridní Exchange |
| Čtení/zápis všech vlastností – Skupina | Import a hybridní Exchange |
| Čtení/zápis všech vlastností – Kontakt | Import a hybridní Exchange |
| Resetování hesla | Příprava na povolení zpětného zápisu hesla |
Průvodce expresním nastavením
V instalaci expresního nastavení průvodce vytvoří některé účty a nastavení za vás.
Následující tabulka obsahuje souhrn stránek průvodce expresním nastavením, shromážděných přihlašovacích údajů a jejich použití:
| Stránka Průvodce | Shromažďované přihlašovací údaje | Požadována oprávnění | Účel |
|---|---|---|---|
| – | Uživatel, který spouští průvodce instalací. | Správa istrator místního serveru. | Slouží k vytvoření účtu služby ADSync, který se používá ke spuštění synchronizační služby. |
| Připojení do Microsoft Entra ID | Přihlašovací údaje adresáře Microsoft Entra. | Globální Správa istrator role v Microsoft Entra ID. | - Slouží k povolení synchronizace v adresáři Microsoft Entra. – Používá se k vytvoření účtu Microsoft Entra Připojení or, který se používá pro probíhající operace synchronizace v Microsoft Entra ID. |
| Připojení ke službě AD DS | Přihlašovací údaje windows serveru AD. | Člen skupiny Enterprise Správa s ve Windows Serveru AD. | Slouží k vytvoření účtu Připojení or služby AD DS ve Windows Serveru AD a udělení oprávnění k němu. Tento vytvořený účet slouží ke čtení a zápisu informací o adresáři během synchronizace. |
Vlastní nastavení
V instalaci vlastního nastavení máte v průvodci více možností a možností.
Průvodce vlastním nastavením
Následující tabulka obsahuje souhrn stránek průvodce vlastním nastavením, shromážděných přihlašovacích údajů a toho, k čemu se používají:
| Stránka Průvodce | Shromažďované přihlašovací údaje | Požadována oprávnění | Účel |
|---|---|---|---|
| – | Uživatel, který spouští průvodce instalací. | – Správa istrator místního serveru. – Pokud používáte instanci úplného SQL Serveru, musí být uživatel systémovým Správa istratorem (sysadmin) na SQL Serveru. |
Ve výchozím nastavení se používá k vytvoření místního účtu, který se používá jako účet služby synchronizačního stroje. Účet se vytvoří jenom v případech, kdy správce nezadá účet. |
| Instalace synchronizačních služeb, možnost účtu služby | Přihlašovací údaje k windows serveru AD nebo místnímu uživatelskému účtu. | Průvodce instalací uděluje uživateli a oprávněním. | Pokud správce určí účet, použije se tento účet jako účet služby pro synchronizační službu. |
| Připojení do Microsoft Entra ID | Přihlašovací údaje adresáře Microsoft Entra. | Globální Správa istrator role v Microsoft Entra ID. | - Slouží k povolení synchronizace v adresáři Microsoft Entra. – Používá se k vytvoření účtu Microsoft Entra Připojení or, který se používá pro probíhající operace synchronizace v Microsoft Entra ID. |
| Připojení adresářů | Přihlašovací údaje služby AD windows Serveru pro každou doménovou strukturu připojenou k ID Microsoft Entra. | Oprávnění závisí na tom, které funkce povolíte a které najdete v části Vytvoření účtu Připojení or služby AD DS. | Tento účet slouží ke čtení a zápisu informací o adresáři během synchronizace. |
| Servery služby AD FS | Pro každý server v seznamu průvodce shromažďuje přihlašovací údaje, když přihlašovací údaje uživatele, který spustí průvodce, není dostatečná pro připojení. | Účet Domain Správa istrator. | Používá se při instalaci a konfiguraci role serveru Active Directory Federation Services (AD FS) (AD FS). |
| Proxy servery webových aplikací | Pro každý server v seznamu průvodce shromažďuje přihlašovací údaje, když přihlašovací údaje uživatele, který spustí průvodce, není dostatečná pro připojení. | Místní správce na cílovém počítači. | Používá se při instalaci a konfiguraci role serveru proxy webových aplikací (WAP). |
| Přihlašovací údaje důvěryhodnosti proxy serveru | Přihlašovací údaje důvěryhodnosti federační služby (přihlašovací údaje, které proxy server používá k registraci certifikátu důvěryhodnosti z federačních služeb (FS) | Účet domény, který je místním Správa istratorem serveru SLUŽBY AD FS. | Počáteční registrace certifikátu důvěryhodnosti FS-WAP |
| Stránka Účet služby AD FS – Možnost Použít uživatelský účet domény | Přihlašovací údaje uživatelského účtu služby Windows Server AD. | Uživatel domény. | Uživatelský účet Microsoft Entra, jehož přihlašovací údaje jsou zadané, se používá jako přihlašovací účet služby AD FS. |
Vytvoření účtu Připojení or služby AD DS
Důležité
Byl zaveden nový modul PowerShellu s názvem ADSyncConfig.psm1 s buildem 1.1.880.0 (vydáno v srpnu 2018). Tento modul obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby AD systému Windows Server pro účet služby Microsoft Entra Domain Services Připojení or.
Další informace najdete v tématu Microsoft Entra Připojení: Konfigurace oprávnění účtu služby AD DS Připojení or.
Účet, který zadáte na stránce Připojení adresářů, musí být vytvořený ve Službě Windows Server AD jako normální uživatelský objekt (VSA, MSA nebo gMSA nejsou podporované). Microsoft Entra Připojení verze 1.1.524.0 a novější má možnost umožnit průvodci Microsoft Entra Připojení vytvořit účet Připojení or služby AD DS, který se používá pro připojení k Windows Serveru AD.
Zadaný účet musí mít také požadovaná oprávnění. Průvodce instalací neověře oprávnění a všechny problémy se nacházejí pouze během procesu synchronizace.
Která oprávnění potřebujete, závisí na volitelných funkcích, které povolíte. Pokud máte více domén, musí být oprávnění udělena pro všechny domény v doménové struktuře. Pokud žádnou z těchto funkcí nepovolíte, jsou dostatečná výchozí oprávnění uživatele domény.
| Funkce | Oprávnění |
|---|---|
| Funkce ms-DS-ConsistencyGuid | Oprávnění k zápisu k atributu popsanému ms-DS-ConsistencyGuid v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor |
| Synchronizace hodnot hash hesel | – Replikace změn adresáře – Replikovat všechny změny adresáře |
| Hybridní nasazení Exchange | Informace o oprávněních k zápisu do atributů pro uživatele, skupiny a kontakty najdete v části Hybridní zpětný zápis Exchange. |
| Veřejná složka e-mailu Exchange | Informace o oprávněních ke čtení atributů pro veřejné složky najdete v části Veřejná složka e-mailu Exchange. |
| Zpětný zápis hesla | Informace o oprávněních k zápisu do atributů pro uživatele najdete v tématu Začínáme se správou hesel. |
| Zpětný zápis zařízení | Oprávnění udělená pomocí skriptu PowerShellu, jak je popsáno v zpětném zápisu zařízení. |
| Zpětný zápis skupin | Umožňuje zpětný zápis Skupiny Microsoft 365 do doménové struktury, která má nainstalovaný Exchange. |
Oprávnění potřebná k upgradu
Při upgradu z jedné verze Microsoft Entra Připojení na novou verzi potřebujete následující oprávnění:
| Objekt zabezpečení | Požadována oprávnění | Účel |
|---|---|---|
| Uživatel, který spouští průvodce instalací | Správa istrator místního serveru | Slouží k aktualizaci binárních souborů. |
| Uživatel, který spouští průvodce instalací | Člen adSync Správa s | Používá se k provádění změn pravidel synchronizace a dalších konfigurací. |
| Uživatel, který spouští průvodce instalací | Pokud používáte úplnou instanci SQL Serveru: DBO (nebo podobné) databáze synchronizačního stroje | Používá se k provádění změn na úrovni databáze, jako je například aktualizace tabulek s novými sloupci. |
Důležité
V buildu 1.1.484 byla v Microsoft Entra Připojení zavedena regresní chyba. Tato chyba vyžaduje oprávnění správce systému k upgradu databáze SQL Serveru. Chyba je opravena v buildu 1.1.647. Pokud chcete upgradovat na tento build, musíte mít oprávnění správce systému. V tomto scénáři nejsou dostatečná oprávnění DBO. Pokud se pokusíte upgradovat Microsoft Entra Připojení bez oprávnění správce systému, upgrade selže a Microsoft Entra Připojení již nebude fungovat správně.
Podrobnosti o vytvořených účtech
V následujících částech najdete další informace o vytvořených účtech v Microsoft Entra Připojení.
Účet konektoru služby AD DS
Pokud používáte expresní nastavení, vytvoří se ve službě Windows Server AD účet, který se používá k synchronizaci. Vytvořený účet se nachází v kořenové doméně doménové struktury v kontejneru Users. Název účtu má předponu MSOL_. Účet se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší. Pokud máte ve své doméně zásady hesel, ujistěte se, že pro tento účet jsou povolená dlouhá a složitá hesla.
Pokud používáte vlastní nastavení, zodpovídáte za vytvoření účtu před zahájením instalace. Viz Vytvoření účtu Připojení or služby AD DS.
Účet služby ADSync
Synchronizační služba může běžet pod různými účty. Může běžet pod účtem virtuální služby (VSA), účtem spravované služby skupiny (gMSA), samostatnou spravovanou službou (sMSA) nebo běžným uživatelským účtem. Podporované možnosti byly změněny ve verzi Microsoft Entra z dubna 2017 Připojení, když provedete novou instalaci. Pokud upgradujete z dřívější verze microsoft Entra Připojení, tyto další možnosti nejsou k dispozici.
| Typ účtu | Možnost instalace | Popis |
|---|---|---|
| VSA | Expresní a vlastní instalace z dubna 2017 nebo novější | Tato možnost se používá pro všechny instalace expresního nastavení s výjimkou instalací na řadiči domény. Pro vlastní nastavení je to výchozí možnost. |
| gMSA | Vlastní instalace z dubna 2017 nebo novější | Pokud používáte vzdálenou instanci SQL Serveru, doporučujeme použít gMSA. |
| Uživatelský účet | Expresní a vlastní instalace z dubna 2017 nebo novější | Uživatelský účet s předponou AAD_ se vytvoří během instalace pouze v případech, kdy je v systému Windows Server 2008 nainstalována aplikace Microsoft Entra Připojení a když je nainstalovaná na řadiči domény. |
| Uživatelský účet | Expresní a vlastní instalace z března 2017 nebo starší | Během instalace se vytvoří místní účet s předponou AAD_ . Ve vlastní instalaci můžete zadat jiný účet. |
Pokud používáte Microsoft Entra Připojení s buildem z března 2017 nebo starším, resetujte heslo k účtu služby. Systém Windows z bezpečnostních důvodů zničí šifrovací klíče. Účet nemůžete změnit na žádný jiný účet bez přeinstalace Připojení Microsoft Entra. Pokud upgradujete na build z dubna 2017 nebo novějšího, můžete změnit heslo k účtu služby, ale nemůžete změnit použitý účet.
Důležité
Účet služby můžete nastavit pouze při první instalaci. Po dokončení instalace nemůžete změnit účet služby.
Následující tabulka popisuje výchozí, doporučené a podporované možnosti pro účet synchronizační služby.
Legenda
- Bold= Výchozí možnost a ve většině případů doporučená možnost.
- Kurzíva = Doporučená možnost, pokud není výchozí možností.
- 2008 = Výchozí možnost při instalaci v systému Windows Server 2008
- Ne tučné = podporovaná možnost
- Místní účet = místní uživatelský účet na serveru
- Účet domény = uživatelský účet domény
- sMSA = samostatný účet spravované služby
- gMSA = účet spravované služby skupiny
| Místní databáze Express |
Místní databáze / Místní SQL Server Vlastní |
Vzdálený SQL Server Vlastní |
|
|---|---|---|---|
| Počítač připojený k doméně | VSA Místní účet (2008) |
VSA Místní účet (2008) Místní účet Účet domény sMSA, gMSA |
gMSA Účet domény |
| Řadič domény | Účet domény | gMSA Účet domény sMSA |
gMSA Účet domény |
VSA
A VSA je speciální typ účtu, který nemá heslo a spravuje ho Windows.
Sada VSA je určená k použití se scénáři, ve kterých je synchronizační modul a SQL Server na stejném serveru. Pokud používáte vzdálený SQL Server, doporučujeme místo VSA použít gMSA.
Funkce VSA vyžaduje Windows Server 2008 R2 nebo novější. Pokud nainstalujete Microsoft Entra Připojení v systému Windows Server 2008, instalace se vrátí zpět na použití uživatelského účtu místo VSA.
gMSA
Pokud používáte vzdálenou instanci SQL Serveru, doporučujeme použít gMSA. Další informace o tom, jak připravit službu Ad systému Windows Server pro gMSA, najdete v tématu Přehled účtů spravované služby skupiny.
Pokud chcete tuto možnost použít, na stránce Instalace požadovaných součástí vyberte Použít existující účet služby a pak vyberte Účet spravované služby.
V tomto scénáři můžete použít také sMSA. Můžete ale použít sMSA jenom na místním počítači a není možné místo výchozí sady VSA použít sMSA žádnou výhodu.
Funkce sMSA vyžaduje Windows Server 2012 nebo novější. Pokud potřebujete použít starší verzi operačního systému a používáte vzdálený SQL Server, musíte použít uživatelský účet.
Uživatelský účet
Průvodce instalací vytvoří účet místní služby (pokud nezadáte vlastní nastavení, které má účet použít). Účet má předponu AAD_ a používá se k tomu, aby se skutečná synchronizační služba spustila jako. Pokud nainstalujete Microsoft Entra Připojení na řadič domény, účet se vytvoří v doméně. Účet služby AAD_ musí být umístěn v doméně, pokud:
- Používáte vzdálený server se systémem SQL Server.
- Používáte proxy server, který vyžaduje ověření.
Účet služby AAD_ se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší.
Tento účet slouží k bezpečnému ukládání hesel pro ostatní účty. Hesla se ukládají zašifrovaná v databázi. Privátní klíče šifrovacích klíčů jsou chráněné pomocí šifrování tajných klíčů kryptografických služeb pomocí rozhraní API služby Windows Data Protection (DPAPI).
Pokud používáte úplnou instanci SQL Serveru, účet služby je DBO vytvořené databáze pro synchronizační modul. Služba nebude fungovat podle očekávání s jinými oprávněními. Vytvoří se také přihlášení k SQL Serveru.
Účet má také udělená oprávnění k souborům, klíčům registru a dalším objektům souvisejícím se synchronizačním modulem.
Účet Microsoft Entra Připojení or
Účet v ID Microsoft Entra se vytvoří pro synchronizační službu, která se má použít. Tento účet můžete identifikovat podle jeho zobrazovaného názvu.
Název serveru, na který se účet používá, lze identifikovat v druhé části uživatelského jména. Na předchozím obrázku je název serveru DC1. Pokud máte přípravné servery, každý server má svůj vlastní účet.
Účet serveru se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší. Účtu je udělena zvláštní role účty synchronizace adresářů, která má oprávnění provádět pouze úlohy synchronizace adresářů. Tuto speciální předdefinované roli nelze udělit mimo průvodce Microsoft Entra Připojení. Centrum pro správu Microsoft Entra zobrazuje tento účet s rolí uživatele.
Microsoft Entra ID má limit 20 účtů synchronizační služby.
Pokud chcete získat seznam existujících účtů služby Microsoft Entra v instanci Microsoft Entra, spusťte následující příkaz:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesPokud chcete odebrat nepoužívané účty služby Microsoft Entra, spusťte následující příkaz:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Poznámka:
Než budete moct tyto příkazy PowerShellu použít, musíte nainstalovat modul Microsoft Graph PowerShell a připojit se k vaší instanci Microsoft Entra ID pomocí Připojení-MgGraph.
Další informace o správě nebo resetování hesla pro účet Microsoft Entra Připojení naleznete v tématu Správa účtu Microsoft Entra Připojení.
Související články
Další informace o microsoft Entra Připojení naleznete v těchto článcích:
| Téma | Odkaz |
|---|---|
| Stáhnout Microsoft Entra Připojení | Stáhnout Microsoft Entra Připojení |
| Instalace pomocí expresního nastavení | Expresní instalace microsoft Entra Připojení |
| Instalace pomocí přizpůsobených nastavení | Vlastní instalace služby Microsoft Entra Connect |
| Upgrade z nástroje DirSync | Upgrade z nástroje Azure AD Sync (DirSync) |
| Po instalaci | Ověření instalace a přiřazení licencí |
Další kroky
Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.