A Microsoft Entra Cloud Sync előfeltételei

Cikk
02/24/2024

Ez a cikk útmutatást nyújt a Microsoft Entra Cloud Sync identitásmegoldásként való kiválasztásához és használatához.

Felhőkiépítési ügynökkel kapcsolatos követelmények

A Microsoft Entra Cloud Sync használatához a következőkre van szüksége:

Tartományi Rendszergazda istrator vagy Enterprise Rendszergazda istrator hitelesítő adatai a Microsoft Entra Csatlakozás felhőszinkronizálási gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
Hibrid identitás-rendszergazdai fiók a Microsoft Entra-bérlőhöz, amely nem vendégfelhasználó.
A kiépítési ügynök helyszíni kiszolgálója Windows 2016 vagy újabb verzióval. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie. Az ügynök telepítése tartományvezérlőre támogatott.
A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra Cloud Sync képes hosszú ideig hiba nélkül folyamatosan működni. Több aktív ügynök telepítésével és futtatásával a Microsoft Entra Cloud Sync akkor is működhet, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy a magas rendelkezésre állás érdekében 3 aktív ügynök legyen telepítve.
Helyszíni tűzfalkonfigurációk.

Csoportosan felügyelt szolgáltatásfiókok

A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat kér a fiók létrehozásához. A fiók a következőként domain\provAgentgMSA$jelenik meg: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.

A gMSA előfeltételei

A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
PowerShell RSAT-modulok egy tartományvezérlőn.
A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.

Egyéni gMSA-fiók

Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók a következő engedélyekkel rendelkezik.

Típus	Név	Access	Érvényesség
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott eszközobjektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott InetOrgPerson-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott számítógép-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott foreignSecurityPrincipal objektumok
Engedélyezés	gMSA-fiók	Teljes hozzáférés	Leszármazottcsoport-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott felhasználói objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott névjegyobjektumai
Engedélyezés	gMSA-fiók	Felhasználói objektumok létrehozása/törlése	Ez az objektum és az összes leszármazott objektum

A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.

Az Active Directory csoport felügyelt szolgáltatásfiókra való előkészítéséről további információt a csoportos felügyelt szolgáltatásfiókok áttekintésében talál.

A Microsoft Entra Felügyeleti központban

Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelő fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.

Az Active Directory címtárában

Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.

A helyszíni környezetben

Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót, amely legalább 4 GB RAM-mal és .NET 4.7.1+-os futtatókörnyezettel rendelkezik.
A helyi kiszolgálón a PowerShell végrehajtási házirendjének nem definiált vagy RemoteSigned értékre kell állítania.
Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, tekintse meg az alábbi tűzfal- és proxykövetelményeket .

Feljegyzés

A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.

További követelmények

Minimális Microsoft .NET-keretrendszer 4.7.1

TLS-követelmények

Feljegyzés

A Transport Layer Security (TLS) egy protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása az egész erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.

A Microsoft Entra Csatlakozás felhőkiépítési ügynököt futtató Windows-kiszolgálón a telepítés előtt engedélyezni kell a TLS 1.2-t.

A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.

A következő beállításkulcsok beállításához másolja a tartalmat egy .reg fájlba, majd futtassa a fájlt (kattintson a jobb gombbal, és válassza az Egyesítés gombot):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Indítsa újra a kiszolgálót.

Tűzfal- és proxykövetelmények

Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:

Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:

Portszám	Használat célja
80	Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben.
443	Kezeli a szolgáltatással való kimenő kommunikációt.
8080 (nem kötelező)	Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra felügyeleti központban jelenik meg.

Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.
Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:

Nyilvános felhő
Amerikai kormányzati felhő

URL-cím	Használat célja
`.msappproxy.net` `.servicebus.windows.net`	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
`.microsoftonline.com` `.microsoft.com` `.msappproxy.com` `.windowsazure.com`	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
`mscrl.microsoft.com:80` `crl.microsoft.com:80` `ocsp.msocsp.com:80` `www.microsoft.com:80`	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
`login.windows.net`	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

URL-cím	Használat célja
`.msappproxy.us` `.servicebus.usgovcloudapi.net`	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
`mscrl.microsoft.us:80` `crl.microsoft.us:80` `ocsp.msocsp.us:80` `www.microsoft.us:80`	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
`login.windows.us` `secure.aadcdn.microsoftonline-p.com` `.microsoftonline.us` `.microsoftonline-p.us` `.msauth.net` `.msauthimages.net` `.msecnd.net` `.msftauth.net` `.msftauthimages.net` `.phonefactor.net` `enterpriseregistration.windows.net` `management.azure.com` `policykeyservice.dc.ad.msft.net` `ctldl.windowsupdate.us:80` `aadcdn.msftauthimages.us` `*.microsoft.us` `msauthimages.us` `mfstauthimages.us`	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Ha nem tud kapcsolatokat felvenni, engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését.

NTLM-követelmény

Ne engedélyezze az NTLM-et a Microsoft Entra kiépítési ügynököt futtató Windows Serveren, és ha engedélyezve van, győződjön meg róla, hogy letiltja.

Ismert korlátozások

Az alábbiak ismert korlátozások:

Különbözeti szinkronizálás

A csoport hatókörének szűrése a változásszinkronizáláshoz legfeljebb 50 000 tagot támogat.
Ha töröl egy csoport hatókörkezelési szűrő részeként használt csoportot, a csoport tagjai nem törlődnek.
Ha átnevezi a hatókörben lévő szervezeti egységet vagy csoportot, a delta sync nem távolítja el a felhasználókat.

Üzembehelyezési naplók

A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.

Csoport újraelnevezése vagy szervezeti egység ismételt elnevezése

Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltoztatást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.

Hatókörszűrő

Szervezeti egység hatókörszűrőjének használatakor

Egy adott konfigurációhoz legfeljebb 59 különálló szervezeti egység vagy biztonsági csoport szinkronizálható.
A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységet tartalmazó szervezeti egységeket, de ugyanabban a konfigurációban nem szinkronizálhat60 különálló szervezeti egységet).

Jelszókivonat szinkronizálása

A jelszókivonat-szinkronizálás használata az InetOrgPersonnal nem támogatott.