A Microsoft Entra Cloud Sync előfeltételei

Ez a cikk útmutatást nyújt a Microsoft Entra Cloud Sync identitásmegoldásként való használatához.

Felhőkiépítési ügynökkel kapcsolatos követelmények

A Microsoft Entra Cloud Sync használatához a következőkre van szüksége:

• Tartományi Rendszergazda istrator vagy Enterprise Rendszergazda istrator hitelesítő adatai a Microsoft Entra Csatlakozás felhőszinkronizálási gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
• Hibrid identitás-rendszergazdai fiók a Microsoft Entra-bérlőhöz, amely nem vendégfelhasználó.
• A kiépítési ügynök helyszíni kiszolgálója Windows 2016 vagy újabb verzióval. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie. Az ügynök telepítése tartományvezérlőre támogatott.
  • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
• A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra Cloud Sync képes hosszú ideig hiba nélkül folyamatosan működni. Több aktív ügynök telepítésével és futtatásával a Microsoft Entra Cloud Sync akkor is működhet, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy a magas rendelkezésre állás érdekében 3 aktív ügynök legyen telepítve.
• Helyszíni tűzfalkonfigurációk.

Csoportosan felügyelt szolgáltatásfiókok

A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat fog kérni a fiók létrehozásához. A fiók a következőként domain\provAgentgMSA$jelenik meg: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.

A gMSA előfeltételei

1. A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
2. PowerShell RSAT-modulok egy tartományvezérlőn.
3. A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
4. A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.

Egyéni gMSA-fiók

Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók rendelkezik a következő engedélyekkel.

Típus	Név	Access	Érvényesség
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott eszközobjektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott InetOrgPerson-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott számítógép-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott foreignSecurityPrincipal objektumok
Engedélyezés	gMSA-fiók	Teljes hozzáférés	Leszármazottcsoport-objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott felhasználói objektumok
Engedélyezés	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott névjegyobjektumai
Engedélyezés	gMSA-fiók	Felhasználói objektumok létrehozása/törlése	Ez az objektum és az összes leszármazott objektum

A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.

Az Active Directory csoport felügyelt szolgáltatásfiókra való előkészítéséről további információt a csoportos felügyelt szolgáltatásfiókok áttekintésében talál.

A Microsoft Entra Felügyeleti központban

1. Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelő fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
2. Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.

Az Active Directory címtárában

Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.

A helyszíni környezetben

1. Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót, amely legalább 4 GB RAM-mal és .NET 4.7.1+-os futtatókörnyezettel rendelkezik.
2. A helyi kiszolgálón a PowerShell végrehajtási házirendjének nem definiált vagy RemoteSigned értékre kell állítania.
3. Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, tekintse meg a tűzfal és a proxy követelményeit.

Feljegyzés

A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.

Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek

A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Általános követelmények

• Legalább hibrid Rendszergazda istrator szerepkörrel rendelkező Microsoft Entra-fiók.
• Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
  • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
• Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.

Feljegyzés

A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.

Ezek az engedélyek alapértelmezés szerint nem vonatkoznak Rendszergazda SDHolder-objektumokra a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai

• A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
  • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
• Microsoft Entra Csatlakozás a 2.2.8.0-s vagy újabb buildtel
  • A Microsoft Entra Csatlakozás használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
  • Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier

Támogatott csoportok

Csak a következők támogatottak:

• Csak a felhőben létrehozott biztonsági csoportok támogatottak
• Ezek a csoportok hozzárendelt vagy dinamikus tagsággal rendelkezhetnek.
• Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
• A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
• Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
• Az 50 000 tagnál nagyobb csoportok nem támogatottak.
• Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
• A Microsoft Entra-azonosító és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.

További információk

Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.

• Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
• Mindegyik felhasználónak rendelkeznie kell az onPremisesObjectIdentifier attribútummal a fiókjában.
• Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
• AzPremisesObjectIdentifier attribútumon lévő felhőfelhasználók helyszíni felhasználói objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Csatlakozás Sync (2.2.8.0) használatával
• Ha a Microsoft Entra Csatlakozás Syncet (2.2.8.0) használja a felhasználók szinkronizálásához a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak 2.2.8.0-s vagy újabb verziónak kell lennie.
• Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
• A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.

További követelmények

• Minimális Microsoft .NET-keretrendszer 4.7.1

TLS-követelmények

Feljegyzés

A Transport Layer Security (TLS) egy protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása az egész erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.

A Microsoft Entra Csatlakozás felhőkiépítési ügynököt futtató Windows-kiszolgálón a telepítés előtt engedélyezni kell a TLS 1.2-t.

A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.

1. A következő beállításkulcsok beállításához másolja a tartalmat egy .reg fájlba, majd futtassa a fájlt (kattintson a jobb gombbal, és válassza az Egyesítés gombot):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Indítsa újra a kiszolgálót.

Tűzfal- és proxykövetelmények

Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:

• Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:

  Portszám	Leírás
  80	Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben.
  443	Kezeli a szolgáltatással való kimenő kommunikációt.
  8080 (nem kötelező)	Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra felügyeleti központban jelenik meg.

• Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.

• Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:

Nyilvános felhő

URL-cím	Leírás
*.msappproxy.net *.servicebus.windows.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.net	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Amerikai kormányzati felhő

URL-cím	Leírás
*.msappproxy.us *.servicebus.usgovcloudapi.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

• Ha nem tud kapcsolatokat felvenni, engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését.

NTLM-követelmény

Ne engedélyezze az NTLM-et a Microsoft Entra kiépítési ügynököt futtató Windows Serveren, és ha engedélyezve van, győződjön meg arról, hogy letiltja.

Ismert korlátozások

Az alábbiak ismert korlátozások:

Különbözeti szinkronizálás

• A csoport hatókörének szűrése a deltaszinkronizáláshoz nem támogat több mint 50 000 tagot.
• Ha töröl egy csoport hatókörkezelési szűrő részeként használt csoportot, a csoport tagjai nem törlődnek.
• A hatókörben lévő szervezeti egység vagy csoport átnevezésekor a delta sync nem távolítja el a felhasználókat.

Üzembehelyezési naplók

• A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.

Csoport átnevezése vagy szervezeti egység átnevezése

• Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltoztatást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.

Hatókörszűrő

Szervezeti egység hatókörszűrőjének használatakor

• Egy adott konfigurációhoz legfeljebb 59 különálló szervezeti egység vagy biztonsági csoport szinkronizálható.
• A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységet tartalmazó szervezeti egységeket, de ugyanabban a konfigurációban nem szinkronizálhat60 különálló szervezeti egységet).

Jelszókivonat szinkronizálása

• A jelszókivonat-szinkronizálás használata az InetOrgPersonnal nem támogatott.

Következő lépések

• Mi az a kiépítés?
• Mi az a Microsoft Entra Cloud Sync?