A Microsoft Entra Cloud Sync előfeltételei

Ez a cikk útmutatást nyújt a Microsoft Entra Cloud Sync identitásmegoldásként való használatához.

Felhőkiépítési ügynökkel kapcsolatos követelmények

A Microsoft Entra Cloud Sync használatához a következőkre van szüksége:

• Tartományi rendszergazdai vagy vállalati rendszergazdai hitelesítő adatok a Microsoft Entra Connect felhőszinkronizálási gMSA (csoport által felügyelt szolgáltatásfiók) létrehozásához az ügynökszolgáltatás futtatásához.
• Hibrid identitás-rendszergazdai fiók a Microsoft Entra-bérlőhöz, amely nem vendégfelhasználó.
• A kiépítési ügynök helyszíni kiszolgálója Windows 2016 vagy újabb verzióval. Ennek a kiszolgálónak az Active Directory felügyeleti réteg modelljén alapuló 0. szintű kiszolgálónak kell lennie. Az ügynök telepítése tartományvezérlőre támogatott. További információ: A Microsoft Entra kiépítési ügynökkiszolgálójának megkeményítése
  • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
• A magas rendelkezésre állás azt jelenti, hogy a Microsoft Entra Cloud Sync képes hosszú ideig hiba nélkül folyamatosan működni. Több aktív ügynök telepítésével és futtatásával a Microsoft Entra Cloud Sync akkor is működhet, ha egy ügynöknek sikertelennek kell lennie. A Microsoft azt javasolja, hogy a magas rendelkezésre állás érdekében 3 aktív ügynök legyen telepítve.
• Helyszíni tűzfalkonfigurációk.

A Microsoft Entra kiépítési ügynök kiszolgálóinak megerősítése

Javasoljuk, hogy a Microsoft Entra kiépítési ügynökkiszolgálóját megerősítse, hogy csökkentse az informatikai környezet ezen kritikus fontosságú összetevőjének biztonsági támadási felületét. Ezeknek a javaslatoknak a betartása segít csökkenteni a szervezetre vonatkozó biztonsági kockázatokat.

• Javasoljuk, hogy a Microsoft Entra kiépítési ügynökkiszolgálót vezérlősíkként (korábbi nevén 0. réteg) megerősítse a Biztonságos emelt szintű hozzáférés és az Active Directory felügyeleti réteg modelljében megadott útmutatást követve.
• A Microsoft Entra kiépítési ügynök kiszolgálójának rendszergazdai hozzáférését csak tartományi rendszergazdákra vagy más szigorúan ellenőrzött biztonsági csoportokra korlátozza.
• Hozzon létre egy dedikált fiókot minden kiemelt hozzáféréssel rendelkező személy számára. A rendszergazdáknak nem szabad a weben böngészniük, ellenőrizniük az e-mailjeikat, és napi szintű hatékonyságnövelő feladatokat végezniük magas jogosultsági szintű fiókokkal.
• Kövesse a kiemelt hozzáférés biztonságossá tételével kapcsolatos útmutatást.
• Az NTLM-hitelesítés használatának megtagadása a Microsoft Entra kiépítési ügynökkiszolgálóval. Ennek néhány módja: Az NTLM korlátozása a Microsoft Entra kiépítési ügynökkiszolgálón és az NTLM korlátozása egy tartományban
• Győződjön meg arról, hogy minden géphez egyedi helyi rendszergazdai jelszó tartozik. További információ: A Helyi rendszergazdai jelszómegoldás (Windows LAPS) egyedi véletlenszerű jelszavakat konfigurálhat minden munkaállomáson, és a kiszolgáló az Active Directoryban tárolja azokat ACL-védelemmel. Csak a jogosult jogosult felhasználók olvashatják vagy kérhetik a helyi rendszergazdai fiók jelszavának visszaállítását. A Környezet Windows LAPS-sel és emelt jogosultságú hozzáférési munkaállomásokkal (PAW-kkal) való működtetéséhez további útmutatást a tiszta forrás elven alapuló üzemeltetési szabványokban talál.
• Dedikált emelt szintű hozzáférési munkaállomásokat valósíthat meg minden olyan személy számára, aki kiemelt hozzáféréssel rendelkezik a szervezet információs rendszereihez.
• Kövesse ezeket a további irányelveket az Active Directory-környezet támadási felületének csökkentéséhez.
• Kövesse az összevonási konfiguráció változásainak monitorozását, hogy riasztásokat állítson be az idp és a Microsoft Entra ID között létrehozott megbízhatósági kapcsolat változásainak figyeléséhez.
• Engedélyezze a Többtényezős hitelesítést (MFA) minden olyan felhasználó számára, aki jogosult hozzáféréssel rendelkezik a Microsoft Entra-azonosítóban vagy az AD-ben. A Microsoft Entra kiépítési ügynökkel kapcsolatos egyik biztonsági probléma az, hogy ha egy támadó szabályozni tudja a Microsoft Entra kiépítési ügynök kiszolgálóját, manipulálhatja a Felhasználókat a Microsoft Entra-azonosítóban. Annak érdekében, hogy a támadók ne használják ezeket a képességeket a Microsoft Entra-fiókok átvételekor, az MFA védelmet nyújt, így még ha a támadónak sikerül is, például a felhasználó jelszavának alaphelyzetbe állítása a Microsoft Entra kiépítési ügynökkel, továbbra sem tudja megkerülni a második tényezőt.

Felügyelt szolgáltatásfiókok csoportosítása

A csoportos felügyelt szolgáltatásfiók egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnév-kezelést (SPN) biztosít, lehetővé teszi a felügyelet más rendszergazdáknak való delegálását, és ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A rendszer a beállítás során rendszergazdai hitelesítő adatokat fog kérni a fiók létrehozásához. A fiók a következőként domain\provAgentgMSA$jelenik meg: . A gMSA-kkal kapcsolatos további információkért lásd a csoport által felügyelt szolgáltatásfiókokat.

A gMSA előfeltételei

1. A gMSA-tartomány erdőjében lévő Active Directory-sémát Windows Server 2012 vagy újabb rendszerre kell frissíteni.
2. PowerShell RSAT-modulok egy tartományvezérlőn.
3. A tartományban legalább egy tartományvezérlőnek Windows Server 2012 vagy újabb rendszert kell futtatnia.
4. A tartományhoz csatlakoztatott kiszolgálónak, amelyen az ügynök telepítve van, Windows Server 2016-nak vagy újabbnak kell lennie.

Egyéni gMSA-fiók

Ha egyéni gMSA-fiókot hoz létre, győződjön meg arról, hogy a fiók rendelkezik a következő engedélyekkel.

Típus	Név	Hozzáférés	A következőkre vonatkozik:
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott eszközobjektumok
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott InetOrgPerson-objektumok
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott számítógép-objektumok
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott foreignSecurityPrincipal objektumok
Enged	gMSA-fiók	Teljes vezérlés	Leszármazottcsoport-objektumok
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott felhasználói objektumok
Enged	gMSA-fiók	Az összes tulajdonság beolvasása	Leszármazott névjegyobjektumai
Enged	gMSA-fiók	Felhasználói objektumok létrehozása/törlése	Ez az objektum és az összes leszármazott objektum

A meglévő ügynök gMSA-fiók használatára való frissítésének lépéseit a csoportos felügyeltszolgáltatás-fiókok című témakörben találja.

Ha többet szeretne tudni arról, hogyan készítheti elő az Active Directoryt a csoportos felügyelt szolgáltatásfiókra, tekintse meg a felügyelt szolgáltatásfiókok áttekintése és a felügyelt szolgáltatásfiókok csoportosítása felhőszinkronizálással című témakört.

A Microsoft Entra Felügyeleti központban

1. Hozzon létre egy kizárólag felhőalapú hibrid identitáskezelő fiókot a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan vehet fel csak felhőalapú hibrid identitáskezelési rendszergazdai fiókot. A lépés befejezése kritikus fontosságú annak biztosítása érdekében, hogy ne zárják ki a bérlőből.
2. Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.

Az Active Directory címtárában

Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.

A helyszíni környezetben

1. Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót, amely legalább 4 GB RAM-mal és .NET 4.7.1+-os futtatókörnyezettel rendelkezik.
2. A helyi kiszolgálón a PowerShell végrehajtási házirendjének nem definiált vagy RemoteSigned értékre kell állítania.
3. Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, tekintse meg a tűzfal és a proxy követelményeit.

Jegyzet

A felhőkiépítési ügynök telepítése a Windows Server Core-ra nem támogatott.

Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek

A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. A követelményeknek megfelelő licenc megkereséséhez tekintse meg a Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása című témakört.

Általános követelmények

• Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
• Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
  • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
• Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.

Jegyzet

A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.

Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra

• A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
  • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
• Microsoft Entra Connect Sync a 2.2.8.0-s vagy újabb buildtel
  • A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
  • Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier

Támogatott csoportok és méretezési korlátok

A következők támogatottak:

• Csak a felhőben létrehozott biztonsági csoportok támogatottak
• Ezek a csoportok hozzárendelt vagy dinamikus tagsági csoportokkal rendelkezhetnek.
• Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
• A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
• Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
• Az 50 000 tagnál nagyobb csoportok nem támogatottak.
• A 150 000-nél több objektummal rendelkező bérlők nem támogatottak. Ez azt jelenti, hogy ha egy bérlő 150 000-t meghaladó felhasználók és csoportok kombinációjával rendelkezik, a bérlő nem támogatott.
• Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
• A Microsoft Entra ID és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.

További információk

Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.

• Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
• Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
• Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
• AzPremisesObjectIdentifier attribútumon a helyszíni felhasználók objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
• Ha a Microsoft Entra Connect Sync (2.2.8.0) használatával szinkronizálja a felhasználókat a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak a 2.2.8.0-s vagy újabb verziójának kell lennie.
• Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
• A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.

További követelmények

• Minimális Microsoft .NET-keretrendszer 4.7.1

TLS-követelmények

Jegyzet

A Transport Layer Security (TLS) egy protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása az egész erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2 alapértelmezett biztonságos protokollként való engedélyezéséhez a Windows WinHTTP-ban.

A Microsoft Entra Connect felhőkiépítési ügynököt futtató Windows-kiszolgálónak a telepítés előtt engedélyeznie kell a TLS 1.2-t.

A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.

1. A következő beállításkulcsok beállításához másolja a tartalmat egy .reg fájlba, majd futtassa a fájlt (kattintson a jobb gombbal, és válassza az Egyesítés gombot):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Indítsa újra a kiszolgálót.

Tűzfal- és proxykövetelmények

Ha tűzfal van a kiszolgálók és a Microsoft Entra-azonosító között, konfigurálja a következő elemeket:

• Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:

  Portszám	Leírás
  80	Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS/SSL-tanúsítvány érvényesítése közben.
  443	Kezeli a szolgáltatással való kimenő kommunikációt.
  8080 (nem kötelező)	Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot a Microsoft Entra Felügyeleti központban jelenik meg.

• Ha a tűzfal az eredeti felhasználók szerint kényszeríti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatásokból érkező forgalom számára.

• Győződjön meg arról, hogy a proxy támogatja legalább a HTTP 1.1 protokollt, és engedélyezve van az adattömb-kódolás.

• Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, adjon hozzá kapcsolatokat:

Nyilvános felhő

URL-cím	Leírás
*.msappproxy.net *.servicebus.windows.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.net	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

Amerikai kormányzati felhő

URL-cím	Leírás
*.msappproxy.us *.servicebus.usgovcloudapi.net	Az ügynök ezeket az URL-címeket használja a Microsoft Entra felhőszolgáltatással való kommunikációhoz.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Az ügynök ezeket az URL-címeket használja a tanúsítványok ellenőrzéséhez.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Az ügynök ezeket az URL-címeket használja a regisztrációs folyamat során.

• Ha nem tud kapcsolatokat felvenni, engedélyezze az Azure-adatközpont hetente frissített IP-tartományainak elérését.

NTLM-követelmény

Ne engedélyezze az NTLM-et a Microsoft Entra kiépítési ügynököt futtató Windows Serveren, és ha engedélyezve van, győződjön meg arról, hogy letiltja.

Ismert korlátozások

Az alábbiak ismert korlátozások:

Delta-szinkronizálás

• A csoport hatókörének szűrése a deltaszinkronizáláshoz nem támogat több mint 50 000 tagot.
• Ha töröl egy csoport hatókörkezelési szűrő részeként használt csoportot, a csoport tagjai nem törlődnek.
• A hatókörben lévő szervezeti egység vagy csoport átnevezésekor a delta sync nem távolítja el a felhasználókat.

Kiépítési naplók

• A kiépítési naplók nem különböztetik meg egyértelműen a létrehozási és frissítési műveleteket. Megjelenhet egy frissítés létrehozási művelete és egy létrehozás frissítési művelete.

Csoport átnevezése vagy szervezeti egység átnevezése

• Ha átnevez egy csoportot vagy szervezeti egységet az AD-ben, amely egy adott konfiguráció hatókörébe tartozik, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltoztatást az AD-ben. A feladat nem kerül karanténba, és egészséges marad.

Hatókörszűrő

Szervezeti egység hatókörszűrőjének használatakor

• A hatókörkezelési konfiguráció karakterhossza 4 MB. Egy szabványos tesztelt környezetben ez körülbelül 50 különálló szervezeti egységre (SZERVEZETI EGYSÉG) vagy biztonsági csoportra (beleértve a szükséges metaadatokat) jelent egy adott konfigurációhoz.

• A beágyazott szervezeti egységek támogatottak (azaz szinkronizálhat egy 130 beágyazott szervezeti egységet tartalmazó szervezeti egységeket, de ugyanabban a konfigurációban nem szinkronizálhat 60 különálló szervezeti egységet).

Jelszókivonat szinkronizálása

• A jelszókivonat-szinkronizálás használata az InetOrgPersonnal nem támogatott.

Következő lépések

• Mi az a kiépítés?
• Mi a Microsoft Entra Cloud Sync?