Bagikan melalui


Prasyarat untuk Microsoft Entra Cloud Sync

Artikel ini menyediakan panduan tentang menggunakan Microsoft Entra Cloud Sync sebagai solusi identitas Anda.

Persyaratan agen provisi cloud

Anda memerlukan hal berikut untuk menggunakan Microsoft Entra Cloud Sync:

  • Info masuk Administrator Domain atau Administrator Perusahaan untuk membuat gMSA sinkronisasi cloud Microsoft Entra Connect (akun layanan terkelola grup) untuk menjalankan layanan agen.
  • Akun Administrator Identitas Hibrid untuk penyewa Microsoft Entra Anda yang bukan pengguna tamu.
  • Server lokal untuk agen provisi dengan Windows 2016 atau yang lebih baru. Server ini harus menjadi server tingkat 0 berdasarkan model tingkat administratif Direktori Aktif. Menginstal agen pada pengendali domain didukung. Untuk informasi selengkapnya lihat Memperkuat server agen provisi Microsoft Entra Anda
    • Diperlukan untuk atribut Skema AD - msDS-ExternalDirectoryObjectId
  • Ketersediaan tinggi mengacu pada kemampuan Microsoft Entra Cloud Sync untuk beroperasi terus menerus tanpa kegagalan untuk waktu yang lama. Dengan menginstal dan menjalankan beberapa agen aktif, Microsoft Entra Cloud Sync dapat terus berfungsi meskipun satu agen harus gagal. Microsoft merekomendasikan agar 3 agen aktif diinstal untuk ketersediaan tinggi.
  • Konfigurasi firewall lokal.

Memperkuat server agen provisi Microsoft Entra Anda

Kami menyarankan agar Anda mengeraskan server agen provisi Microsoft Entra untuk mengurangi permukaan serangan keamanan untuk komponen penting lingkungan TI Anda ini. Mengikuti rekomendasi ini akan membantu mengurangi beberapa risiko keamanan bagi organisasi Anda.

  • Sebaiknya perkeras server agen provisi Microsoft Entra sebagai aset Control Plane (sebelumnya Tingkat 0) dengan mengikuti panduan yang disediakan dalam model tingkat administratif Secure Privileged Access dan Active Directory.
  • Batasi akses administratif ke server agen provisi Microsoft Entra hanya untuk administrator domain atau grup keamanan lain yang dikontrol dengan ketat.
  • Buat akun khusus untuk semua personel dengan akses istimewa. Administrator tidak boleh menelusuri web, memeriksa email mereka, dan melakukan tugas produktivitas sehari-hari dengan akun yang sangat istimewa.
  • Ikuti panduan yang diberikan dalam Mengamankan akses istimewa.
  • Tolak penggunaan autentikasi NTLM dengan server agen provisi Microsoft Entra. Berikut adalah beberapa cara untuk melakukan ini: Membatasi NTLM pada Server agen provisi Microsoft Entra dan Membatasi NTLM pada domain
  • Pastikan setiap komputer memiliki kata sandi administrator lokal yang unik. Untuk informasi selengkapnya, lihat Solusi Kata Sandi Administrator Lokal (Windows LAPS) dapat mengonfigurasi kata sandi acak unik di setiap stasiun kerja dan server menyimpannya di Direktori Aktif yang dilindungi oleh ACL. Hanya pengguna yang berwenang yang memenuhi syarat yang dapat membaca atau meminta pengaturan ulang kata sandi akun administrator lokal ini. Panduan tambahan untuk mengoperasikan lingkungan dengan Windows LAPS dan stasiun kerja akses istimewa (PAW) dapat ditemukan dalam Standar operasional berdasarkan prinsip sumber yang bersih.
  • Terapkan stasiun kerja akses istimewa khusus untuk semua personel dengan akses istimewa ke sistem informasi organisasi Anda.
  • Ikuti panduan tambahan ini untuk mengurangi permukaan serangan lingkungan Direktori Aktif Anda.
  • Ikuti memantau perubahan pada konfigurasi federasi untuk menyiapkan pemberitahuan guna memantau perubahan pada kepercayaan yang ditetapkan antara Idp dan ID Microsoft Entra Anda.
  • Aktifkan Autentikasi Multifaktor (MFA) untuk semua pengguna yang memiliki akses istimewa di MICROSOFT Entra ID atau di AD. Salah satu masalah keamanan dengan menggunakan agen provisi Microsoft Entra adalah bahwa jika penyerang bisa mendapatkan kontrol atas server agen provisi Microsoft Entra, mereka dapat memanipulasi pengguna di ID Microsoft Entra. Untuk mencegah penyerang menggunakan kemampuan ini untuk mengambil alih akun Microsoft Entra, MFA menawarkan perlindungan sehingga bahkan jika penyerang berhasil, seperti mengatur ulang kata sandi pengguna menggunakan agen provisi Microsoft Entra, mereka masih tidak dapat melewati faktor kedua.

Akun Layanan Terkelola Grup

Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, kemampuan untuk mendelegasikan manajemen ke administrator lain, dan juga memperluas fungsionalitas ini melalui beberapa server. Microsoft Entra Cloud Sync mendukung dan menggunakan gMSA untuk menjalankan agen. Anda akan dimintai kredensial administratif selama penyiapan, untuk membuat akun ini. Akun muncul sebagai domain\provAgentgMSA$. Untuk informasi selengkapnya tentang gMSA, lihat mengelompokkan Akun Layanan Terkelola.

Prasyarat untuk gMSA

  1. Skema Direktori Aktif di forest domain gMSA perlu diperbarui ke Windows Server 2012 atau yang lebih baru.
  2. Modul PowerShell RSAT pada pengendali domain.
  3. Setidaknya satu pengendali domain di domain harus menjalankan Windows Server 2012 atau yang lebih baru.
  4. Server yang bergabung dengan domain di mana agen sedang diinstal harus windows Server 2016 atau yang lebih baru.

Akun gMSA kustom

Jika Anda membuat akun gMSA kustom, Anda perlu memastikan bahwa akun tersebut memiliki izin berikut.

Jenis Nama Akses Berlaku Untuk
Memperbolehkan Akun gMSA Membaca semua properti Objek perangkat turunan
Memperbolehkan Akun gMSA Membaca semua properti Objek InetOrgPerson Turunan
Memperbolehkan Akun gMSA Membaca semua properti Objek Komputer Turunan
Memperbolehkan Akun gMSA Membaca semua properti Objek foreignSecurityPrincipal turunan
Memperbolehkan Akun gMSA Kontrol penuh Objek Grup Turunan
Memperbolehkan Akun gMSA Membaca semua properti Objek Pengguna Turunan
Memperbolehkan Akun gMSA Membaca semua properti Objek Kontak Turunan
Memperbolehkan Akun gMSA Membuat/menghapus objek Pengguna Objek ini dan semua objek turunan

Untuk langkah-langkah tentang cara meningkatkan agen yang ada untuk menggunakan akun gMSA, lihat mengelompokkan Akun Layanan Terkelola.

Untuk informasi selengkapnya tentang cara menyiapkan Direktori Aktif Anda untuk Akun Layanan Terkelola grup, lihat Gambaran Umum Akun Layanan Terkelola grup dan Akun layanan terkelola grup dengan sinkronisasi cloud.

Di pusat admin Microsoft Entra

  1. Buat akun Administrator Identitas Hibrid khusus cloud di penyewa Microsoft Entra Anda. Dengan cara ini, Anda dapat mengelola konfigurasi penyewa jika layanan lokal Anda gagal atau menjadi tidak tersedia. Pelajari tentang cara menambahkan akun Administrator Identitas Hibrid khusus cloud. Menyelesaikan langkah ini sangat penting untuk memastikan bahwa Anda tidak terkunci dari penyewa Anda.
  2. Tambahkan satu atau beberapa nama domain kustom ke penyewa Microsoft Entra Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di direktori Anda di Direktori Aktif

Jalankan alat IdFix untuk menyiapkan atribut direktori untuk sinkronisasi.

Di lingkungan lokal Anda

  1. Identifikasi server host yang bergabung dengan domain yang menjalankan Windows Server 2016 atau yang lebih besar dengan minimal RAM 4 GB dan runtime .NET 4.7.1+.
  2. Kebijakan eksekusi PowerShell di server lokal harus diatur ke Tidak Terdefinisi atau RemoteSigned.
  3. Jika ada firewall antara server Anda dan ID Microsoft Entra, lihat Persyaratan firewall dan proksi.

Nota

Menginstal agen provisi cloud di Windows Server Core tidak didukung.

Memprovisikan ID Microsoft Entra ke Direktori Aktif - Prasyarat

Prasyarat berikut diperlukan untuk menerapkan grup provisi ke Direktori Aktif.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.

Persyaratan umum

  • Akun Microsoft Entra dengan setidaknya peran Administrator Identitas Hibrid.
  • Lingkungan Active Directory Domain Services lokal dengan sistem operasi Windows Server 2016 atau yang lebih baru.
    • Diperlukan untuk atribut Skema AD - msDS-ExternalDirectoryObjectId
  • Agen provisi dengan build versi 1.1.1370.0 atau yang lebih baru.

Nota

Izin ke akun layanan ditetapkan selama penginstalan bersih saja. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual menggunakan cmdlet PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jika izin diatur secara manual, Anda perlu memastikan bahwa Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.

Izin ini tidak diterapkan ke objek AdminSDHolder secara default cmdlet Microsoft Entra provisioning agent gMSA PowerShell

  • Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
    • Diperlukan untuk pencarian katalog global untuk memfilter referensi keanggotaan yang tidak valid
  • Sinkronisasi Microsoft Entra Connect dengan build versi 2.2.8.0 atau yang lebih baru
    • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Sinkronisasi Microsoft Entra Connect
    • Diperlukan untuk menyinkronkan AD:user:objectGUID ke AAD:user:onPremisesObjectIdentifier

Grup dan batas skala yang didukung

Berikut ini didukung:

  • Hanya grup Keamanan yang dibuat cloud yang didukung
  • Grup ini dapat memiliki grup keanggotaan yang ditetapkan atau dinamis.
  • Grup ini hanya dapat berisi pengguna lokal yang disinkronkan dan /atau grup keamanan yang dibuat cloud tambahan.
  • Akun pengguna lokal yang disinkronkan dan merupakan anggota grup keamanan yang dibuat cloud ini, dapat berasal dari domain atau lintas domain yang sama, tetapi semuanya harus berasal dari forest yang sama.
  • Grup-grup ini ditulis kembali dengan cakupan grup AD universal. Lingkungan lokal Anda harus mendukung cakupan grup universal.
  • Grup yang lebih besar dari 50.000 anggota tidak didukung.
  • Penyewa yang memiliki lebih dari 150.000 objek tidak didukung. Artinya, jika penyewa memiliki kombinasi pengguna dan grup yang melebihi objek 150K, penyewa tidak didukung.
  • Setiap grup berlapis anak langsung dihitung sebagai satu anggota dalam grup referensi
  • Rekonsiliasi grup antara MICROSOFT Entra ID dan Active Directory tidak didukung jika grup diperbarui secara manual di Direktori Aktif.

Informasi tambahan

Berikut ini adalah informasi tambahan tentang provisi grup ke Direktori Aktif.

  • Grup yang disediakan untuk AD menggunakan sinkronisasi cloud hanya dapat berisi pengguna lokal yang disinkronkan dan/atau grup keamanan yang dibuat cloud tambahan.
  • Pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang ditetapkan di akun mereka.
  • OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD target.
  • Atribut objectGUID pengguna lokal ke atribut pengguna cloud onPremisesObjectIdentifier dapat disinkronkan menggunakan Microsoft Entra Cloud Sync (1.1.1370.0) atau Microsoft Entra Connect Sync (2.2.8.0)
  • Jika Anda menggunakan Sinkronisasi Microsoft Entra Connect (2.2.8.0) untuk menyinkronkan pengguna, alih-alih Microsoft Entra Cloud Sync, dan ingin menggunakan Provisi ke AD, itu harus 2.2.8.0 atau yang lebih baru.
  • Hanya penyewa MICROSOFT Entra ID reguler yang didukung untuk provisi dari ID Microsoft Entra ke Direktori Aktif. Penyewa seperti B2C tidak didukung.
  • Pekerjaan provisi grup dijadwalkan untuk berjalan setiap 20 menit.

Persyaratan lainnya

  • Microsoft .NET Framework minimum 4.7.1

Persyaratan TLS

Nota

Keamanan Lapisan Transportasi (TLS) adalah protokol yang menyediakan komunikasi yang aman. Mengubah pengaturan TLS memengaruhi seluruh forest. Untuk informasi selengkapnya, lihat Pembaruan untuk mengaktifkan TLS 1.1 dan TLS 1.2 sebagai protokol aman default di WinHTTP di Windows.

Server Windows yang menghosting agen provisi cloud Microsoft Entra Connect harus mengaktifkan TLS 1.2 sebelum Anda menginstalnya.

Untuk mengaktifkan TLS 1.2, ikuti langkah-langkah ini.

  1. Atur kunci registri berikut dengan menyalin konten ke dalam file .reg lalu jalankan file (klik kanan dan pilih Gabungkan):

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Mulai ulang server.

Persyaratan Firewall dan Proksi

Jika ada firewall antara server Anda dan ID Microsoft Entra, konfigurasikan item berikut:

  • Pastikan bahwa agen dapat membuat permintaan keluar ke ID Microsoft Entra melalui port berikut:

    Nomor port Deskripsi
    80 Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TLS/SSL.
    443 Menangani semua komunikasi keluar dengan layanan.
    8080 (opsional) Agen melaporkan status mereka setiap 10 menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di pusat admin Microsoft Entra.
  • Jika firewall Anda memberlakukan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

  • Pastikan bahwa proksi Anda mendukung setidaknya protokol HTTP 1.1 dan pengodean yang dipotong diaktifkan.

  • Jika firewall atau proksi memungkinkan Anda menentukan akhiran aman, tambahkan koneksi:

URL Deskripsi
*.msappproxy.net
*.servicebus.windows.net
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Agen menggunakan URL ini untuk berkomunikasi dengan layanan cloud Microsoft Entra.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Agen menggunakan URL ini untuk memverifikasi sertifikat.
login.windows.net Agen menggunakan URL ini selama proses pendaftaran.

Persyaratan NTLM

Anda tidak boleh mengaktifkan NTLM di Windows Server yang menjalankan agen provisi Microsoft Entra dan jika diaktifkan, Anda harus memastikan anda menonaktifkannya.

Batasan yang diketahui

Berikut ini adalah batasan yang diketahui:

Sinkronisasi Delta

  • Pemfilteran cakupan grup untuk sinkronisasi delta tidak mendukung lebih dari 50.000 anggota.
  • Saat Anda menghapus grup yang digunakan sebagai bagian dari filter cakupan grup, pengguna yang merupakan anggota grup, tidak dihapus.
  • Saat Anda mengganti nama OU atau grup yang berada dalam cakupan, sinkronisasi delta tidak akan menghapus pengguna.

Log Provisi

  • Log provisi tidak membedakan dengan jelas antara operasi buat dan perbarui. Anda mungkin melihat operasi pembuatan untuk pembaruan dan operasi pembaruan untuk buat.

Penggantian nama grup atau penggantian nama unit organisasi

  • Jika Anda mengganti nama grup atau OU di AD yang berada dalam cakupan untuk konfigurasi tertentu, pekerjaan sinkronisasi cloud tidak akan dapat mengenali perubahan nama dalam AD. Pekerjaan tidak akan masuk ke karantina dan tetap sehat.

Filter cakupan

Saat menggunakan filter cakupan OU

  • Konfigurasi cakupan memiliki batasan panjang karakter 4MB. Dalam lingkungan standar yang diuji, ini diterjemahkan ke sekitar 50 Unit Organisasi (OU) atau Grup Keamanan terpisah, termasuk metadata yang diperlukan, untuk konfigurasi tertentu.

  • OU berlapis didukung (yaitu, Anda dapat menyinkronkan OU yang memiliki 130 OU berlapis, tetapi Anda tidak dapat menyinkronkan 60 OU terpisah dalam konfigurasi yang sama).

Sinkronisasi Hash Kata Sandi

  • Menggunakan sinkronisasi hash kata sandi dengan InetOrgPerson tidak didukung.

Langkah berikutnya