Voraussetzungen für die Microsoft Entra-Cloudsynchronisierung
Dieser Artikel enthält Anleitungen zur Auswahl und Verwendung der Microsoft Entra-Cloudsynchronisierung als Ihre Identitätslösung.
Anforderungen des Agents für die Cloudbereitstellung
Für die Verwendung der Microsoft Entra-Cloudsynchronisierung benötigen Sie Folgendes:
- Anmeldeinformationen eines Domänenadministrators oder Unternehmensadministrators zum Erstellen des gMSA (group Managed Service Account, gruppenverwaltetes Dienstkonto) für die Microsoft Entra Connect-Cloudsynchronisierung zum Ausführen des Agent-Diensts.
- Ein Hybrididentität-Administratorkonto für Ihren Microsoft Entra-Mandanten, das kein Gastbenutzer ist.
- Einen lokalen Server für den Bereitstellungs-Agent mit Windows 2016 oder höher. Bei diesem Server sollte es sich um einen Server der Ebene 0 im Active Directory-Verwaltungsebenenmodell handeln. Die Installation des Agents auf einem Domänencontroller wird unterstützt.
- Hochverfügbarkeit bezieht sich auf die Fähigkeit der Microsoft Entra-Cloudsynchronisierung, über einen längeren Zeitraum kontinuierlich ohne Fehler zu arbeiten. Durch die Installation und Ausführung mehrerer aktiver Agents kann die Microsoft Entra-Cloudsynchronisierung auch dann weiterhin funktionieren, wenn ein Agent ausfallen sollte. Microsoft empfiehlt, für Hochverfügbarkeit drei aktive Agents zu installieren.
- lokale Firewallkonfigurationen
Gruppenverwaltete Dienstkonten
Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie werden während des Setups zur Eingabe administrativer Anmeldeinformationen aufgefordert, um das Konto zu erstellen. Das Konto wird als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.
Voraussetzungen für das gMSA
- Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
- PowerShell-RSAT-Module auf einem Domänencontroller.
- Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
- Ein in eine Domäne eingebundener Server, auf dem der Agent installiert ist, muss Windows Server 2016 oder höher aufweisen.
Benutzerdefiniertes gMSA-Konto
Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, müssen Sie sicherstellen, dass das Konto über die folgenden Berechtigungen verfügt.
| type | Name | Zugriff | Gilt für |
|---|---|---|---|
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-Geräteobjekte |
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-InetOrgPerson-Objekte |
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-Computerobjekte |
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-foreignSecurityPrincipal-Objekte |
| Allow | gMSA-Konto | Vollzugriff | Nachfolger-Gruppenobjekte |
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-Benutzerobjekte |
| Allow | gMSA-Konto | Alle Eigenschaften lesen | Nachfolger-Kontaktobjekte |
| Allow | gMSA-Konto | Benutzerobjekte erstellen/löschen | Dieses Objekt und alle Nachfolgerobjekte |
Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.
Weitere Informationen zum Vorbereiten von Active Directory für gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.
Im Microsoft Entra Admin Center
- Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Hybrididentität-Administratorkonto. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, wenn Ihre lokalen Dienste ausfallen oder nicht verfügbar sind. Erfahren Sie, wie Sie ein auf die Cloud beschränktes Hybrididentität-Administratorkonto hinzufügen. Die Ausführung dieses Schritts ist äußerst wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
- Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.
In Ihrem Verzeichnis in Active Directory
Führen Sie das IdFix-Tool aus, um die Verzeichnisattribute für die Synchronisierung vorzubereiten.
In Ihrer lokalen Umgebung
- Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET-Runtime (ab 4.7.1) an.
- Die PowerShell-Ausführungsrichtlinie auf dem lokalen Server muss auf „Nicht definiert“ oder „RemoteSigned“ festgelegt werden.
- Wenn eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist, finden Sie Informationen weiter unten unter Firewall- und Proxyanforderungen.
Hinweis
Die Installation des Agents für die Cloudbereitstellung unter Windows Server Core wird nicht unterstützt.
Zusätzliche Anforderungen
- Mindestens Microsoft .NET Framework 4.7.1
TLS-Anforderungen
Hinweis
Transport Layer Security (TLS) ist ein Protokoll, das für eine sichere Kommunikation sorgt. Das Ändern der TLS-Einstellungen wirkt sich auf die Gesamtstruktur aus. Weitere Informationen finden Sie unter Update zur Aktivierung von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.
Auf dem Windows-Server, auf dem der Agent für die Microsoft Entra Connect-Cloudbereitstellung gehostet wird, muss TLS 1.2 aktiviert sein, bevor Sie den Agent installieren.
Führen Sie diese Schritte aus, um TLS 1.2 zu aktivieren.
Legen Sie die folgenden Registrierungsschlüssel fest, indem Sie den Inhalt in eine .reg-Datei kopieren und dann die Datei ausführen (klicken Sie mit der rechten Maustaste, und wählen Sie Zusammenführen aus):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Starten Sie den Server neu.
Firewall- und Proxyanforderungen
Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:
Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:
Portnummer Wie diese verwendet wird 80 Herunterladen der Zertifikatsperrlisten (CRLs) bei der Überprüfung des TLS/SSL-Zertifikats. 443 Verarbeiten der gesamten ausgehenden Kommunikation mit dem Dienst 8080 (optional) Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Microsoft Entra Admin Center angezeigt. Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.
Wenn Ihre Firewall oder Ihr Proxy das Angeben sicherer Suffixe zulässt, fügen Sie Verbindungen bei Folgenden hinzu:
| URL | Wie diese verwendet wird |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten. |
login.windows.net |
Der Agent verwendet diese URLs während der Registrierung. |
NTLM-Anforderung
Sie sollten die integrierte Windows-Authentifizierung (NTLM) nicht auf dem Windows-Server aktivieren, auf dem der Microsoft Entra-Bereitstellungsagent ausgeführt wird. Wenn sie aktiviert ist, müssen Sie diese deaktivieren.
Bekannte Einschränkungen
Es gelten die folgenden bekannten Einschränkungen:
Deltasynchronisierung
- Bei der Gruppenbereichsfilterung für die Deltasynchronisierung werden nicht mehr als 50.000 Mitglieder unterstützt.
- Wenn Sie eine Gruppe löschen, die für einen Gruppenbereichsfilter verwendet wird, werden Benutzer, die Mitglieder der Gruppe sind, nicht gelöscht.
- Wenn Sie die im Bereich befindliche Organisationseinheit oder Gruppe umbenennen, werden die Benutzer bei der Deltasynchronisierung nicht entfernt.
Bereitstellungsprotokolle
- In den Bereitstellungsprotokollen wird nicht eindeutig zwischen Erstellungs- und Aktualisierungsvorgängen unterschieden. Es kann sein, dass ein Erstellungsvorgang für eine Aktualisierung und ein Aktualisierungsvorgang für eine Erstellung angezeigt wird.
Umbenennen von Gruppen oder Organisationseinheiten
- Wenn Sie eine Gruppe oder Organisationseinheit in AD umbenennen, die sich im Bereich einer bestimmten Konfiguration befindet, wird die Namensänderung in AD vom Cloudsynchronisierungsauftrag nicht erkannt. Der Auftrag wird nicht unter Quarantäne gestellt und bleibt im fehlerfreien Zustand.
Bereichsfilter
Bei Verwendung des Bereichsfilters für Organisationseinheiten
- Sie können für jede Konfiguration nur bis zu 59 separate Organisationseinheiten oder Sicherheitsgruppen synchronisieren.
- Geschachtelte Organisationseinheiten werden unterstützt (d. h., Sie können eine Organisationseinheit mit 130 geschachtelten Organisationseinheiten synchronisieren, aber Sie können nicht 60 separate Organisationseinheiten in derselben Konfiguration synchronisieren).
Kennworthashsynchronisierung
- Die Verwendung der Kennworthashsynchronisierung mit InetOrgPerson wird nicht unterstützt.