A Microsoft Entra Cloud Sync előfeltételei
Ez a cikk útmutatást nyújt a Microsoft Entra Cloud Sync identitásmegoldásként való használatához.
Felhőkiépítési ügynökkel kapcsolatos követelmények
A Microsoft Entra Cloud Sync használatához a következőkre van szüksége:
- Tartományi rendszergazdai vagy vállalati rendszergazdai hitelesítő adatok a Microsoft Entra Connect felhőszinkronizálási gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
- Hibrid identitás-rendszergazdai fiók a Microsoft Entra-bérlőhöz, amely nem vendégfelhasználó.
- A kiépítési ügynök helyszíni kiszolgálója Windows 2016 vagy újabb verzióval. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie. Az ügynök telepítése tartományvezérlőre támogatott.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra Cloud Sync képes hosszú ideig hiba nélkül folyamatosan működni. Több aktív ügynök telepítésével és futtatásával a Microsoft Entra Cloud Sync akkor is működhet, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy a magas rendelkezésre állás érdekében 3 aktív ügynök legyen telepítve.
- Helyszíni tűzfalkonfigurációk.
Csoportosan felügyelt szolgáltatásfiókok
A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat fog kérni a fiók létrehozásához. A fiók a következőként domain\provAgentgMSA$
jelenik meg: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.
A gMSA előfeltételei
- A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
- PowerShell RSAT-modulok egy tartományvezérlőn.
- A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
- A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.
Egyéni gMSA-fiók
Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók rendelkezik a következő engedélyekkel.
Típus | Név | Access | Érvényesség |
---|---|---|---|
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott eszközobjektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott InetOrgPerson-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott számítógép-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott foreignSecurityPrincipal objektumok |
Engedélyezés | gMSA-fiók | Teljes hozzáférés | Leszármazottcsoport-objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott felhasználói objektumok |
Engedélyezés | gMSA-fiók | Az összes tulajdonság beolvasása | Leszármazott névjegyobjektumai |
Engedélyezés | gMSA-fiók | Felhasználói objektumok létrehozása/törlése | Ez az objektum és az összes leszármazott objektum |
A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.
Ha többet szeretne tudni arról, hogyan készítheti elő az Active Directoryt a csoportos felügyelt szolgáltatásfiókra, tekintse meg a felügyelt szolgáltatásfiókok áttekintése és a felügyelt szolgáltatásfiókok csoportosítása felhőszinkronizálással című témakört.
A Microsoft Entra Felügyeleti központban
- Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelő fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
- Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.
Az Active Directory címtárában
Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.
A helyszíni környezetben
- Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót, amely legalább 4 GB RAM-mal és .NET 4.7.1+-os futtatókörnyezettel rendelkezik.
- A helyi kiszolgálón a PowerShell végrehajtási házirendjének nem definiált vagy RemoteSigned értékre kell állítania.
- Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, tekintse meg a tűzfal és a proxy követelményeit.
Feljegyzés
A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.
Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek
A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.
Licenckövetelmények
A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.
Általános követelmények
- Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
- Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.
Feljegyzés
A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.
Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra
- A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
- Microsoft Entra Connect a 2.2.8.0-s vagy újabb buildtel
- A Microsoft Entra Connect használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
- Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier
Támogatott csoportok
Csak a következők támogatottak:
- Csak a felhőben létrehozott biztonsági csoportok támogatottak
- Ezek a csoportok hozzárendelt vagy dinamikus tagsággal rendelkezhetnek.
- Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
- A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
- Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
- Az 50 000 tagnál nagyobb csoportok nem támogatottak.
- Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
- A Microsoft Entra-azonosító és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.
További információk
Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.
- Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
- Mindegyik felhasználónak rendelkeznie kell az onPremisesObjectIdentifier attribútummal a fiókjában.
- Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
- AzPremisesObjectIdentifier attribútumon a helyszíni felhasználók objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
- Ha a Microsoft Entra Connect Sync (2.2.8.0) használatával szinkronizálja a felhasználókat a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak a 2.2.8.0-s vagy újabb verziójának kell lennie.
- Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
- A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.
További követelmények
- Minimális Microsoft .NET-keretrendszer 4.7.1
TLS-követelmények
Feljegyzés
A Transport Layer Security (TLS) egy protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása az egész erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.
A Microsoft Entra Connect felhőkiépítési ügynököt futtató Windows-kiszolgálónak a telepítés előtt engedélyeznie kell a TLS 1.2-t.
A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.
A következő beállításkulcsok beállításához másolja a tartalmat egy .reg fájlba, majd futtassa a fájlt (kattintson a jobb gombbal, és válassza az Egyesítés gombot):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Indítsa újra a kiszolgálót.
Tűzfal- és proxykövetelmények
Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:
Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:
Portszám Leírás 80 Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben. 443 Kezeli a szolgáltatással való kimenő kommunikációt. 8080 (nem kötelező) Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra felügyeleti központban jelenik meg. Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.
Győződjön meg arról, hogy a proxy támogatja legalább a HTTP 1.1 protokollt, és engedélyezve van az adattömb-kódolás.
Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:
URL-cím | Leírás |
---|---|
*.msappproxy.net *.servicebus.windows.net |
Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez. |
login.windows.net |
Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során. |
NTLM-követelmény
Ne engedélyezze az NTLM-et a Microsoft Entra kiépítési ügynököt futtató Windows Serveren, és ha engedélyezve van, győződjön meg arról, hogy letiltja.
Ismert korlátozások
Az alábbiak ismert korlátozások:
Különbözeti szinkronizálás
- A csoport hatókörének szűrése a deltaszinkronizáláshoz nem támogat több mint 50 000 tagot.
- Ha töröl egy csoport hatókörkezelési szűrő részeként használt csoportot, a csoport tagjai nem törlődnek.
- A hatókörben lévő szervezeti egység vagy csoport átnevezésekor a delta sync nem távolítja el a felhasználókat.
Üzembehelyezési naplók
- A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.
Csoport átnevezése vagy szervezeti egység átnevezése
- Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltoztatást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.
Hatókörszűrő
Szervezeti egység hatókörszűrőjének használatakor
- Egy adott konfigurációhoz legfeljebb 59 különálló szervezeti egység vagy biztonsági csoport szinkronizálható.
- A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységet tartalmazó szervezeti egységeket, de ugyanabban a konfigurációban nem szinkronizálhat 60 különálló szervezeti egységet).
Jelszókivonat szinkronizálása
- A jelszókivonat-szinkronizálás használata az InetOrgPersonnal nem támogatott.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: