Prasyarat untuk sinkronisasi cloud Azure AD Connect

Artikel ini menyediakan panduan tentang cara memilih dan menggunakan sinkronisasi cloud Azure Active Directory (Azure AD) Connect sebagai solusi identitas Anda.

Persyaratan agen provisi cloud

Anda memerlukan berikut ini untuk menggunakan sinkronisasi cloud Azure AD Connect:

  • Info masuk Administrator Domain atau Administrator Perusahaan untuk membuat gMSA Sinkronisasi Cloud Azure AD Connect (Akun Layanan Terkelola grup) untuk menjalankan layanan agen.
  • Akun administrator identitas hibrid untuk penyewa Azure AD Anda yang bukan merupakan pengguna tamu.
  • Server lokal untuk agen provisi dengan Windows 2016 atau yang lebih baru. Server ini harus menjadi server tingkat 0 berdasarkan model tingkat administratif Direktori Aktif. Menginstal agen pada pengontrol domain didukung.
  • Ketersediaan tinggi mengacu pada kemampuan Azure AD Koneksi cloud sync untuk beroperasi terus menerus tanpa kegagalan untuk waktu yang lama. Dengan memiliki beberapa agen aktif yang diinstal dan berjalan, Sinkronisasi cloud Koneksi Azure AD dapat terus berfungsi bahkan jika satu agen gagal. Microsoft merekomendasikan untuk menginstal 3 agen aktif untuk ketersediaan tinggi.
  • Konfigurasi firewall lokal.

Akun Layanan Terkelola Grup

Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan pengelolaan kata sandi otomatis, pengelolaan nama prinsipal layanan (SPN) yang disederhanakan, kemampuan untuk mendelegasikan pengelolaan ke administrator lain, dan juga memperluas fungsi ini di beberapa server. Sinkronisasi Cloud Azure AD Connect mendukung dan menggunakan gMSA untuk menjalankan agen. Anda akan dimintai info masuk administratif selama penyiapan, untuk membuat akun ini. Akun akan muncul sebagai (domain\provAgentgMSA$). Untuk mengetahui informasi selengkapnya tentang gMSA, lihat Akun Layanan Terkelola Grup

Prasyarat untuk gMSA:

  1. Skema Direktori Aktif di forest domain gMSA perlu diperbarui ke Windows Server 2012 atau yang lebih baru.
  2. Modul RSAT PowerShell pada pengontrol domain
  3. Setidaknya satu pengendali domain di domain harus menjalankan Windows Server 2012 atau yang lebih baru.
  4. Server yang bergabung dengan domain tempat agen diinstal harus berupa Windows Server 2016 atau yang lebih baru.

Akun gMSA kustom

Jika membuat akun gMSA kustom, Anda perlu memastikan bahwa akun tersebut memiliki izin berikut.

Jenis Nama Access Berlaku Untuk
Bolehkan Akun gMSA Membaca semua properti Objek perangkat turunan
Bolehkan Akun gMSA Membaca semua properti Objek InetOrgPerson keturunan
Bolehkan Akun gMSA Membaca semua properti Objek Komputer turunan
Bolehkan Akun gMSA Membaca semua properti Objek foreignSecurityPrincipal turunan
Bolehkan Akun gMSA Kontrol penuh Objek Grup turunan
Bolehkan Akun gMSA Membaca semua properti Objek Pengguna keturunan
Bolehkan Akun gMSA Membaca semua properti Objek Kontak turunan
Bolehkan Akun gMSA Membuat/menghapus objek Pengguna Obyek ini dan semua obyek turunan

Untuk langkah tentang cara meningkatkan agen yang ada untuk menggunakan akun gMSA, lihat Akun Layanan Terkelola Grup.

Membuat akun gMSA dengan PowerShell

Anda dapat menggunakan skrip PowerShell berikut untuk membuat akun gMSA kustom. Kemudian Anda dapat menggunakan cmdlet gMSA sinkronisasi cloud untuk menerapkan izin yang lebih terperinci.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

Untuk informasi selengkapnya tentang penggunaan cmdlet di atas, lihat Mulai Menggunakan Akun Layanan Terkelola Grup.

Di pusat admin Azure Active Directory

  1. Buat akun administrator identitas hibrid khusus cloud di penyewa Azure AD Anda. Dengan cara ini, Anda dapat mengelola konfigurasi penyewa jika layanan lokal Anda gagal atau menjadi tidak tersedia. Pelajari tentang cara menambahkan akun administrator identitas hibrid khusus cloud. Menyelesaikan langkah ini sangat penting untuk memastikan bahwa Anda tidak terkunci dari penyewa Anda.
  2. Tambahkan satu atau beberapa nama domain kustom ke penyewa Microsoft Azure AD Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di direktori Anda di Direktori Aktif

Jalankan alat IdFix untuk menyiapkan atribut direktori untuk sinkronisasi.

Di lingkungan lokal Anda

  1. Identifikasi server host yang bergabung dengan domain yang menjalankan Windows Server 2016 R2 atau yang lebih tinggi, dengan minimal RAM 4 GB dan runtime .NET 4.7.1+.

  2. Kebijakan eksekusi PowerShell pada server lokal diatur ke Tidak Ditentukan atau RemoteSigned.

  3. Jika terdapat firewall antara server Anda dan Microsoft Azure AD, konfigurasikan dengan melihat Persyaratan firewall dan proksi di bawah ini.

Catatan

Menginstal agen provisi cloud di Windows Server Core tidak didukung.

Persyaratan tambahan

Persyaratan TLS

Catatan

Keamanan Lapisan Transportasi (TLS) adalah protokol yang menyediakan komunikasi yang aman. Mengubah pengaturan TLS mempengaruhi seluruh forest. Untuk mengetahui informasi selengkapnya, lihat Pembaruan untuk mengaktifkan TLS 1.1 dan TLS 1.2 sebagai protokol aman default di WinHTTP di Windows.

Server Windows yang menghosting agen provisi cloud Azure AD Connect harus mengaktifkan TLS 1.2 sebelum Anda menginstalnya.

Untuk mengaktifkan TLS 1.2, ikuti langkah berikut.

  1. Tetapkan kunci registri berikut:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Mulai ulang server.

Persyaratan Firewall dan Proksi

Jika ada firewall antara server Anda dan Azure AD, konfigurasikan item berikut:

  • Pastikan bahwa agen dapat membuat permintaan keluar ke Azure AD melalui port berikut:

    Nomor port Cara menggunakannya
    80 Unduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TSL/SSL.
    443 Tangani semua komunikasi keluar dengan layanan.
    8080 (opsional) Agen melaporkan statusnya setiap 10 menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di portal Azure AD.
  • Jika firewall Anda menerapkan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

  • Jika firewall atau proksi memungkinkan Anda menentukan akhiran yang aman, tambahkan koneksi:

URL Cara menggunakannya
*.msappproxy.net
*.servicebus.windows.net
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Azure AD.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Azure AD.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.net
Agen menggunakan URL ini selama proses pendaftaran.

Persyaratan NTLM

Anda tidak boleh mengaktifkan NTLM di Windows Server yang menjalankan Azure AD Connect Provisioning Agent dan jika diaktifkan, Anda harus memastikan bahwa Anda menonaktifkannya.

Batasan umum

Berikut ini adalah batasan umum:

Sinkronisasi Delta

  • Pemfilteran cakupan grup untuk sinkronisasi delta tidak mendukung lebih dari 50.000 anggota.
  • Saat Anda menghapus grup yang digunakan sebagai bagian dari filter cakupan grup, pengguna yang merupakan anggota grup, tidak dihapus.
  • Saat Anda mengganti nama OU atau grup yang berada dalam cakupan, sinkronisasi delta tidak akan menghapus pengguna.

Log Provisi

  • Log provisi tidak membedakan dengan jelas antara operasi buat dan perbarui. Anda mungkin melihat operasi buat untuk perbarui dan operasi perbarui untuk buat.

Penamaan ulang grup atau penamaan ulang OU

  • Jika Anda mengganti nama grup atau OU di AD yang berada dalam cakupan untuk konfigurasi tertentu, tugas sinkronisasi cloud tidak akan dapat mengenali perubahan nama dalam AD. Pekerjaan tidak akan masuk ke karantina dan akan tetap sehat.

Filter cakupan

Saat menggunakan filter cakupan OU

  • Anda hanya dapat menyinkronkan hingga 59 UNIT atau Grup Keamanan terpisah untuk konfigurasi tertentu.
  • OU berlapis didukung (artinya, Anda dapat menyinkronkan OU yang memiliki 130 OU berlapis, tetapi Anda tidak dapat menyinkronkan 60 OU terpisah dalam konfigurasi yang sama).

Sinkronisasi Hash Kata Sandi

  • Menggunakan sinkronisasi hash kata sandi dengan InetOrgPerson tidak didukung.

Langkah berikutnya