Voraussetzungen für die Microsoft Entra-Cloudsynchronisierung

Dieser Artikel enthält Anleitungen zur Verwendung der Microsoft Entra-Cloudsynchronisierung als Identitätslösung.

Anforderungen des Agents für die Cloudbereitstellung

Für die Verwendung der Microsoft Entra-Cloudsynchronisierung benötigen Sie Folgendes:

• Anmeldeinformationen eines Domänenadministrators oder Unternehmensadministrators zum Erstellen des gMSA (group Managed Service Account, gruppenverwaltetes Dienstkonto) für die Microsoft Entra Connect-Cloudsynchronisierung zum Ausführen des Agent-Diensts.
• Ein Hybrididentitätsadministratorkonto für Ihren Microsoft Entra-Mandanten, das kein Gastbenutzer ist.
• Einen lokalen Server für den Bereitstellungs-Agent mit Windows 2016 oder höher. Bei diesem Server sollte es sich um einen Server der Ebene 0 im Active Directory-Verwaltungsebenenmodell handeln. Die Installation des Agents auf einem Domänencontroller wird unterstützt.
  • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
• Hochverfügbarkeit bezieht sich auf die Fähigkeit der Microsoft Entra-Cloudsynchronisierung, über einen längeren Zeitraum kontinuierlich ohne Fehler zu arbeiten. Durch die Installation und Ausführung mehrerer aktiver Agents kann die Microsoft Entra-Cloudsynchronisierung auch dann weiterhin funktionieren, wenn ein Agent ausfallen sollte. Microsoft empfiehlt, für Hochverfügbarkeit drei aktive Agents zu installieren.
• lokale Firewallkonfigurationen

Gruppenverwaltete Dienstkonten

Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen. Das Konto wird als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.

Voraussetzungen für das gMSA

1. Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
2. PowerShell-RSAT-Module auf einem Domänencontroller.
3. Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
4. Ein in eine Domäne eingebundener Server, auf dem der Agent installiert ist, muss Windows Server 2016 oder höher aufweisen.

Benutzerdefiniertes gMSA-Konto

Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, müssen Sie sicherstellen, dass das Konto über die folgenden Berechtigungen verfügt:

type	Name	Zugriff	Gilt für
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Geräteobjekte
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-InetOrgPerson-Objekte
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Computerobjekte
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-foreignSecurityPrincipal-Objekte
Allow	gMSA-Konto	Vollzugriff	Nachfolger-Gruppenobjekte
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Benutzerobjekte
Allow	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Kontaktobjekte
Allow	gMSA-Konto	Benutzerobjekte erstellen/löschen	Dieses Objekt und alle Nachfolgerobjekte

Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.

Weitere Informationen zum Vorbereiten von Active Directory für gruppenverwaltete Dienstkonten finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.

Im Microsoft Entra Admin Center

1. Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Hybrididentität-Administratorkonto. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, wenn Ihre lokalen Dienste ausfallen oder nicht verfügbar sind. Erfahren Sie, wie Sie ein auf die Cloud beschränktes Hybrididentität-Administratorkonto hinzufügen. Die Ausführung dieses Schritts ist äußerst wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
2. Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrem Verzeichnis in Active Directory

Führen Sie das IdFix-Tool aus, um die Verzeichnisattribute für die Synchronisierung vorzubereiten.

In Ihrer lokalen Umgebung

1. Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET-Runtime (ab 4.7.1) an.
2. Die PowerShell-Ausführungsrichtlinie auf dem lokalen Server muss auf „Nicht definiert“ oder „RemoteSigned“ festgelegt werden.
3. Wenn eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist, finden Sie weitere Informationen unter Firewall- und Proxyanforderungen.

Hinweis

Die Installation des Agents für die Cloudbereitstellung unter Windows Server Core wird nicht unterstützt.

Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen

Zum Implementieren von Bereitstellungsgruppen in Active Directory müssen die folgenden Voraussetzungen erfüllt sein.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Allgemeine Anforderungen

• Ein Microsoft Entra-Konto mit der Rolle Hybridadministrator oder höher
• Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher
  • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
• Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.

Hinweis

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Sie die Berechtigungen manuell mithilfe des PowerShell-Cmdlets zuweisen:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.

Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet.

• Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
  • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
• Microsoft Entra Connect mit der Buildversion 2.2.8.0 oder höher
  • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect synchronisiert wird
  • Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier

Unterstützte Gruppen

Nur Folgendes wird unterstützt:

• Lediglich in der Cloud erstellte Sicherheitsgruppen werden unterstützt.
• Diese Gruppen können über eine zugewiesene oder dynamische Mitgliedschaft verfügen.
• Diese Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
• Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
• Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den universellen Gruppenbereich unterstützen.
• Gruppen mit mehr als 50.000 Mitgliedern werden nicht unterstützt.
• Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe.
• Der Abgleich von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.

Weitere Informationen

Im Anschluss finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.

• Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
• Für alle diese Benutzer muss das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt werden.
• onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
• Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden.
• Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
• Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
• Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Weitere Anforderungen

• Mindestens Microsoft .NET Framework 4.7.1

TLS-Anforderungen

Hinweis

Transport Layer Security (TLS) ist ein Protokoll, das für eine sichere Kommunikation sorgt. Das Ändern der TLS-Einstellungen wirkt sich auf die Gesamtstruktur aus. Weitere Informationen finden Sie unter Update zur Aktivierung von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.

Auf dem Windows-Server, auf dem der Agent für die Microsoft Entra Connect-Cloudbereitstellung gehostet wird, muss TLS 1.2 aktiviert sein, bevor Sie den Agent installieren.

Führen Sie diese Schritte aus, um TLS 1.2 zu aktivieren.

1. Legen Sie die folgenden Registrierungsschlüssel fest, indem Sie den Inhalt in eine .reg-Datei kopieren und dann die Datei ausführen (klicken Sie mit der rechten Maustaste, und wählen Sie Zusammenführen aus):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starten Sie den Server neu.

Firewall- und Proxyanforderungen

Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

• Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:

  Portnummer	Beschreibung
  80	Herunterladen der Zertifikatsperrlisten (CRLs) bei der Überprüfung des TLS/SSL-Zertifikats.
  443	Verarbeiten der gesamten ausgehenden Kommunikation mit dem Dienst
  8080 (optional)	Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Microsoft Entra Admin Center angezeigt.

• Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

• Wenn Ihre Firewall oder Ihr Proxy das Angeben sicherer Suffixe zulässt, fügen Sie Verbindungen bei Folgenden hinzu:

Öffentliche Cloud

URL	Beschreibung
*.msappproxy.net *.servicebus.windows.net	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.
login.windows.net	Der Agent verwendet diese URLs während der Registrierung.

US- Government Cloud

URL	Beschreibung
*.msappproxy.us *.servicebus.usgovcloudapi.net	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Der Agent verwendet diese URLs während der Registrierung.

• Wenn Sie keine Verbindungen hinzufügen können, lassen Sie den Zugriff auf die IP-Bereiche des Azure-Rechenzentrums zu, die wöchentlich aktualisiert werden.

NTLM-Anforderung

Sie sollten die integrierte Windows-Authentifizierung (NTLM) nicht auf dem Windows-Server aktivieren, auf dem der Microsoft Entra-Bereitstellungs-Agent ausgeführt wird. Wenn sie aktiviert ist, müssen Sie diese deaktivieren.

Bekannte Einschränkungen

Es gelten die folgenden bekannten Einschränkungen:

Deltasynchronisierung

• Bei der Gruppenbereichsfilterung für die Deltasynchronisierung werden nicht mehr als 50.000 Mitglieder unterstützt.
• Wenn Sie eine Gruppe löschen, die für einen Gruppenbereichsfilter verwendet wird, werden Benutzer, die Mitglieder der Gruppe sind, nicht gelöscht.
• Wenn Sie die im Bereich befindliche Organisationseinheit oder Gruppe umbenennen, werden die Benutzer bei der Deltasynchronisierung nicht entfernt.

Bereitstellungsprotokolle

• In den Bereitstellungsprotokollen wird nicht eindeutig zwischen Erstellungs- und Aktualisierungsvorgängen unterschieden. Es kann sein, dass ein Erstellungsvorgang für eine Aktualisierung und ein Aktualisierungsvorgang für eine Erstellung angezeigt wird.

Umbenennung von Gruppen oder Organisationseinheiten

• Wenn Sie eine Gruppe oder Organisationseinheit in AD umbenennen, die sich im Bereich einer bestimmten Konfiguration befindet, wird die Namensänderung in AD vom Cloudsynchronisierungsauftrag nicht erkannt. Der Auftrag wird nicht unter Quarantäne gestellt und bleibt im fehlerfreien Zustand.

Bereichsfilter

Bei Verwendung des Bereichsfilters für Organisationseinheiten

• Sie können für jede Konfiguration nur bis zu 59 separate Organisationseinheiten oder Sicherheitsgruppen synchronisieren.
• Geschachtelte Organisationseinheiten werden unterstützt (d. h., Sie können eine Organisationseinheit mit 130 geschachtelten Organisationseinheiten synchronisieren, aber Sie können nicht 60 separate Organisationseinheiten in derselben Konfiguration synchronisieren).

Kennworthashsynchronisierung

• Die Verwendung der Kennworthashsynchronisierung mit InetOrgPerson wird nicht unterstützt.

Nächste Schritte

• Was ist die Identitätsbereitstellung?
• Was ist die Microsoft Entra-Cloudsynchronisierung?