Prérequis pour Microsoft Entra Cloud Sync
Cet article fournit une aide sur la façon d’utiliser Microsoft Entra Cloud Sync comme solution d’identité.
Conditions requises de l’agent de provisionnement cloud
Vous avez besoin des éléments suivants pour utiliser la Microsoft Entra Cloud Sync :
- Identifications d'administrateur de domaine ou d'administrateur d'entreprise pour créer le gMSA (compte de service géré de groupe) Microsoft Entra Connect Cloud Sync pour exécuter le service d'agent.
- Compte d’administrateur d’identité hybride pour votre client Microsoft Entra qui n’est pas un utilisateur invité.
- Un serveur local pour l’agent d’approvisionnement avec Windows 2016 ou ultérieur. Ce serveur doit être un serveur de niveau 0 basé sur le modèle de niveau d’administration Active Directory. L’installation de l’agent sur un contrôleur de domaine est prise en charge. Pour plus d’informations, consultez Renforcer le serveur de votre agent d’approvisionnement Microsoft Entra
- Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
- La haute disponibilité fait référence à la capacité de Microsoft Entra Cloud Sync à fonctionner en continu sans panne pendant une longue période. En ayant plusieurs agents actifs installés et en cours d'exécution, Microsoft Entra Cloud Sync peut continuer à fonctionner même si l'un des agents échoue. Microsoft recommande d’avoir trois agents actifs installés à des fins de haute disponibilité.
- Des configurations de pare-feu locales.
Renforcer le serveur de votre agent d’approvisionnement Microsoft Entra
Nous vous recommandons de renforcer le serveur de votre agent d’approvisionnement Microsoft Entra afin de réduire la surface d’attaque de sécurité de ce composant essentiel de votre environnement informatique. En suivant ces recommandations, vous contribuez à atténuer certains risques de sécurité pour votre organisation.
- Nous vous recommandons de renforcer le serveur de l’agent d’approvisionnement Microsoft Entra en tant que ressource de plan de contrôle (anciennement niveau 0) en suivant les instructions fournies dans Sécuriser l’accès privilégié et Modèle hiérarchique administratif Active Directory.
- Limitez l’accès administrateur au serveur de l’agent d’approvisionnement Microsoft Entra aux seuls administrateurs de domaine ou autres groupes de sécurité étroitement contrôlés.
- Créez un compte dédié pour tous les membres du personnel disposant d’un accès privilégié. Les administrateurs ne doivent pas naviguer sur Internet, consulter leur e-mails ni effectuer des tâches de productivité quotidiennes avec des comptes à privilèges élevés.
- Suivez les instructions fournies dans Sécurisation de l’accès privilégié.
- Refuser l’utilisation de l’authentification NTLM avec le serveur de l’agent d’approvisionnement Microsoft Entra. Voici quelques façons de procéder : Restriction de NTLM sur le serveur de l’agent d’approvisionnement Microsoft Entra et Restriction de NTLM sur un domaine
- Assurez-vous que chaque ordinateur dispose d’un mot de passe d’administrateur local unique. Pour plus d’informations, consultez la solution de mot de passe d’administrateur local (Windows LAPS). LAPS peut configurer des mots de passe aléatoires uniques sur chaque station de travail et les stocker sur serveur dans Active Directory, protégé par une liste de contrôle d’accès. Seuls les utilisateurs autorisés éligibles peuvent lire ou demander la réinitialisation de ces mots de passe de compte d’administrateur local. Vous allez trouver des conseils supplémentaires sur le fonctionnement d’un environnement avec une LAPS et des stations de travail à accès privilégié (PAW) dans Normes opérationnelles basées sur le principe de source propre.
- Implémentez des stations de travail à accès privilégié dédiées pour tous les membres du personnel disposant d’un accès privilégié aux systèmes informatiques de votre organisation.
- Suivez ces instructions supplémentaires pour réduire la surface d’attaque de votre environnement Active Directory.
- Si vous souhaitez configurer des alertes pour superviser les modifications apportées à l’approbation établie entre votre fournisseur d’identité et Microsoft Entra ID, lisez Superviser les modifications apportées à la configuration de fédération.
- Activez l’Authentification multifacteur (MFA) pour tous les utilisateurs disposant d’un accès privilégié dans Microsoft Entra ID ou dans AD. L’un des problèmes de sécurité liés à l’utilisation de l’agent d’approvisionnement Microsoft Entra est que si un attaquant peut contrôler le serveur de l’agent d’approvisionnement Microsoft Entra, il peut manipuler les utilisateurs dans Microsoft Entra ID. Pour empêcher un attaquant d’utiliser ces fonctionnalités pour contrôler des comptes Microsoft Entra, l’authentification multifacteur offre des protections permettant d’éviter qu’un attaquant essayant de réinitialiser le mot de passe d’un utilisateur à l’aide de l’agent d’approvisionnement Microsoft Entra, puisse contourner le second facteur.
Comptes de service administrés de groupe
Un compte de service administré de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Par ailleurs, cette fonctionnalité s’étend sur plusieurs serveurs. Microsoft Entra Cloud Sync prend en charge et utilise un gMSA pour exécuter l'agent. Vous serez invité à fournir des identifiants d’administration lors de l’installation, pour créer ce compte. Le compte apparaît comme domain\provAgentgMSA$
. Pour plus d’informations sur un gMSA, consultez Comptes de service administré de groupe.
Prérequis pour gMSA
- Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
- Les modules RSAT PowerShell sur un contrôleur de domaine
- Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
- Un serveur joint à un domaine sur lequel l’agent est en cours d’installation doit être configuré avec Windows Server 2016 ou version ultérieure.
Compte gMSA personnalisé
Si vous créez un compte gMSA personnalisé, vous devez vérifier que le compte dispose des autorisations suivantes.
Type | Nom | Accès | S'applique à |
---|---|---|---|
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets appareil descendants |
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets InetOrgPerson descendants |
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets ordinateur descendants |
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets foreignSecurityPrincipal descendants |
Autoriser | Compte gMSA | Contrôle total | Objets groupe descendants |
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets utilisateur descendants |
Autoriser | Compte gMSA | Lire toutes les propriétés | Objets contact descendants |
Autoriser | Compte gMSA | Créez/supprimez des objets utilisateur | Cet objet et tous les objets descendants |
Pour connaître les étapes de la mise à niveau d’un agent existant afin d’utiliser un compte gMSA, consultez Comptes de service managés de groupe.
Pour plus d’informations sur la préparation de votre répertoire Active Directory pour le compte de service administré de groupe, consultez Présentation des comptes de service administré de groupe et Comptes de service administré de groupe avec une synchronisation cloud.
Dans le centre d'administration Microsoft Entra
- Créez un compte d’administrateur d’identité hybride de type cloud uniquement sur votre client Microsoft Entra. De cette façon, vous pouvez gérer la configuration de votre client si vos services locaux venaient à échouer ou ne plus être disponibles. Découvrez comment ajouter un compte d’administrateur d’identité hybride de type cloud uniquement. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre client.
- Ajoutez un ou plusieurs noms de domaine personnalisés à votre client Microsoft Entra. Vos utilisateurs peuvent se connecter à l’aide de l’un de ces noms de domaine.
Dans votre annuaire dans Azure Active Directory
Exécutez l’outil IdFix afin de préparer les attributs d’annuaire pour la synchronisation.
Dans votre environnement local
- Identifiez un serveur hôte joint à un domaine exécutant Windows Server 2016 ou ultérieur, avec au minimum 4 Go de RAM et .NET 4.7.1 + Runtime.
- La stratégie d’exécution de PowerShell sur le serveur local doit être définie sur Undefined ou sur RemoteSigned.
- S'il existe un pare-feu entre vos serveurs et Microsoft Entra ID, consultez Exigences relatives au pare-feu et au proxy.
Remarque
L’installation de l’agent d’approvisionnement cloud sur Windows Server Core n’est pas prise en charge.
Approvisionner Microsoft Entra ID dans Active Directory – Conditions préalables
Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory.
Conditions de licence
L’utilisation de cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence adaptée à vos besoins, consultez Comparer les fonctionnalités en disponibilité générale de Microsoft Entra ID.
Exigences générales
- Un compte Microsoft Entra avec au moins un rôle Administrateur d’identité hybride.
- Un environnement Active Directory Domain Services local avec le système d’exploitation Windows Server 2016 ou version ultérieure.
- Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
- Un agent d’approvisionnement avec la version de build 1.1.1370.0 ou ultérieure.
Remarque
Les autorisations pour le compte de service sont attribuées uniquement lors d’une nouvelle installation. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de la cmdlet PowerShell :
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si les autorisations sont définies manuellement, vous devez vous assurer de disposer des propriétés Lire, Écrire, Créer et Supprimer toutes les propriétés pour tous les objets de groupes et d’utilisateurs descendants.
Ces autorisations ne sont pas appliquées aux objets AdminSDHolder par les cmdlets gMSA PowerShell de l’agent d'approvisionnement Microsoft Entra par défaut.
- L’agent d’approvisionnement doit être capable de communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (Global Catalog).
- Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’adhésion non valides
- Microsoft Entra Connect avec la version de build 2.2.8.0 ou ultérieure
- Obligatoire pour prendre en charge la synchronisation de l’abonnement des utilisateurs locaux à l’aide de Microsoft Entra Connect
- Obligatoire pour synchroniser AD:user:objectGUID avec AAD:user:onPremisesObjectIdentifier
Groupes et limites d’échelle pris en charge
Les opérations suivantes sont prises en charge :
- Seuls les groupes de sécurité créés sur le cloud sont pris en charge.
- Ces groupes peuvent avoir des groupes d’appartenance attribuée ou dynamique.
- Ces groupes peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés dans le cloud supplémentaires.
- Les comptes d’utilisateur locaux synchronisés et membres de ce groupe de sécurité créé dans le cloud peuvent provenir du même domaine ou inter-domaine, mais ils doivent tous provenir de la même forêt.
- Ces groupes sont écrits en différé avec l’étendue des groupes AD universelle. Votre environnement local doit prendre en charge l’étendue du groupe universel.
- Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
- Les clients qui ont plus de 150 000 objets ne sont pas pris en charge. Cela signifie que si un client a une combinaison d’utilisateurs et de groupes qui dépassent 150 000 objets, le client n’est pas pris en charge.
- Chaque groupe imbriqué enfant direct compte en tant que membre du groupe de référencement.
- La réconciliation des groupes entre Microsoft Entra ID et Active Directory n'est pas prise en charge si le groupe est mis à jour manuellement dans Active Directory.
Informations supplémentaires
Voici des informations supplémentaires sur l’approvisionnement de groupes dans Active Directory.
- Les groupes approvisionnés sur AD à l’aide de la synchronisation cloud peuvent contenir uniquement des utilisateurs synchronisés locaux et/ou des groupes de sécurité créés par le cloud supplémentaires.
- Tous ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
- L’attribut onPremisesObjectIdentifier doit correspondre à un objectGUID correspondant dans l’environnement AD cible.
- Un attribut objectGUID d’utilisateurs sur site peut être synchronisé vers un attribut onPremisesObjectIdentifier d'utilisateurs cloud à l’aide de Microsoft Entra Cloud Sync (1.1.1370.0) ou de Microsoft Entra Connect Sync (2.2.8.0).
- Si vous utilisez Microsoft Entra Connect Sync (2.2.8.0) pour synchroniser les utilisateurs, au lieu de Microsoft Entra Cloud Sync et que vous souhaitez utiliser l’approvisionnement vers AD, la version doit être 2.2.8.0 ou ultérieure.
- Seuls les clients Microsoft Entra ID standard sont pris en charge pour l’approvisionnement de Microsoft Entra ID dans Active Directory. Les clients tels que B2C ne sont pas pris en charge.
- Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.
Autres exigences
- Minimum Microsoft .NET Framework 4.7.1
Exigences relatives à TLS
Remarque
Le protocole TLS (Transport Layer Security) est un protocole qui fournit des communications sécurisées. La modification des paramètres TLS affecte l’ensemble de la forêt. Pour plus d’informations, consultez Mise à jour pour activer TLS 1.1 et TLS 1.2 en tant que protocoles sécurisés par défaut dans WinHTTP sur Windows.
Le serveur Windows qui héberge l'agent de provisionnement cloud Microsoft Entra Connect doit avoir TLS 1.2 activé avant de l'installer.
Pour activer TLS 1.2, suivez ces étapes.
Définissez les clés de Registre suivantes en copiant le contenu dans un fichier .reg, puis exécutez le fichier (cliquez avec le bouton droit et choisissez Fusionner) :
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Redémarrez le serveur.
Configuration requise pour le pare-feu et le proxy
S’il existe un pare-feu entre vos serveurs et Microsoft Entra ID, configurez les éléments suivants :
Assurez-vous que les agents peuvent envoyer des demandes sortantes à Microsoft Entra ID par le biais des ports suivants :
Numéro de port Description 80 Télécharge les listes de révocation de certificats lors de la validation du certificat TLS/SSL. 443 Gère toutes les communications sortantes avec le service. 8080 (facultatif) Les agents signalent leur état toutes les 10 minutes sur le port 8080, si le port 443 n’est pas disponible. Ce statut est affiché dans le centre d'administration Microsoft Entra. Si votre pare-feu applique les règles en fonction des utilisateurs d’origine, ouvrez ces ports au trafic provenant des services Windows exécutés en tant que service réseau.
Vérifiez que votre proxy prend en charge au moins le protocole HTTP 1.1 et que l’encodage segmenté est activé.
Si votre pare-feu ou votre proxy vous permet de spécifier des suffixes sûrs, ajoutez des connexions :
URL | Description |
---|---|
*.msappproxy.net *.servicebus.windows.net |
L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Azure utilise ces URL pour vérifier les certificats. |
login.windows.net |
L’agent utilise ces URL lors du processus d’inscription. |
Configuration NTLM requise
Vous ne devez pas activer NTLM sur le serveur Windows exécutant l’agent d’approvisionnement Microsoft Entra et, s’il est activé, vous devez veiller à le désactiver.
Limitations connues
Les limitations connues sont les suivantes :
Synchronisation delta
- Le filtrage d’étendue du groupe pour la synchronisation delta ne prend pas en charge plus de 50 000 membres.
- Lorsque vous supprimez un groupe utilisé dans le cadre d’un filtre d’étendue de groupe, les utilisateurs qui sont membres du groupe ne sont pas supprimés.
- Lorsque vous renommez l’unité d’organisation ou le groupe qui se trouve dans l’étendue, la synchronisation delta ne supprime pas les utilisateurs.
Journaux d’approvisionnement
- Les journaux d’approvisionnement ne font pas clairement la différence entre les opérations de création et de mise à jour. Vous pouvez voir une opération de création pour une mise à jour et une opération de mise à jour pour une création.
Renommage de groupe ou d’unité d’organisation
- Si vous renommez un groupe ou une unité d’organisation dans AD pour une configuration donnée, le travail de synchronisation cloud ne pourra pas reconnaître le changement de nom dans AD. Le travail ne sera pas mis en quarantaine et reste sain.
Filtre d’étendue
Quand vous utilisez le filtre d’étendue des unités d’organisation
La configuration d’étendue a une limitation de 4 Mo en longueur de caractères. Dans un environnement testé standard, cela se traduit par environ 50 unités organisationnelles ou groupes de sécurité distincts, y compris ses métadonnées requises, pour une configuration donnée.
Les unités d’organisation imbriquées sont prises en charge : cela signifie que vous pouvez synchroniser une unité d’organisation contenant 130 unités d’organisation imbriquées, mais que vous ne pouvez pas synchroniser 60 unités d’organisation distinctes dans la même configuration.
Synchronisation de hachage de mot de passe
- L’utilisation de la synchronisation de hachage de mot de passe avec InetOrgPerson n’est pas prise en charge.