Prasyarat untuk Microsoft Entra Cloud Sync

Artikel ini menyediakan panduan tentang cara memilih dan menggunakan Microsoft Entra Cloud Sync sebagai solusi identitas Anda.

Persyaratan agen provisi cloud

Anda memerlukan hal berikut untuk menggunakan Microsoft Entra Cloud Sync:

• Info masuk Administrator Domain atau Administrator Perusahaan untuk membuat Microsoft Entra Koneksi cloud sync gMSA (akun layanan terkelola grup) untuk menjalankan layanan agen.
• Akun administrator identitas hibrid untuk penyewa Microsoft Entra Anda yang bukan pengguna tamu.
• Server lokal untuk agen provisi dengan Windows 2016 atau yang lebih baru. Server ini harus menjadi server tingkat 0 berdasarkan model tingkat administratif Direktori Aktif. Menginstal agen pada pengontrol domain didukung.
• Ketersediaan tinggi mengacu pada kemampuan Microsoft Entra Cloud Sync untuk beroperasi terus menerus tanpa kegagalan untuk waktu yang lama. Dengan menginstal dan menjalankan beberapa agen aktif, Microsoft Entra Cloud Sync dapat terus berfungsi meskipun satu agen harus gagal. Microsoft merekomendasikan untuk menginstal 3 agen aktif untuk ketersediaan tinggi.
• Konfigurasi firewall lokal.

Akun Layanan Terkelola Grup

Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, kemampuan untuk mendelegasikan manajemen ke administrator lain, dan juga memperluas fungsionalitas ini melalui beberapa server. Microsoft Entra Cloud Sync mendukung dan menggunakan gMSA untuk menjalankan agen. Anda akan dimintai info masuk administratif selama penyiapan, untuk membuat akun ini. Akun akan muncul sebagai domain\provAgentgMSA$. Untuk informasi selengkapnya tentang gMSA, lihat mengelompokkan Akun Layanan Terkelola.

Prasyarat untuk gMSA

1. Skema Direktori Aktif di {i>forest
2. Modul PowerShell RSAT pada pengendali domain.
3. Setidaknya satu pengendali domain di domain harus menjalankan Windows Server 2012 atau yang lebih baru.
4. Server yang bergabung dengan domain tempat agen diinstal harus berupa Windows Server 2016 atau yang lebih baru.

Akun gMSA kustom

Jika membuat akun gMSA kustom, Anda perlu memastikan bahwa akun tersebut memiliki izin berikut.

Jenis	Nama	Access	Berlaku Untuk
Izinkan	Akun gMSA	Membaca semua properti	Objek perangkat turunan
Izinkan	Akun gMSA	Membaca semua properti	Objek InetOrgPerson keturunan
Izinkan	Akun gMSA	Membaca semua properti	Objek Komputer turunan
Izinkan	Akun gMSA	Membaca semua properti	Objek foreignSecurityPrincipal turunan
Izinkan	Akun gMSA	Kontrol penuh	Objek Grup turunan
Izinkan	Akun gMSA	Membaca semua properti	Objek Pengguna keturunan
Izinkan	Akun gMSA	Membaca semua properti	Objek Kontak keturunan
Izinkan	Akun gMSA	Membuat/menghapus objek Pengguna	Obyek ini dan semua obyek turunan

Untuk langkah-langkah tentang cara meningkatkan agen yang ada untuk menggunakan akun gMSA, lihat mengelompokkan Akun Layanan Terkelola.

Untuk informasi selengkapnya tentang cara menyiapkan Direktori Aktif Anda untuk Akun Layanan Terkelola grup, lihat Gambaran Umum Akun Layanan Terkelola grup.

Di pusat admin Microsoft Entra

1. Buat akun administrator identitas hibrid khusus cloud di penyewa Microsoft Entra Anda. Dengan cara ini, Anda dapat mengelola konfigurasi penyewa jika layanan lokal Anda gagal atau menjadi tidak tersedia. Pelajari tentang cara menambahkan akun administrator identitas hibrid khusus cloud. Menyelesaikan langkah ini sangat penting untuk memastikan bahwa Anda tidak terkunci dari penyewa Anda.
2. Tambahkan satu atau beberapa nama domain kustom ke penyewa Microsoft Entra Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di direktori Anda di Direktori Aktif

Jalankan alat IdFix untuk menyiapkan atribut direktori untuk sinkronisasi.

Di lingkungan lokal Anda

1. Identifikasi server host yang bergabung dengan domain yang menjalankan Windows Server 2016 R2 atau yang lebih tinggi, dengan minimal RAM 4 GB dan runtime .NET 4.7.1+.
2. Kebijakan eksekusi PowerShell pada server lokal diatur ke Tidak Ditentukan atau RemoteSigned.
3. Jika ada firewall antara server Anda dan ID Microsoft Entra, lihat Persyaratan firewall dan proksi di bawah ini.

Catatan

Menginstal agen provisi cloud di Windows Server Core tidak didukung.

Persyaratan tambahan

• Microsoft .NET Framework minimum 4.7.1

Persyaratan TLS

Catatan

Keamanan Lapisan Transportasi (TLS) adalah protokol yang menyediakan komunikasi yang aman. Mengubah pengaturan TLS mempengaruhi seluruh forest. Untuk mengetahui informasi selengkapnya, lihat Pembaruan untuk mengaktifkan TLS 1.1 dan TLS 1.2 sebagai protokol aman default di WinHTTP di Windows.

Server Windows yang menghosting agen provisi cloud Microsoft Entra Koneksi harus mengaktifkan TLS 1.2 sebelum Anda menginstalnya.

Untuk mengaktifkan TLS 1.2, ikuti langkah berikut.

1. Atur kunci registri berikut dengan menyalin konten ke dalam file .reg lalu jalankan file (klik kanan dan pilih Gabungkan):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Mulai ulang server.

Persyaratan Firewall dan Proksi

Jika terdapat firewall antara server dan Microsoft Entra ID, konfigurasikan item yang berikut ini:

• Pastikan bahwa agen dapat membuat permintaan keluar ke ID Microsoft Entra melalui port berikut:

  Nomor port	Cara menggunakannya
  80	Unduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TSL/SSL.
  443	Tangani semua komunikasi keluar dengan layanan.
  8080 (opsional)	Agen melaporkan statusnya setiap 10 menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di dalam pusat admin Microsoft Entra.

• Jika firewall Anda menerapkan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

• Jika firewall atau proksi memungkinkan Anda menentukan akhiran yang aman, tambahkan koneksi:

Cloud publik

URL	Cara menggunakannya
*.msappproxy.net *.servicebus.windows.net	Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.net	Agen menggunakan URL ini selama proses pendaftaran.

Cloud Pemerintah AS

URL	Cara menggunakannya
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Konektor menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agen menggunakan URL ini selama proses pendaftaran.

• Jika Anda tidak dapat menambahkan koneksi, izinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu.

Persyaratan NTLM

Anda tidak boleh mengaktifkan NTLM di Windows Server yang menjalankan agen provisi Microsoft Entra dan jika diaktifkan, Anda harus memastikan anda menonaktifkannya.

Batasan umum

Berikut ini adalah batasan umum:

Sinkronisasi Delta

• Pemfilteran cakupan grup untuk sinkronisasi delta tidak mendukung lebih dari 50.000 anggota.
• Saat Anda menghapus grup yang digunakan sebagai bagian dari filter cakupan grup, pengguna yang merupakan anggota grup, tidak dihapus.
• Saat Anda mengganti nama OU atau grup yang berada dalam cakupan, sinkronisasi delta tidak akan menghapus pengguna.

Log Provisi

• Log provisi tidak membedakan dengan jelas antara operasi buat dan perbarui. Anda mungkin melihat operasi buat untuk perbarui dan operasi perbarui untuk buat.

Penamaan ulang grup atau penamaan ulang OU

• Jika Anda mengganti nama grup atau OU di AD yang berada dalam cakupan untuk konfigurasi tertentu, tugas sinkronisasi cloud tidak akan dapat mengenali perubahan nama dalam AD. Pekerjaan tidak akan masuk ke karantina dan akan tetap sehat.

Filter cakupan

Saat menggunakan filter cakupan OU

• Anda hanya dapat menyinkronkan hingga 59 OU atau Grup Keamanan terpisah untuk konfigurasi tertentu.
• OU berlapis didukung (artinya, Anda dapat menyinkronkan OU yang memiliki 130 OU berlapis, tetapi Anda tidak dapat menyinkronkan 60 OU terpisah dalam konfigurasi yang sama).

Sinkronisasi Hash Kata Sandi

• Menggunakan sinkronisasi {i>hash

Langkah berikutnya

• Apa itu penyediaan?
• Apa itu Sinkronisasi Cloud Microsoft Entra?