Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan prasyarat dan persyaratan perangkat keras untuk Microsoft Entra Connect.
Sebelum Anda menginstal Microsoft Entra Connect
Sebelum Anda menginstal Microsoft Entra Connect, ada beberapa hal yang Anda butuhkan.
Microsoft Entra ID
- Anda memerlukan tenant Microsoft Entra. Anda mendapatkan satu pengguna dengan percobaan gratis Azure. Anda dapat menggunakan salah satu portal berikut untuk mengelola Microsoft Entra Connect:
- Pusat admin Microsoft Entra.
- Portal Kantor.
- Tambahkan dan verifikasi domain yang Anda rencanakan untuk digunakan di ID Microsoft Entra. Misalnya, jika Anda berencana menggunakan contoso.com untuk pengguna Anda, pastikan domain ini diverifikasi dan Anda tidak hanya menggunakan domain default contoso.onmicrosoft.com.
- Microsoft Entra tenant secara default memungkinkan 50.000 objek. Saat Anda memverifikasi domain, batasnya meningkat menjadi 300.000 objek. Jika Anda membutuhkan jumlah objek yang lebih banyak di ID Microsoft Entra, buka kasus dukungan agar batas jumlahnya meningkat lebih jauh. Jika Anda memerlukan lebih dari 500.000 objek, Anda memerlukan lisensi, seperti Microsoft 365, Microsoft Entra ID P1 atau P2, atau Enterprise Mobility + Security.
Menyiapkan data lokal Anda
- Gunakan IdFix untuk mengidentifikasi kesalahan seperti masalah duplikat dan pemformatan di direktori Anda sebelum Anda menyinkronkan ke ID Microsoft Entra dan Microsoft 365.
- Tinjau fitur sinkronisasi opsional yang dapat Anda aktifkan di MICROSOFT Entra ID, dan evaluasi fitur mana yang harus Anda aktifkan.
Direktori Aktif lokal
- Versi skema Direktori Aktif dan tingkat fungsional hutan harus dalam versi Windows Server 2003 atau yang lebih baru. Pengendali domain dapat menjalankan versi apa pun selama versi skema dan persyaratan tingkat hutan terpenuhi. Anda mungkin memerlukan program dukungan berbayar jika Anda memerlukan dukungan untuk pengendali domain yang menjalankan Windows Server 2016 atau yang lebih lama.
- Kontroler domain yang digunakan oleh Microsoft Entra ID harus dapat ditulis. Menggunakan pengontrol domain read-only (RODC) tidak didukung, dan Microsoft Entra Connect tidak mengikuti pengalihan penulisan apa pun.
- Menggunakan hutan atau domain di tempat dengan menggunakan Nama NetBIOS bertitik (nama berisi titik ".") tidak didukung.
- Sebaiknya aktifkan keranjang sampah Direktori Aktif.
Kebijakan Eksekusi PowerShell
Microsoft Entra Connect menjalankan skrip PowerShell yang ditandatangani sebagai bagian dari penginstalan. Pastikan bahwa kebijakan eksekusi PowerShell memungkinkan berjalannya skrip.
Kebijakan eksekusi yang direkomendasikan selama penginstalan adalah "RemoteSigned".
Untuk mengetahui informasi selengkapnya tentang pengaturan kebijakan eksekusi PowerShell, lihat Set-ExecutionPolicy.
Server Microsoft Entra Connect
Server Microsoft Entra Connect berisi data identitas penting. Penting diketahui bahwa akses administratif ke server ini diamankan dengan benar. Ikuti panduan dalam Mengamankan akses dengan hak istimewa.
Server Microsoft Entra Connect harus diperlakukan sebagai komponen Tingkat 0 seperti yang didokumentasikan dalam model tingkat administratif Direktori Aktif. Sebaiknya amankan server Microsoft Entra Connect sebagai aset Jalur Kendali dengan mengikuti panduan yang disediakan dalam Akses Istimewa Aman
Untuk membaca selengkapnya tentang cara mengamankan lingkungan Direktori Aktif Anda, lihat Praktik terbaik untuk mengamankan Direktori Aktif.
Prasyarat penginstalan
- Microsoft Entra Connect harus diinstal pada Windows Server 2016 atau yang lebih baru, dan terhubung ke domain. Sebaiknya gunakan Windows Server 2022 yang bergabung dengan domain. Anda dapat menyebarkan Microsoft Entra Connect di Windows Server 2016. Namun, karena Windows Server 2016 berada dalam dukungan yang diperpanjang, Anda mungkin perlu program dukungan berbayar jika Anda memerlukan dukungan untuk konfigurasi ini.
- Versi .NET Framework minimum yang diperlukan adalah 4.6.2, dan versi .NET yang lebih baru juga didukung. .NET versi 4.8 dan yang lebih tinggi menawarkan kepatuhan aksesibilitas terbaik.
- Microsoft Entra Connect tidak dapat diinstal di Small Business Server atau Windows Server Essentials sebelum 2019 (Windows Server Essentials 2019 didukung). Server harus menggunakan standar Windows Server atau yang lebih baik.
- Server Microsoft Entra Connect harus memiliki GUI lengkap yang terinstal. Menginstal Microsoft Entra Connect di Windows Server Core tidak didukung.
- Server Microsoft Entra Connect tidak boleh mengaktifkan Kebijakan Grup Transkripsi PowerShell jika Anda menggunakan wizard Microsoft Entra Connect untuk mengelola konfigurasi Layanan Federasi Direktori Aktif (AD FS). Anda dapat mengaktifkan transkripsi PowerShell jika Anda menggunakan wizard Microsoft Entra Connect untuk mengelola konfigurasi sinkronisasi.
- Jika AD FS dikerahkan:
- Server tempat AD FS atau Proksi Aplikasi Web dipasang harus dalam versi Windows Server 2012 R2 atau yang lebih baru. Manajemen jarak jauh Windows harus diaktifkan pada server ini untuk penginstalan jarak jauh. Anda mungkin memerlukan program dukungan berbayar jika Anda memerlukan dukungan untuk Windows Server 2016 dan yang lebih lama.
- Anda harus mengonfigurasi sertifikat TLS/SSL. Untuk mengetahui informasi selengkapnya, lihat Mengelola protokol SSL/TLS dan cipher suite untuk AD FS dan Mengelola sertifikat SSL di AD FS.
- Anda harus mengonfigurasi resolusi nama.
- Anda akan memerlukan akun dengan peran administrator global atau akun yang memiliki administrator identitas hibrid
dan peran administrator nama domain . Konfigurasi yang terkait dengan federasi memerlukan izin yang saat ini tidak dimiliki oleh administrator identitas hibrid, tetapi dimiliki oleh peran administrator nama domain.
- Tidak diperbolehkan untuk memutus dan menganalisis lalu lintas antara Microsoft Entra Connect dan ID Microsoft Entra. Melakukannya dapat mengganggu layanan.
- Jika Administrator Identitas Hibrid Anda mengaktifkan MFA, URL
https://secure.aadcdn.microsoftonline-p.com
harus berada di daftar situs tepercaya. Anda diminta untuk menambahkan situs ini ke daftar situs tepercaya ketika Anda diminta untuk tantangan MFA dan situs ini belum ditambahkan. Anda dapat menggunakan Internet Explorer untuk menambahkannya ke situs tepercaya Anda. - Jika Anda berencana menggunakan Microsoft Entra Connect Health untuk sinkronisasi, Anda perlu menggunakan akun Administrator Global untuk menginstal Sinkronisasi Microsoft Entra Connect. Jika Anda menggunakan akun Administrator Identitas Hibrid, agen diinstal tetapi dalam status dinonaktifkan. Untuk informasi selengkapnya, lihat Penginstalan agen Microsoft Entra Connect Health.
Memperkuat server Microsoft Entra Connect Anda
Kami menyarankan agar Anda mengeraskan server Microsoft Entra Connect untuk mengurangi permukaan serangan keamanan untuk komponen penting lingkungan IT Anda ini. Mengikuti rekomendasi ini membantu mengurangi beberapa risiko keamanan bagi organisasi Anda.
- Sebaiknya perkuat server Microsoft Entra Connect sebagai aset Plane Kontrol (sebelumnya Tier 0) dengan mengikuti panduan yang disediakan dalam Akses Istimewa Aman dan model tingkat administratif Direktori Aktif.
- Batasi akses administratif ke server Microsoft Entra Connect hanya untuk administrator domain atau grup keamanan lain yang dikontrol dengan ketat.
- Buat akun khusus untuk semua personel dengan akses hak istimewa. Administrator tidak boleh menjelajahi web, memeriksa email mereka, dan melakukan tugas produktivitas sehari-hari dengan akun hak istimewa yang tinggi.
- Ikuti panduan yang disediakan dalam Mengamankan akses hak istimewa.
- Tolak penggunaan autentikasi NTLM dengan server Microsoft Entra Connect. Berikut adalah beberapa cara untuk melakukan ini: Membatasi NTLM pada Microsoft Entra Connect Server dan Membatasi NTLM pada domain
- Pastikan setiap mesin memiliki kata sandi administrator lokal yang unik. Untuk informasi selengkapnya, lihat Solusi Kata Sandi Administrator Lokal (Windows LAPS) dapat mengonfigurasi kata sandi acak unik di setiap stasiun kerja dan server menyimpannya di Direktori Aktif yang dilindungi oleh ACL. Hanya pengguna resmi yang memenuhi syarat yang dapat membaca atau meminta reset kata sandi akun administrator lokal ini. Panduan tambahan untuk mengoperasikan lingkungan dengan Windows LAPS dan stasiun kerja akses istimewa (PAW) dapat ditemukan dalam Standar operasional berdasarkan prinsip sumber yang bersih.
- Terapkan stasiun kerja akses dengan hak istimewa khusus untuk semua personel dengan akses hak istimewa ke sistem informasi organisasi Anda.
- Ikuti panduan tambahan ini untuk mengurangi permukaan serangan lingkungan Direktori Aktif Anda.
- Ikuti memantau perubahan pada konfigurasi federasi untuk menyiapkan pemberitahuan guna memantau perubahan pada kepercayaan yang ditetapkan antara Idp dan ID Microsoft Entra Anda.
- Aktifkan Autentikasi Multifaktor (MFA) untuk semua pengguna yang memiliki akses istimewa di ID Microsoft Entra atau di AD. Salah satu masalah keamanan dengan menggunakan Microsoft Entra Connect adalah bahwa jika penyerang bisa mendapatkan kontrol atas server Microsoft Entra Connect, mereka dapat memanipulasi pengguna di ID Microsoft Entra. Untuk mencegah penyerang menggunakan kemampuan ini untuk mengambil alih akun Microsoft Entra, MFA menawarkan perlindungan sehingga bahkan jika penyerang berhasil, seperti mengatur ulang kata sandi pengguna menggunakan Microsoft Entra Connect, mereka masih tidak dapat melewati faktor kedua.
- Nonaktifkan Soft Matching pada penyewa Anda. Soft Matching adalah fitur hebat untuk membantu mentransfer sumber otoritas untuk objek yang dikelola cloud yang ada ke Microsoft Entra Connect, tetapi dilengkapi dengan risiko keamanan tertentu. Jika Anda tidak memerlukannya, Anda harus menonaktifkan Soft Matching.
- Nonaktifkan Pengambilalihan Hard Match. Pengambilalihan hard match memungkinkan Microsoft Entra Connect untuk mengambil alih kontrol atas objek yang dikelola cloud dan mengubah sumber kewenangan untuk objek tersebut ke Active Directory. Setelah sumber kewenangan objek diambil alih oleh Microsoft Entra Connect, perubahan yang dilakukan pada objek Active Directory yang ditautkan ke objek Microsoft Entra menggantikan data Microsoft Entra asli, termasuk hash kata sandi, jika Sinkronisasi Hash Kata Sandi diaktifkan. Penyerang dapat menggunakan kemampuan ini untuk mengambil alih kontrol objek yang dikelola cloud. Untuk mengurangi risiko ini, nonaktifkan pengambilalihan hard match.
SQL Server yang digunakan oleh Microsoft Entra Connect
- Microsoft Entra Connect memerlukan database SQL Server untuk menyimpan data identitas. Secara default, SQL Server 2019 Express LocalDB (versi ringan SQL Server Express) diinstal. SQL Server Express memiliki batas ukuran sebesar 10 GB yang memungkinkan Anda mengelola sekitar 100.000 objek. Jika Anda perlu mengelola volume objek direktori yang lebih tinggi, arahkan wizard penginstalan ke penginstalan SQL Server yang berbeda. Jenis penginstalan SQL Server dapat memengaruhi performa Microsoft Entra Connect.
- Jika Anda menggunakan penginstalan SQL Server yang berbeda, persyaratan ini berlaku:
Microsoft Entra Connect mendukung semua versi SQL Server yang didukung mainstream hingga SQL Server 2022 yang berjalan di Windows. Lihat artikel siklus hidup SQL Server untuk memverifikasi status dukungan versi SQL Server Anda. SQL Server 2012 tidak lagi didukung. Azure SQL Database tidak didukung sebagai database. Ini termasuk Azure SQL Database dan Azure SQL Managed Instance.
Anda harus menggunakan kolase SQL yang tidak peka terhadap huruf besar dan kecil. Kolasi ini dikenali dengan _CI_ di dalam namanya. Menggunakan pengurutan peka huruf besar/kecil yang ditandai dengan _CS_ dalam namanya tidak didukung.
Anda hanya dapat memiliki satu mesin sinkronisasi per instans SQL. Berbagi instans SQL dengan MIM Sync, DirSync, atau Sinkronisasi Azure AD tidak didukung.
Pertahankan Driver ODBC untuk SQL Server versi 17 dan Driver OLE DB untuk SQL Server versi 18 yang dibundel dengan Microsoft Entra Connect. Meng-upgrade versi besar atau kecil driver ODBC/OLE DB tidak didukung. Tim grup produk Microsoft Entra Connect menyertakan driver ODBC/OLE DB baru saat tersedia dan memerlukan pembaruan.
Microsoft Entra Connect tidak mendukung protokol SQL Named Pipes.
Nota
Jika Anda menginstal SQL di server yang sama dengan Microsoft Entra Connect, sebaiknya konfigurasikan SQL untuk membatasi memori maksimum yang dapat digunakan dari sistem. Ikuti praktik terbaik SQL untuk konfigurasi memori.
Berbagai Akun
- Anda harus memiliki akun Administrator Global Microsoft Entra atau akun Administrator Identitas Hibrid untuk penyewa Microsoft Entra yang ingin Anda integrasikan. Ini harus berupa akun kerja atau organisasi dan tidak boleh akun Microsoft.
- Jika Anda mengonfigurasi federasi dengan Layanan Federasi Direktori Aktif (AD FS) atau PingFederate, Anda memerlukan akun dengan peran administrator global atau akun yang memiliki peran administrator identitas hibrid dan peran administrator nama domain . Konfigurasi yang terkait dengan federasi memerlukan izin yang saat ini tidak dimiliki oleh administrator identitas hibrid, tetapi dimiliki oleh peran administrator nama domain.
- Jika menggunakan pengaturan ekspres atau peningkatan dari DirSync, Anda harus memiliki akun Administrator Perusahaan untuk Direktori Aktif lokal Anda.
- Jika Anda menggunakan jalur penginstalan pengaturan kustom, Anda memiliki lebih banyak opsi. Untuk mengetahui informasi selengkapnya, lihat Pengaturan penginstalan kustom.
Konektivitas
Server Microsoft Entra Connect memerlukan resolusi DNS untuk intranet dan internet. Server DNS harus dapat memetakan nama ke Active Directory lokal Anda dan endpoint Microsoft Entra.
Microsoft Entra Connect memerlukan konektivitas jaringan ke semua domain yang dikonfigurasi
Microsoft Entra Connect memerlukan konektivitas jaringan ke domain root dari seluruh forest yang telah dikonfigurasi
Jika Anda memiliki firewall di intranet dan Anda perlu membuka port antara server Microsoft Entra Connect dan pengendali domain Anda, lihat port Microsoft Entra Connect untuk informasi selengkapnya.
Jika proksi atau firewall Anda membatasi URL mana yang dapat diakses, URL yang didokumentasikan dalam URL dan rentang alamat IP Office 365 harus dibuka. Lihat juga Daftar URL pusat admin Microsoft Entra sebagai aman di firewall atau server proksi Anda.
- Jika Anda menggunakan cloud Microsoft di Jerman atau Microsoft Azure Government cloud, lihat Pertimbangan instans layanan Microsoft Entra Connect Sync untuk URL.
Microsoft Entra Connect (versi 1.1.614.0 dan setelahnya) secara default menggunakan TLS 1.2 untuk mengenkripsi komunikasi antara mesin sinkronisasi dan ID Microsoft Entra. Jika TLS 1.2 tidak tersedia pada sistem operasi yang mendasar, Microsoft Entra Connect secara bertahap kembali ke protokol yang lebih lama (TLS 1.1 dan TLS 1.0). Dari Microsoft Entra Connect versi 2.0 dan seterusnya. TLS 1.0 dan 1.1 tidak lagi didukung dan penginstalan gagal jika TLS 1.2 tidak diaktifkan.
Jika Anda menggunakan proksi keluar untuk menyambungkan ke internet, pengaturan berikut di file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config harus ditambahkan untuk wizard penginstalan dan Sinkronisasi Microsoft Entra Connect agar dapat tersambung ke internet dan ID Microsoft Entra. Teks ini harus dimasukkan di bagian bawah file. Dalam kode ini, <PROXYADDRESS> mewakili alamat IP proksi atau nama host yang sebenarnya.
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Jika server proksi Anda memerlukan autentikasi, akun layanan harus berada dalam domain. Gunakan jalur penginstalan pengaturan yang disesuaikan untuk menentukan akun layanan kustom. Anda juga memerlukan perubahan yang berbeda untuk machine.config. Dengan perubahan ini dalam machine.config, wizard penginstalan dan mesin sinkronisasi merespons permintaan autentikasi dari server proksi. Di semua halaman wizard penginstalan, tidak termasuk halaman Konfigurasi, info masuk pengguna yang sudah masuk akan digunakan. Pada halaman Konfigurasi di akhir wizard penginstalan, konteksnya dialihkan ke akun layanan yang Anda buat. Bagian machine.config akan terlihat seperti ini:
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Jika konfigurasi proksi sedang dilakukan dalam penyiapan yang ada, layanan Sinkronisasi ID Microsoft Entra perlu dimulai ulang sekali agar Microsoft Entra Connect membaca konfigurasi proksi dan memperbarui perilaku.
Saat Microsoft Entra Connect mengirim permintaan web ke MICROSOFT Entra ID sebagai bagian dari sinkronisasi direktori, ID Microsoft Entra dapat memakan waktu hingga 5 menit untuk merespons. Umumnya, server proxy memiliki konfigurasi batas waktu koneksi yang tidak aktif. Pastikan konfigurasinya diatur ke setidaknya 6 menit atau lebih.
Untuk mengetahui informasi selengkapnya, lihat MSDN tentang elemen proksi default. Untuk mengetahui informasi selengkapnya saat Anda mengalami masalah konektivitas, lihat Memecahkan masalah konektivitas.
Lainnya
Opsional: Gunakan akun pengguna pengujian untuk memverifikasi sinkronisasi.
Prasyarat komponen
PowerShell dan .NET Framework
Microsoft Entra Connect bergantung pada Microsoft PowerShell 5.0 dan .NET Framework 4.5.1. Anda perlu memasang versi ini atau versi yang lebih baru di server Anda.
Mengaktifkan TLS 1.2 untuk Microsoft Entra Connect
- Jika Anda ingin mengaktifkan TLS 1.2 antara server mesin sinkronisasi dan SQL Server jarak jauh, pastikan Anda memiliki versi yang diperlukan yang diinstal untuk dukungan TLS 1.2 untuk Microsoft SQL Server.
Untuk informasi selengkapnya, lihat cara mengaktifkan TLS 1.2
Prasyarat DCOM pada server sinkronisasi
Selama penginstalan layanan sinkronisasi, Microsoft Entra Connect memeriksa keberadaan kunci registri berikut:
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
Di bawah kunci registri ini, Microsoft Entra Connect memeriksa untuk melihat apakah nilai berikut ini ada dan tidak rusak:
Prasyarat untuk penginstalan dan konfigurasi federasi
Penting
Harap dicatat bahwa jika Anda mengonfigurasi federasi dengan AD FS atau PingFederate, Anda akan memerlukan akun dengan peran administrator global atau akun yang memiliki peran administrator identitas hibrid dan serta peran administrator nama domain dan. Konfigurasi yang terkait dengan federasi memerlukan izin yang saat ini tidak dimiliki oleh administrator identitas hibrid, tetapi dimiliki oleh peran administrator nama domain.
Pengelolaan Jarak Jauh Windows
Saat Anda menggunakan Microsoft Entra Connect untuk menyebarkan Layanan Federasi Direktori Aktif atau Proksi Aplikasi Web (WAP), periksa persyaratan berikut:
- Jika server target bergabung dengan domain, pastikan bahwa Windows Remote Management diaktifkan.
- Di jendela perintah PowerShell yang ditinggikan, gunakan perintah
Enable-PSRemoting –force
.
- Di jendela perintah PowerShell yang ditinggikan, gunakan perintah
- Jika server target adalah komputer WAP yang tidak bergabung dengan domain, ada beberapa persyaratan tambahan:
- Pada mesin target (mesin WAP):
- Pastikan layanan Windows Remote Management/WS-Management (WinRM) sedang berjalan melalui snap-in 'Layanan'.
- Di jendela perintah PowerShell yang ditinggikan, gunakan perintah
Enable-PSRemoting –force
.
- Pada mesin tempat wizard berjalan (jika mesin target tidak bergabung dengan domain atau merupakan domain yang tidak tepercaya):
- Di jendela perintah PowerShell yang ditinggikan, gunakan perintah
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate
. - Di manajer server:
- Tambahkan host WAP DMZ ke kumpulan mesin. Di manajer server, pilih Kelola>Tambahkan Server, lalu gunakan tab DNS.
- Pada tab Manajer Server Semua Server, klik kanan server WAP, lalu pilih Kelola Sebagai. Masukkan info masuk lokal (bukan domain) untuk mesin WAP.
- Untuk memvalidasi konektivitas PowerShell jarak jauh, pada tab Manajer Server Semua Server, klik kanan server WAP dan pilih Windows PowerShell. Sesi PowerShell jarak jauh harus terbuka untuk memastikan sesi PowerShell jarak jauh dapat dibuat.
- Di jendela perintah PowerShell yang ditinggikan, gunakan perintah
- Pada mesin target (mesin WAP):
Persyaratan sertifikat TLS/SSL
- Sebaiknya gunakan sertifikat TLS/ SSL yang sama di semua simpul farm AD FS Anda dan semua server Proksi Aplikasi Web.
- Sertifikatnya harus sertifikat X509.
- Anda dapat menggunakan sertifikat yang ditandatangani sendiri di server federasi di lingkungan lab pengujian. Untuk lingkungan produksi, sebaiknya dapatkan sertifikat dari otoritas sertifikat publik.
- Jika Anda menggunakan sertifikat yang tidak tepercaya secara publik, pastikan bahwa sertifikat yang dipasang pada setiap server Proksi Aplikasi Web dipercaya di server lokal dan di semua server federasi.
- Identitas sertifikat harus sesuai dengan nama layanan federasi (misalnya, sts.contoso.com).
- Identitas adalah ekstensi nama alternatif subjek (SAN) dengan tipe dNSName atau, jika tidak ada entri SAN, nama subjek ditentukan sebagai nama baku.
- Beberapa entri SAN dapat ada dalam sertifikat yang disediakan salah satunya cocok dengan nama layanan federasi.
- Jika Anda berencana menggunakan Workplace Join, SAN tambahan diperlukan dengan nilai enterpriseregistration. diikuti dengan akhiran nama utama pengguna (UPN) organisasi Anda, misalnya, enterpriseregistration.contoso.com.
- Sertifikat berdasarkan kunci generasi berikutnya (CNG) CryptoAPI dan penyedia penyimpanan kunci (KSP) tidak didukung. Akibatnya, Anda harus menggunakan sertifikat berdasarkan penyedia layanan kriptografi (CSP) dan bukan KSP.
- Sertifikat wildcard didukung.
Resolusi nama untuk server federasi
- Siapkan rekaman DNS untuk nama AD FS (misalnya, sts.contoso.com) untuk intranet (server DNS internal Anda) dan ekstranet (DNS publik melalui registrar domain Anda). Untuk rekaman DNS intranet, pastikan Anda menggunakan rekaman A dan bukan data CNAME. Menggunakan catatan A diperlukan agar autentikasi Windows bekerja dengan benar dari komputer yang terhubung dengan domain Anda.
- Jika Anda menyebarkan beberapa server AD FS atau server Proksi Aplikasi Web, pastikan Anda telah mengonfigurasi load balancer serta catatan DNS untuk nama AD FS (misalnya, sts.contoso.com) menunjuk ke load balancer.
- Agar autentikasi terintegrasi Windows bekerja untuk aplikasi browser menggunakan Internet Explorer di intranet Anda, pastikan bahwa nama AD FS (misalnya, sts.contoso.com) ditambahkan ke zona intranet di Internet Explorer. Persyaratan ini dapat dikontrol melalui Kebijakan Grup dan disebarkan ke semua komputer yang bergabung dengan domain Anda.
Komponen pendukung Microsoft Entra Connect
Microsoft Entra Connect menginstal komponen berikut di server tempat Microsoft Entra Connect diinstal. Daftar ini untuk penginstalan Express dasar. Jika Anda memilih untuk menggunakan SQL Server yang berbeda pada halaman Memasang layanan sinkronisasi, SQL Express LocalDB tidak dipasang secara lokal.
- Microsoft Entra Connect Health (Layanan Kesehatan Terhubung dari Microsoft Entra)
- Utilitas Baris Perintah Microsoft SQL Server 2022
- Microsoft SQL Server 2022 Express LocalDB
- Klien Asli Microsoft SQL Server 2022
- Paket Redistribusi Microsoft Visual C++ 14
Persyaratan perangkat keras untuk Microsoft Entra Connect
Tabel berikut ini memperlihatkan persyaratan minimum untuk komputer Sinkronisasi Microsoft Entra Connect.
Jumlah objek dalam Direktori Aktif | CPU (Unit Pemrosesan Pusat) | Memori | Ukuran hard drive |
---|---|---|---|
Kurang dari 10.000 | 1,6 GHz | 6 GB | 70 GB |
10.000–50.000 | 1,6 GHz | 6 GB | 70 GB |
50.000–100.000 | 1,6 GHz | 16 GB | 100 GB |
Perlu versi lengkap SQL Server untuk 100.000 objek atau lebih. Menginstal secara lokal lebih disukai untuk performa yang lebih baik. Nilai berikut hanya valid untuk penginstalan Microsoft Entra Connect. Jika SQL Server diinstal pada server yang sama, memori, drive, dan CPU lebih lanjut diperlukan. | |||
100.,000–300.000 | 1,6 GHz | 32 GB | 300 GB |
300.000–600.000 | 1,6 GHz | 32 GB | 450 GB |
Lebih dari 600.000 | 1,6 GHz | 32 GB | 500 GB |
Persyaratan minimum untuk komputer yang menjalankan server AD FS atau Proksi Aplikasi Web adalah:
- CPU: Dual core 1.6 GHz atau lebih tinggi
- Memori: 2 GB atau lebih tinggi
- Azure Mesin Virtual: Konfigurasi A2 atau yang lebih tinggi
Langkah berikutnya
Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.