Microsoft Entra Connect menggunakan akun Microsoft Entra Connector untuk mengautentikasi dan menyinkronkan identitas dari Direktori Aktif ke Microsoft Entra Connect. Akun ini menggunakan nama pengguna dan kata sandi untuk mengautentikasi permintaan.
Untuk meningkatkan keamanan layanan, kami meluncurkan identitas aplikasi yang menggunakan alur kredensial klien Oauth 2.0 dengan kredensial sertifikat. Dalam metode baru ini, Microsoft Entra atau administrator membuat aplikasi non-Microsoft tenant tunggal dalam Microsoft Entra ID dan menggunakan salah satu dari opsi manajemen sertifikat yang relevan berikut ini untuk kredensial.
Microsoft Entra Connect menyediakan tiga opsi untuk manajemen aplikasi dan sertifikat:
Nota
Peran Administrator Aplikasi memberikan kemampuan untuk menyetujui izin aplikasi, kecuali untuk izin aplikasi untuk Azure AD Graph dan Microsoft Graph. Ini berarti bahwa administrator aplikasi masih dapat menyetujui izin aplikasi untuk aplikasi lain, terutama aplikasi pihak pertama AWS, dan aplikasi pihak pertama SSPR.
Peran ini juga memberikan kemampuan untuk mengelola kredensial aplikasi. Pengguna yang ditetapkan ke peran ini dapat menambahkan kredensial ke aplikasi (terutama Connect Sync) dan menggunakan kredensial tersebut untuk meniru identitas aplikasi. Ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka.
Dikelola oleh Microsoft Entra Connect (default)
Microsoft Entra Connect mengelola aplikasi dan sertifikat, yang mencakup pembuatan, rotasi, dan penghapusan sertifikat. Sertifikat disimpan di penyimpanan CURRENT_USER . Untuk perlindungan optimal kunci privat sertifikat, kami sarankan mesin harus menggunakan solusi Modul Platform Tepercaya (TPM) untuk menetapkan batas keamanan berbasis perangkat keras.
Saat TPM tersedia, operasi layanan utama dilakukan dalam lingkungan perangkat keras khusus. Sebaliknya, jika TPM tidak dapat digunakan, Microsoft Entra Connect akan secara default menyimpan sertifikat di Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft dan menandai kunci privat sebagai tidak dapat diekspor untuk perlindungan tambahan. Tanpa isolasi perangkat keras yang disediakan oleh TPM, hanya perlindungan perangkat lunak yang mengamankan kunci privat, yang tidak mencapai tingkat perlindungan yang sama.
Untuk informasi selengkapnya tentang teknologi TPM, lihat Gambaran umum teknologi Modul Platform Tepercaya.
Kami merekomendasikan opsi manajemen sertifikat Microsoft Entra Connect (default) karena kami mengelola kunci dan secara otomatis memutar sertifikat saat kedaluwarsa. Secara default, Microsoft Entra Connect menghasilkan sertifikat dengan masa pakai 90 hari.
Sinkronisasi Microsoft Entra Connect menggunakan penjadwal untuk memeriksa apakah sertifikat jatuh tempo untuk rotasi lalu secara otomatis memutar sertifikat. Jika penjadwal ditangguhkan, rotasi sertifikat otomatis tidak dapat terjadi meskipun Sinkronisasi Microsoft Entra Connect mengelola sertifikat.
Bawa Sertifikat Anda Sendiri
Dalam penyiapan Bring Your Own Certificate (BYOC), administrator mengelola kredensial sertifikat yang digunakan aplikasi. Administrator bertanggung jawab untuk membuat sertifikat, rotasi, dan penghapusan sertifikat yang tidak digunakan atau kedaluwarsa. Sertifikat harus disimpan di penyimpanan LOCAL_MACHINE .
Administrator bertanggung jawab untuk mengamankan kunci privat sertifikat dan memastikan bahwa hanya Sinkronisasi Microsoft Entra Connect yang dapat mengakses kunci privat untuk penandatanganan.
Kami menyarankan agar Anda menggunakan TPM atau Modul Keamanan Perangkat Keras (HSM) untuk menyediakan batas keamanan berbasis perangkat keras, dibandingkan dengan default. Untuk memeriksa status TPM, gunakan cmdlet PowerShell Get-TPM .
Jika Anda menggunakan Hyper-V komputer virtual (VM), Anda dapat mengaktifkan TPM dengan memilih Keamanan>Aktifkan Modul Platform Tepercaya. Anda hanya dapat melakukan langkah ini pada VM generasi 2. VM Generasi 1 tidak dapat dikonversi ke VM generasi 2. Untuk informasi selengkapnya, lihat Pengaturan keamanan VM Generasi 2 untuk Hyper-V dan Mengaktifkan peluncuran tepercaya pada VM Azure Gen2 yang ada.
Bawa Aplikasi Anda Sendiri
Dalam penyiapan Bring Your Own Application (BYOA), administrator mengelola aplikasi yang digunakan Microsoft Entra Connect Sync untuk mengautentikasi ke ID Microsoft Entra, izin aplikasi, dan kredensial sertifikat yang digunakan aplikasi.
Administrator mendaftarkan aplikasi Microsoft Entra dan membuat perwakilan layanan. Aplikasi ini memerlukan izin yang diperlukan untuk mengonfigurasi perintah Microsoft Graph PowerShell.
Nota
Sinkronisasi Microsoft Entra Connect versi 2.5.76.0 atau yang lebih baru diperlukan untuk melanjutkan langkah-langkah berikut untuk mengautentikasi ke ID Microsoft Entra dengan menggunakan identitas aplikasi.
Nota
Menggunakan BYOA memerlukan sertifikat Anda sendiri.
Prasyarat
Prasyarat berikut diperlukan untuk menerapkan autentikasi dengan menggunakan identitas aplikasi.
Penting
Versi Sinkronisasi Microsoft Entra Connect baru hanya tersedia melalui pusat admin Microsoft Entra.
Menindaklanjuti komunikasi Apa yang Baru , versi baru Sinkronisasi Microsoft Entra Connect hanya tersedia di panel Microsoft Entra Connect dalam pusat admin Microsoft Entra dan tidak akan lagi dirilis ke Pusat Unduhan Microsoft.
Persyaratan tambahan berikut diperlukan untuk opsi manajemen sertifikat BYOA dan BYOC:
- Sertifikat dibuat dalam HSM atau TPM dengan menggunakan API Kriptografi: Penyedia Generasi Berikutnya. Kunci privat ditandai sebagai Tidak Dapat Diekspor. Peristiwa peringatan 1014 dipancarkan jika TPM tidak digunakan. Konfigurasi sertifikat berikut didukung:
-
KeyUsage: DigitalSignature
-
KeyLength: 2048
-
KeyAlgorithm:RSA
-
KeyHashAlgorithm: SHA256
- Sertifikat yang dibuat disimpan di penyimpanan
LOCAL_MACHINE .
- Berikan izin akun Sinkronisasi Microsoft Entra Connect untuk melakukan penandatanganan dengan menggunakan kunci privat.
Persyaratan tambahan berikut diperlukan untuk opsi manajemen aplikasi BYOA:
- Pelanggan membuat sertifikat seperti yang diinstruksikan dalam prasyarat BYOC sebelumnya.
- Pelanggan mendaftarkan aplikasi di ID Microsoft Entra dan membuat perwakilan layanan. Izin yang diperlukan diberikan ke aplikasi.
- Pelanggan mendaftarkan sertifikat dengan aplikasi.
Menampilkan konfigurasi autentikasi saat ini
Untuk melihat konfigurasi autentikasi saat ini, jalankan Wizard dan buka Tugas, lalu pilih Tampilkan atau ekspor konfigurasi saat ini.
Jika server dikonfigurasi untuk menggunakan autentikasi berbasis aplikasi, Anda harus dapat melihat ID aplikasi (klien) seperti yang ditunjukkan pada cuplikan layar berikut.
Gulir ke bawah ke detail sertifikat. Tabel berikut ini menyediakan informasi tentang sertifikat.
| Harta benda |
Deskripsi |
|
Sertifikat yang dikelola oleh |
Apakah Sinkronisasi Microsoft Entra Connect atau BYOC mengelola sertifikat |
|
Rotasi otomatis diaktifkan |
Apakah rotasi otomatis atau rotasi manual diaktifkan |
|
Sertifikat thumbprint |
Pengidentifikasi unik untuk sertifikat |
|
Sertifikat SHA256 hash |
Sidik jari untuk sertifikat yang dihasilkan dengan menggunakan algoritma hash SHA-256 |
|
Nama subjek |
Mengidentifikasi entitas yang terkait dengan sertifikat |
|
Dikeluarkan oleh |
Siapa yang merupakan penerbit sertifikat |
|
Nomor seri |
Secara unik mengidentifikasi sertifikat di antara sertifikat oleh penerbit yang sama |
|
Tidak valid sebelumnya |
Tanggal pertama sertifikat valid |
|
Tidak valid setelah |
Tanggal terakhir sertifikat valid |
Jika server menggunakan nama pengguna dan kata sandi, Anda akan dapat melihat nama akun seperti yang ditunjukkan pada cuplikan layar berikut.
Penginstalan dan peningkatan (dikelola oleh Microsoft Entra Connect)
Aplikasi dan kredensial terkelola Sinkronisasi Microsoft Entra Connect secara otomatis disiapkan selama penginstalan awal atau peningkatan interaktif manual. Untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan identitas aplikasi, Anda dapat melihat konfigurasi autentikasi saat ini.
Onboard ke autentikasi berbasis aplikasi
Otomatis
Dimulai dengan versi 2.5.76.0 atau yang lebih tinggi, layanan akan secara otomatis mengonfigurasi autentikasi aplikasi dalam jendela enam jam jika layanan menggunakan nama pengguna dan kata sandi untuk mengautentikasi ke ID Microsoft Entra.
Buku Petunjuk
Jika autentikasi aplikasi tidak dikonfigurasi secara otomatis, Anda dapat beralih ke autentikasi berbasis aplikasi secara manual.
Jika Anda ingin mengonfigurasi autentikasi berbasis aplikasi menggunakan opsi default (Dikelola oleh Microsoft Entra Connect), Anda bisa menggunakan wizard. Namun, jika Anda ingin mengonfigurasi autentikasi berbasis aplikasi menggunakan BYOC atau BYOA, Anda harus menggunakan PowerShell.
Memulai wizard Microsoft Entra Connect
Buka Tugas> tambahanMengonfigurasi autentikasi berbasis aplikasi ke MICROSOFT Entra ID lalu ikuti perintah.
Nota
Pastikan Anda berada di server Microsoft Entra Connect dan modul PowerShell Microsoft Entra Connect Sync (ADSync) diinstal.
Gunakan tampilan wizard konfigurasi autentikasi saat ini untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan identitas aplikasi, atau gunakan perintah PowerShell untuk memverifikasi metode autentikasi saat ini.
Get-ADSyncEntraConnectorCredential
Perintah ini mengembalikan nilai ConnectorIdentityType yang digunakan saat ini. Nilainya bisa ServiceAccount atau Application. Jika autentikasi menggunakan ServiceAccount, maka lanjutkan dengan langkah-langkah berikut untuk beralih dari ServiceAccount ke Application. Jika autentikasi menggunakan Application, lewati ke langkah Ubah sertifikat aplikasi ke sertifikat Anda sendiri.
Beralih dari ServiceAccount ke Aplikasi
Mulai panduan Microsoft Entra Connect.
Buka Tugas> tambahanMengonfigurasi autentikasi berbasis aplikasi ke MICROSOFT Entra ID lalu ikuti perintah.
Mengubah sertifikat aplikasi ke sertifikat Anda sendiri
Ekspor file sertifikat (.cer) untuk mengunggahnya ke pendaftaran aplikasi Microsoft Entra menggunakan salah satu opsi berikut:
Opsi 1: Menggunakan konsol mmc untuk mengekspor sertifikat dari penyimpanan sertifikat Windows:
Buka konsol manajemen sertifikat untuk komputer lokal dengan menjalankan perintah berikut. Beberapa metode menjalankan perintah ini dapat dilakukan dari menu Mulai, prompt Windows Run, prompt PowerShell, atau prompt perintah.
certlm.msc
Di pohon konsol, navigasikan ke sertifikat yang ingin Anda ekspor.
Klik kanan sertifikat, pilih Semua Tugas, lalu pilih Ekspor.
Pada layar, pilih Selamat Datang di Wizard Ekspor Sertifikat, pilih Berikutnya.
Jika diminta untuk mengekspor kunci privat, pilih Tidak, jangan ekspor kunci privat, lalu pilih Berikutnya.
Untuk format file, pilih DER biner yang dikodekan X.509 (. CER), lalu pilih Berikutnya.
Masukkan atau telusuri ke jalur file, lalu pilih Berikutnya.
Tinjau ringkasan, lalu pilih Selesai.
Opsi 2: Gunakan PowerShell untuk mengekspor sertifikat:
$cerFile = "C:\Temp\MyBYOC.cer"
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
Export-Certificate -Cert $cert -FilePath $cerFile
Di Pusat Admin Microsoft Entra, navigasikan ke Pendaftaran AplikasiEntra ID, dan pilih aplikasi yang dibuat selama penginstalan, konfigurasi, atau peningkatan Connect Sync. Untuk mengonfirmasi aplikasi mana yang digunakan oleh Connect Sync, Anda dapat menjalankan Get-ADSyncEntraConnectorCredential perintah untuk mengambil ID aplikasi (klien). Format nama pengguna adalah {AppID}@tenantName.onmicrosoft.com. Di bawah Sertifikat & rahasia pilih Unggah sertifikat dan unggah file .cer yang diekspor dan pilih Tambahkan:
Dapatkan Hash sertifikat menggunakan perintah PowerShell berikut
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut:
$certHash = [System.Convert]::ToHexString($hashBytes)
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Izin akun layanan Grant Connect Sync (ADSync) untuk mengambil kunci privat sertifikat:
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
Jika sertifikat dikeluarkan oleh Otoritas Sertifikat (CA), gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$($rsaCert.key.UniqueName)"
Jika Anda menggunakan sertifikat yang ditandatangani sendiri , gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\Keys\$($rsaCert.key.UniqueName)"
Jalankan perintah berikut untuk memberikan izin:
$permissions = Get-Acl -Path $path
$serviceAccount = (Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\ADSync -Name ObjectName).ObjectName
$rule = New-Object Security.Accesscontrol.FileSystemAccessRule "$serviceAccount", "read", allow
$permissions.AddAccessRule($rule)
Set-Acl -Path $path -AclObject $permissions
# Verify permissions
$permissions = Get-Acl -Path $path
$permissions.Access
Menonaktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $false
Mengimpor modul ADSync
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut untuk mengimpor modul Sinkronisasi AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -UseWindowsPowerShell
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut untuk mengimpor modul SINKRONISASI AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync"
Memperbarui sertifikat aplikasi menggunakan perintah rotasi sertifikat
Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash $certHash
Gunakan tampilan wizard konfigurasi autentikasi saat ini untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan sertifikat baru Anda.
Aktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $true
Hapus Akun Sinkronisasi Direktori (DSA) dari ID Microsoft Entra (disarankan).
Membuat aplikasi menggunakan PowerShell
Menyambungkan ke penyewa Anda
Connect-MgGraph -scopes "Application.ReadWrite.All", "AppRoleAssignment.ReadWrite.All"
Membuat dan menginisialisasi aplikasi BYOA
$BYOApp = New-MgApplication -DisplayName "My BYOA For Connect Sync serverName"
Membuat dan menginisialisasi nama entitas layanan BYOA
$BYOA_ServicePrincipal = New-MgServicePrincipal -AppId $BYOApp.AppId
Inisialisasi ConnectSyncAppId dan ConnectSyncSPId variabel:
$ConnectSyncAppId = $BYOApp.AppId
$ConnectSyncSPId = $BYOA_ServicePrincipal.Id
Menginisialisasi SynchronizationServiceAppId variabel yang mewakili ID aplikasi (klien) untuk Microsoft Entra AD Synchronization Service. Nilainya adalah 6bf85cfa-ac8a-4be5-b5de-425a0d0dc016 untuk semua awan:
$SynchronizationServiceAppId = "6bf85cfa-ac8a-4be5-b5de-425a0d0dc016"
Menginisialisasi SynchronizationServiceSPId variabel:
$SynchronizationServiceSPId = (Get-MgServicePrincipal -Filter "appId eq '$SynchronizationServiceAppId'").Id
Menginisialisasi SynchronizationServiceAppRoleId variabel:
$SynchronizationServiceAppRoleId = (Get-MgServicePrincipal -Filter "appId eq '$SynchronizationServiceAppId'").AppRoles | Where-Object {$_.Value -eq "ADSynchronization.ReadWrite.All"} | Select-Object -ExpandProperty Id
Nota
Jika Anda menggunakan fitur Tulis Balik Kata Sandi , lanjutkan dengan langkah-langkah berikut, jika tidak, Anda dapat melompat ke langkah 11.
Menginisialisasi PasswordResetServiceAppId variabel:
Untuk semua cloud kecuali Arlington, gunakan:
$PasswordResetServiceAppId = "93625bc8-bfe2-437a-97e0-3d0060024faa"
Untuk penggunaan cloud Arlington :
$PasswordResetServiceAppId = "2e5ecfc8-ea79-48bd-8140-c19324acb278"
Menginisialisasi PasswordResetServiceSPId variabel:
$PasswordResetServiceSPId = (Get-MgServicePrincipal -Filter "appId eq '$PasswordResetServiceAppId'").Id
Inisialisasi variabel AppRoles untuk pengaturan ulang kata sandi:
$PasswordResetServiceServiceOffboardClientAppRoleId = (Get-MgServicePrincipal -Filter "appId eq '$PasswordResetServiceAppId'").AppRoles | Where-Object {$_.Value -eq "PasswordWriteback.OffboardClient.All"} | Select-Object -ExpandProperty Id
$PasswordResetServiceServiceRegisterClientAppRoleId = (Get-MgServicePrincipal -Filter "appId eq '$PasswordResetServiceAppId'").AppRoles | Where-Object {$_.Value -eq "PasswordWriteback.RegisterClientVersion.All"} | Select-Object -ExpandProperty Id
$PasswordResetServiceServiceRefreshClientAppRoleId = (Get-MgServicePrincipal -Filter "appId eq '$PasswordResetServiceAppId'").AppRoles | Where-Object {$_.Value -eq "PasswordWriteback.RefreshClient.All"} | Select-Object -ExpandProperty Id
Inisialisasi RequiredResourceAccess variabel untuk mengonfigurasi izin yang diperlukan untuk Layanan Sinkronisasi Microsoft Entra AD dan layanan pengaturan ulang kata sandi Microsoft:
Jika Anda tidak menggunakan tulis balik Kata Sandi, gunakan:
$RequiredResourceAccess = @(
@{
ResourceAppId = $SynchronizationServiceAppId
ResourceAccess = @(
@{
Id = $SynchronizationServiceAppRoleId
Type = "Role"
}
)
}
)
Jika Anda menggunakan tulis balik Kata Sandi, maka gunakan:
$RequiredResourceAccess = @(
@{
ResourceAppId = $SynchronizationServiceAppId
ResourceAccess = @(
@{
Id = $SynchronizationServiceAppRoleId
Type = "Role"
}
)
},
@{
ResourceAppId = $PasswordResetServiceAppId
ResourceAccess = @(
@{
Id = $PasswordResetServiceServiceOffboardClientAppRoleId
Type = "Role"
},
@{
Id = $PasswordResetServiceServiceRegisterClientAppRoleId
Type = "Role"
},
@{
Id = $PasswordResetServiceServiceRefreshClientAppRoleId
Type = "Role"
}
)
}
)
Perbarui aplikasi dengan izin yang diperlukan:
Update-MgApplication -ApplicationId $BYOApp.Id -RequiredResourceAccess $RequiredResourceAccess
Buat penetapan peran aplikasi untuk Layanan Sinkronisasi:
$SyncAppRoleAssignment = New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $BYOA_ServicePrincipal.Id -PrincipalId $BYOA_ServicePrincipal.Id -ResourceId $SynchronizationServiceSPId -AppRoleId $SynchronizationServiceAppRoleId
Nota
Jika Anda menggunakan fitur Tulis Balik Kata Sandi , lanjutkan dengan langkah-langkah berikut, jika tidak, Anda dapat melompat ke langkah #15.
Buat penetapan peran aplikasi untuk fitur Tulis Balik Kata Sandi:
$OffboardAppRoleAssignment = New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $BYOA_ServicePrincipal.Id -PrincipalId $BYOA_ServicePrincipal.Id -ResourceId $PasswordResetServiceSPId -AppRoleId $PasswordResetServiceServiceOffboardClientAppRoleId
$RegisterAppRoleAssignment = New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $BYOA_ServicePrincipal.Id -PrincipalId $BYOA_ServicePrincipal.Id -ResourceId $PasswordResetServiceSPId -AppRoleId $PasswordResetServiceServiceRegisterClientAppRoleId
$RefreshAppRoleAssignment = New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $BYOA_ServicePrincipal.Id -PrincipalId $BYOA_ServicePrincipal.Id -ResourceId $PasswordResetServiceSPId -AppRoleId $PasswordResetServiceServiceRefreshClientAppRoleId
Ekspor file sertifikat (.cer) untuk mengunggahnya ke pendaftaran aplikasi Microsoft Entra menggunakan salah satu opsi berikut:
Opsi 1: Menggunakan konsol mmc untuk mengekspor sertifikat dari penyimpanan sertifikat Windows:
Buka konsol manajemen sertifikat untuk komputer lokal dengan menjalankan perintah berikut. Beberapa metode menjalankan perintah ini dapat dilakukan dari menu Mulai, prompt Windows Run, prompt PowerShell, atau prompt perintah.
certlm.msc
Di pohon konsol, navigasikan ke sertifikat yang ingin Anda ekspor.
Klik kanan sertifikat, pilih Semua Tugas, lalu pilih Ekspor.
Pada layar Selamat Datang di Wizard Ekspor Sertifikat , pilih Berikutnya.
Jika diminta untuk mengekspor kunci privat, pilih Tidak, jangan ekspor kunci privat, lalu pilih Berikutnya.
Untuk format file, pilih DER biner yang dikodekan X.509 (. CER), lalu pilih Berikutnya.
Masukkan atau telusuri ke jalur file, lalu pilih Berikutnya.
Tinjau ringkasan, lalu pilih Selesai.
Opsi 2: Gunakan PowerShell untuk mengekspor sertifikat:
$cerFile = "C:\Temp\MyBYOC.cer"
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
Export-Certificate -Cert $cert -FilePath $cerFile
Di pusat admin Microsoft Entra, navigasikan kePendaftaran Aplikasi> Entra, dan pilih aplikasi yang dibuat di langkah 2. Di bawah Sertifikat & rahasia, pilih Unggah sertifikat dan unggah file .cer yang diekspor dan pilih Tambahkan:
Dapatkan hash sertifikat menggunakan perintah PowerShell berikut:
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut:
$certHash = [System.Convert]::ToHexString($hashBytes)
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Izin akun layanan Grant Connect Sync (ADSync) untuk mengambil kunci privat sertifikat:
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
Jika sertifikat dikeluarkan oleh Otoritas Sertifikat (CA), gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$($rsaCert.key.UniqueName)"
Jika Anda menggunakan sertifikat yang ditandatangani sendiri , gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\Keys\$($rsaCert.key.UniqueName)"
Jalankan perintah berikut untuk memberikan izin:
$permissions = Get-Acl -Path $path
$serviceAccount = (Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\ADSync -Name ObjectName).ObjectName
$rule = New-Object Security.Accesscontrol.FileSystemAccessRule "$serviceAccount", "read", allow
$permissions.AddAccessRule($rule)
Set-Acl -Path $path -AclObject $permissions
# Verify permissions
$permissions = Get-Acl -Path $path
$permissions.Access
Menonaktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $false
Impor modul Sinkronisasi AAD:
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut untuk mengimpor modul Sinkronisasi AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -UseWindowsPowerShell
Beralih menggunakan aplikasi baru Anda untuk autentikasi
Add-ADSyncApplicationRegistration -CertificateSHA256Hash $certHash –ApplicationAppId $ConnectSyncAppId
Gunakan tampilan wizard konfigurasi autentikasi saat ini untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan identitas aplikasi, atau gunakan perintah PowerShell untuk memverifikasi metode autentikasi saat ini.
Get-ADSyncEntraConnectorCredential
Aktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $true
Hapus Akun Sinkronisasi Direktori (DSA) dari ID Microsoft Entra (disarankan).
Menghapus akun layanan warisan
Setelah Anda beralih ke autentikasi berbasis aplikasi dan Sinkronisasi Microsoft Entra Connect berfungsi seperti yang diharapkan, kami sangat menyarankan Agar Anda menghapus akun layanan nama pengguna dan kata sandi DSA warisan dengan menggunakan PowerShell. Jika Anda menggunakan akun kustom yang tidak dapat dihapus, batalkan hak istimewanya dan hapus peran DSA dari akun tersebut.
Ikuti langkah-langkah ini untuk menghapus akun layanan warisan.
Tambahkan nama pengguna dan kata sandi akun layanan.
$HACredential = Get-Credential
Anda diminta untuk memasukkan nilai administrator UserPrincipalName Microsoft Entra dan kata sandi. Masukkan nama pengguna dan kata sandi.
Selanjutnya, hapus akun layanan.
Remove-ADSyncAADServiceAccount -AADCredential $HACredential -Name <$serviceAccountName>
Nilai ServiceAccountName adalah bagian pertama dari UserPrincipalName nilai akun layanan yang digunakan dalam ID Microsoft Entra. Anda dapat menemukan pengguna ini dalam daftar pengguna di pusat admin Microsoft Entra. Jika UPN adalah Sync_Server_id@tenant.onmicrosoft.com, gunakan Sync_Server_id sebagai ServiceAccountName nilai .
Kembali ke akun layanan warisan dengan menggunakan PowerShell
Jika Anda ingin kembali ke akun layanan warisan, Anda dapat menggunakan PowerShell untuk kembali menggunakan akun layanan untuk segera mengurangi masalah. Gunakan langkah-langkah berikut untuk mengembalikan ke akun layanan.
Sebagai bagian dari pengembalian, kami mengulang akun DSA. Akun baru ini mungkin memerlukan waktu hingga 15 menit untuk diterapkan, sehingga Anda mungkin mendapatkan kesalahan "Akses Ditolak" saat Anda mengaktifkan kembali siklus sinkronisasi.
Nonaktifkan penjadwal untuk memastikan bahwa tidak ada siklus sinkronisasi yang berjalan hingga perubahan ini selesai.
Set-ADSyncScheduler -SyncCycleEnabled $false
Tambahkan akun layanan. Anda diminta untuk memasukkan nilai administrator UserPrincipalName Microsoft Entra dan kata sandi. Masukkan kredensial.
Add-ADSyncAADServiceAccount
Dapatkan mekanisme autentikasi saat ini dan konfirmasikan bahwa nilai ConnectorIdentityType kembali ke ServiceAccount.
Get-ADSyncEntraConnectorCredential
Aktifkan kembali penjadwal untuk memulai layanan sinkronisasi.
Set-ADSyncScheduler -SyncCycleEnabled $true
Pergantian sertifikat
Microsoft Entra Connect memperingatkan apakah sertifikat telah menggunakan 70% atau lebih dari masa pakainya. Untuk sertifikat 90 hari, ini berarti peringatan dimulai sekitar hari ke-63. Ini memancarkan kesalahan jika sertifikat sudah kedaluwarsa. Anda dapat menemukan peringatan ini (ID Peristiwa 1011) dan kesalahan (ID Peristiwa 1012) di log peristiwa Aplikasi.
Pesan ini dipancarkan pada frekuensi penjadwal jika penjadwal tidak ditangguhkan. Jalankan Get-ADSyncScheduler untuk melihat apakah penjadwal ditangguhkan.
Otomatis
Jika Microsoft Entra Connect mengelola sertifikat, tidak ada tindakan yang diperlukan dari Anda kecuali penjadwal ditangguhkan, Microsoft Entra Connect Sync menambahkan kredensial sertifikat baru ke aplikasi, dan mencoba menghapus kredensial sertifikat lama.
Jika gagal menghapus kredensial sertifikat lama, peristiwa kesalahan muncul di log aplikasi di Pemeriksa Peristiwa.
Jika Anda melihat kesalahan ini, jalankan cmdlet berikut di PowerShell untuk membersihkan kredensial sertifikat lama dari ID Microsoft Entra. Cmdlet mengambil nilai CertificateId dari sertifikat yang harus dihapus, yang dapat Anda peroleh dari log atau pusat administrasi Microsoft Entra.
Remove-EntraApplicationKey -CertificateId <certificateId>
Buku Petunjuk
Jika konfigurasi Anda tidak memenuhi syarat untuk rotasi sertifikat otomatis, Anda dapat memutar sertifikat kapan saja, meskipun sertifikat saat ini masih belum jatuh tempo untuk rotasi atau sertifikat saat ini kedaluwarsa.
- Memulai wizard Microsoft Entra Connect
- Buka Tugas> tambahanPutar sertifikat aplikasi lalu ikuti perintah.
Saat Anda mendapatkan peringatan dari Sinkronisasi Microsoft Entra Connect, kami sangat menyarankan Agar Anda membuat kunci dan sertifikat baru dan memutar sertifikat yang digunakan Microsoft Entra Connect Sync.
Ekspor file sertifikat (.cer) untuk mengunggahnya ke pendaftaran aplikasi Microsoft Entra menggunakan salah satu opsi berikut:
Opsi 1: Menggunakan konsol mmc untuk mengekspor sertifikat dari penyimpanan sertifikat Windows:
Buka konsol manajemen sertifikat untuk komputer lokal dengan menjalankan perintah berikut. Beberapa metode menjalankan perintah ini dapat dilakukan dari menu Mulai, prompt Windows Run, prompt PowerShell, atau prompt perintah.
certlm.msc
Di pohon konsol, navigasikan ke sertifikat yang ingin Anda ekspor.
Klik kanan sertifikat, pilih Semua Tugas, lalu pilih Ekspor.
Pada layar Selamat Datang di Wizard Ekspor Sertifikat, pilih Berikutnya.
Jika diminta untuk mengekspor kunci privat, pilih Tidak, jangan ekspor kunci privat, lalu pilih Berikutnya.
Untuk format file, pilih DER biner yang dikodekan X.509 (. CER), lalu pilih Berikutnya.
Masukkan atau telusuri ke jalur file, lalu pilih Berikutnya.
Tinjau ringkasan, lalu pilih Selesai.
Opsi 2: Gunakan PowerShell untuk mengekspor sertifikat:
$cerFile = "C:\Temp\MyBYOC.cer"
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
Export-Certificate -Cert $cert -FilePath $cerFile
Di pusat admin Microsoft Entra navigasikan ke Pendaftaran Aplikasi, dan pilih aplikasi yang dibuat selama penginstalan, konfigurasi, atau peningkatan Connect Sync. Untuk mengonfirmasi aplikasi mana yang digunakan oleh Connect Sync, Anda dapat menjalankan Get-ADSyncEntraConnectorCredential perintah untuk mengambil ID aplikasi (klien). Format nama pengguna adalah {AppID}@tenantName.onmicrosoft.com. Di bawah Sertifikat & rahasia, pilih Unggah sertifikat dan unggah file .cer yang diekspor dan pilih Tambahkan:
Dapatkan Hash sertifikat menggunakan perintah PowerShell berikut
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut:
$certHash = [System.Convert]::ToHexString($hashBytes)
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Izin akun layanan Grant Connect Sync (ADSync) untuk mengambil kunci privat sertifikat:
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
Jika sertifikat dikeluarkan oleh Otoritas Sertifikat (CA), gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$($rsaCert.key.UniqueName)"
Jika Anda menggunakan sertifikat yang ditandatangani sendiri , gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\Keys\$($rsaCert.key.UniqueName)"
Jalankan perintah berikut untuk memberikan izin:
$permissions = Get-Acl -Path $path
$serviceAccount = (Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\ADSync -Name ObjectName).ObjectName
$rule = New-Object Security.Accesscontrol.FileSystemAccessRule "$serviceAccount", "read", allow
$permissions.AddAccessRule($rule)
Set-Acl -Path $path -AclObject $permissions
# Verify permissions
$permissions = Get-Acl -Path $path
$permissions.Access
Menonaktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $false
Impor modul Sinkronisasi AAD:
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut untuk mengimpor modul Sinkronisasi AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -UseWindowsPowerShell
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut untuk mengimpor modul SINKRONISASI AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync"
Memperbarui sertifikat aplikasi menggunakan perintah rotasi sertifikat
Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash $certHash
Gunakan tampilan wizard konfigurasi autentikasi saat ini untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan sertifikat baru Anda.
Aktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $true
Hapus sertifikat lama dari penyimpanan LOCAL_MACHINE.
Saat Anda mendapatkan peringatan dari Sinkronisasi Microsoft Entra Connect, kami sangat menyarankan Agar Anda membuat kunci dan sertifikat baru dan memutar sertifikat yang digunakan Microsoft Entra Connect Sync.
Ekspor file sertifikat (.cer) untuk mengunggahnya ke pendaftaran aplikasi Microsoft Entra menggunakan salah satu opsi berikut:
Opsi 1: Menggunakan konsol mmc untuk mengekspor sertifikat dari penyimpanan sertifikat Windows:
Buka konsol manajemen sertifikat untuk komputer lokal dengan menjalankan perintah berikut. Beberapa metode menjalankan perintah ini dapat dilakukan dari menu Mulai, prompt Windows Run, prompt PowerShell, atau prompt perintah.
certlm.msc
Di pohon konsol, navigasikan ke sertifikat yang ingin Anda ekspor.
Klik kanan sertifikat, pilih Semua Tugas, lalu pilih Ekspor.
Pada layar Selamat Datang di Wizard Ekspor Sertifikat, pilih Berikutnya.
Jika diminta untuk mengekspor kunci privat, pilih Tidak, jangan ekspor kunci privat, lalu pilih Berikutnya.
Untuk format file, pilih DER biner yang dikodekan X.509 (. CER), lalu pilih Berikutnya.
Masukkan atau telusuri ke jalur file, lalu pilih Berikutnya.
Tinjau ringkasan, lalu pilih Selesai.
Opsi 2: Gunakan PowerShell untuk mengekspor sertifikat:
$cerFile = "C:\Temp\MyBYOC.cer"
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
Export-Certificate -Cert $cert -FilePath $cerFile
Di pusat admin Microsoft Entra, navigasikan ke Pendaftaran Aplikasi, dan pilih aplikasi yang dibuat selama penginstalan, konfigurasi, atau peningkatan Connect Sync. Untuk mengonfirmasi aplikasi mana yang digunakan oleh Connect Sync, Anda dapat menjalankan Get-ADSyncEntraConnectorCredential perintah untuk mengambil ID aplikasi (klien). Format nama pengguna adalah {AppID}@tenantName.onmicrosoft.com. Di bawah Sertifikat & rahasia, pilih Unggah sertifikat dan unggah file .cer yang diekspor dan pilih Tambahkan:
Dapatkan hash sertifikat menggunakan perintah PowerShell berikut
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -eq 'CN=YOUR_CERTIFICATE_SUBJECT'}
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut:
$certHash = [System.Convert]::ToHexString($hashBytes)
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Izin akun layanan Grant Connect Sync (ADSync) untuk mengambil kunci privat sertifikat:
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
Jika sertifikat dikeluarkan oleh Otoritas Sertifikat (CA), gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$($rsaCert.key.UniqueName)"
Jika Anda menggunakan sertifikat yang ditandatangani sendiri , gunakan variabel berikut $path :
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\Keys\$($rsaCert.key.UniqueName)"
Jalankan perintah berikut untuk memberikan izin:
$permissions = Get-Acl -Path $path
$serviceAccount = (Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\ADSync -Name ObjectName).ObjectName
$rule = New-Object Security.Accesscontrol.FileSystemAccessRule "$serviceAccount", "read", allow
$permissions.AddAccessRule($rule)
Set-Acl -Path $path -AclObject $permissions
# Verify permissions
$permissions = Get-Acl -Path $path
$permissions.Access
Menonaktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $false
Impor modul Sinkronisasi AAD:
Jika Anda menggunakan PowerShell versi 7, gunakan perintah berikut untuk mengimpor modul Sinkronisasi AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -UseWindowsPowerShell
Jika Anda menggunakan versi PowerShell yang lebih lama atau PowerShell ISE, gunakan perintah berikut untuk mengimpor modul SINKRONISASI AAD:
Import-Module -Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync"
Memperbarui sertifikat aplikasi menggunakan perintah rotasi sertifikat
Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash $certHash
Gunakan tampilan wizard konfigurasi autentikasi saat ini untuk mengonfirmasi bahwa Microsoft Entra Connect menggunakan sertifikat baru Anda.
Aktifkan penjadwal sinkronisasi
Set-ADSyncScheduler -SyncCycleEnabled $true
Hapus sertifikat lama dari penyimpanan LOCAL_MACHINE.
Proses pencabutan sertifikat
Untuk sertifikat yang ditandatangani sendiri, baik Microsoft Entra Managed atau BYOC, administrator harus melakukan pencabutan keyCredential manual dengan menghapus nilai dari ID Microsoft Entra. Rotasi sertifikat sesuai permintaan juga merupakan opsi.
Untuk sertifikat BYOC yang dikeluarkan oleh Otoritas Sertifikat yang terdaftar dengan ID Microsoft Entra, administrator dapat mengikuti proses pencabutan sertifikat.
Konten terkait
