A Microsoft Entra Connect előfeltételei

Ez a cikk a Microsoft Entra Csatlakozás előfeltételeit és hardverkövetelményeit ismerteti.

A Microsoft Entra Csatlakozás telepítése előtt

A Microsoft Entra Csatlakozás telepítése előtt néhány dologra van szüksége.

Microsoft Entra ID

  • Microsoft Entra-bérlőre van szüksége. Ingyenes Azure-próbaverziót kap. Az alábbi portálok egyikével kezelheti a Microsoft Entra Csatlakozás:
  • Adja hozzá és ellenőrizze a Microsoft Entra-azonosítóban használni kívánt tartományt . Ha például contoso.com szeretne használni a felhasználók számára, győződjön meg arról, hogy a tartomány ellenőrzött, és nem csak az alapértelmezett contoso.onmicrosoft.com tartományt használja.
  • A Microsoft Entra-bérlők alapértelmezés szerint 50 000 objektumot engedélyeznek. A tartomány ellenőrzésekor a korlát 300 000 objektumra nő. Ha még több objektumra van szüksége a Microsoft Entra-azonosítóban, nyisson meg egy támogatási esetet, amely még tovább növeli a korlátot. Ha több mint 500 000 objektumra van szüksége, licencre van szüksége, például Microsoft 365, Microsoft Entra ID P1 vagy P2 vagy Enterprise Mobility + Security.

A helyszíni adatok előkészítése

Helyszíni Active Directory

  • Az Active Directory sémaverziójának és az erdő működési szintjének legalább Windows Server 2003 vagy újabb rendszerűnek kell lennie. A tartományvezérlők bármilyen verziót képesek futtatni, ha a sémaverzió és az erdőszint követelményei teljesülnek. Ha a Windows Server 2016-ot vagy régebbi verziót futtató tartományvezérlőkhöz támogatást igényel, fizetős támogatási programra lehet szükség.
  • A Microsoft Entra ID által használt tartományvezérlőnek írhatónak kell lennie. Írásvédett tartományvezérlő (RODC) használata nem támogatott, és a Microsoft Entra Csatlakozás nem követ írási átirányításokat.
  • Helyszíni erdők vagy tartományok használata "pontozott" használatával (a név tartalmaz egy ".") pontot. A NetBIOS-nevek nem támogatottak.
  • Javasoljuk, hogy engedélyezze az Active Directory lomtárát.

PowerShell végrehajtási szabályzat

A Microsoft Entra Csatlakozás aláírt PowerShell-szkripteket futtat a telepítés részeként. Győződjön meg arról, hogy a PowerShell végrehajtási szabályzata engedélyezi a szkriptek futtatását.

A telepítés során javasolt végrehajtási szabályzat a "RemoteSigned".

A PowerShell végrehajtási szabályzatának beállításáról további információt a Set-ExecutionPolicy című témakörben talál.

Microsoft Entra Csatlakozás kiszolgáló

A Microsoft Entra Csatlakozás kiszolgáló kritikus identitásadatokat tartalmaz. Fontos, hogy a kiszolgálóhoz való rendszergazdai hozzáférés megfelelően legyen biztosítva. Kövesse a kiemelt hozzáférés biztonságossá tételével kapcsolatos irányelveket.

A Microsoft Entra Csatlakozás kiszolgálót 0. rétegbeli összetevőként kell kezelni az Active Directory felügyeleti réteg modelljében dokumentált módon. Javasoljuk, hogy a Microsoft Entra Csatlakozás-kiszolgálót vezérlősík-objektumként megerősítse a Biztonságos emelt szintű hozzáférés című cikkben található útmutatást követve.

Az Active Directory-környezet biztonságossá tételével kapcsolatos további információkért tekintse meg az Active Directory biztonságossá tételének ajánlott eljárásait.

Telepítési előfeltételek

  • A Microsoft Entra Csatlakozás egy tartományhoz csatlakoztatott Windows Server 2016-os vagy újabb rendszerre kell telepíteni. A tartományhoz csatlakoztatott Windows Server 2022 használatát javasoljuk. A Microsoft Entra Csatlakozás Windows Server 2016 rendszeren is üzembe helyezheti, de mivel a Windows Server 2016 kiterjesztett támogatásban van, fizetős támogatási programra lehet szükség, ha ehhez a konfigurációhoz támogatásra van szüksége.
  • A minimális .NET-keretrendszer szükséges verzió a 4.6.2, és a .NET újabb verziói is támogatottak. A .NET 4.8-es és újabb verziója biztosítja a legjobb akadálymentességi megfelelőséget.
  • A Microsoft Entra Csatlakozás 2019 előtt nem telepíthető a Small Business Serverre vagy a Windows Server Essentialsre (a Windows Server Essentials 2019 támogatott). A kiszolgálónak standard vagy annál jobb Windows Servert kell használnia.
  • A Microsoft Entra Csatlakozás kiszolgálónak teljes grafikus felhasználói felülettel kell rendelkeznie. A Microsoft Entra Csatlakozás Telepítése Windows Server Core-ra nem támogatott.
  • A Microsoft Entra Csatlakozás-kiszolgálón nem engedélyezett a PowerShell-átírási csoportházirend, ha a Microsoft Entra Csatlakozás varázslóval kezeli Active Directory összevonási szolgáltatások (AD FS) (AD FS) konfigurációját. Ha a Microsoft Entra Csatlakozás varázslóval kezeli a szinkronizálási konfigurációt, engedélyezheti a PowerShell-átírást.
  • Az AD FS üzembe helyezése esetén:
  • A Microsoft Entra Csatlakozás és a Microsoft Entra ID közötti forgalom megszakítása és elemzése nem támogatott. Ez megzavarhatja a szolgáltatást.
  • Ha a hibrid identitás-Rendszergazda istratorok MFA-kompatibilisek, az URL-címnek https://secure.aadcdn.microsoftonline-p.comszerepelnie kell a megbízható webhelyek listájában. A rendszer arra kéri, hogy vegye fel ezt a webhelyet a megbízható webhelyek listájára, amikor MFA-kihívásra kéri, és még nem lett hozzáadva. Az Internet Explorerrel hozzáadhatja a megbízható webhelyekhez.
  • Ha a Microsoft Entra Csatlakozás Health-et szeretné használni a szinkronizáláshoz, győződjön meg arról, hogy a Microsoft Entra Csatlakozás Health előfeltételei is teljesülnek. További információ: Microsoft Entra Csatlakozás Health-ügynök telepítése.

A Microsoft Entra Csatlakozás-kiszolgáló megerősítése

Javasoljuk, hogy a Microsoft Entra Csatlakozás-kiszolgálót megerősítve csökkentse az informatikai környezet ezen kritikus fontosságú összetevőjének biztonsági támadási felületét. Ezeknek a javaslatoknak a betartása segít csökkenteni a szervezetre vonatkozó biztonsági kockázatokat.

  • Javasoljuk, hogy a Microsoft Entra Csatlakozás-kiszolgálót vezérlősíkként (korábbi nevén 0. réteg) megerősítse a Biztonságos emelt szintű hozzáférés és az Active Directory felügyeleti réteg modelljében található útmutatást követve.
  • A Microsoft Entra Csatlakozás kiszolgáló rendszergazdai hozzáférésének korlátozása csak tartományi rendszergazdákra vagy más szigorúan ellenőrzött biztonsági csoportokra.
  • Hozzon létre egy dedikált fiókot minden kiemelt hozzáféréssel rendelkező személy számára. Rendszergazda istratoroknak nem szabad a weben böngészniük, ellenőrizniük kell az e-maileket, és napi szintű hatékonyságnövelő feladatokat kell végezniük magas jogosultsági szintű fiókokkal.
  • Kövesse a kiemelt hozzáférés biztonságossá tételével kapcsolatos útmutatást.
  • Az NTLM-hitelesítés használatának megtagadása a Microsoft Entra Csatlakozás-kiszolgálóval. Ennek néhány módja: Az NTLM korlátozása a Microsoft Entra Csatlakozás-kiszolgálón és az NTLM korlátozása egy tartományban
  • Győződjön meg arról, hogy minden géphez egyedi helyi rendszergazdai jelszó tartozik. További információ: A Helyi Rendszergazda istrator jelszómegoldás (Windows LAPS) egyedi véletlenszerű jelszavakat konfigurálhat minden munkaállomáson, és a kiszolgálók az Active Directoryban, ACL által védett helyen tárolják őket. Csak a jogosult jogosult felhasználók olvashatják vagy kérhetik a helyi rendszergazdai fiók jelszavának visszaállítását. A Környezet Windows LAPS-sel és emelt jogosultságú hozzáférési munkaállomásokkal (PAW-kkal) való működtetéséhez további útmutatást a tiszta forrás elven alapuló üzemeltetési szabványokban talál.
  • Dedikált emelt szintű hozzáférési munkaállomásokat valósíthat meg minden olyan személy számára, aki kiemelt hozzáféréssel rendelkezik a szervezet információs rendszereihez.
  • Kövesse ezeket a további irányelveket az Active Directory-környezet támadási felületének csökkentéséhez.
  • Kövesse az összevonási konfiguráció változásainak monitorozását, hogy riasztásokat állítson be az idp és a Microsoft Entra ID között létrehozott megbízhatósági kapcsolat változásainak figyeléséhez.
  • Engedélyezze a Többtényezős hitelesítést (MFA) minden olyan felhasználó számára, aki jogosult hozzáféréssel rendelkezik a Microsoft Entra-azonosítóban vagy az AD-ben. A Microsoft Entra Csatlakozás használatával kapcsolatos egyik biztonsági probléma az, hogy ha egy támadó átveheti az irányítást a Microsoft Entra Csatlakozás kiszolgáló felett, manipulálhatja a felhasználókat a Microsoft Entra-azonosítóban. Annak érdekében, hogy a támadók ne használják ezeket a képességeket a Microsoft Entra-fiókok átvételekor, az MFA védelmet nyújt, így még ha a támadónak sikerül is például alaphelyzetbe állítania egy felhasználó jelszavát a Microsoft Entra használatával, Csatlakozás továbbra sem tudja megkerülni a második tényezőt.
  • Tiltsa le a helyreállítható egyeztetést a bérlőn. A Soft Matching egy nagyszerű funkció, amely segít a meglévő felhőalapú felügyelt objektumok szolgáltatói forrásának a Microsoft Entra Csatlakozás-ba való átvitelében, de bizonyos biztonsági kockázatokkal jár. Ha nincs rá szükség, tiltsa le a helyreállítható egyeztetést.
  • Tiltsa le a hard match átvételt. A kemény egyezés-átvétel lehetővé teszi, hogy a Microsoft Entra Csatlakozás átvegye az irányítást egy felhőalapú felügyelt objektum felett, és az objektum szolgáltatói forrását Active Directoryra módosítsa. Miután a Microsoft Entra Csatlakozás átveszi az objektum jogosultsági forrását, a Microsoft Entra objektumhoz csatolt Active Directory-objektum módosításai felülírják az eredeti Microsoft Entra-adatokat – beleértve a jelszókivonatot is, ha engedélyezve van a jelszókivonat-szinkronizálás. A támadó ezzel a képességgel átveheti a felhő által felügyelt objektumok irányítását. A kockázat csökkentése érdekében tiltsa le a kemény találatok átvételét.

A Microsoft Entra Csatlakozás által használt SQL Server

  • Az identitásadatok tárolásához a Microsoft Entra Connectnek szüksége van egy SQL Server-adatbázisra. Alapértelmezés szerint egy SQL Server 2019 Express LocalDB (az SQL Server Express egyszerűsített verziója) van telepítve. Az SQL Server Express 10 GB-os méretkorlátot biztosít, amellyel körülbelül 100 000 objektum kezelhető. Ha nagyobb mennyiségű címtárobjektumot kell kezelnie, a telepítővarázslót az SQL Server egy másik telepítésére kell mutatnia. Az SQL Server telepítésének típusa befolyásolhatja a Microsoft Entra Csatlakozás teljesítményét.
  • Ha az SQL Server más telepítését használja, az alábbi követelmények vonatkoznak:
    • A Microsoft Entra Csatlakozás támogatja az összes általánosan támogatott SQL Server-verziót, egészen a Windows rendszeren futó SQL Server 2022-ig. Az SQL Server-verzió támogatási állapotának ellenőrzéséhez tekintse meg az SQL Server életciklusáról szóló cikket . Az SQL Server 2012 már nem támogatott. Az Azure SQL Database nem támogatott adatbázisként. Ez magában foglalja az Azure SQL Database-t és a felügyelt Azure SQL-példányt is.
    • Kis- és nagybetűket nem érzékelyítő SQL-rendezést kell használnia. Ezek a rendezések a nevükben egy _CI_ azonosítóval vannak azonosítva. A _CS_ által a nevükben azonosított kis- és nagybetűk megkülönböztetése nem támogatott.
    • SQL-példányonként csak egy szinkronizálási motort használhat. Az SQL-példányok MIM Synctel, DirSynctel vagy Azure AD-szinkronizáló való megosztása nem támogatott.

Számlák

  • Microsoft Entra Global Rendszergazda istrator-fiókkal vagy Hibrid identitás Rendszergazda istrator-fiókkal kell rendelkeznie ahhoz a Microsoft Entra-bérlőhöz, amellyel integrálni szeretné. Ennek a fióknak iskolai vagy szervezeti fióknak kell lennie, és nem lehet Microsoft-fiók.
  • Ha expressz beállításokat használ, vagy a DirSyncről frissít, a helyi Active Directory vállalati Rendszergazda istrator-fiókkal kell rendelkeznie.
  • Ha az egyéni beállítások telepítési útvonalát használja, több lehetősége is van. További információ: Egyéni telepítési beállítások.

Kapcsolatok

  • A Microsoft Entra Csatlakozás-kiszolgálónak dns-feloldóra van szüksége az intranethez és az internethez egyaránt. A DNS-kiszolgálónak képesnek kell lennie a nevek feloldására mind a helyi Active Directory, mind a Microsoft Entra-végpontok számára.

  • A Microsoft Entra Csatlakozás minden konfigurált tartományhoz hálózati kapcsolatot igényel

  • A Microsoft Entra Csatlakozás hálózati kapcsolatot igényel az összes konfigurált erdő gyökértartományához

  • Ha tűzfalak vannak az intraneten, és portokat kell megnyitnia a Microsoft Entra Csatlakozás-kiszolgálók és a tartományvezérlők között, további információért tekintse meg a Microsoft Entra Csatlakozás portokat.

  • Ha a proxy vagy a tűzfal korlátozza, hogy mely URL-címek érhetők el, meg kell nyitni az Office 365 URL-címeiben és IP-címtartományaiban dokumentált URL-címeket . Lásd még Széf a Microsoft Entra felügyeleti központ URL-címeit a tűzfalon vagy a proxykiszolgálón.

  • A Microsoft Entra Csatlakozás (1.1.614.0-s és újabb verzió) alapértelmezés szerint a TLS 1.2-es verzióját használja a szinkronizálási motor és a Microsoft Entra ID közötti kommunikáció titkosításához. Ha a TLS 1.2 nem érhető el a mögöttes operációs rendszeren, a Microsoft Entra Csatlakozás fokozatosan visszaesik a régebbi protokollokra (TLS 1.1 és TLS 1.0). A Microsoft Entra Csatlakozás 2.0-s verziójától kezdve. A TLS 1.0 és az 1.1 már nem támogatott, és a telepítés sikertelen lesz, ha a TLS 1.2 nincs engedélyezve.

  • Az 1.1.614.0-s verzió előtt a Microsoft Entra Csatlakozás alapértelmezés szerint a TLS 1.0-t használja a szinkronizálási motor és a Microsoft Entra ID közötti kommunikáció titkosításához. A TLS 1.2-re való váltáshoz kövesse a Microsoft Entra Csatlakozás TLS 1.2 engedélyezésének lépéseit.

  • Ha kimenő proxyt használ az internethez való csatlakozáshoz, a telepítővarázslóhoz és a Microsoft Entra Csatlakozás Synchez hozzá kell adni a következő beállítást a C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config fájlban. Ezt a szöveget a fájl alján kell megadni. Ebben a kódban a <PROXYADDRESS> a proxy IP-címét vagy állomásnevét jelöli.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykiszolgáló hitelesítést igényel, a szolgáltatásfióknak a tartományban kell lennie. Egyéni szolgáltatásfiók megadásához használja a testreszabott beállítások telepítési útvonalát. A machine.config másik módosítására is szükség van. A machine.config ezen módosításával a telepítővarázsló és a szinkronizálási motor válaszol a proxykiszolgálótól érkező hitelesítési kérelmekre. A telepítővarázsló összes lapján a Konfigurálás lap kivételével a rendszer a bejelentkezett felhasználó hitelesítő adatait használja. A telepítővarázsló végén található Konfigurálás lapon a környezet a létrehozott szolgáltatásfiókra vált. A machine.config szakasznak így kell kinéznie:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykonfiguráció egy meglévő beállításban történik, a Microsoft Entra ID Sync szolgáltatást egyszer újra kell indítani, hogy a Microsoft Entra Csatlakozás olvassa el a proxykonfigurációt, és frissítse a viselkedést.

  • Amikor a Microsoft Entra Csatlakozás egy webes kérelmet küld a Microsoft Entra ID-nak a címtár-szinkronizálás részeként, a Microsoft Entra-azonosító akár 5 percet is igénybe vehet a válaszadáshoz. Gyakran előfordul, hogy a proxykiszolgálók kapcsolati tétlenségi időtúllépési konfigurációval rendelkeznek. Győződjön meg arról, hogy a konfiguráció legalább 6 percre van beállítva.

További információ: MSDN az alapértelmezett proxyelemről. Ha csatlakozási problémákat tapasztal, további információt a csatlakozási problémák elhárítása című témakörben talál.

Egyéb

Nem kötelező: A szinkronizálás ellenőrzéséhez használjon tesztfelhasználói fiókot.

Összetevő előfeltételei

PowerShell és .NET-keretrendszer

A Microsoft Entra Csatlakozás a Microsoft PowerShell 5.0-s és .NET-keretrendszer 4.5.1-.NET-keretrendszer függ. Erre a verzióra vagy egy újabb verzióra van szüksége a kiszolgálón.

A TLS 1.2 engedélyezése a Microsoft Entra Csatlakozás

Az 1.1.614.0-s verzió előtt a Microsoft Entra Csatlakozás alapértelmezés szerint a TLS 1.0-val titkosítja a szinkronizálási motorkiszolgáló és a Microsoft Entra ID közötti kommunikációt. A .NET-alkalmazásokat alapértelmezés szerint a TLS 1.2 használatára konfigurálhatja a kiszolgálón. További információ a TLS 1.2-ről: Microsoft Security Advisory 2960358.

  1. Győződjön meg arról, hogy telepítve van az operációs rendszerhez a .NET 4.5.1 gyorsjavítás. További információ: Microsoft Security Advisory 2960358. Előfordulhat, hogy már telepítve van ez a gyorsjavítás vagy egy későbbi kiadás a kiszolgálón.

  2. Az összes operációs rendszer esetében állítsa be ezt a beállításkulcsot, és indítsa újra a kiszolgálót.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Ha a szinkronizálási motorkiszolgáló és egy távoli SQL Server között is engedélyezni szeretné a TLS 1.2-t, győződjön meg arról, hogy telepítve vannak a Microsoft SQL Server TLS 1.2-támogatásához szükséges verziók.

DCOM-előfeltételek a szinkronizálási kiszolgálón

A szinkronizálási szolgáltatás telepítése során a Microsoft Entra Csatlakozás a következő beállításkulcs meglétét ellenőrzi:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Ebben a beállításkulcsban a Microsoft Entra Csatlakozás ellenőrzi, hogy a következő értékek vannak-e jelen, és nem sérültek-e:

Az összevonás telepítésének és konfigurálásának előfeltételei

Rendszerfelügyeleti webszolgáltatások

Ha a Microsoft Entra Csatlakozás használatával telepíti az AD FS-t vagy a webes alkalmazásproxy (WAP), ellenőrizze az alábbi követelményeket:

  • Ha a célkiszolgáló tartományhoz csatlakozik, győződjön meg arról, hogy a Távoli Windows felügyelet engedélyezve van.
    • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
  • Ha a célkiszolgáló nem tartományhoz csatlakoztatott WAP-gép, néhány további követelmény is teljesül:
    • A célgépen (WAP-gépen):
      • Győződjön meg arról, hogy a Windows Remote Management/WS-Management (WinRM) szolgáltatás a Szolgáltatások beépülő modulon keresztül fut.
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
    • Azon a gépen, amelyen a varázsló fut (ha a célgép nem tartományhoz csatlakozik, vagy nem megbízható tartomány):
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • A kiszolgálókezelőben:
        • Adjon hozzá egy DMZ WAP-gazdagépet egy gépkészlethez. A kiszolgálókezelőben válassza a Kiszolgálók hozzáadása kezelése>lehetőséget, majd használja a DNS lapot.
        • A Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Kezelés másként lehetőséget. Adja meg a WAP-gép helyi (nem tartományi) hitelesítő adatait.
        • A távoli PowerShell-kapcsolat ellenőrzéséhez a Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Windows PowerShellt. Meg kell nyitni egy távoli PowerShell-munkamenetet, hogy a távoli PowerShell-munkamenetek létre legyenek hozva.

TLS/SSL-tanúsítványkövetelmények

  • Javasoljuk, hogy ugyanazt a TLS/SSL-tanúsítványt használja az AD FS-farm és az összes webes alkalmazásproxy kiszolgáló összes csomópontján.
  • A tanúsítványnak X509-tanúsítványnak kell lennie.
  • Tesztkörnyezetben önaláírt tanúsítványt használhat az összevonási kiszolgálókon. Éles környezetben javasoljuk, hogy szerezze be a tanúsítványt egy nyilvános hitelesítésszolgáltatótól.
    • Ha olyan tanúsítványt használ, amely nem nyilvánosan megbízható, győződjön meg arról, hogy az egyes web alkalmazásproxy kiszolgálókon telepített tanúsítvány megbízható mind a helyi kiszolgálón, mind az összes összevonási kiszolgálón.
  • A tanúsítvány identitásának meg kell egyeznie az összevonási szolgáltatás nevével (például sts.contoso.com).
    • Az identitás vagy a dNSName típusú tulajdonos alternatív neve (SAN) bővítménye, vagy ha nincsenek SAN-bejegyzések, a tulajdonos neve köznapi névként van megadva.
    • A tanúsítványban több SAN-bejegyzés is szerepelhet, ha az egyik megfelel az összevonási szolgáltatás nevének.
    • Ha a Munkahelyi csatlakozást tervezi használni, a vállalatregisztráció értékéhez további san-ra van szükség. ezt követi a szervezet egyszerű felhasználóneve (UPN) utótagja, például enterpriseregistration.contoso.com.
  • A CryptoAPI következő generációs (CNG) kulcsokon és kulcstárolókon (KSP-k) alapuló tanúsítványok nem támogatottak. Ennek eredményeképpen titkosítási szolgáltatón (CSP) alapuló tanúsítványt kell használnia, nem pedig KSP-t.
  • A helyettesítő kártyák tanúsítványai támogatottak.

Összevonási kiszolgálók névfeloldás

  • Állítson be DNS-rekordokat az AD FS-névhez (például sts.contoso.com) az intranethez (a belső DNS-kiszolgálóhoz) és az extranethez (a tartományregisztrálón keresztüli nyilvános DNS-hez). Az intranetes DNS-rekord esetében győződjön meg arról, hogy A rekordokat használ, és nem CNAME rekordokat. Az A rekordok használata szükséges ahhoz, hogy a Windows-hitelesítés megfelelően működjön a tartományhoz csatlakoztatott gépről.
  • Ha egynél több AD FS-kiszolgálót vagy webes alkalmazásproxy-kiszolgálót helyez üzembe, győződjön meg arról, hogy konfigurálta a terheléselosztót, és hogy az AD FS-név (például sts.contoso.com) DNS-rekordjai a terheléselosztóra mutatnak.
  • Ahhoz, hogy a Windows integrált hitelesítése az Internet Explorert használó böngészőalkalmazások esetében működjön az intraneten, győződjön meg arról, hogy az AD FS neve (például sts.contoso.com) hozzá lesz adva az Internet Explorer intranetes zónájához. Ez a követelmény csoportházirenddel vezérelhető, és üzembe helyezhető az összes tartományhoz csatlakoztatott számítógépen.

Microsoft Entra Csatlakozás támogató összetevők

A Microsoft Entra Csatlakozás a következő összetevőket telepíti azon a kiszolgálón, amelyen telepítve van a Microsoft Entra Csatlakozás. Ez a lista egy alapszintű Express-telepítéshez készült. Ha másik SQL Servert használ a Szinkronizálási szolgáltatások telepítése lapon, az SQL Express LocalDB nincs helyileg telepítve.

  • Microsoft Entra Csatlakozás Health
  • Microsoft SQL Server 2022 parancssori segédprogramok
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 natív ügyfél
  • Microsoft Visual C++ 14 újraterjesztési csomag

A Microsoft Entra Csatlakozás hardverkövetelményei

Az alábbi táblázat a Microsoft Entra Csatlakozás Sync számítógép minimális követelményeit mutatja be.

Objektumok száma az Active Directoryban CPU Memory (Memória) Merevlemez mérete
10 000-nél kevesebb 1,6 GHz 6 GB 70 GB
10,000–50,000 1,6 GHz 6 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
100 000 vagy több objektum esetén az SQL Server teljes verziójára van szükség. Teljesítménybeli okokból a helyi telepítés előnyben részesített. Az alábbi értékek csak a Microsoft Entra Csatlakozás telepítésére érvényesek. Ha az SQL Server ugyanazon a kiszolgálón lesz telepítve, további memóriára, meghajtóra és CPU-ra van szükség.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Több mint 600 000 1,6 GHz 32 GB 500 GB

Az AD FS-t vagy webes alkalmazásproxy kiszolgálókat futtató számítógépekre vonatkozó minimális követelmények a következők:

  • CPU: Kétmagos, 1,6 GHz-es vagy újabb
  • Memória: 2 GB vagy nagyobb
  • Azure-beli virtuális gép: A2-konfiguráció vagy újabb

Következő lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.