Požadavky pro synchronizaci Microsoft Entra Cloud
Tento článek obsahuje pokyny k používání microsoft Entra Cloud Sync jako vašeho řešení identit.
Požadavky na agenta zřizování cloudu
Pokud chcete použít Microsoft Entra Cloud Sync, potřebujete následující:
- Přihlašovací údaje správce domény nebo podnikového správce pro vytvoření účtu gMSA cloudové synchronizace Microsoft Entra Connect (účet spravované služby skupiny) pro spuštění služby agenta.
- Účet správce hybridní identity pro vašeho tenanta Microsoft Entra, který není uživatelem typu host.
- Místní server pro agenta zřizování s Windows 2016 nebo novějším. Tento server by měl být server vrstvy 0 založený na modelu vrstvy správy služby Active Directory. Instalace agenta na řadič domény se podporuje. Další informace naleznete v tématu Posílení zabezpečení serveru agenta zřizování Microsoft Entra
- Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
- Vysoká dostupnost odkazuje na schopnost Microsoft Entra Cloud Sync fungovat nepřetržitě bez selhání po dlouhou dobu. Díky tomu, že je nainstalovaných a spuštěných více aktivních agentů, může Microsoft Entra Cloud Sync dál fungovat i v případě, že by jeden agent měl selhat. Microsoft doporučuje mít 3 aktivní agenty nainstalované pro zajištění vysoké dostupnosti.
- Konfigurace místní brány firewall
Posílení zabezpečení serveru agenta zřizování Microsoft Entra
Doporučujeme posílit zabezpečení serveru agenta zřizování Microsoft Entra, abyste snížili prostor pro útoky na zabezpečení pro tuto kritickou komponentu vašeho IT prostředí. Následující doporučení vám pomůžou zmírnit některá rizika zabezpečení pro vaši organizaci.
- Doporučujeme posílit zabezpečení serveru agenta zřizování Microsoft Entra jako prostředek řídicí roviny (dříve vrstvy 0) podle pokynů uvedených v modelu zabezpečení privilegovaného přístupu a vrstvy správy služby Active Directory.
- Omezte přístup správce k serveru agenta zřizování Microsoft Entra jenom na správce domény nebo jiné úzce řízené skupiny zabezpečení.
- Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správci by neměli procházet web, kontrolovat jejich e-maily a provádět každodenní úlohy produktivity s vysoce privilegovanými účty.
- Postupujte podle pokynů uvedených v části Zabezpečení privilegovaného přístupu.
- Odepřít použití ověřování NTLM se serverem agenta zřizování Microsoft Entra. Tady je několik způsobů, jak to provést: Omezení ntLM na serveru agenta zřizování Microsoft Entra a omezení NTLM v doméně
- Ujistěte se, že každý počítač má jedinečné heslo místního správce. Další informace najdete v tématu Řešení hesel místního správce (Windows LAPS) umožňuje konfigurovat jedinečná náhodná hesla na každé pracovní stanici a server je ukládat do služby Active Directory chráněné seznamem ACL. Resetování těchto hesel účtů místního správce můžou číst nebo požadovat pouze oprávnění oprávnění uživatelé. Další pokyny pro provoz prostředí s windows LAPS a pracovními stanicemi s privilegovaným přístupem najdete v provozních standardech založených na principu čistého zdroje.
- Implementujte vyhrazené pracovní stanice s privilegovaným přístupem pro všechny pracovníky s privilegovaným přístupem k informačním systémům vaší organizace.
- Postupujte podle těchto dalších pokynů , abyste snížili prostor pro útoky na vaše prostředí Služby Active Directory.
- Postupujte podle změn monitorování konfigurace federace a nastavte výstrahy pro monitorování změn důvěryhodnosti vytvořené mezi vaším id Idp a Microsoft Entra ID.
- Povolte vícefaktorové ověřování (MFA) pro všechny uživatele, kteří mají privilegovaný přístup v Microsoft Entra ID nebo ve službě AD. Jedním z problémů se zabezpečením při používání zřizovacího agenta Microsoft Entra je, že pokud útočník může získat kontrolu nad serverem agenta zřizování Microsoft Entra, může manipulovat s uživateli v Microsoft Entra ID. Pokud chcete útočníkovi zabránit v používání těchto funkcí k převzetí účtů Microsoft Entra, MFA nabízí ochranu, aby i když se útočníkovi podařilo obnovit heslo uživatele pomocí agenta zřizování Microsoft Entra, nemůže druhý faktor obejít.
Skupinové účty spravované služby
Skupinový účet spravované služby je spravovaný účet domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN), možnost delegovat správu na jiné správce a také tuto funkci rozšiřuje na více serverů. Microsoft Entra Cloud Sync podporuje a používá gMSA ke spuštění agenta. Během instalace se zobrazí výzva k zadání přihlašovacích údajů správce, abyste mohli tento účet vytvořit. Účet se zobrazí jako domain\provAgentgMSA$
. Další informace o gMSA naleznete ve skupině Účty spravované služby.
Požadavky pro gMSA
- Schéma služby Active Directory v doménové struktuře domény gMSA je potřeba aktualizovat na Windows Server 2012 nebo novější.
- Moduly RSAT PowerShellu na řadiči domény
- Minimálně jeden řadič domény v doméně musí používat Windows Server 2012 nebo novější.
- Server připojený k doméně, na kterém se agent instaluje, musí být Windows Server 2016 nebo novější.
Vlastní účet gMSA
Pokud vytváříte vlastní účet gMSA, musíte se ujistit, že účet má následující oprávnění.
Typ | Jméno | Přístup | Platí pro |
---|---|---|---|
Povolit | Účet gMSA | Čtení všech vlastností | Objekty zařízení potomků |
Povolit | Účet gMSA | Čtení všech vlastností | Descendant InetOrgPerson – objekty |
Povolit | Účet gMSA | Čtení všech vlastností | Objekty počítače potomků |
Povolit | Účet gMSA | Čtení všech vlastností | Descendant foreignSecurityPrincipal objekty |
Povolit | Účet gMSA | Úplné řízení | Objekty descendant Group |
Povolit | Účet gMSA | Čtení všech vlastností | Objekty potomků uživatele |
Povolit | Účet gMSA | Čtení všech vlastností | Objekty potomku kontaktu |
Povolit | Účet gMSA | Vytváření a odstraňování uživatelských objektů | Tento objekt a všechny potomkové objekty |
Postup upgradu existujícího agenta tak, aby používal účet gMSA, najdete v tématu skupinové účty spravované služby.
Další informace o tom, jak připravit službu Active Directory na skupinový účet spravované služby, najdete v tématu přehled účtů spravované služby a skupinových účtů spravované služby pomocí cloudové synchronizace.
V Centru pro správu Microsoft Entra
- Ve svém tenantovi Microsoft Entra vytvořte účet správce hybridní identity jen pro cloud. Tímto způsobem můžete spravovat konfiguraci tenanta, pokud místní služby selžou nebo nebudou dostupné. Přečtěte si, jak přidat účet správce hybridní identity pouze v cloudu. Dokončení tohoto kroku je důležité, abyste se ujistili, že se z tenanta nezamknete.
- Přidejte do tenanta Microsoft Entra jeden nebo více vlastních názvů domén. Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.
Ve vašem adresáři ve službě Active Directory
Spuštěním nástroje IdFix připravte atributy adresáře pro synchronizaci.
V místním prostředí
- Identifikujte hostitelský server připojený k doméně s Windows Serverem 2016 nebo novějším s minimálně 4 GB paměti RAM a modulem runtime .NET 4.7.1 nebo novějším.
- Zásady spouštění PowerShellu na místním serveru musí být nastaveny na Undefined nebo RemoteSigned.
- Pokud mezi vašimi servery a ID Microsoft Entra existuje brána firewall, přečtěte si požadavky na bránu firewall a proxy server.
Poznámka
Instalace agenta zřizování cloudu ve Windows Serveru Core se nepodporuje.
Zřízení ID Microsoft Entra pro Active Directory – požadavky
K implementaci skupin zřizování do služby Active Directory se vyžadují následující požadavky.
Licenční požadavky
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si článek Porovnání obecně dostupných funkcí Microsoft Entra ID.
Obecné požadavky
- Účet Microsoft Entra s alespoň rolí správce hybridní identity
- Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
- Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
- Zřizování agenta s buildem verze 1.1.1370.0 nebo novější
Poznámka
Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.
Tato oprávnění nejsou použita pro objekty AdminSDHolder ve výchozím nastavení microsoft Entra provisioning agent gMSA PowerShell
- Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
- Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
- Microsoft Entra Connect Sync s buildem verze 2.2.8.0 nebo novějším
- Vyžadováno pro podporu místního členství uživatelů synchronizovaných pomocí Synchronizace Microsoft Entra Connect
- Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier
Podporované skupiny a omezení škálování
Podporuje se následující:
- Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
- Tyto skupiny mohou mít přiřazené nebo dynamické skupiny členství.
- Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
- Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
- Tyto skupiny se zapisují zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
- Skupiny, které jsou větší než 50 000 členů, se nepodporují.
- Tenanti, kteří mají více než 150 000 objektů, se nepodporují. To znamená, že pokud má tenant jakoukoli kombinaci uživatelů a skupin, které překračují 150 tisíc objektů, tenant se nepodporuje.
- Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
- Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.
Další informace
Následuje další informace o zřizování skupin ve službě Active Directory.
- Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
- Tito uživatelé musí mít atribut onPremisesObjectIdentifier nastavený na svém účtu.
- OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
- Atribut objectGUID místních uživatelů pro cloudové uživatele onPremisesObjectIdentifier lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0)
- Pokud k synchronizaci uživatelů používáte Microsoft Entra Connect Sync (2.2.8.0) a chcete používat zřizování pro AD, musí to být verze 2.2.8.0 nebo novější.
- Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Tenanti, jako je B2C, se nepodporují.
- Úloha zřizování skupin se plánuje spustit každých 20 minut.
Další požadavky
- Minimálně Microsoft .NET Framework 4.7.1
Požadavky protokolu TLS
Poznámka
Tls (Transport Layer Security) je protokol, který poskytuje zabezpečenou komunikaci. Změna nastavení protokolu TLS ovlivňuje celou doménovou strukturu. Další informace najdete v tématu Aktualizace pro povolení protokolu TLS 1.1 a TLS 1.2 jako výchozích zabezpečených protokolů ve WinHTTP ve Windows.
Server Windows, který je hostitelem agenta zřizování cloudu Microsoft Entra Connect, musí mít před instalací povolený protokol TLS 1.2.
Pokud chcete povolit protokol TLS 1.2, postupujte takto.
Nastavte následující klíče registru zkopírováním obsahu do souboru .reg a spuštěním souboru (klikněte pravým tlačítkem myši a zvolte Sloučit):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Restartujte server.
Požadavky na bránu firewall a proxy server
Pokud mezi vašimi servery a ID Microsoft Entra existuje brána firewall, nakonfigurujte následující položky:
Ujistěte se, že agenti můžou provádět odchozí požadavky na ID Microsoft Entra přes následující porty:
Číslo portu Popis 80 Stáhne seznamy odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL. 443 Zpracovává veškerou odchozí komunikaci se službou. 8080 (volitelné) Agenti hlásí svůj stav každých 10 minut přes port 8080, pokud port 443 není dostupný. Tento stav se zobrazí v Centru pro správu Microsoft Entra. Pokud brána firewall vynucuje pravidla podle původního uživatele, otevřete tyto porty pro provoz ze služeb Windows, které běží jako síťová služba.
Ujistěte se, že váš proxy server podporuje alespoň protokol HTTP 1.1 a je povolené blokované kódování.
Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení:
Adresa URL | Popis |
---|---|
*.msappproxy.net *.servicebus.windows.net |
Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Agent používá tyto adresy URL k ověření certifikátů. |
login.windows.net |
Agent používá tyto adresy URL během procesu registrace. |
Požadavek NTLM
Na Windows Serveru, na kterém běží agent zřizování Microsoft Entra, byste neměli povolit protokol NTLM a pokud je povolený, měli byste se ujistit, že jste ho zakázali.
Známá omezení
Níže jsou známá omezení:
Rozdílová synchronizace
- Filtrování rozsahu skupiny pro rozdílovou synchronizaci nepodporuje více než 50 000 členů.
- Když odstraníte skupinu, která se používá jako součást filtru oborů skupiny, uživatelé, kteří jsou členy skupiny, se neodstraní.
- Když přejmenujete organizační jednotky nebo skupinu v oboru, rozdílová synchronizace uživatele neodebere.
Protokoly zřizování
- Protokoly zřizování jasně nerozlišují mezi operacemi vytváření a aktualizace. Může se zobrazit operace vytvoření pro aktualizaci a operaci aktualizace pro vytvoření.
Přejmenování skupiny nebo přejmenování organizační jednotky
- Pokud přejmenujete skupinu nebo organizační jednotky ve službě AD, která je v oboru dané konfigurace, úloha synchronizace cloudu nebude moct rozpoznat změnu názvu ve službě AD. Práce nepůjde do karantény a zůstane v pořádku.
Filtr oborů
Při použití filtru oborů organizační jednotky
Konfigurace rozsahu má omezení délky znaků 4 MB. Ve standardním otestovaném prostředí se to pro danou konfiguraci překládá na přibližně 50 samostatných organizačních jednotek nebo skupin zabezpečení, včetně požadovaných metadat.
Vnořené organizační jednotky jsou podporované (to znamená, že můžete synchronizovat organizační jednotky s 130 vnořenými organizačními jednotky, ale nemůžete synchronizovat 60 samostatných organizačních jednotek ve stejné konfiguraci).
Synchronizace hodnot hash hesel
- Použití synchronizace hodnot hash hesel s InetOrgPerson se nepodporuje.