Microsoft Entra Connect: Akun dan izin
Pelajari tentang akun yang digunakan dan dibuat serta izin yang diperlukan untuk menginstal dan menggunakan Microsoft Entra Connect.
Akun yang digunakan untuk Microsoft Entra Connect
Microsoft Entra Connect menggunakan tiga akun untuk menyinkronkan informasi dari Windows Server Active Directory lokal (Windows Server AD) ke ID Microsoft Entra:
Akun Konektor AD DS: Digunakan untuk membaca dan menulis informasi ke Windows Server AD dengan menggunakan Active Directory Domain Services (AD DS).
Akun layanan Sinkronisasi AAD: Digunakan untuk menjalankan layanan sinkronisasi dan mengakses database SQL Server.
Akun Microsoft Entra Connector: Digunakan untuk menulis informasi ke ID Microsoft Entra.
Anda juga memerlukan akun berikut untuk menginstal Microsoft Entra Connect:
Akun Administrator Lokal: Administrator yang menginstal Microsoft Entra Connect dan yang memiliki izin Administrator lokal di komputer.
Akun Administrator Perusahaan AD DS: Secara opsional digunakan untuk membuat akun Konektor AD DS yang diperlukan.
Akun Administrator Identitas Hibrid Microsoft Entra: Digunakan untuk membuat akun Microsoft Entra Connector dan untuk mengonfigurasi ID Microsoft Entra. Anda dapat melihat Administrator Identitas Hibrid di pusat admin Microsoft Entra. Lihat Mencantumkan penetapan peran Microsoft Entra.
Akun SQL SA (opsional): Digunakan untuk membuat database SINKRONISASI AAD saat Anda menggunakan versi lengkap SQL Server. Instans SQL Server dapat lokal atau jarak jauh ke penginstalan Microsoft Entra Connect. Akun ini bisa menjadi akun yang sama dengan akun Administrator Perusahaan.
Provisi database sekarang dapat dilakukan di luar band oleh administrator SQL Server lalu diinstal oleh administrator Microsoft Entra Connect jika akun memiliki izin pemilik database (DBO). Untuk informasi selengkapnya, lihat Menginstal Microsoft Entra Connect dengan menggunakan izin administrator yang didelegasikan SQL.
Penting
Mulai build 1.4.###.# , Anda tidak lagi dapat menggunakan akun Administrator Perusahaan atau akun Administrator Domain sebagai akun Konektor AD DS. Jika Anda mencoba memasukkan akun yang merupakan Administrator Perusahaan atau Administrator Domain untuk Menggunakan akun yang sudah ada, wizard menampilkan pesan kesalahan dan Anda tidak dapat melanjutkan.
Nota
Anda dapat mengelola akun administratif yang digunakan di Microsoft Entra Connect dengan menggunakan model akses perusahaan. Organisasi dapat menggunakan model akses perusahaan untuk menghosting akun administratif, stasiun kerja, dan grup di lingkungan yang memiliki kontrol keamanan yang lebih kuat daripada lingkungan produksi. Untuk informasi selengkapnya, lihat Model akses perusahaan.
Peran Administrator Identitas Hibrid tidak diperlukan setelah penyiapan awal. Setelah penyiapan, satu-satunya akun yang diperlukan adalah akun peran Akun Sinkronisasi Direktori. Alih-alih menghapus akun yang memiliki peran Administrator Identitas Hibrid, kami sarankan Anda mengubah peran menjadi peran yang memiliki tingkat izin yang lebih rendah. Menghapus akun secara menyeluruh mungkin menimbulkan masalah jika Anda perlu menjalankan wizard lagi. Anda bisa menambahkan izin jika Anda perlu menggunakan wizard Microsoft Entra Connect lagi.
Penginstalan Microsoft Entra Connect
Wizard penginstalan Microsoft Entra Connect menawarkan dua jalur:
- Pengaturan ekspres: Di pengaturan ekspres Microsoft Entra Connect, wizard memerlukan lebih banyak izin sehingga dapat dengan mudah mengonfigurasi penginstalan Anda. Wizard membuat pengguna dan menyiapkan izin sehingga Anda tidak perlu melakukannya.
- Pengaturan kustom: Di pengaturan kustom Microsoft Entra Connect, Anda memiliki lebih banyak pilihan dan opsi dalam wizard. Namun, untuk beberapa skenario, penting untuk memastikan bahwa Anda memiliki izin yang benar sendiri.
Pengaturan ekspres
Di pengaturan ekspres, Anda memasukkan informasi ini di wizard penginstalan:
- Kredensial Administrator Perusahaan AD DS
- Kredensial Administrator Identitas Hibrid Microsoft Entra
Kredensial Administrator Perusahaan AD DS
Akun Administrator Perusahaan AD DS digunakan untuk mengonfigurasi Windows Server AD. Kredensial ini hanya digunakan selama penginstalan. Administrator Perusahaan, bukan Administrator Domain, harus memastikan bahwa izin di Windows Server AD dapat diatur di semua domain.
Jika Anda memutakhirkan dari DirSync, kredensial Administrator Perusahaan AD DS digunakan untuk mereset kata sandi untuk akun yang digunakan DirSync. Kredensial Administrator Identitas Hibrid Microsoft Entra juga diperlukan.
Kredensial Administrator Identitas Hibrid Microsoft Entra
Kredensial untuk akun Administrator Identitas Hibrid Microsoft Entra hanya digunakan selama penginstalan. Akun ini digunakan untuk membuat akun Microsoft Entra Connector yang menyinkronkan perubahan ke ID Microsoft Entra. Akun ini juga mengaktifkan sinkronisasi sebagai fitur di MICROSOFT Entra ID.
Untuk informasi selengkapnya, lihat Administrator Identitas Hibrid.
Akun Konektor AD DS memerlukan izin untuk pengaturan ekspres
Akun Konektor AD DS dibuat untuk membaca dan menulis ke Windows Server AD. Akun memiliki izin berikut saat dibuat selama penginstalan pengaturan ekspres:
| Izin | Digunakan untuk |
|---|---|
| - Mereplikasi Perubahan Direktori - Mereplikasi Perubahan Direktori Semua |
Sinkronisasi hash kata sandi |
| Baca/Tulis semua properti Pengguna | Impor dan Exchange hibrid |
| Baca/Tulis semua properti iNetOrgPerson | Impor dan Exchange hibrid |
| Membaca/Menulis semua properti Grup | Impor dan Exchange hibrid |
| Baca/Tulis semua properti Kontak | Impor dan Exchange hibrid |
| Atur ulang kata sandi | Persiapan untuk mengaktifkan tulis balik kata sandi |
Wizard pengaturan ekspres
Dalam penginstalan pengaturan ekspres, wizard membuat beberapa akun dan pengaturan untuk Anda.
Tabel berikut ini adalah ringkasan halaman wizard pengaturan ekspres, kredensial yang dikumpulkan, dan untuk apa mereka digunakan:
| Halaman panduan | Kredensial yang dikumpulkan | Izin diperlukan | Maksud |
|---|---|---|---|
| N/A | Pengguna yang menjalankan wizard penginstalan. | Administrator server lokal. | Digunakan untuk membuat akun layanan Sinkronisasi AAD yang digunakan untuk menjalankan layanan sinkronisasi. |
| Menyambungkan ke ID Microsoft Entra | Kredensial direktori Microsoft Entra. | Peran Administrator Identitas Hibrid di ID Microsoft Entra. | - Digunakan untuk mengaktifkan sinkronisasi di direktori Microsoft Entra. - Digunakan untuk membuat akun Microsoft Entra Connector yang digunakan untuk operasi sinkronisasi yang sedang berlangsung di ID Microsoft Entra. |
| Menyambungkan ke AD DS | Kredensial Windows Server AD. | Anggota grup Admin Perusahaan di Windows Server AD. | Digunakan untuk membuat akun Ad DS Connector di Windows Server AD dan memberikan izin kepadanya. Akun yang dibuat ini digunakan untuk membaca dan menulis informasi direktori selama sinkronisasi. |
Pengaturan kustom
Dalam penginstalan pengaturan kustom, Anda memiliki lebih banyak pilihan dan opsi dalam wizard.
Wizard pengaturan kustom
Tabel berikut ini adalah ringkasan halaman panduan pengaturan kustom, kredensial yang dikumpulkan, dan untuk apa mereka digunakan:
| Halaman panduan | Kredensial yang dikumpulkan | Izin diperlukan | Maksud |
|---|---|---|---|
| N/A | Pengguna yang menjalankan wizard penginstalan. | - Administrator server lokal. - Jika menggunakan instans SQL Server penuh, pengguna harus Administrator Sistem (sysadmin) di SQL Server. |
Secara default, digunakan untuk membuat akun lokal yang digunakan sebagai akun layanan mesin sinkronisasi. Akun dibuat hanya ketika admin tidak menentukan akun. |
| Menginstal layanan sinkronisasi, opsi akun layanan | Ad Windows Server atau kredensial akun pengguna lokal. | Pengguna dan izin diberikan oleh wizard penginstalan. | Jika admin menentukan akun, akun ini digunakan sebagai akun layanan untuk layanan sinkronisasi. |
| Menyambungkan ke ID Microsoft Entra | Kredensial direktori Microsoft Entra. | Peran Administrator Identitas Hibrid di ID Microsoft Entra. | - Digunakan untuk mengaktifkan sinkronisasi di direktori Microsoft Entra. - Digunakan untuk membuat akun Microsoft Entra Connector yang digunakan untuk operasi sinkronisasi yang sedang berlangsung di ID Microsoft Entra. |
| Menyambungkan direktori Anda | Kredensial Windows Server AD untuk setiap forest yang tersambung ke ID Microsoft Entra. | Izin bergantung pada fitur mana yang Anda aktifkan dan dapat ditemukan di Membuat akun Konektor AD DS. | Akun ini digunakan untuk membaca dan menulis informasi direktori selama sinkronisasi. |
| Server Layanan Federasi Direktori Aktif | Untuk setiap server dalam daftar, wizard mengumpulkan kredensial saat kredensial masuk pengguna yang menjalankan wizard tidak cukup untuk tersambung. | Akun Administrator Domain. | Digunakan selama penginstalan dan konfigurasi peran server Active Directory Federation Services (AD FS). |
| Server proksi aplikasi web | Untuk setiap server dalam daftar, wizard mengumpulkan kredensial saat kredensial masuk pengguna yang menjalankan wizard tidak cukup untuk tersambung. | Admin lokal pada komputer target. | Digunakan selama penginstalan dan konfigurasi peran server proksi aplikasi web (WAP). |
| Kredensial kepercayaan proksi | Kredensial kepercayaan layanan federasi (kredensial yang digunakan proksi untuk mendaftar sertifikat kepercayaan dari layanan federasi (FS)). | Akun domain yang merupakan Administrator Lokal server LAYANAN Federasi Direktori Aktif. | Pendaftaran awal sertifikat kepercayaan FS-WAP. |
| Halaman Akun Layanan Ad FS Gunakan opsi akun pengguna domain | Kredensial akun pengguna Windows Server AD. | Pengguna domain. | Akun pengguna Microsoft Entra yang kredensialnya disediakan digunakan sebagai akun masuk layanan Layanan Federasi Direktori Aktif. |
Membuat akun Konektor AD DS
Penting
Modul PowerShell baru bernama ADSyncConfig.psm1 diperkenalkan dengan build 1.1.880.0 (dirilis pada Agustus 2018). Modul ini menyertakan kumpulan cmdlet yang membantu Anda mengonfigurasi izin Windows Server AD yang benar untuk akun Konektor Microsoft Entra Domain Services.
Untuk informasi selengkapnya, lihat Microsoft Entra Connect: Mengonfigurasi izin akun Konektor AD DS.
Akun yang Anda tentukan pada halaman Sambungkan direktori Anda harus dibuat di Windows Server AD sebagai objek pengguna normal (VSA, MSA, atau gMSA tidak didukung) sebelum penginstalan. Microsoft Entra Connect versi 1.1.524.0 dan yang lebih baru memiliki opsi untuk mengizinkan wizard Microsoft Entra Connect membuat akun Konektor AD DS yang digunakan untuk menyambungkan ke Windows Server AD.
Akun yang Anda tentukan juga harus memiliki izin yang diperlukan. Wizard penginstalan tidak memverifikasi izin, dan masalah apa pun hanya ditemukan selama proses sinkronisasi.
Izin mana yang Anda perlukan tergantung pada fitur opsional yang Anda aktifkan. Jika Anda memiliki beberapa domain, izin harus diberikan untuk semua domain di forest. Jika Anda tidak mengaktifkan salah satu fitur ini, izin Pengguna Domain default sudah cukup.
| Fitur | Izin |
|---|---|
| fitur ms-DS-ConsistencyGuid | Menulis izin ke atribut yang ms-DS-ConsistencyGuid didokumenkan dalam Konsep Desain - Menggunakan ms-DS-ConsistencyGuid sebagai sourceAnchor. |
| Sinkronisasi hash kata sandi | - Mereplikasi Perubahan Direktori - Mereplikasi Perubahan Direktori Semua |
| Penyebaran hibrid Exchange | Tulis izin ke atribut yang didokumenkan dalam tulis balik hibrid Exchange untuk pengguna, grup, dan kontak. |
| Folder Publik Exchange Mail | Membaca izin ke atribut yang didokumenkan di Folder Publik Exchange Mail untuk folder publik. |
| Tulis balik kata sandi | Tulis izin ke atribut yang didokumenkan dalam Memulai manajemen kata sandi untuk pengguna. |
| Tulis balik perangkat | Izin yang diberikan dengan skrip PowerShell seperti yang dijelaskan dalam Tulis balik perangkat. |
| Tulis balik grup | Memungkinkan Anda menulis balik Grup Microsoft 365 ke forest yang telah menginstal Exchange. |
Izin yang diperlukan untuk memutakhirkan
Saat Anda meningkatkan dari satu versi Microsoft Entra Connect ke rilis baru, Anda memerlukan izin berikut:
| Kepala sekolah | Izin diperlukan | Maksud |
|---|---|---|
| Pengguna yang menjalankan wizard penginstalan | Administrator server lokal | Digunakan untuk memperbarui biner. |
| Pengguna yang menjalankan wizard penginstalan | Anggota ADSyncAdmins | Digunakan untuk membuat perubahan pada aturan sinkronisasi dan konfigurasi lainnya. |
| Pengguna yang menjalankan wizard penginstalan | Jika Anda menggunakan instans lengkap SQL Server: DBO (atau serupa) dari database mesin sinkronisasi | Digunakan untuk membuat perubahan tingkat database, seperti memperbarui tabel dengan kolom baru. |
Penting
Dalam build 1.1.484, bug regresi diperkenalkan di Microsoft Entra Connect. Bug memerlukan izin sysadmin untuk meningkatkan database SQL Server. Bug dikoreksi dalam build 1.1.647. Untuk meningkatkan ke build ini, Anda harus memiliki izin sysadmin. Dalam skenario ini, izin DBO tidak cukup. Jika Anda mencoba meningkatkan Microsoft Entra Connect tanpa izin sysadmin, peningkatan gagal dan Microsoft Entra Connect tidak lagi berfungsi dengan benar.
Detail akun yang dibuat
Bagian berikut ini memberi Anda informasi selengkapnya tentang akun yang dibuat di Microsoft Entra Connect.
Akun Konektor AD DS
Jika Anda menggunakan pengaturan ekspres, akun yang digunakan untuk sinkronisasi dibuat di Windows Server AD. Akun yang dibuat terletak di domain akar forest di kontainer Pengguna. Nama akun diawali dengan MSOL_. Akun dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa. Jika Anda memiliki kebijakan kata sandi di domain Anda, pastikan kata sandi yang panjang dan kompleks diizinkan untuk akun ini.
Jika Anda menggunakan pengaturan kustom, Anda bertanggung jawab untuk membuat akun sebelum memulai penginstalan. Lihat Membuat akun Konektor AD DS.
Akun layanan Sinkronisasi AAD
Layanan sinkronisasi dapat berjalan di bawah akun yang berbeda. Ini dapat berjalan di bawah akun layanan virtual (VSA), akun layanan terkelola grup (gMSA), layanan terkelola mandiri (sMSA), atau akun pengguna biasa. Opsi yang didukung diubah dengan rilis Microsoft Entra Connect april 2017 saat Anda melakukan penginstalan baru. Jika Anda meningkatkan dari rilis Microsoft Entra Connect sebelumnya, opsi lain ini tidak tersedia.
| Jenis akun | Opsi penginstalan | Deskripsi |
|---|---|---|
| VSA | Ekspres dan kustom, 2017 April dan yang lebih baru | Opsi ini digunakan untuk semua penginstalan pengaturan ekspres, kecuali untuk penginstalan pada pengendali domain. Untuk pengaturan kustom, ini adalah opsi default. |
| gMSA | Kustom, 2017 April dan yang lebih baru | Jika Anda menggunakan instans jarak jauh SQL Server, kami sarankan Anda menggunakan gMSA. |
| Akun pengguna | Ekspres dan kustom, 2017 April dan yang lebih baru | Akun pengguna yang diawali dengan AAD_ dibuat selama penginstalan hanya ketika Microsoft Entra Connect diinstal pada Windows Server 2008 dan ketika diinstal pada pengendali domain. |
| Akun pengguna | Ekspres dan kustom, 2017 Maret dan yang lebih lama | Akun lokal yang diawali dengan AAD_ dibuat selama penginstalan. Dalam penginstalan kustom, Anda dapat menentukan akun yang berbeda. |
Jika Anda menggunakan Microsoft Entra Connect dengan build dari 2017 Maret atau yang lebih lama, jangan atur ulang kata sandi di akun layanan. Windows menghancurkan kunci enkripsi karena alasan keamanan. Anda tidak dapat mengubah akun ke akun lain tanpa menginstal ulang Microsoft Entra Connect. Jika Anda meningkatkan ke build dari 2017 April atau yang lebih baru, Anda dapat mengubah kata sandi di akun layanan, tetapi Anda tidak dapat mengubah akun yang digunakan.
Penting
Anda hanya dapat mengatur akun layanan pada penginstalan pertama. Anda tidak dapat mengubah akun layanan setelah penginstalan selesai.
Tabel berikut ini menjelaskan opsi default, direkomendasikan, dan didukung untuk akun layanan sinkronisasi.
Legenda:
- Tebal= Opsi default dan, dalam kebanyakan kasus, opsi yang direkomendasikan.
- Miring = Opsi yang disarankan saat bukan opsi default.
- 2008 = Opsi default saat diinstal pada Windows Server 2008
- Non-tebal = Opsi yang didukung
- Akun lokal = Akun pengguna lokal di server
- Akun domain = Akun pengguna domain
- sMSA = akun layanan terkelola mandiri
- gMSA = akun layanan terkelola grup
| Database lokal Express |
Database lokal/SQL Server Lokal Adat |
SQL Server Jarak Jauh Adat |
|
|---|---|---|---|
| komputer yang bergabung dengan domain | VSA Akun lokal (2008) |
VSA Akun lokal (2008) Akun lokal Akun domain sMSA, gMSA |
gMSA Akun domain |
| Pengendali domain | Akun domain | gMSA Akun domain sMSA |
gMSA Akun domain |
VSA
VSA adalah jenis akun khusus yang tidak memiliki kata sandi dan dikelola oleh Windows.
VSA dimaksudkan untuk digunakan dengan skenario di mana mesin sinkronisasi dan SQL Server berada di server yang sama. Jika Anda menggunakan SQL Server jarak jauh, kami sarankan Anda menggunakan gMSA alih-alih VSA.
Fitur VSA memerlukan Windows Server 2008 R2 atau yang lebih baru. Jika Anda menginstal Microsoft Entra Connect di Windows Server 2008, penginstalan akan kembali menggunakan akun pengguna, bukan VSA.
gMSA
Jika Anda menggunakan instans jarak jauh SQL Server, kami sarankan Anda menggunakan gMSA. Untuk informasi selengkapnya tentang cara menyiapkan Windows Server AD untuk gMSA, lihat Ringkasan akun layanan terkelola grup.
Untuk menggunakan opsi ini, pada halaman Instal komponen yang diperlukan, pilih Gunakan akun layanan yang sudah ada, lalu pilih Akun Layanan Terkelola.
Anda juga dapat menggunakan sMSA dalam skenario ini. Namun, Anda hanya dapat menggunakan sMSA di komputer lokal, dan tidak ada manfaat untuk menggunakan sMSA alih-alih VSA default.
Fitur sMSA memerlukan Windows Server 2012 atau yang lebih baru. Jika Anda perlu menggunakan versi sistem operasi yang lebih lama dan menggunakan SQL Server jarak jauh, Anda harus menggunakan akun pengguna.
Akun pengguna
Akun layanan lokal dibuat oleh wizard penginstalan (kecuali Anda menentukan dalam pengaturan kustom yang akan digunakan akun). Akun ini diawali dengan AAD_ dan digunakan untuk menjalankan layanan sinkronisasi aktual. Jika Anda menginstal Microsoft Entra Connect pada pengontrol domain, akun dibuat di domain. Akun layanan AAD_ harus berada di domain jika:
- Anda menggunakan server jarak jauh yang menjalankan SQL Server.
- Anda menggunakan proksi yang memerlukan autentikasi.
Akun layanan AAD_ dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa.
Akun ini digunakan untuk menyimpan kata sandi dengan aman untuk akun lain. Kata sandi disimpan dienkripsi dalam database. Kunci privat untuk kunci enkripsi dilindungi dengan enkripsi kunci rahasia layanan kriptografi dengan menggunakan Windows Data Protection API (DPAPI).
Jika Anda menggunakan instans lengkap SQL Server, akun layanan adalah DBO database yang dibuat untuk mesin sinkronisasi. Layanan tidak akan berfungsi seperti yang dimaksudkan dengan izin lain. Login SQL Server juga dibuat.
Akun ini juga diberikan izin ke file, kunci registri, dan objek lain yang terkait dengan mesin sinkronisasi.
Akun Microsoft Entra Connector
Akun di ID Microsoft Entra dibuat untuk digunakan layanan sinkronisasi. Anda dapat mengidentifikasi akun ini dengan nama tampilannya.
Nama server tempat akun digunakan dapat diidentifikasi di bagian kedua nama pengguna. Pada gambar sebelumnya, nama server adalah DC1. Jika Anda memiliki server penahapan, setiap server memiliki akunnya sendiri.
Akun server dibuat dengan kata sandi panjang dan kompleks yang tidak kedaluwarsa. Akun diberikan peran Akun Sinkronisasi Direktori khusus yang memiliki izin untuk hanya melakukan tugas sinkronisasi direktori. Peran bawaan khusus ini tidak dapat diberikan di luar wizard Microsoft Entra Connect. Pusat admin Microsoft Entra memperlihatkan akun ini dengan peran Pengguna.
ID Microsoft Entra memiliki batas 20 akun layanan sinkronisasi.
Untuk mendapatkan daftar akun layanan Microsoft Entra yang ada di instans Microsoft Entra Anda, jalankan perintah berikut:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesUntuk menghapus akun layanan Microsoft Entra yang tidak digunakan, jalankan perintah berikut:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Nota
Sebelum dapat menggunakan perintah PowerShell ini, Anda harus menginstal modul Microsoft Graph PowerShell dan menyambungkan ke instans ID Microsoft Entra Anda dengan menggunakan Connect-MgGraph.
Untuk informasi selengkapnya tentang cara mengelola atau mengatur ulang kata sandi untuk akun Microsoft Entra Connect, lihat Mengelola akun Microsoft Entra Connect.
Artikel terkait
Untuk informasi selengkapnya tentang Microsoft Entra Connect, lihat artikel berikut ini:
| Topik | Tautan |
|---|---|
| Unduh Microsoft Entra Connect | Unduh Microsoft Entra Connect |
| Instal dengan menggunakan pengaturan ekspres | Penginstalan Ekspres Microsoft Entra Connect |
| Instal dengan menggunakan pengaturan yang dikustomisasi | Penginstalan kustom Microsoft Entra Connect |
| Meningkatkan dari DirSync | Peningkatan dari alat Sinkronisasi Azure AD (DirSync) |
| Setelah penginstalan | Memverifikasi penginstalan dan menetapkan lisensi |
Langkah berikutnya
Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.