Conditions préalables pour Microsoft Entra Connect
Cet article décrit les conditions préalables et la configuration matérielle requise pour Microsoft Entra Connect.
Avant d’installer Microsoft Entra Connect
Avant d’installer Microsoft Entra Connect, voici ce dont vous avez besoin.
Microsoft Entra ID
- Vous avez besoin d’un client Microsoft Entra. Vous pouvez en obtenir un avec un essai gratuit Azure. Vous pouvez utiliser l’un des portails suivants pour gérer Microsoft Entra Connect :
- Ajoutez et vérifiez le domaine que vous prévoyez d’utiliser dans Microsoft Entra ID. Par exemple, si vous envisagez d’utiliser contoso.com pour vos utilisateurs, assurez-vous que ce domaine a été vérifié et que vous n’utilisez pas uniquement le domaine par défaut contoso.onmicrosoft.com.
- Un client Microsoft Entra autorise, par défaut, 50 000 objets. Lorsque vous vérifiez votre domaine, la limite passe à 300 000 objets. Si vous avez besoin de davantage d’objets dans Microsoft Entra ID, ouvrez une demande de support pour que la limite soit augmentée en conséquence. Si vous avez besoin de plus de 500 000 objets, il vous faut une licence telle que Microsoft 365, Microsoft Entra ID P1 ou P2 ou Enterprise Mobility + Security.
Préparez vos données locales
- Utilisez IdFix pour identifier les erreurs comme les doublons et les problèmes de mise en forme dans votre répertoire avant d’effectuer la synchronisation avec Microsoft Entra ID et Microsoft 365.
- Vérifiez les fonctionnalités de synchronisation facultatives que vous pouvez activer dans Microsoft Entra ID et évaluez quelles fonctionnalités vous devez activer.
Active Directory local
- La version de schéma Active Directory et le niveau fonctionnel de forêt doivent être Windows Server 2003 ou version ultérieure. Les contrôleurs de domaine peuvent exécuter n’importe quelle version aussi longtemps que les exigences relatives à la version de schéma et au niveau de forêt sont remplies. Vous pourriez nécessiter un programme de support payant si vous avez besoin de la prise en charge des contrôleurs de domaine exécutant Windows Server 2016 ou versions antérieures.
- Le contrôleur de domaine utilisé par Microsoft Entra ID doit être accessible en écriture. L’utilisation d’un contrôleur de domaine en lecture seule (RODC) n’est pas prise en charge et Microsoft Entra Connect ne suivra pas les redirections d’écriture.
- L’utilisation de forêts ou de domaines locaux utilisant des noms NetBIOS avec un point (le nom contient un point « . ») n’est pas prise en charge.
- Nous vous recommandons d’activer la corbeille d’Active Directory.
Stratégie d'exécution de PowerShell
Microsoft Entra Connect exécute des scripts PowerShell signés dans le cadre de l’installation. Assurez-vous que la stratégie d’exécution de PowerShell autorise l’exécution de scripts.
La stratégie d’exécution recommandée lors de l’installation est « RemoteSigned ».
Pour plus d’informations sur la définition de la stratégie d’exécution de PowerShell, consultez Set-ExecutionPolicy.
Serveur Microsoft Entra Connect
Le serveur Microsoft Entra Connect contient des données d’identité critiques. Il est important que l’accès administratif à ce serveur soit correctement sécurisé. Suivez les instructions de l’article Sécurisation de l’accès privilégié.
Le serveur Microsoft Entra Connect doit être traité comme un composant de niveau 0, comme expliqué dans le modèle de niveau administratif Active Directory. Nous vous recommandons de renforcer le serveur Microsoft Entra Connect en tant que ressource de plan de contrôle en suivant les instructions fournies dans Sécuriser l’accès privilégié.
Pour en savoir plus sur la sécurisation de votre environnement Active Directory, consultez Meilleures pratiques pour la sécurisation d’Active Directory.
Prérequis pour l’installation
- Microsoft Entra Connect doit être installé sur un serveur Windows Server 2016 joint à un domaine ou sur une version ultérieure. Nous vous recommandons d’utiliser Windows Server 2022 joint à un domaine. Vous pouvez déployer Microsoft Entra Connect sur Windows Server 2016. Toutefois, étant donné que Windows Server 2016 est en support étendu, un programme de support payant peut s’avérer nécessaire si vous avez besoin de support pour cette configuration.
- La version minimale requise de .NET Framework est 4.6.2, et les versions plus récentes de .NET sont également prises en charge. .NET version 4.8 et ultérieure offre la meilleure conformité en matière d’accessibilité.
- Vous ne pouvez pas installer Microsoft Entra Connect sur des serveurs Small Business Server ou Windows Server Essentials dont la version est antérieure à 2019 (Windows Server Essentials 2019 est pris en charge). Le serveur doit utiliser Windows Server Standard ou une version supérieure.
- Le serveur Microsoft Entra Connect doit disposer d’une interface utilisateur graphique complète. L’installation de Microsoft Entra Connect sur Windows Server Core n’est pas prise en charge.
- La stratégie de groupe de transcription PowerShell ne doit pas être activée sur le serveur Microsoft Entra Connect si vous utilisez l’assistant Microsoft Entra Connect pour gérer la configuration des services de fédération Active Directory (AD FS). Vous pouvez activer la transcription PowerShell si vous utilisez l’Assistant Microsoft Entra Connect pour gérer la configuration de la synchronisation.
- Vérifiez que MS Online PowerShell (MSOL) n’est pas bloqué au niveau du client.
- Si AD FS est déployé :
- Les serveurs sur lesquels AD FS ou le proxy d’application web sont installés doivent être des serveurs Windows Server 2012 R2 ou version ultérieure. Windows Remote Management doit être activée sur ces serveurs pour l’installation à distance. Vous pouvez nécessiter un programme de support payant si vous avez besoin de support pour Windows Server 2016 ou version antérieure.
- Vous devez configurer des certificats TLS/SSL. Pour plus d’informations, consultez Gestion des protocoles SSL/TLS et des suites de chiffrement pour AD FS et Gestion des certificats SSL dans AD FS.
- Vous devez configurer la résolution de noms.
- Elle n’est pas prise en charge pour interrompre et analyser le trafic entre Microsoft Entra Connect et Microsoft Entra ID. Cela pourrait perturber le service.
- Si l’authentification multifacteur est activée pour vos administrateurs d’identités hybrides, l’URL
https://secure.aadcdn.microsoftonline-p.com
doit figurer dans la liste des sites de confiance. Vous êtes invité à ajouter ce site à la liste des sites de confiance lorsque vous êtes invité à passer un test d’authentification multifacteur et qu’il n’a pas encore été ajouté. Vous pouvez utiliser Internet Explorer pour l’ajouter à vos sites de confiance. - Si vous envisagez d’utiliser Microsoft Entra Connect Health pour la synchronisation, vous devez utiliser un compte d’administrateur général pour installer Microsoft Entra Connect Sync. Si vous utilisez un compte d’administrateur hybride, l’agent est installé mais dans un état désactivé. Pour plus d’informations, consultez Installation de l’agent Microsoft Entra Connect Health.
Renforcer votre serveur Microsoft Entra Connect
Nous vous recommandons de renforcer votre serveur Microsoft Entra Connect afin de réduire la surface d’attaque de sécurité de ce composant essentiel de votre environnement informatique. En suivant ces recommandations, vous contribuez à atténuer certains risques de sécurité pour votre organisation.
- Nous vous recommandons de renforcer le serveur Microsoft Entra Connect en tant que ressource de plan de contrôle (anciennement niveau 0) en suivant les instructions fournies dans Sécuriser l’accès privilégié et Modèle hiérarchique administratif Active Directory.
- Limitez l’accès administrateur au serveur Microsoft Entra Connect aux seuls administrateurs de domaine ou autres groupes de sécurité étroitement contrôlés.
- Créez un compte dédié pour tous les membres du personnel disposant d’un accès privilégié. Les administrateurs ne doivent pas naviguer sur Internet, consulter leur e-mails ni effectuer des tâches de productivité quotidiennes avec des comptes à privilèges élevés.
- Suivez les instructions fournies dans Sécurisation de l’accès privilégié.
- Refusez l’utilisation de l’authentification NTLM avec le serveur Microsoft Entra Connect. Voici quelques façons de procéder : Restriction de NTLM sur le serveur Microsoft Entra Connect et Restriction de NTLM sur un domaine
- Assurez-vous que chaque ordinateur dispose d’un mot de passe d’administrateur local unique. Pour plus d’informations, consultez la solution de mot de passe d’administrateur local (Windows LAPS). LAPS peut configurer des mots de passe aléatoires uniques sur chaque station de travail et les stocker sur serveur dans Active Directory, protégé par une liste de contrôle d’accès. Seuls les utilisateurs autorisés éligibles peuvent lire ou demander la réinitialisation de ces mots de passe de compte d’administrateur local. Vous allez trouver des conseils supplémentaires sur le fonctionnement d’un environnement avec une LAPS et des stations de travail à accès privilégié (PAW) dans Normes opérationnelles basées sur le principe de source propre.
- Implémentez des stations de travail à accès privilégié dédiées pour tous les membres du personnel disposant d’un accès privilégié aux systèmes informatiques de votre organisation.
- Suivez ces instructions supplémentaires pour réduire la surface d’attaque de votre environnement Active Directory.
- Si vous souhaitez configurer des alertes pour superviser les modifications apportées à l’approbation établie entre votre fournisseur d’identité et Microsoft Entra ID, lisez Superviser les modifications apportées à la configuration de fédération.
- Activez l’Authentification multifacteur (MFA) pour tous les utilisateurs disposant d’un accès privilégié dans Microsoft Entra ID ou dans AD. L’un des problèmes de sécurité liés à l’utilisation de Microsoft Entra Connect est que si un attaquant peut contrôler le serveur Microsoft Entra Connect, il peut manipuler les utilisateurs dans Microsoft Entra ID. Pour empêcher un attaquant d’utiliser ces fonctionnalités afin de contrôler des comptes Microsoft Entra, l’authentification multifacteur offre des protections permettant d’éviter qu’un attaquant essayant de réinitialiser le mot de passe d’un utilisateur à l’aide de Microsoft Entra Connect, puisse contourner le second facteur.
- Désactivez le Soft Matching sur votre client. Le Soft Matching est une excellente fonctionnalité pour vous aider à transférer la source d’autorité des objets cloud managés existants à Microsoft Entra Connect, mais elle présente certains risques en termes de sécurité. Si vous n’en avez pas besoin, désactivez Soft Matching.
- Désactivez Hard Match Takeover. Hard Match Takeover permet à Microsoft Entra Connect de prendre le contrôle d’un objet cloud managé et de remplacer la source d’autorité de l’objet par Active Directory. Une fois que la source d’autorité d’un objet est sous le contrôle de Microsoft Entra Connect, les modifications apportées à l’objet Active Directory lié à l’objet Microsoft Entra remplacent les données Microsoft Entra d’origine, y compris le hachage de mot de passe, si la synchronisation de hachage de mot de passe est activée. Un attaquant pourrait utiliser cette fonctionnalité pour prendre le contrôle d’objets cloud managés. Pour atténuer ce risque, désactivez Hard Match Takeover.
SQL Server utilisé par Microsoft Entra Connect
- Microsoft Entra Connect nécessite une base de données SQL Server pour stocker les données d’identité. Par défaut, une base de données locale SQL Server 2019 Express (version légère de SQL Server Express) est installée. SQL Server Express a une limite de 10 Go qui vous permet de gérer environ 100 000 objets. Si vous avez besoin de gérer un volume plus important d’objets annuaire, pointez l’Assistant d’installation vers une autre installation de SQL Server. Le type d’installation de SQL Server peut impacter les performances de Microsoft Entra Connect.
- Si vous utilisez une installation différente de SQL Server, ces conditions s’appliquent :
- Microsoft Entra Connect prend en charge toutes les versions standard de SQL Server prises en charge jusqu’à SQL Server 2022 s’exécutant sur Windows. Reportez-vous à l’article Cycle de vie SQL Server pour vérifier le statut de prise en charge de votre version de SQL Server. SQL Server 2012 n’est plus pris en charge. La base de données Azure SQL n’est pas pris en charge en tant que base de données. Ceci inclut Azure SQL Database et Azure SQL Managed Instance.
- Vous devez utiliser un classement SQL qui ne respecte pas la casse. Ces classements sont identifiés par un _CI_ dans leur nom. L’utilisation d’un classement qui respecte la casse, identifié par _CS_ dans le nom, n’est pas prise en charge.
- Vous ne pouvez avoir qu’un seul moteur de synchronisation par instance SQL. Le partage d’une instance SQL avec MIM Sync, DirSync ou Azure AD Sync n’est pas pris en charge.
- Conservez le pilote ODBC pour SQL Server version 17 et le pilote OLE DB pour SQL Server version 18 qui sont fournis avec Microsoft Entra Connect. La mise à niveau des pilotes ODBC/OLE DB vers une version majeure ou mineure n’est pas prise en charge. L’équipe du groupe de produits Microsoft Entra Connect inclura de nouveaux pilotes ODBC/OLE DB lorsqu’ils seront disponibles et que leur mise à jour sera requise.
Comptes
- Vous devez avoir un compte Administrateur général Microsoft Entra ou un compte Administrateur d’identité hybride pour le client Microsoft Entra que vous souhaitez intégrer. Ce compte doit être un compte scolaire ou d’organisation et non un compte Microsoft.
- Si vous utilisez la configuration rapide ou effectuez une mise à niveau depuis DirSync, vous devez disposer d’un compte Administrateur d’entreprise pour votre annuaire Active Directory local.
- Si vous utilisez le chemin d’installation des paramètres personnalisés, vous avez plus d’options. Pour plus d’informations, consultez Paramètres d’installation personnalisée.
Connectivité
- Le serveur Microsoft Entra Connect nécessite une résolution DNS Intranet et Internet. Le serveur DNS doit pouvoir résoudre des noms sur votre domaine Active Directory local et sur les points de terminaison Microsoft Entra.
- Microsoft Entra Connect nécessite une connectivité réseau à tous les domaines configurés
- Microsoft Entra Connect nécessite une connectivité réseau au domaine racine de toute forêt configurée
- Si vous disposez de pare-feu sur votre Intranet et que vous devez ouvrir des ports entre les serveurs Microsoft Entra Connect et vos contrôleurs de domaine, consultez l’article Ports Microsoft Entra Connect pour en savoir plus.
- Si votre proxy ou votre pare-feu limite les URL accessibles, les URL répertoriées dans URL et plages d’adresses IP Office 365 doivent être ouvertes. Consultez également Établir une liste sécurisée des URL du centre d’administration Microsoft Entra sur votre pare-feu ou serveur proxy.
- Si vous utilisez le cloud Microsoft en Allemagne ou le cloud Microsoft Azure Government, consultez Considérations relatives aux instances de service Microsoft Entra Connect Sync à propos des URL.
- Microsoft Entra Connect (version 1.1.614.0 et ultérieures) utilise TLS 1.2 par défaut pour le chiffrement de la communication entre le moteur de synchronisation et Microsoft Entra ID. Si TLS 1.2 n’est pas disponible sur le système d’exploitation sous-jacent, Microsoft Entra Connect revient de façon incrémentielle aux protocoles plus anciens (TLS 1.1 et TLS 1.0). À compter de Microsoft Entra Connect version 2.0. Les protocoles TLS 1.0 et 1.1 ne sont plus pris en charge et l’installation échoue si TLS 1.2 n’est pas disponible.
- Avant la version 1.1.614.0, Microsoft Entra Connect utilise TLS 1.0 par défaut pour le chiffrement de la communication entre le moteur de synchronisation et Microsoft Entra ID. Pour utiliser TLS 1.2, suivez les étapes de l’article Activer TLS 1.2 pour Microsoft Entra Connect.
Important
La version 2.3.20.0 est une mise à jour de sécurité. Avec cette mise à jour, Microsoft Entra Connect nécessite TLS 1.2. Vérifiez que TLS 1.2 est activé avant la mise à jour vers cette version.
Toutes les versions de Windows Server prennent en charge TLS 1.2. Si votre serveur ne prend pas en charge TLS 1.2, vous devez l’activer avant de pouvoir déployer Microsoft Entra Connect v2.0.
Pour utiliser un script PowerShell qui vérifie si TLS 1.2 est activé, consultez Script PowerShell pour vérifier le protocole TLS
Pour plus d’informations sur TLS 1.2, consultez l’avis de sécurité Microsoft 2960358. Pour plus d’informations sur l’activation de TLS 1.2, consultez Comment activer TLS 1.2
Si vous utilisez un proxy sortant pour vous connecter à Internet, le paramètre suivant dans le fichier C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config doit être ajouté pour que l’Assistant d’installation et Microsoft Entra Connect Sync puissent se connecter à Internet et à Microsoft Entra ID. Ce texte doit être entré en bas du fichier. Dans ce code, <PROXYADDRESS> représente l’adresse IP ou le nom d’hôte réel du proxy.
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Si votre serveur proxy requiert une authentification, le compte de service doit se trouver dans le domaine. Utilisez le chemin d’installation des paramètres personnalisés pour spécifier un compte de service personnalisé. Vous devez également modifier le fichier machine.config. Cette modification dans le fichier machine.config permet à l’assistant d’installation et au moteur de synchronisation de répondre aux demandes d’authentification du serveur proxy. Dans toutes les pages de l’Assistant d’installation, à l’exclusion de la page Configurer, les identifiants de l’utilisateur sont utilisés. Dans la page Configurer à la fin de l’Assistant d’installation, le contexte bascule vers le compte de service que vous avez créé. La section machine.config doit se présenter comme suit :
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Si la configuration du proxy s’effectue dans une configuration existante, le service Microsoft Entra ID Sync doit être redémarré une fois pour que Microsoft Entra Connect puisse lire la configuration du proxy et mettre à jour le comportement.
Lorsque Microsoft Entra Connect envoie une requête web à Microsoft Entra ID dans le cadre de la synchronisation d’annuaires, la réponse de Microsoft Entra ID peut prendre jusqu’à 5 minutes. Il est courant qu’un délai d’inactivité de la connexion soit configuré sur les serveurs proxy. Vérifiez que la configuration est définie sur au moins 6 minutes, voire plus.
Consultez MSDN pour plus d’informations sur l’élément proxy par défaut. Pour plus d’informations lorsque vous avez des problèmes de connectivité, consultez Résoudre les problèmes de connectivité liés à Azure AD Connect.
Autre
Facultatif : utilisez un compte d’utilisateur test pour vérifier la synchronisation.
Configuration requise pour les composants
PowerShell et .NET Framework
Microsoft Entra Connect repose sur Microsoft PowerShell 5.0 et .NET Framework 4.5.1. Cette version ou une version ultérieure doit être installée sur votre serveur.
Activer TLS 1.2 pour Microsoft Entra Connect
Important
La version 2.3.20.0 est une mise à jour de sécurité. Avec cette mise à jour, Microsoft Entra Connect nécessite TLS 1.2. Vérifiez que TLS 1.2 est activé avant la mise à jour vers cette version.
Toutes les versions de Windows Server prennent en charge TLS 1.2. Si votre serveur ne prend pas en charge TLS 1.2, vous devez l’activer avant de pouvoir déployer Microsoft Entra Connect v2.0.
Pour utiliser un script PowerShell qui vérifie si TLS 1.2 est activé, consultez Script PowerShell pour vérifier le protocole TLS
Pour plus d’informations sur TLS 1.2, consultez l’avis de sécurité Microsoft 2960358. Pour plus d’informations sur l’activation de TLS 1.2, consultez Comment activer TLS 1.2
Avant la version 1.1.614.0, Microsoft Entra Connect utilise TLS 1.0 par défaut pour le chiffrement de la communication entre le serveur du moteur de synchronisation et Microsoft Entra ID. Vous pouvez configurer les applications .NET pour qu’elles utilisent TLS 1.2 par défaut sur le serveur. Pour plus d’informations sur TLS 1.2, consultez l’avis de sécurité Microsoft 2960358.
Vérifiez que le correctif .NET 4.5.1 est installé pour votre système d’exploitation. Pour plus d’informations, consultez l’avis de sécurité Microsoft 2960358. Il est possible que cette version du correctif ou une version ultérieure soit déjà installée sur votre serveur.
Pour tous les systèmes d’exploitation, définissez cette clé de Registre et redémarrez le serveur.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
Si vous souhaitez également activer TLS 1.2 entre le serveur de moteur de synchronisation et un serveur SQL distant, vérifiez que vous disposez des versions requises pour la prise en charge de TLS 1.2 pour Microsoft SQL Server.
Pour plus d’informations, consultez Comment activer TLS 1.2
Prérequis DCOM sur le serveur de synchronisation
Pendant l’installation du service de synchronisation, Microsoft Entra Connect vérifie la présence de la clé de registre suivante :
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
Sous cette clé de Registre, Microsoft Entra Connect vérifiera si les valeurs suivantes sont présentes et non corrompues :
Configuration requise pour l'installation et la configuration de la fédération
Windows Remote Management
Lorsque vous utilisez Microsoft Entra Connect pour déployer AD FS ou le proxy d’application web (WAP), vérifiez les conditions requises suivantes :
- Si le serveur cible est joint à un domaine, assurez-vous que la gestion à distance Windows est activée.
- Dans une fenêtre de commandes PowerShell avec élévation de privilèges, utilisez la commande
Enable-PSRemoting –force
.
- Dans une fenêtre de commandes PowerShell avec élévation de privilèges, utilisez la commande
- Si le serveur cible n’est pas un ordinateur WAP joint à un domaine, il existe quelques conditions requises supplémentaires :
- Sur l'ordinateur cible (ordinateur WAP) :
- Vérifiez que le service Windows Remote Management/WS-Management (WinRM) s’exécute via le composant logiciel enfichable Services.
- Dans une fenêtre de commandes PowerShell avec élévation de privilèges, utilisez la commande
Enable-PSRemoting –force
.
- Sur l’ordinateur sur lequel s’exécute l’assistant (si l’ordinateur cible n’est pas joint à un domaine ou s’il s’agit d’un domaine non approuvé) :
- Dans une fenêtre de commandes PowerShell avec élévation de privilèges, utilisez la commande
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate
. - Dans le gestionnaire de serveur :
- Ajoutez un hôte WAP DMZ à un pool de machines. Dans le gestionnaire de serveur, sélectionnez Gérer>Ajouter des serveurs, puis utilisez l’onglet DNS.
- Sous l’onglet Tous les serveurs de Gestionnaire de serveur, cliquez avec le bouton droit sur le serveur WAP, puis sélectionnez Gérer en tant que. Entrez les identifiants locales (et non de domaine) pour l’ordinateur WAP.
- Pour valider la connectivité PowerShell distante, dans l’onglet Tous les serveurs de Gestionnaire de serveur, cliquez avec le bouton droit sur le serveur WAP et sélectionnez Windows PowerShell. Une session PowerShell distante doit s’ouvrir pour garantir le fait que des sessions PowerShell distantes peuvent être établies.
- Dans une fenêtre de commandes PowerShell avec élévation de privilèges, utilisez la commande
- Sur l'ordinateur cible (ordinateur WAP) :
Configuration requise des certificats TLS/SSL
- Nous vous recommandons d’utiliser le même certificat TLS/SSL sur tous les nœuds de votre batterie de serveurs AD FS, ainsi que sur tous les serveurs de proxy d’application web.
- Il doit s’agir d’un certificat X509.
- Vous pouvez utiliser un certificat auto-signé sur les serveurs de fédération dans un environnement de laboratoire de test. Pour un environnement de production, nous vous recommandons d’obtenir le certificat auprès d’une autorité de certification publique.
- Si vous utilisez un certificat qui n’est pas approuvé publiquement, assurez-vous que le certificat installé sur chaque serveur de proxy d’application web est approuvé sur le serveur local et sur tous les serveurs de fédération.
- L’identité du certificat doit correspondre au nom du service de fédération (par exemple, sts.contoso.com).
- L’identité est soit une extension « autre nom de l’objet » (SAN) de type dNSName, soit, à défaut d’entrée SAN, le nom d’objet spécifié comme nom commun.
- Le certificat peut contenir plusieurs entrées SAN, pour autant que l’une d’elles corresponde au nom des services de fédération.
- Si vous projetez d’utiliser Rattacher à l'espace de travail, vous avez besoin d’un SAN supplémentaire dont la valeur est enterpriseregistration., suivie du suffixe de nom d’utilisateur principal (UPN) de votre organisation, par exemple, enterpriseregistration.contoso.com.
- Les certificats basés sur les clés CNG (CryptoAPI Next Generation) et les fournisseurs de stockage de clés (KSP) ne sont pas pris en charge. Par conséquent, vous devez utiliser un certificat basé sur un fournisseur de services de chiffrement (CSP) et sur non un KSP.
- Les certificats utilisant des caractères génériques sont pris en charge.
Résolution de noms pour les serveurs de fédération
- Configurez les enregistrements DNS pour le nom AD FS (par exemple, sts.contoso.com) pour l’Intranet (votre serveur DNS interne) et l’extranet (le DNS public via votre registre de nom de domaine). Pour l’enregistrement DNS intranet, vérifiez que vous utilisez des enregistrements A et non des enregistrements CNAME. L’utilisation d’enregistrements A est requis pour le bon fonctionnement de l’authentification Windows à partir de votre ordinateur joint à un domaine.
- Si vous déployez plusieurs serveurs AD FS ou serveurs de proxy d’application web, vérifiez que vous avez configuré votre équilibreur de charge et que les enregistrements DNS pour le nom AD FS (p. ex., sts.contoso.com) pointent vers l’équilibreur de charge.
- Pour que l’authentification intégrée Windows fonctionne avec les applications de navigateur utilisant Internet Explorer dans votre Intranet, vérifiez que le nom AD FS (par exemple, sts.contoso.com) est ajouté à la zone Intranet dans Internet Explorer. Cette exigence peut être contrôlée par le biais de la stratégie de groupe et déployée sur tous les ordinateurs joints au domaine.
Composants de prise en charge Microsoft Entra Connect
Microsoft Entra Connect installe les composants suivants sur le serveur où Microsoft Entra Connect est installé. Cette liste est destinée à une installation Express de base. Si vous choisissez d’utiliser un autre serveur SQL sur la page Installer des services de synchronisation, SQL Express LocalDB n’est pas installée localement.
- Microsoft Entra Connect Health
- Utilitaires de ligne de commande Microsoft SQL Server 2022
- Microsoft SQL Server 2022 Express LocalDB
- Microsoft SQL Server 2022 Native Client
- Package de redistribution Microsoft Visual C++ 14
Configuration matérielle requise pour Microsoft Entra Connect
Le tableau suivant présente la configuration minimale requise pour l’ordinateur Microsoft Entra Connect Sync.
Nombre d’objets dans Active Directory | UC | Mémoire | Taille du disque dur |
---|---|---|---|
Moins de 10 000 | 1,6 GHz | 6 Go | 70 Go |
Entre 10 000 et 50 000 | 1,6 GHz | 6 Go | 70 Go |
Entre 50 000 et 100 000 | 1,6 GHz | 16 Go | 100 Go |
À partir de 100 000 objets, la version complète de SQL Server est requise. Pour des raisons de performance, il est préférable de l’installer localement. Les valeurs suivantes sont valides uniquement pour l’installation de Microsoft Entra Connect. Si SQL Server est installé sur le même serveur, de la mémoire, des lecteurs et des capacités processeur supplémentaires sont nécessaires. | |||
Entre 100 000 et 300 000 | 1,6 GHz | 32 Go | 300 Go |
Entre 300 000 et 600 000 | 1,6 GHz | 32 Go | 450 Go |
Plus de 600 000 | 1,6 GHz | 32 Go | 500 Go |
La configuration minimale requise pour les ordinateurs exécutant AD FS ou les serveurs de proxy d’applications web est la suivante :
- Processeur : double cœur 1,6 GHz ou supérieur
- Mémoire : 2 Go ou plus
- Machine virtuelle Azure : configuration A2 ou supérieure
Étapes suivantes
En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.