Předpoklady pro synchronizaci Připojení cloudu Azure AD

Tento článek obsahuje pokyny k výběru a používání Azure Active Directory (Azure AD) Připojení synchronizace cloudu jako řešení identit.

Požadavky na agenta zřizování cloudu

Pokud chcete použít synchronizaci cloudu azure AD Připojení, potřebujete následující:

  • Správce domény nebo Enterprise přihlašovací údaje správce pro vytvoření služby agenta Azure AD Připojení Cloud Sync gMSA (účet spravované služby skupiny).
  • Účet správce hybridní identity pro vašeho tenanta Azure AD, který není uživatelem typu host.
  • Místní server pro agenta zřizování s Windows 2016 nebo novějším. Tento server by měl být serverem vrstvy 0 na základě modelu úrovně správy služby Active Directory. Instalace agenta na řadič domény se podporuje.
  • Vysoká dostupnost odkazuje na schopnost synchronizace cloudu azure AD Připojení fungovat nepřetržitě bez selhání po dlouhou dobu. Díky tomu, že je nainstalovaných a spuštěných více aktivních agentů, může synchronizace cloudu azure AD Připojení fungovat i v případě, že by jeden agent neměl selhat. Microsoft doporučuje mít 3 aktivní agenty nainstalované pro zajištění vysoké dostupnosti.
  • Konfigurace místní brány firewall

Skupinové účty spravované služby

Účet spravované služby je účet spravované domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN), možnost delegovat správu na jiné správce a také tuto funkci rozšiřuje na více serverů. Azure AD Připojení Cloud Sync podporuje a používá gMSA ke spuštění agenta. Během instalace budete vyzváni k zadání přihlašovacích údajů správce, abyste mohli tento účet vytvořit. Účet se zobrazí jako (doména\provAgentgMSA$). Další informace o gMSA najdete v tématu Skupinové účty spravované služby.

Požadavky pro gMSA:

  1. Schéma služby Active Directory v doménové struktuře domény gMSA je potřeba aktualizovat na Windows Server 2012 nebo novější.
  2. Moduly RSAT PowerShellu na řadiči domény
  3. Nejméně jeden řadič domény v doméně musí běžet Windows Server 2012 nebo novějším.
  4. Server připojený k doméně, na kterém je agent nainstalovaný, musí být buď Windows Server 2016, nebo novější.

Vlastní účet gMSA

Pokud vytváříte vlastní účet gMSA, musíte se ujistit, že má účet následující oprávnění.

Typ Název Access Platí pro
Povolit Účet gMSA Čtení všech vlastností Objekty zařízení potomků
Povolit Účet gMSA Čtení všech vlastností Descendant InetOrgPerson – objekty
Povolit Účet gMSA Čtení všech vlastností Objekty potomků počítače
Povolit Účet gMSA Čtení všech vlastností Potomek foreignSecurityPrincipal objekty
Povolit Účet gMSA Full control Objekty skupiny potomků
Povolit Účet gMSA Čtení všech vlastností Objekty potomků uživatele
Povolit Účet gMSA Čtení všech vlastností Objekty potomků kontaktu
Povolit Účet gMSA Vytváření a odstraňování uživatelských objektů Tento objekt a všechny potomky

Postup upgradu existujícího agenta na použití účtu gMSA najdete v tématu Skupinové účty spravované služby.

Vytvoření účtu gMSA pomocí PowerShellu

K vytvoření vlastního účtu gMSA můžete použít následující skript PowerShellu. Pak můžete použít rutiny gMSA pro synchronizaci cloudu k použití podrobnějších oprávnění.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

Další informace o výše uvedených rutinách najdete v tématu Začínáme s účty skupin spravovaných služeb.

V centru pro správu Azure Active Directory

  1. Vytvořte účet správce hybridní identity jen pro cloud ve vašem tenantovi Azure AD. Tímto způsobem můžete spravovat konfiguraci tenanta, pokud místní služby selžou nebo nebudou k dispozici. Přečtěte si, jak přidat účet správce hybridní identity jen pro cloud. Dokončení tohoto kroku je důležité, abyste se ujistili, že se z tenanta nezamknete.
  2. Přidejte do tenanta Azure AD jeden nebo více vlastních názvů domén . Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.

Ve vašem adresáři ve službě Active Directory

Spuštěním nástroje IdFix připravte atributy adresáře pro synchronizaci.

V místním prostředí

  1. Identifikujte hostitelský server připojený k doméně, na kterém běží Windows Server 2016 nebo vyšší s minimálním 4 GB paměti RAM a modulem runtime .NET 4.7.1 nebo novějším.

  2. Zásady spouštění PowerShellu na místním serveru musí být nastavené na Hodnotu Undefined nebo RemoteSigned.

  3. Pokud mezi servery a službou Azure AD existuje brána firewall, nakonfigurujte následující požadavky na bránu firewall a proxy server.

Poznámka

Instalace agenta zřizování cloudu na jádro serveru Windows se nepodporuje.

Další požadavky

Požadavky na TLS

Poznámka

Tls (Transport Layer Security) je protokol, který poskytuje zabezpečenou komunikaci. Změna nastavení protokolu TLS ovlivňuje celou doménovou strukturu. Další informace najdete v tématu Aktualizace povolení protokolu TLS 1.1 a TLS 1.2 jako výchozích zabezpečených protokolů ve službě WinHTTP v Windows.

Server Windows, který je hostitelem agenta zřizování cloudu azure AD Připojení, musí mít před instalací povolený protokol TLS 1.2.

Pokud chcete povolit protokol TLS 1.2, postupujte takto.

  1. Nastavte následující klíče registru:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Restartujte server.

Požadavky na bránu firewall a proxy server

Pokud mezi servery a Službou Azure AD existuje brána firewall, nakonfigurujte následující položky:

  • Ujistěte se, že agenti můžou provádět odchozí požadavky do Azure AD přes následující porty:

    Číslo portu K čemu slouží
    80 Stáhne seznamy odvolaných certifikátů (CRLs) při ověřování certifikátu TLS/SSL.
    443 Zpracovává veškerou odchozí komunikaci se službou.
    8080 (volitelné) Agenti hlásí stav každých 10 minut přes port 8080, pokud port 443 není k dispozici. Tento stav se zobrazí na portálu Azure AD.
  • Pokud vaše brána firewall vynucuje pravidla v závislosti na zdroji uživatelů, otevřete tyto porty pro přenos ze služeb pro Windows, které běží jako síťové služby.

  • Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení:

URL K čemu slouží
*.msappproxy.net
*.servicebus.windows.net
Agent používá tyto adresy URL ke komunikaci s cloudovou službou Azure AD.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Agent používá tyto adresy URL ke komunikaci s cloudovou službou Azure AD.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Agent používá tyto adresy URL k ověření certifikátů.
login.windows.net
Agent používá tyto adresy URL během procesu registrace.

Požadavek NTLM

Na serveru Windows, na kterém běží agent azure AD Připojení Zřizování, byste neměli povolit protokol NTLM a pokud je povolený, měli byste se ujistit, že ho zakážete.

Známá omezení

Níže jsou známá omezení:

Rozdílová synchronizace

  • Filtrování rozsahu skupiny pro rozdílovou synchronizaci nepodporuje více než 50 000 členů.
  • Když odstraníte skupinu, která se používá jako součást filtru oborů skupiny, uživatelé, kteří jsou členy skupiny, se neodstraní.
  • Když přejmenujete organizační složku nebo skupinu, která je v oboru, rozdílová synchronizace uživatele neodebere.

Protokoly zřizování

  • Protokoly zřizování jasně nerozlišují mezi operacemi vytváření a aktualizací. Může se zobrazit operace vytvoření aktualizace a operace aktualizace pro vytvoření.

Opětovné pojmenování skupiny nebo opětovné pojmenování organizačních prostředků

  • Pokud v AD přejmenujete skupinu nebo organizační strukturu, která je v oboru dané konfigurace, nebude úloha cloudové synchronizace moct rozpoznat změnu názvu ve službě AD. Práce nebude v karanténě a zůstane v pořádku.

Filtr oborů

Při použití filtru oborů organizačních jednotek

  • Pro danou konfiguraci můžete synchronizovat až 59 samostatných organizačních jednotek.
  • Vnořené organizační jednotky jsou podporované (to znamená, že můžete synchronizovat organizační jednotky s 130 vnořenými organizačními procesory, ale nemůžete synchronizovat 60 samostatných organizačních jednotek ve stejné konfiguraci).

Synchronizace hodnoty hash hesel

  • Použití synchronizace hodnot hash hesel s InetOrgPerson se nepodporuje.

Další kroky