Microsoft Entra Connect: Akun dan izin
Pelajari tentang akun yang digunakan dan dibuat serta izin yang diperlukan untuk menginstal dan menggunakan Microsoft Entra Koneksi.
Akun yang digunakan untuk Microsoft Entra Koneksi
Microsoft Entra Koneksi menggunakan tiga akun untuk menyinkronkan informasi dari Windows Server Active Directory lokal (Windows Server AD) ke ID Microsoft Entra:
Akun ad DS Koneksi or: Digunakan untuk membaca dan menulis informasi ke Windows Server AD dengan menggunakan Active Directory Domain Services (AD DS).
Akun layanan Sinkronisasi AAD: Digunakan untuk menjalankan layanan sinkronisasi dan mengakses database SQL Server.
Akun Microsoft Entra Koneksi or: Digunakan untuk menulis informasi ke ID Microsoft Entra.
Anda juga memerlukan akun berikut untuk menginstal Microsoft Entra Koneksi:
Akun Administrator Lokal: Administrator yang menginstal Microsoft Entra Koneksi dan yang memiliki izin Administrator lokal di komputer.
Akun Administrator Perusahaan AD DS: Secara opsional digunakan untuk membuat akun Koneksi or AD DS yang diperlukan.
Akun Administrator Global Microsoft Entra: Digunakan untuk membuat akun Microsoft Entra Koneksi or dan untuk mengonfigurasi ID Microsoft Entra. Anda dapat melihat akun Administrator Global dan Administrator Identitas Hibrid di pusat admin Microsoft Entra. Lihat Mencantumkan penetapan peran Microsoft Entra.
Akun SQL SA (opsional): Digunakan untuk membuat database SINKRONISASI AAD saat Anda menggunakan versi lengkap SQL Server. Instans SQL Server dapat lokal atau jarak jauh ke penginstalan Microsoft Entra Koneksi. Akun ini bisa menjadi akun yang sama dengan akun Administrator Perusahaan.
Provisi database sekarang dapat dilakukan di luar band oleh administrator SQL Server lalu diinstal oleh administrator Microsoft Entra Koneksi jika akun memiliki izin pemilik database (DBO). Untuk informasi selengkapnya, lihat Menginstal Microsoft Entra Koneksi dengan menggunakan izin administrator yang didelegasikan SQL.
Penting
Mulai build 1.4.###.# , Anda tidak lagi dapat menggunakan akun Administrator Perusahaan atau akun Administrator Domain sebagai akun ad DS Koneksi or. Jika Anda mencoba memasukkan akun yang merupakan Administrator Perusahaan atau Administrator Domain untuk Menggunakan akun yang sudah ada, wizard menampilkan pesan kesalahan dan Anda tidak dapat melanjutkan.
Catatan
Anda dapat mengelola akun administratif yang digunakan di Microsoft Entra Koneksi dengan menggunakan model akses perusahaan. Organisasi dapat menggunakan model akses perusahaan untuk menghosting akun administratif, stasiun kerja, dan grup di lingkungan yang memiliki kontrol keamanan yang lebih kuat daripada lingkungan produksi. Untuk informasi selengkapnya, lihat model akses Perusahaan.
Peran Administrator Global tidak diperlukan setelah penyiapan awal. Setelah penyiapan, satu-satunya akun yang diperlukan adalah akun peran Akun Sinkronisasi Direktori. Alih-alih menghapus akun yang memiliki peran Administrator Global, kami sarankan Anda mengubah peran menjadi peran yang memiliki tingkat izin yang lebih rendah. Menghapus akun secara menyeluruh mungkin menimbulkan masalah jika Anda perlu menjalankan wizard lagi. Anda bisa menambahkan izin jika Anda perlu menggunakan wizard Microsoft Entra Koneksi lagi.
Penginstalan Microsoft Entra Koneksi
Wizard penginstalan Microsoft Entra Koneksi menawarkan dua jalur:
- Pengaturan ekspres: Di Microsoft Entra Koneksi pengaturan ekspres, wizard memerlukan lebih banyak izin sehingga dapat dengan mudah mengonfigurasi penginstalan Anda. Wizard membuat pengguna dan menyiapkan izin sehingga Anda tidak perlu melakukannya.
- Pengaturan kustom: Di Microsoft Entra Koneksi pengaturan kustom, Anda memiliki lebih banyak pilihan dan opsi dalam wizard. Namun, untuk beberapa skenario, penting untuk memastikan bahwa Anda memiliki izin yang benar sendiri.
Pengaturan Ekspres
Di pengaturan ekspres, Anda memasukkan informasi ini di wizard penginstalan:
- Info masuk Administrator Perusahaan AD DS
- Kredensial Administrator Global Microsoft Entra
Info masuk Administrator Perusahaan AD DS
Akun Administrator Perusahaan AD DS digunakan untuk mengonfigurasi Windows Server AD. Kredensial ini hanya digunakan selama penginstalan. Administrator Perusahaan, bukan Administrator Domain, harus memastikan bahwa izin di Windows Server AD dapat diatur di semua domain.
Jika Anda memutakhirkan dari DirSync, kredensial Administrator Perusahaan AD DS digunakan untuk mereset kata sandi untuk akun yang digunakan DirSync. Kredensial Administrator Global Microsoft Entra juga diperlukan.
Kredensial Administrator Global Microsoft Entra
Kredensial untuk akun Administrator Global Microsoft Entra hanya digunakan selama penginstalan. Akun ini digunakan untuk membuat akun Microsoft Entra Koneksi or yang menyinkronkan perubahan ke ID Microsoft Entra. Akun ini juga mengaktifkan sinkronisasi sebagai fitur di MICROSOFT Entra ID.
Untuk informasi selengkapnya, lihat Administrator Global.
Akun AD DS Connector memerlukan izin untuk pengaturan ekspres
Akun ad DS Koneksi or dibuat untuk membaca dan menulis ke Windows Server AD. Akun memiliki izin berikut saat dibuat selama penginstalan pengaturan ekspres:
| Izin | Digunakan untuk |
|---|---|
| - Mereplikasi Perubahan Direktori - Mereplikasi Perubahan Direktori Semua |
Sinkronisasi hash kata sandi |
| Baca/Tulis semua properti Pengguna | Impor dan hibrid Exchange |
| Baca/Tulis semua properti iNetOrgPerson | Impor dan hibrid Exchange |
| Baca/Tulis semua properti Grup | Impor dan hibrid Exchange |
| Baca/Tulis semua properti Kontak | Impor dan hibrid Exchange |
| Atur ulang kata sandi | Persiapan untuk mengaktifkan tulis balik kata sandi |
Wizard pengaturan ekspres
Dalam penginstalan pengaturan ekspres, wizard membuat beberapa akun dan pengaturan untuk Anda.
Tabel berikut ini adalah ringkasan halaman wizard pengaturan ekspres, kredensial yang dikumpulkan, dan untuk apa mereka digunakan:
| Halaman panduan | Kredensial yang dikumpulkan | Izin yang diperlukan | Tujuan |
|---|---|---|---|
| T/A | Pengguna yang menjalankan wizard penginstalan. | Administrator server lokal. | Digunakan untuk membuat akun layanan Sinkronisasi AAD yang digunakan untuk menjalankan layanan sinkronisasi. |
| Koneksi ke ID Microsoft Entra | Kredensial direktori Microsoft Entra. | Peran Administrator Global dalam ID Microsoft Entra. | - Digunakan untuk mengaktifkan sinkronisasi di direktori Microsoft Entra. - Digunakan untuk membuat akun Microsoft Entra Koneksi or yang digunakan untuk operasi sinkronisasi yang sedang berlangsung di ID Microsoft Entra. |
| Menghubungkan ke AD DS | Kredensial Windows Server AD. | Anggota grup Admin Perusahaan di Windows Server AD. | Digunakan untuk membuat akun ad DS Koneksi or di Windows Server AD dan memberikan izin kepadanya. Akun yang dibuat ini digunakan untuk membaca dan menulis informasi direktori selama sinkronisasi. |
Pengaturan kustom
Dalam penginstalan pengaturan kustom, Anda memiliki lebih banyak pilihan dan opsi dalam wizard.
Wizard pengaturan kustom
Tabel berikut ini adalah ringkasan halaman panduan pengaturan kustom, kredensial yang dikumpulkan, dan untuk apa mereka digunakan:
| Halaman panduan | Kredensial yang dikumpulkan | Izin yang diperlukan | Tujuan |
|---|---|---|---|
| T/A | Pengguna yang menjalankan wizard penginstalan. | - Administrator server lokal. - Jika menggunakan instans SQL Server penuh, pengguna harus Administrator Sistem (sysadmin) di SQL Server. |
Secara default, digunakan untuk membuat akun lokal yang digunakan sebagai akun layanan mesin sinkronisasi. Akun dibuat hanya ketika admin tidak menentukan akun. |
| Menginstal layanan sinkronisasi, opsi akun layanan | Ad Windows Server atau kredensial akun pengguna lokal. | Pengguna dan izin diberikan oleh wizard penginstalan. | Jika admin menentukan akun, akun ini digunakan sebagai akun layanan untuk layanan sinkronisasi. |
| Koneksi ke ID Microsoft Entra | Kredensial direktori Microsoft Entra. | Peran Administrator Global dalam ID Microsoft Entra. | - Digunakan untuk mengaktifkan sinkronisasi di direktori Microsoft Entra. - Digunakan untuk membuat akun Microsoft Entra Koneksi or yang digunakan untuk operasi sinkronisasi yang sedang berlangsung di ID Microsoft Entra. |
| Menyambungkan direktori Anda | Kredensial Windows Server AD untuk setiap forest yang tersambung ke ID Microsoft Entra. | Izin bergantung pada fitur mana yang Anda aktifkan dan dapat ditemukan di Membuat akun ad DS Koneksi or. | Akun ini digunakan untuk membaca dan menulis informasi direktori selama sinkronisasi. |
| Server Layanan Federasi Direktori Aktif | Untuk setiap server dalam daftar, wizard mengumpulkan kredensial saat kredensial masuk pengguna yang menjalankan wizard tidak cukup untuk tersambung. | Akun Administrator Domain. | Digunakan selama penginstalan dan konfigurasi peran server Active Directory Federation Services (AD FS). |
| Server proksi aplikasi web | Untuk setiap server dalam daftar, wizard mengumpulkan kredensial saat kredensial masuk pengguna yang menjalankan wizard tidak cukup untuk tersambung. | Admin lokal pada komputer target. | Digunakan selama penginstalan dan konfigurasi peran server proksi aplikasi web (WAP). |
| Info masuk kepercayaan proksi | Kredensial kepercayaan layanan federasi (kredensial yang digunakan proksi untuk mendaftar sertifikat kepercayaan dari layanan federasi (FS)). | Akun domain yang merupakan Administrator Lokal server LAYANAN Federasi Direktori Aktif. | Pendaftaran awal sertifikat kepercayaan FS-WAP. |
| Halaman Akun Layanan Ad FS Gunakan opsi akun pengguna domain | Kredensial akun pengguna Windows Server AD. | Pengguna domain. | Akun pengguna Microsoft Entra yang kredensialnya disediakan digunakan sebagai akun masuk layanan Layanan Federasi Direktori Aktif. |
Membuat akun AD DS Connector
Penting
Modul PowerShell baru bernama ADSyncConfig.psm1 diperkenalkan dengan build 1.1.880.0 (dirilis pada Agustus 2018). Modul ini menyertakan kumpulan cmdlet yang membantu Anda mengonfigurasi izin Windows Server AD yang benar untuk akun Microsoft Entra Domain Services Koneksi or.
Untuk informasi selengkapnya, lihat Microsoft Entra Koneksi: Mengonfigurasi izin akun ad DS Koneksi or.
Akun yang Anda tentukan pada Koneksi halaman direktori Anda harus dibuat di Windows Server AD sebagai objek pengguna normal (VSA, MSA, atau gMSA tidak didukung) sebelum penginstalan. Microsoft Entra Koneksi versi 1.1.524.0 dan yang lebih baru memiliki opsi untuk mengizinkan wizard Microsoft Entra Koneksi membuat akun ad DS Koneksi or yang digunakan untuk menyambungkan ke Windows Server AD.
Akun yang Anda tentukan juga harus memiliki izin yang diperlukan. Wizard penginstalan tidak memverifikasi izin, dan masalah apa pun hanya ditemukan selama proses sinkronisasi.
Izin mana yang Anda butuhkan bergantung pada fitur opsional yang diaktifkan. Jika Anda memiliki beberapa domain, izin harus diberikan untuk semua domain di forest. Jika Anda tidak mengaktifkan salah satu fitur ini, izin Pengguna Domain default sudah cukup.
| Fitur | Izin |
|---|---|
| Fitur ms-DS-ConsistencyGuid | Menulis izin ke atribut yang ms-DS-ConsistencyGuid didokumenkan dalam Konsep Desain - Menggunakan ms-DS-ConsistencyGuid sebagai sourceAnchor. |
| Sinkronisasi hash kata sandi | - Mereplikasi Perubahan Direktori - Mereplikasi Perubahan Direktori Semua |
| Penyebaran hibrid Exchange | Izin Tulis ke atribut yang didokumentasikan dalam tulis balik hibrid Exchange untuk pengguna, grup, dan kontak. |
| Folder Publik Email Exchange | Izin Baca ke atribut yang didokumentasikan dalam Folder Publik Email Exchange untuk folder publik. |
| Tulis balik kata sandi | Izin Tulis ke atribut yang didokumentasikan dalam Memulai manajemen kata sandi untuk pengguna. |
| Tulis balik perangkat | Izin yang diberikan dengan skrip PowerShell seperti yang dijelaskan dalam Tulis balik perangkat. |
| Tulis balik grup | Memungkinkan Anda menulis balik Grup Microsoft 365 ke forest yang telah menginstal Exchange. |
Izin yang diperlukan untuk memutakhirkan
Saat Anda meningkatkan dari satu versi Microsoft Entra Koneksi ke rilis baru, Anda memerlukan izin berikut:
| Utama | Izin yang diperlukan | Tujuan |
|---|---|---|
| Pengguna yang menjalankan wizard penginstalan | Administrator server lokal | Digunakan untuk memperbarui biner. |
| Pengguna yang menjalankan wizard penginstalan | Anggota ADSyncAdmins | Digunakan untuk membuat perubahan pada aturan sinkronisasi dan konfigurasi lainnya. |
| Pengguna yang menjalankan wizard penginstalan | Jika Anda menggunakan instans lengkap SQL Server: DBO (atau serupa) dari database mesin sinkronisasi | Digunakan untuk membuat perubahan tingkat database, seperti memperbarui tabel dengan kolom baru. |
Penting
Dalam build 1.1.484, bug regresi diperkenalkan di Microsoft Entra Koneksi. Bug memerlukan izin sysadmin untuk meningkatkan database SQL Server. Bug dikoreksi dalam build 1.1.647. Untuk meningkatkan ke build ini, Anda harus memiliki izin sysadmin. Dalam skenario ini, izin DBO tidak cukup. Jika Anda mencoba meningkatkan Microsoft Entra Koneksi tanpa izin sysadmin, peningkatan gagal dan Microsoft Entra Koneksi tidak lagi berfungsi dengan benar.
Detail akun yang dibuat
Bagian berikut ini memberi Anda informasi selengkapnya tentang akun yang dibuat di Microsoft Entra Koneksi.
Akun AD DS Connector
Jika Anda menggunakan pengaturan ekspres, akun yang digunakan untuk sinkronisasi dibuat di Windows Server AD. Akun yang dibuat terletak di domain akar forest di kontainer Pengguna. Nama akun diawali dengan MSOL_. Akun dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa. Jika Anda memiliki kebijakan kata sandi di domain Anda, pastikan kata sandi yang panjang dan kompleks diizinkan untuk akun ini.
Jika Anda menggunakan pengaturan kustom, Anda bertanggung jawab untuk membuat akun sebelum memulai penginstalan. Lihat Membuat akun ad DS Koneksi or.
Akun Sinkronisasi AAD
Layanan sinkronisasi dapat berjalan di bawah akun yang berbeda. Ini dapat berjalan di bawah akun layanan virtual (VSA), akun layanan terkelola grup (gMSA), layanan terkelola mandiri (sMSA), atau akun pengguna biasa. Opsi yang didukung diubah dengan rilis Microsoft Entra Koneksi April 2017 saat Anda melakukan penginstalan baru. Jika Anda meningkatkan dari rilis Microsoft Entra Koneksi sebelumnya, opsi lain ini tidak tersedia.
| Jenis akun | Opsi penginstalan | Deskripsi |
|---|---|---|
| VSA | Ekspres dan kustom, 2017 April dan yang lebih baru | Opsi ini digunakan untuk semua penginstalan pengaturan ekspres, kecuali untuk penginstalan pada pengendali domain. Untuk pengaturan kustom, ini adalah opsi default. |
| gMSA | Kustom, 2017 April dan yang lebih baru | Jika Anda menggunakan instans jarak jauh SQL Server, kami sarankan Anda menggunakan gMSA. |
| Akun pengguna | Ekspres dan kustom, 2017 April dan yang lebih baru | Akun pengguna yang diawali dengan AAD_ dibuat selama penginstalan hanya ketika Microsoft Entra Koneksi diinstal pada Windows Server 2008 dan ketika diinstal pada pengendali domain. |
| Akun pengguna | Ekspres dan kustom, 2017 Maret dan yang lebih baru | Akun lokal yang diawali dengan AAD_ dibuat selama penginstalan. Dalam penginstalan kustom, Anda dapat menentukan akun yang berbeda. |
Jika Anda menggunakan Microsoft Entra Koneksi dengan build dari 2017 Maret atau yang lebih lama, jangan atur ulang kata sandi di akun layanan. Windows menghancurkan kunci enkripsi karena alasan keamanan. Anda tidak dapat mengubah akun ke akun lain tanpa menginstal ulang Microsoft Entra Koneksi. Jika Anda meningkatkan ke build dari 2017 April atau yang lebih baru, Anda dapat mengubah kata sandi di akun layanan, tetapi Anda tidak dapat mengubah akun yang digunakan.
Penting
Anda hanya dapat mengatur akun layanan pada penginstalan pertama. Anda tidak dapat mengubah akun layanan setelah penginstalan selesai.
Tabel berikut ini menjelaskan opsi default, direkomendasikan, dan didukung untuk akun layanan sinkronisasi.
Legenda:
- Tebal= Opsi default dan, dalam kebanyakan kasus, opsi yang direkomendasikan.
- Miring = Opsi yang disarankan saat bukan opsi default.
- 2008 = Opsi default saat diinstal pada Windows Server 2008
- Non-tebal = Opsi yang didukung
- Akun lokal = Akun pengguna lokal di server
- Akun domain = Akun pengguna domain
- sMSA = akun layanan terkelola mandiri
- gMSA = akun layanan terkelola grup
| Database lokal Ekspres |
Database lokal/SQL Server Lokal Adat |
SQL Server Jarak Jauh Adat |
|
|---|---|---|---|
| domain-joined machine | VSA Akun lokal (2008) |
VSA Akun lokal (2008) Akun lokal Akun domain sMSA, gMSA |
gMSA Akun domain |
| Pengendali domain | Akun domain | gMSA Akun domain sMSA |
gMSA Akun domain |
VSA
VSA adalah jenis akun khusus yang tidak memiliki kata sandi dan dikelola oleh Windows.
VSA dimaksudkan untuk digunakan dengan skenario di mana mesin sinkronisasi dan SQL Server berada di server yang sama. Jika Anda menggunakan SQL Server jarak jauh, kami sarankan Anda menggunakan gMSA alih-alih VSA.
Fitur VSA memerlukan Windows Server 2008 R2 atau yang lebih baru. Jika Anda menginstal Microsoft Entra Koneksi di Windows Server 2008, penginstalan akan kembali menggunakan akun pengguna alih-alih VSA.
gMSA
Jika Anda menggunakan instans jarak jauh SQL Server, kami sarankan Anda menggunakan gMSA. Untuk informasi selengkapnya tentang cara menyiapkan Windows Server AD untuk gMSA, lihat Ringkasan akun layanan terkelola grup.
Untuk menggunakan opsi ini, pada halaman Instal komponen yang diperlukan, pilih Gunakan akun layanan yang sudah ada, lalu pilih Akun Layanan Terkelola.
Anda juga dapat menggunakan sMSA dalam skenario ini. Namun, Anda hanya dapat menggunakan sMSA di komputer lokal, dan tidak ada manfaat untuk menggunakan sMSA alih-alih VSA default.
Fitur sMSA memerlukan Windows Server 2012 atau yang lebih baru. Jika Anda perlu menggunakan versi sistem operasi yang lebih lama dan menggunakan SQL Server jarak jauh, Anda harus menggunakan akun pengguna.
Akun pengguna
Akun layanan lokal dibuat oleh wizard penginstalan (kecuali Anda menentukan dalam pengaturan kustom yang akan digunakan akun). Akun ini diawali dengan AAD_ dan digunakan untuk menjalankan layanan sinkronisasi aktual. Jika Anda menginstal Microsoft Entra Koneksi pada pengendali domain, akun dibuat di domain. Akun layanan AAD_ harus berada di domain tersebut jika:
- Anda menggunakan server jarak jauh yang menjalankan SQL Server.
- Anda menggunakan proksi yang memerlukan autentikasi.
Akun layanan AAD_ dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa.
Akun ini digunakan untuk menyimpan kata sandi dengan aman untuk akun lain. Kata sandi disimpan dienkripsi dalam database. Kunci privat untuk kunci enkripsi dilindungi dengan enkripsi kunci rahasia layanan kriptografi dengan menggunakan Windows Data Protection API (DPAPI).
Jika Anda menggunakan instans lengkap SQL Server, akun layanan adalah DBO database yang dibuat untuk mesin sinkronisasi. Layanan tidak akan berfungsi seperti yang dimaksudkan dengan izin lain. Login SQL Server juga dibuat.
Akun ini juga diberikan izin ke file, kunci registri, dan objek lain yang terkait dengan mesin sinkronisasi.
Akun Microsoft Entra Koneksi or
Akun di ID Microsoft Entra dibuat untuk digunakan layanan sinkronisasi. Anda dapat mengidentifikasi akun ini dengan nama tampilannya.
Nama server tempat akun digunakan dapat diidentifikasi di bagian kedua nama pengguna. Pada gambar sebelumnya, nama server adalah DC1. Jika Anda memiliki server penahapan, setiap server memiliki akunnya sendiri.
Akun server dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa. Akun diberikan peran Akun Sinkronisasi Direktori khusus yang memiliki izin untuk hanya melakukan tugas sinkronisasi direktori. Peran bawaan khusus ini tidak dapat diberikan di luar wizard microsoft Entra Koneksi. Pusat admin Microsoft Entra memperlihatkan akun ini dengan peran Pengguna.
ID Microsoft Entra memiliki batas 20 akun layanan sinkronisasi.
Untuk mendapatkan daftar akun layanan Microsoft Entra yang ada di instans Microsoft Entra Anda, jalankan perintah berikut:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesUntuk menghapus akun layanan Microsoft Entra yang tidak digunakan, jalankan perintah berikut:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Catatan
Sebelum dapat menggunakan perintah PowerShell ini, Anda harus menginstal modul Microsoft Graph PowerShell dan menyambungkan ke instans ID Microsoft Entra Anda dengan menggunakan Koneksi-MgGraph.
Untuk informasi selengkapnya tentang cara mengelola atau mengatur ulang kata sandi untuk akun Microsoft Entra Koneksi, lihat Mengelola akun Microsoft Entra Koneksi.
Artikel terkait
Untuk informasi selengkapnya tentang Microsoft Entra Koneksi, lihat artikel berikut ini:
| Topik | Tautan |
|---|---|
| Mengunduh Microsoft Entra Koneksi | Mengunduh Microsoft Entra Koneksi |
| Instal dengan menggunakan pengaturan ekspres | Penginstalan Ekspres Microsoft Entra Koneksi |
| Instal dengan menggunakan pengaturan yang dikustomisasi | Penginstalan kustom Microsoft Entra Connect |
| Peningkatan dari DirSync | Peningkatan dari alat Sinkronisasi Azure AD (DirSync) |
| Setelah penginstalan | Memverifikasi penginstalan dan menetapkan lisensi |
Langkah berikutnya
Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.