A felhőszinkronizálás Microsoft Entra előfeltételei

Ez a cikk útmutatást nyújt a Microsoft Entra Connect felhőszinkronizálás identitásmegoldásként való kiválasztásához és használatához.

Felhőkiépítési ügynökkel kapcsolatos követelmények

A felhőszinkronizálás Microsoft Entra használatához a következőkre van szüksége:

• Tartományi rendszergazdai vagy vállalati rendszergazdai hitelesítő adatok a Microsoft Entra Connect Cloud Sync gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
• Hibrid identitáskezelő fiók a Microsoft Entra bérlőhöz, amely nem vendégfelhasználó.
• A kiépítési ügynök helyszíni kiszolgálója Windows 2016-os vagy újabb verzióval. Ennek a kiszolgálónak 0. szintű kiszolgálónak kell lennie az Active Directory felügyeleti szint modelljén alapulva. Az ügynök tartományvezérlőre való telepítése támogatott.
• A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra A felhőszinkronizálás hosszú ideig hiba nélkül képes folyamatosan működni. Ha több aktív ügynök van telepítve és fut, Microsoft Entra A felhőszinkronizálás továbbra is működni fog, még akkor is, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy 3 aktív ügynök legyen telepítve a magas rendelkezésre állás érdekében.
• Helyszíni tűzfalkonfigurációk.

Csoportosan felügyelt szolgáltatásfiókok

A csoportos felügyeltszolgáltatás-fiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. Microsoft Entra A Felhőszinkronizálás csatlakoztatása támogatja és gMSA-t használ az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat kér a fiók létrehozásához. A fiók a következőként jelenik meg: (tartomány\provAgentgMSA$). További információ a gMSA-ról: Csoportos felügyeltszolgáltatás-fiókok

A gMSA előfeltételei:

1. A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
2. PowerShell RSAT-modulok tartományvezérlőn
3. A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
4. A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016 vagy újabb kiszolgálónak kell lennie.

Egyéni gMSA-fiók

Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók rendelkezik a következő engedélyekkel.

Típus	Name	Access	Érvényesség
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott eszközobjektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott InetOrgPerson-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott számítógép-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott foreignSecurityPrincipal objektumok
Engedélyezés	gMSA-fiók	Teljes hozzáférés	Leszármazottcsoport-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott felhasználói objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott névjegyobjektumok
Engedélyezés	gMSA-fiók	Felhasználói objektumok létrehozása/törlése	Ez az objektum és az összes leszármazott objektum

A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit lásd: Csoportos felügyeltszolgáltatás-fiókok.

Az Active Directory csoport felügyeltszolgáltatás-fiókra való előkészítéséről további információt a csoportos felügyeltszolgáltatás-fiókok áttekintése című témakörben talál.

A Microsoft Entra Felügyeleti központban

1. Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelő fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
2. Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók az alábbi tartománynevek egyikével jelentkezhetnek be.

Az Active Directory címtárában

Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.

A helyszíni környezetben

1. Azonosítsa az Windows Server 2016 vagy annál nagyobb, legalább 4 GB RAM-mal és .NET 4.7.1+ futtatókörnyezettel rendelkező tartományhoz csatlakoztatott gazdagépkiszolgálót.

2. A helyi kiszolgálón a PowerShell végrehajtási szabályzatának Nem definiált vagy RemoteSigned értékre kell állítania.

3. Ha tűzfal van a kiszolgálók és Microsoft Entra azonosító között, tekintse meg az alábbi tűzfal- és proxykövetelményeket.

Megjegyzés

A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.

További követelmények

• Microsoft .NET-keretrendszer 4.7.1

TLS-követelmények

Megjegyzés

A Transport Layer Security (TLS) egy biztonságos kommunikációt biztosító protokoll. A TLS-beállítások módosítása az egész erdőt érinti. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.

A Microsoft Entra Connect felhőkiépítési ügynököt üzemeltető Windows-kiszolgálón a telepítés előtt engedélyeznie kell a TLS 1.2-t.

A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.

1. Állítsa be a következő beállításkulcsokat:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
   

2. Indítsa újra a kiszolgálót.

Tűzfal- és proxykövetelmények

Ha tűzfal van a kiszolgálók és Microsoft Entra azonosító között, konfigurálja a következő elemeket:

• Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek Microsoft Entra azonosítóhoz az alábbi portokon keresztül:

  Portszám	Használat célja
  80	Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben.
  443	Kezeli a szolgáltatással folytatott összes kimenő kommunikációt.
  8080 (nem kötelező)	Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-os port nem érhető el. Ez az állapot az Microsoft Entra felügyeleti központban jelenik meg.

• Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.

• Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:

Nyilvános felhő

URL-cím	Használat célja
*.msappproxy.net *.servicebus.windows.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.net	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Amerikai kormányzati felhő

URL-cím	Használat célja
*.msappproxy.us *.servicebus.usgovcloudapi.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

• Ha nem tud kapcsolatokat felvenni, engedélyezze a hozzáférést az Azure-adatközpont ip-tartományaihoz, amelyek hetente frissülnek.

NTLM-követelmény

Ne engedélyezze az NTLM-et a Microsoft Entra Connect Provisioning Agentet futtató Windows Serveren, és ha engedélyezve van, győződjön meg arról, hogy letiltja.

Ismert korlátozások

Az alábbiak ismert korlátozások:

Különbözeti szinkronizálás

• A csoport hatókörének szűrése a különbözeti szinkronizáláshoz legfeljebb 50 000 tagot támogat.
• Ha töröl egy csoport hatókörszűrőjeként használt csoportot, a csoport tagjai nem törlődnek.
• A hatókörben lévő szervezeti egység vagy csoport átnevezésekor a delta-szinkronizálás nem távolítja el a felhasználókat.

Üzembehelyezési naplók

• A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.

Csoport újraelnevezése vagy szervezeti egység ismételt elnevezése

• Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltozást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.

Hatókörszűrő

Szervezeti egység hatókörszűrőjének használata esetén

• Egy adott konfigurációhoz legfeljebb 59 különálló szervezeti egység vagy biztonsági csoport szinkronizálható.
• A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységből álló szervezeti egységet, de ugyanabban a konfigurációban nem szinkronizálhat 60 különálló szervezeti egységet).

Jelszókivonat szinkronizálása

• Az InetOrgPerson jelszókivonat-szinkronizálás használata nem támogatott.

Következő lépések

• Mi az az üzembe helyezés?
• Mi az a Microsoft Entra Felhőszinkronizálás csatlakoztatása?