A Microsoft Entra Cloud Sync előfeltételei
Ez a cikk útmutatást nyújt a Microsoft Entra Cloud Sync identitásmegoldásként való kiválasztásához és használatához.
Felhőkiépítési ügynökkel kapcsolatos követelmények
A Microsoft Entra Cloud Sync használatához a következőkre van szüksége:
- Tartományi Rendszergazda istrator vagy Enterprise Rendszergazda istrator hitelesítő adatai a Microsoft Entra Csatlakozás felhőszinkronizálási gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
- Hibrid identitás-rendszergazdai fiók a Microsoft Entra-bérlőhöz, amely nem vendégfelhasználó.
- A kiépítési ügynök helyszíni kiszolgálója Windows 2016 vagy újabb verzióval. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie. Az ügynök telepítése tartományvezérlőre támogatott.
- A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra Cloud Sync képes hosszú ideig hiba nélkül folyamatosan működni. Több aktív ügynök telepítésével és futtatásával a Microsoft Entra Cloud Sync akkor is működhet, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy a magas rendelkezésre állás érdekében 3 aktív ügynök legyen telepítve.
- Helyszíni tűzfalkonfigurációk.
Csoportosan felügyelt szolgáltatásfiókok
A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat kér a fiók létrehozásához. A fiók a következőként domain\provAgentgMSA$
jelenik meg: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.
A gMSA előfeltételei
- A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
- PowerShell RSAT-modulok egy tartományvezérlőn.
- A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
- A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.
Egyéni gMSA-fiók
Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók a következő engedélyekkel rendelkezik.
Típus | Név | Access | Érvényesség |
---|---|---|---|
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott eszközobjektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott InetOrgPerson-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott számítógép-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott foreignSecurityPrincipal objektumok |
Engedélyezés | gMSA-fiók | Teljes hozzáférés | Leszármazottcsoport-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott felhasználói objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott névjegyobjektumai |
Engedélyezés | gMSA-fiók | Felhasználói objektumok létrehozása/törlése | Ez az objektum és az összes leszármazott objektum |
A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.
Az Active Directory csoport felügyelt szolgáltatásfiókra való előkészítéséről további információt a csoportos felügyelt szolgáltatásfiókok áttekintésében talál.
A Microsoft Entra Felügyeleti központban
- Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelő fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
- Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.
Az Active Directory címtárában
Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.
A helyszíni környezetben
- Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót, amely legalább 4 GB RAM-mal és .NET 4.7.1+-os futtatókörnyezettel rendelkezik.
- A helyi kiszolgálón a PowerShell végrehajtási házirendjének nem definiált vagy RemoteSigned értékre kell állítania.
- Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, tekintse meg az alábbi tűzfal- és proxykövetelményeket .
Feljegyzés
A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.
További követelmények
- Minimális Microsoft .NET-keretrendszer 4.7.1
TLS-követelmények
Feljegyzés
A Transport Layer Security (TLS) egy protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása az egész erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.
A Microsoft Entra Csatlakozás felhőkiépítési ügynököt futtató Windows-kiszolgálón a telepítés előtt engedélyezni kell a TLS 1.2-t.
A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.
A következő beállításkulcsok beállításához másolja a tartalmat egy .reg fájlba, majd futtassa a fájlt (kattintson a jobb gombbal, és válassza az Egyesítés gombot):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Indítsa újra a kiszolgálót.
Tűzfal- és proxykövetelmények
Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:
Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:
Portszám Használat célja 80 Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben. 443 Kezeli a szolgáltatással való kimenő kommunikációt. 8080 (nem kötelező) Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra felügyeleti központban jelenik meg. Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.
Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:
URL-cím | Használat célja |
---|---|
*.msappproxy.net *.servicebus.windows.net |
Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez. |
login.windows.net |
Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során. |
NTLM-követelmény
Ne engedélyezze az NTLM-et a Microsoft Entra kiépítési ügynököt futtató Windows Serveren, és ha engedélyezve van, győződjön meg róla, hogy letiltja.
Ismert korlátozások
Az alábbiak ismert korlátozások:
Különbözeti szinkronizálás
- A csoport hatókörének szűrése a változásszinkronizáláshoz legfeljebb 50 000 tagot támogat.
- Ha töröl egy csoport hatókörkezelési szűrő részeként használt csoportot, a csoport tagjai nem törlődnek.
- Ha átnevezi a hatókörben lévő szervezeti egységet vagy csoportot, a delta sync nem távolítja el a felhasználókat.
Üzembehelyezési naplók
- A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.
Csoport újraelnevezése vagy szervezeti egység ismételt elnevezése
- Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltoztatást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.
Hatókörszűrő
Szervezeti egység hatókörszűrőjének használatakor
- Egy adott konfigurációhoz legfeljebb 59 különálló szervezeti egység vagy biztonsági csoport szinkronizálható.
- A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységet tartalmazó szervezeti egységeket, de ugyanabban a konfigurációban nem szinkronizálhat60 különálló szervezeti egységet).
Jelszókivonat szinkronizálása
- A jelszókivonat-szinkronizálás használata az InetOrgPersonnal nem támogatott.