Požadavky pro cloudovou synchronizaci Microsoft Entra

Tento článek obsahuje pokyny, jak zvolit a používat Microsoft Entra Cloud Sync jako řešení identit.

Požadavky na agenta zřizování cloudu

Pokud chcete použít Microsoft Entra Cloud Sync, potřebujete následující:

• Přihlašovací údaje k doméně Správa istrator nebo Enterprise Správa istrator pro vytvoření účtu gMSA cloudové synchronizace Microsoft Entra Připojení (účet spravované služby skupiny) pro spuštění služby agenta.
• Účet správce hybridní identity pro vašeho tenanta Microsoft Entra, který není uživatelem typu host.
• Místní server pro agenta zřizování s Windows 2016 nebo novějším. Tento server by měl být server vrstvy 0 založený na modelu vrstvy správy služby Active Directory. Instalace agenta na řadič domény se podporuje.
• Vysoká dostupnost odkazuje na schopnost Microsoft Entra Cloud Sync fungovat nepřetržitě bez selhání po dlouhou dobu. Díky tomu, že je nainstalovaných a spuštěných více aktivních agentů, může Microsoft Entra Cloud Sync dál fungovat i v případě, že by jeden agent měl selhat. Microsoft doporučuje mít 3 aktivní agenty nainstalované pro zajištění vysoké dostupnosti.
• Konfigurace místní brány firewall

Skupinové účty spravované služby

Skupinový účet spravované služby je spravovaný účet domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN), možnost delegovat správu na jiné správce a také tuto funkci rozšiřuje na více serverů. Microsoft Entra Cloud Sync podporuje a používá gMSA ke spuštění agenta. Během instalace se zobrazí výzva k zadání přihlašovacích údajů správce, abyste mohli tento účet vytvořit. Účet se zobrazí jako domain\provAgentgMSA$. Další informace o gMSA naleznete ve skupině Účty spravované služby.

Požadavky pro gMSA

1. Schéma služby Active Directory v doménové struktuře domény gMSA je potřeba aktualizovat na Windows Server 2012 nebo novější.
2. Moduly RSAT PowerShellu na řadiči domény
3. Minimálně jeden řadič domény v doméně musí používat Windows Server 2012 nebo novější.
4. Server připojený k doméně, na kterém se agent instaluje, musí být Windows Server 2016 nebo novější.

Vlastní účet gMSA

Pokud vytváříte vlastní účet gMSA, musíte se ujistit, že účet má následující oprávnění.

Typ	Název	Access	Platí pro
Povolit	Účet gMSA	Čtení všech vlastností	Objekty zařízení potomků
Povolit	Účet gMSA	Čtení všech vlastností	Descendant InetOrgPerson – objekty
Povolit	Účet gMSA	Čtení všech vlastností	Objekty počítače potomků
Povolit	Účet gMSA	Čtení všech vlastností	Descendant foreignSecurityPrincipal objekty
Povolit	Účet gMSA	Úplné řízení	Objekty descendant Group
Povolit	Účet gMSA	Čtení všech vlastností	Objekty potomků uživatele
Povolit	Účet gMSA	Čtení všech vlastností	Objekty potomku kontaktu
Povolit	Účet gMSA	Vytváření a odstraňování uživatelských objektů	Tento objekt a všechny potomkové objekty

Postup upgradu existujícího agenta tak, aby používal účet gMSA, najdete v tématu skupinové účty spravované služby.

Další informace o tom, jak připravit službu Active Directory na skupině Účet spravované služby, najdete v tématu Přehled skupinových účtů spravované služby.

V Centru pro správu Microsoft Entra

1. Vytvořte ve svém tenantovi Microsoft Entra účet správce hybridní identity jen pro cloud. Tímto způsobem můžete spravovat konfiguraci tenanta, pokud místní služby selžou nebo nebudou dostupné. Přečtěte si, jak přidat účet správce hybridní identity jenom v cloudu. Dokončení tohoto kroku je důležité, abyste se ujistili, že se z tenanta nezamknete.
2. Přidejte do tenanta Microsoft Entra jeden nebo více vlastních názvů domén. Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.

Ve vašem adresáři ve službě Active Directory

Spuštěním nástroje IdFix připravte atributy adresáře pro synchronizaci.

V místním prostředí

1. Identifikujte hostitelský server připojený k doméně s Windows Serverem 2016 nebo novějším s minimálně 4 GB paměti RAM a modulem runtime .NET 4.7.1 nebo novějším.
2. Zásady spouštění PowerShellu na místním serveru musí být nastaveny na Undefined nebo RemoteSigned.
3. Pokud mezi vašimi servery a ID Microsoft Entra existuje brána firewall, přečtěte si následující požadavky na bránu firewall a proxy server.

Poznámka:

Instalace agenta zřizování cloudu na jádro Windows Serveru se nepodporuje.

Další požadavky

• Minimálně Microsoft .NET Framework 4.7.1

Požadavky na TLS

Poznámka:

Tls (Transport Layer Security) je protokol, který poskytuje zabezpečenou komunikaci. Změna nastavení protokolu TLS ovlivňuje celou doménovou strukturu. Další informace najdete v tématu Aktualizace pro povolení protokolu TLS 1.1 a TLS 1.2 jako výchozích zabezpečených protokolů ve WinHTTP ve Windows.

Server Windows, který je hostitelem agenta zřizování cloudu Microsoft Entra Připojení, musí mít před instalací povolený protokol TLS 1.2.

Pokud chcete povolit protokol TLS 1.2, postupujte takto.

1. Nastavte následující klíče registru zkopírováním obsahu do souboru .reg a spuštěním souboru (klikněte pravým tlačítkem myši a zvolte Sloučit):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Restartujte server.

Požadavky na bránu firewall a proxy server

Pokud je mezi vašimi servery a Microsoft Entra ID brána firewall, nakonfigurujte následující položky:

• Ujistěte se, že agenti můžou provádět odchozí požadavky na ID Microsoft Entra přes následující porty:

  Číslo portu	K čemu slouží
  80	Stáhne seznamy odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL.
  443	Zpracovává veškerou odchozí komunikaci se službou.
  8080 (volitelné)	Agenti hlásí svůj stav každých 10 minut přes port 8080, pokud port 443 není dostupný. Tento stav se zobrazí v Centru pro správu Microsoft Entra.

• Pokud vaše brána firewall vynucuje pravidla v závislosti na zdroji uživatelů, otevřete tyto porty pro přenos ze služeb pro Windows, které běží jako síťové služby.

• Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení:

Veřejný cloud

Adresa URL	K čemu slouží
*.msappproxy.net *.servicebus.windows.net	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agent používá tyto adresy URL k ověření certifikátů.
login.windows.net	Agent používá tyto adresy URL během procesu registrace.

Cloud pro státní správu USA

Adresa URL	K čemu slouží
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agent používá tyto adresy URL k ověření certifikátů.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agent používá tyto adresy URL během procesu registrace.

• Pokud nemůžete přidat připojení, povolte přístup k rozsahům IP adres datacentra Azure, které se aktualizují každý týden.

Požadavek NTLM

Na Windows Serveru, na kterém běží agent zřizování Microsoft Entra, byste neměli povolit protokol NTLM a pokud je povolený, měli byste se ujistit, že jste ho zakázali.

Známá omezení

Níže jsou známá omezení:

Rozdílová synchronizace

• Filtrování rozsahu skupiny pro rozdílovou synchronizaci nepodporuje více než 50 000 členů.
• Když odstraníte skupinu, která se používá jako součást filtru oborů skupiny, uživatelé, kteří jsou členy skupiny, se neodstraní.
• Při přejmenování organizační jednotky nebo skupiny, která je v oboru, rozdílová synchronizace uživatele neodebere.

Protokoly zřizování

• Protokoly zřizování jasně nerozlišují mezi operacemi vytváření a aktualizace. Může se zobrazit operace vytvoření pro aktualizaci a operaci aktualizace pro vytvoření.

Opětovné pojmenování skupin nebo opětovné pojmenování organizační jednotky

• Pokud přejmenujete skupinu nebo organizační jednotky ve službě AD, která je v oboru dané konfigurace, úloha synchronizace cloudu nebude moct rozpoznat změnu názvu ve službě AD. Práce nebude do karantény a zůstane v pořádku.

Filtr oborů

Při použití filtru oborů organizační jednotky

• Pro danou konfiguraci můžete synchronizovat až 59 samostatných organizačních jednotek nebo skupin zabezpečení.
• Vnořené organizační jednotky jsou podporované (to znamená, že můžete synchronizovat organizační jednotky s 130 vnořenými organizačními jednotky, ale nemůžete synchronizovat 60 samostatných organizačních jednotek ve stejné konfiguraci).

Synchronizace hodnoty hash hesel

• Použití synchronizace hodnot hash hesel s InetOrgPerson není podporováno.

Další kroky

• Co je zřizování?
• Co je cloudová synchronizace Microsoft Entra?