Megosztás a következőn keresztül:


A Microsoft Entra Connect előfeltételei

Ez a cikk a Microsoft Entra Connect előfeltételeit és hardverkövetelményeit ismerteti.

A Microsoft Entra Connect telepítése előtt

A Microsoft Entra Connect telepítése előtt néhány dologra van szüksége.

Microsoft Entra-azonosító

  • Microsoft Entra-bérlőre van szüksége. Ingyenes Azure-próbaverziót kap. A Microsoft Entra Connect kezeléséhez az alábbi portálok egyikét használhatja:
  • Adja hozzá és ellenőrizze a Microsoft Entra-azonosítóban használni kívánt tartományt . Ha például contoso.com szeretne használni a felhasználók számára, győződjön meg arról, hogy a tartomány ellenőrzött, és nem csak az alapértelmezett contoso.onmicrosoft.com tartományt használja.
  • A Microsoft Entra-bérlők alapértelmezés szerint 50 000 objektumot engedélyeznek. A tartomány ellenőrzésekor a korlát 300 000 objektumra nő. Ha még több objektumra van szüksége a Microsoft Entra-azonosítóban, nyisson meg egy támogatási esetet, amely még tovább növeli a korlátot. Ha több mint 500 000 objektumra van szüksége, licencre van szüksége, például Microsoft 365, Microsoft Entra ID P1 vagy P2 vagy Enterprise Mobility + Security.

A helyszíni adatok előkészítése

Helyszíni Active Directory

  • Az Active Directory sémaverziójának és az erdő működési szintjének Windows Server 2003-nak vagy újabbnak kell lennie. A tartományvezérlők bármilyen verziót futtathatnak, amíg a sémaverzió és az erdőszintű követelmények teljesülnek. Ha a Windows Server 2016-ot vagy régebbi verziót futtató tartományvezérlőkhöz támogatást igényel, fizetős támogatási programra lehet szükség.
  • A Microsoft Entra ID által használt tartományvezérlőnek írhatónak kell lennie. Írásvédett tartományvezérlő (RODC) használata nem támogatott, és a Microsoft Entra Connect nem követi az írási átirányításokat.
  • Helyszíni erdők vagy tartományok használata "pontozott" használatával (a név tartalmaz egy ".") pontot. A NetBIOS-nevek nem támogatottak.
  • Javasoljuk, hogy engedélyezze az Active Directory lomtárát.

PowerShell végrehajtási szabályzat

A Microsoft Entra Connect aláírt PowerShell-szkripteket futtat a telepítés részeként. Győződjön meg arról, hogy a PowerShell végrehajtási szabályzata engedélyezi a szkriptek futtatását.

A telepítés során javasolt végrehajtási szabályzat a "RemoteSigned".

A PowerShell végrehajtási szabályzatának beállításáról további információt a Set-ExecutionPolicy című témakörben talál.

Microsoft Entra Connect-kiszolgáló

A Microsoft Entra Connect-kiszolgáló kritikus identitásadatokat tartalmaz. Fontos, hogy a kiszolgálóhoz való rendszergazdai hozzáférés megfelelően legyen biztosítva. Kövesse a kiemelt hozzáférés biztonságossá tételével kapcsolatos irányelveket.

A Microsoft Entra Connect-kiszolgálót 0. rétegbeli összetevőként kell kezelni az Active Directory felügyeleti réteg modelljében dokumentált módon. Javasoljuk, hogy a Microsoft Entra Connect-kiszolgálót vezérlősík-objektumként megerősítse a biztonságos emelt szintű hozzáféréssel kapcsolatos útmutatást követve.

Az Active Directory-környezet biztonságossá tételével kapcsolatos további információkért tekintse meg az Active Directory biztonságossá tételének ajánlott eljárásait.

Telepítési előfeltételek

  • A Microsoft Entra Connectet tartományhoz csatlakoztatott Windows Server 2016 vagy újabb rendszeren kell telepíteni. A tartományhoz csatlakoztatott Windows Server 2022 használatát javasoljuk. A Microsoft Entra Connectet Windows Server 2016 rendszeren is üzembe helyezheti, de mivel a Windows Server 2016 kiterjesztett támogatásban van, szükség lehet fizetős támogatási programra, ha ehhez a konfigurációhoz támogatásra van szüksége.
  • A minimális .NET-keretrendszer szükséges verzió a 4.6.2, és a .NET újabb verziói is támogatottak. A .NET 4.8-es és újabb verziója biztosítja a legjobb akadálymentességi megfelelőséget.
  • A Microsoft Entra Connect 2019 előtt nem telepíthető a Small Business Serverre vagy a Windows Server Essentialsre (a Windows Server Essentials 2019 támogatott). A kiszolgálónak standard vagy annál jobb Windows Servert kell használnia.
  • A Microsoft Entra Connect-kiszolgálónak teljes grafikus felhasználói felülettel kell rendelkeznie. A Microsoft Entra Connect telepítése Windows Server Core-on nem támogatott.
  • A Microsoft Entra Connect-kiszolgálón nem engedélyezett a PowerShell-átírási csoportházirend, ha a Microsoft Entra Connect varázslóval kezeli Active Directory összevonási szolgáltatások (AD FS) (AD FS) konfigurációját. Ha a Microsoft Entra Connect varázslóval kezeli a szinkronizálási konfigurációt, engedélyezheti a PowerShell-átírást.
  • Győződjön meg arról, hogy az MSOnline PowerShell (MSOL) nincs letiltva a bérlő szintjén.
  • Az AD FS üzembe helyezése esetén:
  • A Microsoft Entra Connect és a Microsoft Entra ID közötti forgalom megszakítása és elemzése nem támogatott. Ez megzavarhatja a szolgáltatást.
  • Ha a hibrid identitáskezelő rendszergazdák engedélyezve vannak az MFA-ban, az URL-címnek https://secure.aadcdn.microsoftonline-p.com szerepelnie kell a megbízható webhelyek listájában. A rendszer arra kéri, hogy vegye fel ezt a webhelyet a megbízható webhelyek listájára, amikor MFA-kihívásra kéri, és még nem lett hozzáadva. Az Internet Explorerrel hozzáadhatja a megbízható webhelyekhez.
  • Ha szinkronizálni szeretné a Microsoft Entra Connect Health szolgáltatást, globális rendszergazdai fiókkal kell telepítenie a Microsoft Entra Connect Syncet. Ha hibrid rendszergazdai fiókot használ, az ügynök telepítve lesz, de letiltott állapotban. További információ: Microsoft Entra Connect Health-ügynök telepítése.

A Microsoft Entra Connect-kiszolgáló megerősítése

Javasoljuk, hogy a Microsoft Entra Connect-kiszolgálót megerősítse, hogy csökkentse az informatikai környezet ezen kritikus fontosságú összetevőjének biztonsági támadási felületét. Ezeknek a javaslatoknak a betartása segít csökkenteni a szervezetre vonatkozó biztonsági kockázatokat.

  • Javasoljuk, hogy a Microsoft Entra Connect-kiszolgálót vezérlősíkként (korábbi nevén 0. réteg) megerősítse a Biztonságos emelt szintű hozzáférés és az Active Directory felügyeleti réteg modelljében megadott útmutatást követve.
  • A Microsoft Entra Connect-kiszolgáló rendszergazdai hozzáférésének korlátozása csak tartományi rendszergazdákra vagy más szigorúan ellenőrzött biztonsági csoportokra.
  • Hozzon létre egy dedikált fiókot minden kiemelt hozzáféréssel rendelkező személy számára. A rendszergazdáknak nem szabad a weben böngészniük, ellenőrizniük az e-mailjeikat, és napi szintű hatékonyságnövelő feladatokat végezniük magas jogosultsági szintű fiókokkal.
  • Kövesse a kiemelt hozzáférés biztonságossá tételével kapcsolatos útmutatást.
  • Az NTLM-hitelesítés használatának megtagadása a Microsoft Entra Connect-kiszolgálóval. Ennek néhány módja: Az NTLM korlátozása a Microsoft Entra Connect-kiszolgálón és az NTLM korlátozása egy tartományban
  • Győződjön meg arról, hogy minden géphez egyedi helyi rendszergazdai jelszó tartozik. További információ: A Helyi rendszergazdai jelszómegoldás (Windows LAPS) egyedi véletlenszerű jelszavakat konfigurálhat minden munkaállomáson, és a kiszolgáló az Active Directoryban tárolja azokat ACL-védelemmel. Csak a jogosult jogosult felhasználók olvashatják vagy kérhetik a helyi rendszergazdai fiók jelszavának visszaállítását. A Környezet Windows LAPS-sel és emelt jogosultságú hozzáférési munkaállomásokkal (PAW-kkal) való működtetéséhez további útmutatást a tiszta forrás elven alapuló üzemeltetési szabványokban talál.
  • Dedikált emelt szintű hozzáférési munkaállomásokat valósíthat meg minden olyan személy számára, aki kiemelt hozzáféréssel rendelkezik a szervezet információs rendszereihez.
  • Kövesse ezeket a további irányelveket az Active Directory-környezet támadási felületének csökkentéséhez.
  • Kövesse az összevonási konfiguráció változásainak monitorozását, hogy riasztásokat állítson be az idp és a Microsoft Entra ID között létrehozott megbízhatósági kapcsolat változásainak figyeléséhez.
  • Engedélyezze a többtényezős hitelesítést (MFA) minden olyan felhasználó számára, aki jogosult hozzáféréssel rendelkezik a Microsoft Entra-azonosítóban vagy az AD-ben. A Microsoft Entra Connect használatával kapcsolatos egyik biztonsági probléma, hogy ha egy támadó szabályozni tudja a Microsoft Entra Connect-kiszolgálót, akkor a felhasználókat a Microsoft Entra ID-ban módosíthatja. Annak érdekében, hogy a támadók ne használják ezeket a képességeket a Microsoft Entra-fiókok átvételére, az MFA védelmet nyújt, így még ha egy támadónak sikerül is, például egy felhasználó jelszavának alaphelyzetbe állítása a Microsoft Entra Connect használatával, akkor sem tudja megkerülni a második tényezőt.
  • Tiltsa le a helyreállítható egyeztetést a bérlőn. A Soft Matching egy nagyszerű funkció, amely segít a meglévő felhőalapú felügyelt objektumok szolgáltatói forrásának a Microsoft Entra Connectbe való átvitelében, de bizonyos biztonsági kockázatokkal jár. Ha nincs rá szükség, tiltsa le a Helyreállítható egyeztetés funkciót.
  • Tiltsa le a hard match átvételt. A kemény egyezés átvétele lehetővé teszi, hogy a Microsoft Entra Connect átvegye az irányítást egy felhőalapú felügyelt objektum felett, és az objektum szolgáltatói forrását Active Directoryra módosítsa. Miután a Microsoft Entra Connect átvette az objektum jogosultsági forrását, a Microsoft Entra objektumhoz csatolt Active Directory-objektum módosításai felülírják az eredeti Microsoft Entra-adatokat – beleértve a jelszókivonatot is, ha engedélyezve van a jelszókivonat-szinkronizálás. A támadó ezzel a képességgel átveheti a felhő által felügyelt objektumok irányítását. A kockázat csökkentése érdekében tiltsa le a kemény találatok átvételét.

A Microsoft Entra Connect által használt SQL Server

  • A Microsoft Entra Connecthez egy SQL Server-adatbázisra van szükség az identitásadatok tárolásához. Alapértelmezés szerint egy SQL Server 2019 Express LocalDB (az SQL Server Express egyszerűsített verziója) van telepítve. Az SQL Server Express 10 GB-os méretkorlátot biztosít, amellyel körülbelül 100 000 objektum kezelhető. Ha nagyobb mennyiségű címtárobjektumot kell kezelnie, a telepítővarázslót az SQL Server egy másik telepítésére kell mutatnia. Az SQL Server telepítésének típusa befolyásolhatja a Microsoft Entra Connect teljesítményét.
  • Ha az SQL Server más telepítését használja, az alábbi követelmények vonatkoznak:
    • A Microsoft Entra Connect a Windows rendszeren futó SQL Server 2022-ig támogatja az összes általánosan támogatott SQL Server-verziót. Az SQL Server-verzió támogatási állapotának ellenőrzéséhez tekintse meg az SQL Server életciklusáról szóló cikket . Az SQL Server 2012 már nem támogatott. Az Azure SQL Database nem támogatott adatbázisként. Ez magában foglalja az Azure SQL Database-t és a felügyelt Azure SQL-példányt is.
    • Kis- és nagybetűket nem érzékelyítő SQL-rendezést kell használnia. Ezek a rendezések a nevükben egy _CI_ azonosítóval vannak azonosítva. A _CS_ által a nevükben azonosított kis- és nagybetűk megkülönböztetése nem támogatott.
    • SQL-példányonként csak egy szinkronizálási motort használhat. Az SQL-példányok MIM Synctel, DirSynctel vagy Azure AD-szinkronizáló való megosztása nem támogatott.
    • Az SQL Server 17-es és OLE DB-illesztőprogramjának karbantartása a Microsoft Entra Connect csomagban található SQL Server 18-hoz. Az ODBC/OLE DB-illesztőprogramok fő- vagy alverziójának frissítése nem támogatott. A Microsoft Entra Connect termékcsoport csapata új ODBC/OLE DB-illesztőprogramokat fog tartalmazni, mivel ezek elérhetővé válnak, és frissíteni kell őket.

Számlák

  • Rendelkeznie kell egy Microsoft Entra globális rendszergazdai fiókkal vagy hibrid identitásadminisztrátori fiókkal ahhoz a Microsoft Entra-bérlőhöz, amellyel integrálni szeretné. Ennek a fióknak iskolai vagy szervezeti fióknak kell lennie, és nem lehet Microsoft-fiók.
  • Ha expressz beállításokat használ, vagy a DirSyncről frissít, a helyi Active Directory vállalati rendszergazdai fiókkal kell rendelkeznie.
  • Ha az egyéni beállítások telepítési útvonalát használja, több lehetősége is van. További információ: Egyéni telepítési beállítások.

Hálózati csatlakozás

  • A Microsoft Entra Connect-kiszolgálónak dns-feloldóra van szüksége az intranethez és az internethez egyaránt. A DNS-kiszolgálónak képesnek kell lennie a nevek feloldására mind a helyi Active Directory, mind a Microsoft Entra-végpontok számára.
  • A Microsoft Entra Connect minden konfigurált tartományhoz hálózati kapcsolatot igényel
  • A Microsoft Entra Connect hálózati kapcsolatot igényel az összes konfigurált erdő gyökértartományához
  • Ha tűzfalak vannak az intraneten, és portokat kell megnyitnia a Microsoft Entra Connect-kiszolgálók és a tartományvezérlők között, további információt a Microsoft Entra Connect portjaiban talál.
  • Ha a proxy vagy a tűzfal korlátozza, hogy mely URL-címek érhetők el, meg kell nyitni az Office 365 URL-címeiben és IP-címtartományaiban dokumentált URL-címeket . Lásd még: Safelist the Microsoft Entra Admin center URL-címek a tűzfalon vagy proxykiszolgálón.
  • A Microsoft Entra Connect (1.1.614.0-s és újabb verzió) alapértelmezés szerint a TLS 1.2-es verzióját használja a szinkronizálási motor és a Microsoft Entra ID közötti kommunikáció titkosításához. Ha a TLS 1.2 nem érhető el a mögöttes operációs rendszeren, a Microsoft Entra Connect fokozatosan visszaesik a régebbi protokollokra (TLS 1.1 és TLS 1.0). A Microsoft Entra Connect 2.0-s verziójától kezdve. A TLS 1.0 és az 1.1 már nem támogatott, és a telepítés sikertelen lesz, ha a TLS 1.2 nincs engedélyezve.
  • Az 1.1.614.0-s verzió előtt a Microsoft Entra Connect alapértelmezés szerint a TLS 1.0-t használja a szinkronizálási motor és a Microsoft Entra ID közötti kommunikáció titkosításához. A TLS 1.2-re való váltáshoz kövesse a Microsoft Entra Connect TLS 1.2-ének engedélyezésével kapcsolatos lépéseket.

Fontos

A 2.3.20.0-s verzió egy biztonsági frissítés. Ezzel a frissítéssel a Microsoft Entra Connecthez TLS 1.2 szükséges. A verzióra való frissítés előtt győződjön meg arról, hogy a TLS 1.2 engedélyezve van.

A Windows Server összes verziója támogatja a TLS 1.2-t. Ha a TLS 1.2 nincs engedélyezve a kiszolgálón, ezt engedélyeznie kell, mielőtt üzembe helyezheti a Microsoft Entra Connect V2.0-t.

Ha egy PowerShell-szkript szeretné ellenőrizni, hogy a TLS 1.2 engedélyezve van-e, tekintse meg a PowerShell-szkriptet a TLS ellenőrzéséhez

További információ a TLS 1.2-ről: Microsoft Security Advisory 2960358. A TLS 1.2 engedélyezéséről további információt a TLS 1.2 engedélyezéséről talál .

  • Ha kimenő proxyt használ az internethez való csatlakozáshoz, a telepítővarázslóhoz és a Microsoft Entra Connect Synchez hozzá kell adni a következő beállítást a C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config fájlban. Ezt a szöveget a fájl alján kell megadni. Ebben a kódban a <PROXYADDRESS> a proxy IP-címét vagy állomásnevét jelöli.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykiszolgáló hitelesítést igényel, a szolgáltatásfióknak a tartományban kell lennie. Egyéni szolgáltatásfiók megadásához használja a testreszabott beállítások telepítési útvonalát. A machine.config másik módosítására is szükség van. A machine.config ezen módosításával a telepítővarázsló és a szinkronizálási motor válaszol a proxykiszolgálótól érkező hitelesítési kérelmekre. A telepítővarázsló összes lapján a Konfigurálás lap kivételével a rendszer a bejelentkezett felhasználó hitelesítő adatait használja. A telepítővarázsló végén található Konfigurálás lapon a környezet a létrehozott szolgáltatásfiókra vált. A machine.config szakasznak így kell kinéznie:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykonfiguráció egy meglévő beállításban történik, a Microsoft Entra ID Sync szolgáltatást egyszer újra kell indítani, hogy a Microsoft Entra Connect beolvassa a proxykonfigurációt, és frissítse a viselkedést.

  • Amikor a Microsoft Entra Connect a címtár-szinkronizálás részeként webkérelmet küld a Microsoft Entra ID-nak, a Microsoft Entra-azonosító akár 5 percet is igénybe vehet a válaszadáshoz. Gyakran előfordul, hogy a proxykiszolgálók kapcsolati tétlenségi időtúllépési konfigurációval rendelkeznek. Győződjön meg arról, hogy a konfiguráció legalább 6 percre van beállítva.

További információ: MSDN az alapértelmezett proxyelemről. Ha csatlakozási problémákat tapasztal, további információt a csatlakozási problémák elhárítása című témakörben talál.

Más

Nem kötelező: A szinkronizálás ellenőrzéséhez használjon tesztfelhasználói fiókot.

Összetevő előfeltételei

PowerShell és .NET-keretrendszer

A Microsoft Entra Connect a Microsoft PowerShell 5.0-s és .NET-keretrendszer 4.5.1-.NET-keretrendszer függ. Erre a verzióra vagy egy újabb verzióra van szüksége a kiszolgálón.

A TLS 1.2 engedélyezése a Microsoft Entra Connecthez

Fontos

A 2.3.20.0-s verzió egy biztonsági frissítés. Ezzel a frissítéssel a Microsoft Entra Connecthez TLS 1.2 szükséges. A verzióra való frissítés előtt győződjön meg arról, hogy a TLS 1.2 engedélyezve van.

A Windows Server összes verziója támogatja a TLS 1.2-t. Ha a TLS 1.2 nincs engedélyezve a kiszolgálón, ezt engedélyeznie kell, mielőtt üzembe helyezheti a Microsoft Entra Connect V2.0-t.

Ha egy PowerShell-szkript szeretné ellenőrizni, hogy a TLS 1.2 engedélyezve van-e, tekintse meg a PowerShell-szkriptet a TLS ellenőrzéséhez

További információ a TLS 1.2-ről: Microsoft Security Advisory 2960358. A TLS 1.2 engedélyezéséről további információt a TLS 1.2 engedélyezéséről talál .

Az 1.1.614.0-s verzió előtt a Microsoft Entra Connect alapértelmezés szerint a TLS 1.0-val titkosítja a szinkronizálási motorkiszolgáló és a Microsoft Entra-azonosító közötti kommunikációt. A .NET-alkalmazásokat alapértelmezés szerint a TLS 1.2 használatára konfigurálhatja a kiszolgálón. További információ a TLS 1.2-ről: Microsoft Security Advisory 2960358.

  1. Győződjön meg arról, hogy telepítve van az operációs rendszerhez a .NET 4.5.1 gyorsjavítás. További információ: Microsoft Security Advisory 2960358. Előfordulhat, hogy már telepítve van ez a gyorsjavítás vagy egy későbbi kiadás a kiszolgálón.

  2. Az összes operációs rendszer esetében állítsa be ezt a beállításkulcsot, és indítsa újra a kiszolgálót.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Ha a szinkronizálási motorkiszolgáló és egy távoli SQL Server között is engedélyezni szeretné a TLS 1.2-t, győződjön meg arról, hogy telepítve vannak a Microsoft SQL Server TLS 1.2-támogatásához szükséges verziók.

További információ: A TLS 1.2 engedélyezése

DCOM-előfeltételek a szinkronizálási kiszolgálón

A szinkronizálási szolgáltatás telepítése során a Microsoft Entra Connect a következő beállításkulcs meglétét ellenőrzi:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Ebben a beállításkulcsban a Microsoft Entra Connect ellenőrzi, hogy a következő értékek vannak-e jelen, és nem sérültek-e:

Az összevonás telepítésének és konfigurálásának előfeltételei

Windows távfelügyelet

Ha a Microsoft Entra Connectet használja az AD FS vagy a webes alkalmazásproxy (WAP) üzembe helyezéséhez, ellenőrizze az alábbi követelményeket:

  • Ha a célkiszolgáló tartományhoz csatlakozik, győződjön meg arról, hogy a Távoli Windows felügyelet engedélyezve van.
    • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
  • Ha a célkiszolgáló nem tartományhoz csatlakoztatott WAP-gép, néhány további követelmény is teljesül:
    • A célgépen (WAP-gépen):
      • Győződjön meg arról, hogy a Windows Remote Management/WS-Management (WinRM) szolgáltatás a Szolgáltatások beépülő modulon keresztül fut.
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
    • Azon a gépen, amelyen a varázsló fut (ha a célgép nem tartományhoz csatlakozik, vagy nem megbízható tartomány):
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • A kiszolgálókezelőben:
        • Adjon hozzá egy DMZ WAP-gazdagépet egy gépkészlethez. A kiszolgálókezelőben válassza a Kiszolgálók hozzáadása kezelése>lehetőséget, majd használja a DNS lapot.
        • A Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Kezelés másként lehetőséget. Adja meg a WAP-gép helyi (nem tartományi) hitelesítő adatait.
        • A távoli PowerShell-kapcsolat ellenőrzéséhez a Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Windows PowerShellt. Meg kell nyitni egy távoli PowerShell-munkamenetet, hogy a távoli PowerShell-munkamenetek létre legyenek hozva.

TLS/SSL-tanúsítványkövetelmények

  • Javasoljuk, hogy ugyanazt a TLS/SSL-tanúsítványt használja az AD FS-farm és az összes webes alkalmazásproxy kiszolgáló összes csomópontján.
  • A tanúsítványnak X509-tanúsítványnak kell lennie.
  • Tesztkörnyezetben önaláírt tanúsítványt használhat az összevonási kiszolgálókon. Éles környezetben javasoljuk, hogy szerezze be a tanúsítványt egy nyilvános hitelesítésszolgáltatótól.
    • Ha olyan tanúsítványt használ, amely nem nyilvánosan megbízható, győződjön meg arról, hogy az egyes web alkalmazásproxy kiszolgálókon telepített tanúsítvány megbízható mind a helyi kiszolgálón, mind az összes összevonási kiszolgálón.
  • A tanúsítvány identitásának meg kell egyeznie az összevonási szolgáltatás nevével (például sts.contoso.com).
    • Az identitás vagy a dNSName típusú tulajdonos alternatív neve (SAN) bővítménye, vagy ha nincsenek SAN-bejegyzések, a tulajdonos neve köznapi névként van megadva.
    • A tanúsítványban több SAN-bejegyzés is szerepelhet, ha az egyik megfelel az összevonási szolgáltatás nevének.
    • Ha a Munkahelyi csatlakozást tervezi használni, a vállalatregisztráció értékéhez további san-ra van szükség. ezt követi a szervezet egyszerű felhasználóneve (UPN) utótagja, például enterpriseregistration.contoso.com.
  • A CryptoAPI következő generációs (CNG) kulcsokon és kulcstárolókon (KSP-k) alapuló tanúsítványok nem támogatottak. Ennek eredményeképpen titkosítási szolgáltatón (CSP) alapuló tanúsítványt kell használnia, nem pedig KSP-t.
  • A helyettesítő kártyák tanúsítványai támogatottak.

Összevonási kiszolgálók névfeloldás

  • Állítson be DNS-rekordokat az AD FS-névhez (például sts.contoso.com) az intranethez (a belső DNS-kiszolgálóhoz) és az extranethez (a tartományregisztrálón keresztüli nyilvános DNS-hez). Az intranetes DNS-rekord esetében győződjön meg arról, hogy A rekordokat használ, és nem CNAME rekordokat. Az A rekordok használata szükséges ahhoz, hogy a Windows-hitelesítés megfelelően működjön a tartományhoz csatlakoztatott gépről.
  • Ha egynél több AD FS-kiszolgálót vagy webes alkalmazásproxy-kiszolgálót helyez üzembe, győződjön meg arról, hogy konfigurálta a terheléselosztót, és hogy az AD FS-név (például sts.contoso.com) DNS-rekordjai a terheléselosztóra mutatnak.
  • Ahhoz, hogy a Windows integrált hitelesítése az Internet Explorert használó böngészőalkalmazások esetében működjön az intraneten, győződjön meg arról, hogy az AD FS neve (például sts.contoso.com) hozzá lesz adva az Internet Explorer intranetes zónájához. Ez a követelmény csoportházirenddel vezérelhető, és üzembe helyezhető az összes tartományhoz csatlakoztatott számítógépen.

Microsoft Entra Connect támogató összetevők

A Microsoft Entra Connect a következő összetevőket telepíti azon a kiszolgálón, amelyen telepítve van a Microsoft Entra Connect. Ez a lista egy alapszintű Express-telepítéshez készült. Ha másik SQL Servert használ a Szinkronizálási szolgáltatások telepítése lapon, az SQL Express LocalDB nincs helyileg telepítve.

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 parancssori segédprogramok
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 natív ügyfél
  • Microsoft Visual C++ 14 újraterjesztési csomag

A Microsoft Entra Connect hardverkövetelményei

Az alábbi táblázat a Microsoft Entra Connect Sync számítógép minimális követelményeit mutatja be.

Objektumok száma az Active Directoryban CPU Emlékezet Merevlemez mérete
10 000-nél kevesebb 1,6 GHz 6 GB 70 GB
10,000–50,000 1,6 GHz 6 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
100 000 vagy több objektum esetén az SQL Server teljes verziójára van szükség. Teljesítménybeli okokból a helyi telepítés előnyben részesített. Az alábbi értékek csak a Microsoft Entra Connect telepítésére érvényesek. Ha az SQL Server ugyanazon a kiszolgálón lesz telepítve, további memóriára, meghajtóra és CPU-ra van szükség.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Több mint 600 000 1,6 GHz 32 GB 500 GB

Az AD FS-t vagy webes alkalmazásproxy kiszolgálókat futtató számítógépekre vonatkozó minimális követelmények a következők:

  • CPU: Kétmagos, 1,6 GHz-es vagy újabb
  • Memória: 2 GB vagy nagyobb
  • Azure-beli virtuális gép: A2-konfiguráció vagy újabb

Következő lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.