Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra Connect usa l'account Microsoft Entra Connector per autenticare e sincronizzare le identità da Active Directory a Microsoft Entra Connect. Questo account usa un nome utente e una password per autenticare le richieste.
Per migliorare la sicurezza del servizio, viene implementata un'identità dell'applicazione che usa il flusso di credenziali client Oauth 2.0 con le credenziali del certificato. In questo nuovo metodo, Microsoft Entra o un amministratore crea un'applicazione non Microsoft a tenant singolo in Microsoft Entra ID e usa una delle opzioni di gestione dei certificati pertinenti seguenti per le credenziali.
Microsoft Entra Connect offre tre opzioni per la gestione delle applicazioni e dei certificati:
- Gestito da Microsoft Entra Connect (scelta consigliata)
- Bring Your Own Application (BYOA)
- Porta il tuo certificato (BYOC)
Gestito da Microsoft Entra Connect (scelta consigliata)
Microsoft Entra Connect gestisce l'applicazione e il certificato, che include la creazione, la rotazione e l'eliminazione del certificato. Il certificato viene archiviato nell'archivio CURRENT_USER . Per una protezione ottimale della chiave privata del certificato, è consigliabile che il computer usi una soluzione TPM (Trusted Platform Module) per stabilire un limite di sicurezza basato su hardware.
Quando è disponibile un TPM, le operazioni chiave del servizio vengono eseguite all'interno di un ambiente hardware dedicato. Al contrario, se non è possibile usare un TPM, Per impostazione predefinita, Microsoft Entra Connect archivia il certificato nel provider di archiviazione chiavi software Microsoft predefinito e contrassegna la chiave privata come non esportabile per una protezione aggiuntiva. Senza l'isolamento hardware fornito da un TPM, solo il software protegge la chiave privata, che non raggiunge lo stesso livello di protezione.
Per altre informazioni sulla tecnologia TPM, vedere Panoramica della tecnologia Trusted Platform Module.
Si consiglia di utilizzare l'opzione di gestione dei certificati di Microsoft Entra Connect, poiché gestiamo le chiavi e ruotiamo automaticamente il certificato alla scadenza. Questo comportamento è l'opzione predefinita nelle versioni di Microsoft Entra Connect Sync uguale o superiore a 2.5.3.0.
Utilizziamo l'attività di manutenzione per verificare se il certificato deve essere rinnovato e quindi rinnovarlo automaticamente. Se l'utilità di pianificazione è sospesa o l'attività di manutenzione è disabilitata, l'autorotazione non può verificarsi anche se Microsoft Entra Connect Sync gestisce il certificato.
Porta la Tua Applicazione
Nella configurazione bring Your Own Application (BYOA) l'amministratore del cliente gestisce l'applicazione usata da Microsoft Entra Connect Sync per eseguire l'autenticazione a Microsoft Entra, le autorizzazioni dell'applicazione e le credenziali del certificato usate dall'applicazione.
L'amministratore registra un'app Microsoft Entra e crea un'entità servizio. L'applicazione richiede le autorizzazioni necessarie assegnate.
L'amministratore è responsabile della creazione del certificato, della rotazione e dell'eliminazione di certificati inutilizzati o scaduti. Il certificato deve essere archiviato nell'archivio LOCAL_MACHINE .
L'amministratore è responsabile della protezione della chiave privata del certificato e garantisce che solo Microsoft Entra Connect Sync possa accedere alla chiave privata per la firma.
Porta il tuo certificato
Nella configurazione Bring Your Own Certificate (BYOC) l'amministratore gestisce le credenziali del certificato usate dall'applicazione. L'amministratore è responsabile della creazione del certificato, della rotazione e dell'eliminazione di certificati inutilizzati o scaduti. Il certificato deve essere archiviato nell'archivio LOCAL_MACHINE .
L'amministratore è responsabile della protezione della chiave privata del certificato e garantisce che solo Microsoft Entra Connect Sync possa accedere alla chiave privata per la firma.
È consigliabile usare un TPM o un modulo di protezione hardware (HSM) per fornire un limite di sicurezza basato su hardware, anziché l'impostazione predefinita. Per controllare lo stato del TPM, usare il cmdlet PowerShell Get-TPM .
Se si usano Hyper-V macchine virtuali ,è possibile abilitare il TPM selezionando Sicurezza>Abilita modulo piattaforma attendibile. È possibile eseguire questo passaggio solo nelle macchine virtuali di seconda generazione. Le macchine virtuali di seconda generazione non possono essere convertite in macchine virtuali di seconda generazione. Per altre informazioni, vedere Impostazioni di sicurezza delle macchine virtuali di seconda generazione per Hyper-V e Abilitare l'avvio attendibile nelle macchine virtuali di Azure Gen2 esistenti.
Prerequisiti
Per implementare l'autenticazione tramite l'identità dell'applicazione, sono necessari i prerequisiti seguenti.
Importante
Le nuove versioni di Microsoft Entra Connect Sync sono disponibili solo tramite l'interfaccia di amministrazione di Microsoft Entra.
In seguito alla comunicazione Novità , le nuove versioni di Microsoft Entra Connect Sync sono disponibili solo nel riquadro Microsoft Entra Connect all'interno dell'interfaccia di amministrazione di Microsoft Entra e non verranno più rilasciate nell'Area download Microsoft.
- Microsoft Entra Connect versione 2.5.3.0 o successiva.
- Account Entra di Microsoft con almeno un ruolo di Amministratore di Identità Ibrida.
- Ambiente Active Directory Domain Services locale con un sistema operativo Windows Server 2016 o versione successiva.
- Facoltativo: TPM 2.0 presente e pronto per l'uso (consigliato per la sicurezza).
Per l'opzione di gestione dei certificati BYOC sono necessari i requisiti aggiuntivi seguenti:
- Un certificato viene creato in un modulo di sicurezza hardware (HSM) o TPM utilizzando un provider di API di crittografia di nuova generazione. La chiave privata è contrassegnata come non esportabile. Se TPM non viene usato, viene generato un evento di avviso 1014. Sono supportate le configurazioni dei certificati seguenti:
-
KeyLength: 2048 -
KeyAlgorithm: RSA -
KeyHashAlgorithm: SHA256
-
- Il certificato creato viene archiviato nell'archivio
LOCAL_MACHINE. - Concedere all'account di sincronizzazione Microsoft Entra Connect l'autorizzazione per eseguire la firma usando la chiave privata.
Per l'opzione di gestione delle applicazioni BYOA sono necessari i requisiti aggiuntivi seguenti:
- Il cliente crea un certificato come indicato nei prerequisiti BYOC precedenti.
- Il cliente registra un'applicazione in Microsoft Entra ID e crea un'entità servizio. Le autorizzazioni necessarie vengono concesse tramite l'API Microsoft Graph.
- Il cliente registra il certificato con l'applicazione.
Installazione e aggiornamento (gestito da Microsoft Entra Connect)
L'applicazione gestita e le credenziali di Microsoft Entra Connect Sync vengono configurate automaticamente durante l'installazione iniziale per le nuove installazioni. Per verificare che Microsoft Entra Connect usi l'identità dell'applicazione, usare il cmdlet Get-ADSyncEntraConnectorCredentialdi PowerShell .
Per gli aggiornamenti, selezionare Configura l'autenticazione basata sull'applicazione per Microsoft Entra ID (Anteprima).
Se non è stata selezionata la casella durante l'aggiornamento, al termine dell'installazione viene visualizzata la raccomandazione seguente.
Se non è stata selezionata la casella durante l'aggiornamento o si vuole passare all'autenticazione basata su applicazioni, usare Attività.
Nel riquadro Attività aggiuntiveselezionare Configura autenticazione basata su applicazione in Microsoft Entra ID (anteprima) e quindi seguire le istruzioni.
Eseguire l'onboarding nell'autenticazione basata su applicazioni usando PowerShell
Questa sezione è rilevante solo se si usano le opzioni BYOC o BYOA. Le versioni di Microsoft Entra Connect precedenti alla 2.5.3.0 usano un nome utente e una password per impostazione predefinita per eseguire l'autenticazione con Microsoft Entra ID. Per eseguire l'onboarding nell'autenticazione basata su applicazioni, un amministratore deve eseguire i passaggi seguenti in una versione di Sincronizzazione Microsoft Entra Connect uguale o successiva a 2.5.3.0.
Annotazioni
Assicurarsi di entrare nel server Microsoft Entra Connect e che sia installato il modulo PowerShell microsoft Entra Connect Sync.
Usare il comando di PowerShell per verificare il metodo di autenticazione corrente.
Get-ADSyncEntraConnectorCredentialQuesto passaggio deve restituire il
ConnectorIdentityTypevalore attualmente in uso.Disabilitare l'utilità di pianificazione per assicurarsi che non vengano eseguiti cicli di sincronizzazione fino al completamento di questa modifica.
Set-ADSyncScheduler -SyncCycleEnabled $falseRegistrare un'applicazione e creare un'entità servizio in Microsoft Entra ID.
Gestito da Microsoft Entra Connect:
Add-EntraApplicationRegistrationUtilizzare BYOC:
Annotazioni
Il certificato
SHA256Hashdeve essere fornito quando si registra l'applicazione. Usare lo script di generazione per generare l'hash.Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Sostituisci
<CertificateSHA256Hash>conCertificateSHA256Hash.Usare BYOA:
Registrare un'app Microsoft Entra e creare un'entità servizio. Prendere nota dell'ID applicazione perché è necessario nella sezione successiva.
Collegare l'applicazione Microsoft Entra a Microsoft Entra Connect Sync usando le credenziali di amministratore.
Gestito da Microsoft Entra Connect:
Add-ADSyncApplicationRegistrationUtilizzare BYOC:
Add-ADSyncApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Usare BYOA:
Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash> –ApplicationAppId <appId>
Sostituire
<CertificateSHA256Hash>conCertificateSHA256Hashe<appId>con l'ID dell'applicazione creata in Microsoft Entra ID.Esegui la verifica per confermare che stai utilizzando l'identità dell'applicazione. Eseguire il cmdlet seguente per ottenere l'autenticazione corrente e assicurarsi che abbia il
ConnectorIdentityTypevalore comeApplication.Get-ADSyncEntraConnectorCredentialRiabilitare l'utilità di pianificazione per avviare il servizio di sincronizzazione usando il cmdlet seguente:
Set-ADSyncScheduler -SyncCycleEnabled $true
Visualizzare il certificato
Per visualizzare le informazioni sul certificato, passare a Attività e quindi selezionare Visualizza o esporta la configurazione corrente. Scorrere verso il basso fino ai dettagli del certificato. Nella tabella seguente vengono fornite informazioni sul certificato.
| Proprietà | Descrizione |
|---|---|
| Certificato gestito da | Indipendentemente dal fatto che Microsoft Entra Connect Sync o BYOC gestisca il certificato. |
| Rotazione automatica abilitata | Se la rotazione automatica o la rotazione manuale è abilitata. |
| Impronta digitale del certificato | Identificatore univoco per il certificato. |
| Hash SHA256 del certificato | Impronta digitale per il certificato generato tramite l'algoritmo hash SHA-256. |
| Nome soggetto | Identifica l'entità associata al certificato. |
| Rilasciato da | Chi è l'emittente del certificato. |
| Numero di serie | Identifica in modo univoco il certificato tra i certificati dallo stesso emittente. |
| Non valido prima | Prima data di validità del certificato. |
| Non valido dopo | Data dell'ultima validità del certificato. |
Rotazione dei certificati su richiesta
Microsoft Entra Connect avvisa se la rotazione del certificato è necessaria. Ovvero, se la scadenza è minore o uguale a 150 giorni. Genera un errore se il certificato è già scaduto. È possibile trovare questi avvisi (ID evento 1011) ed errori (ID evento 1012) nel registro eventi dell'applicazione.
Questo messaggio viene emesso alla frequenza del pianificatore se la manutenzione è abilitata e il pianificatore non è sospeso. Eseguire Get-ADSyncSchedulerSettings per verificare se il pianificatore è sospeso oppure se la manutenzione è abilitata o disabilitata.
Se Microsoft Entra Connect gestisce il certificato, non è necessaria alcuna azione da parte dell'utente, a meno che l'utilità di pianificazione non venga sospesa o la manutenzione non sia disabilitata. Microsoft Entra Connect Sync aggiunge la nuova credenziale del certificato all'applicazione e tenta di rimuovere le credenziali del certificato precedenti. Se non viene rimossa la credenziale del certificato precedente, viene visualizzato un evento di errore nei log applicazioni nel Visualizzatore eventi.
Se viene visualizzato questo errore, eseguire il cmdlet seguente in PowerShell per pulire le credenziali del certificato precedenti da Microsoft Entra. Il cmdlet accetta il CertificateId valore del certificato che deve essere rimosso, che è possibile ottenere dal log o dall'interfaccia di amministrazione di Microsoft Entra.
Remove-EntraApplicationKey -CertificateId <certificateId>
Usare la procedura guidata
Dopo l'abilitazione dell'autenticazione dell'applicazione, viene visualizzata un'altra opzione nel riquadro Attività aggiuntive . L'opzione Ruota certificato applicazione è ora disponibile. A questo punto, è possibile ruotare manualmente il certificato. Si consiglia di utilizzare l'opzione di gestione dei certificati di Microsoft Entra Connect, poiché gestiamo le chiavi e ruotiamo automaticamente il certificato alla scadenza. Questa opzione è l'impostazione predefinita nelle versioni di Microsoft Entra Connect Sync uguale o superiore a 2.5.3.0.
Utilizzare PowerShell
Quando viene visualizzato un avviso da Microsoft Entra Connect Sync quando si usa l'opzione BYOC, è consigliabile generare una nuova chiave e un nuovo certificato e ruotare il certificato usato da Microsoft Entra Connect Sync tramite PowerShell.
Disabilitare l'utilità di pianificazione per assicurarsi che non vengano eseguiti cicli di sincronizzazione fino al completamento di questa modifica. Usare il cmdlet di PowerShell seguente per disabilitare l'utilità di pianificazione:
Set-ADSyncScheduler -SyncCycleEnabled $falseAvviare la rotazione delle credenziali del certificato quando si utilizza l'opzione Gestita di Microsoft Entra (modalità predefinita), ma lo scheduler è sospeso o la manutenzione è disattivata.
Invoke-ADSyncApplicationCredentialRotationIn modalità BYOC è necessario specificare il nuovo certificato
SHA256Hash:Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash <CertificateSHA256Hash>In modalità BYOA è necessario specificare il nuovo certificato
SHA256Hash:Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Sostituire
<CertificateSHA256Hash>con .CertificateSHA256HashVerificare l'autenticazione corrente e confermare che abbia come valore
ConnectorIdentityTypeApplication. Usare il cmdlet di PowerShell seguente per verificare l'autenticazione corrente:Get-ADSyncEntraConnectorCredentialRiabilitare l'utilità di pianificazione per avviare il servizio di sincronizzazione:
Set-ADSyncScheduler -SyncCycleEnabled $trueVerificare che il ciclo di sincronizzazione abbia esito positivo.
Rimuovere il certificato precedente dall'archivio
LOCAL_MACHINEper le opzioni BYOC e BYOA.
È possibile modificare il certificato in qualsiasi momento, anche se non è ancora necessario farlo o se il certificato corrente è scaduto.
Script per generare l'hash SHA256 del certificato
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
# Convert hash to bytes for PowerShell (Core) 7.1+:
$certHash = [System.Convert]::ToHexString($hashBytes)
# Convert hash to bytes for older PowerShell:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Autorizzazione per risorsa
ADSynchronization.ReadWrite.All
| Categoria | Applicazione | Delegato |
|---|---|---|
Identifier |
0b41ed4d-5f52-442b-8952-ea7d90719860 | 0b41ed4d-5f52-442b-8952-ea7d90719860 |
DisplayText |
Leggere, scrivere e gestire la sincronizzazione delle identità con l'ambiente locale tramite Microsoft Entra Connect Sync. | Leggere, scrivere e gestire la sincronizzazione delle identità con l'ambiente locale tramite Microsoft Entra Connect Sync. |
Description |
Consente all'app di leggere, scrivere e gestire i dati di identità sincronizzati con l'ambiente locale tramite Microsoft Entra Connect Sync. | Consente all'app di leggere, scrivere e gestire i dati di identità sincronizzati con l'ambiente locale tramite Microsoft Entra Connect Sync. |
AdminConsentRequired |
Sì. | Sì. |
Autorizzazioni di Microsoft Graph per BYOA
RipristinoPassword.AggiornaCliente.Tutti
| Categoria | Applicazione | Delegato |
|---|---|---|
Identifier |
fc7e8088-95b5-453e-8bef-b17ecfec5ba3 | - |
DisplayText |
Leggere, scrivere e gestire il ritorno dei dati per la reimpostazione della password self-service dell'agente di sincronizzazione Microsoft Entra Connect. | - |
Description |
Consente all'app di aggiornare e ricreare la configurazione locale per la reimpostazione della password self-service Microsoft. | - |
AdminConsentRequired |
Sì. | - |
PasswordWriteback.RegisterClientVersion.All
| Categoria | Applicazione | Delegato |
|---|---|---|
Identifier |
e006e431-a65b-4f3e-8808-77d29d4c5f1a | - |
DisplayText |
Leggere, scrivere e gestire la configurazione della versione client di reimpostazione della password self-service per l'agente di sincronizzazione Microsoft Entra Connect. | - |
Description |
Consente all'app di registrare una versione più recente dell'agente di sincronizzazione Microsoft Entra Connect locale. | - |
AdminConsentRequired |
Sì. | - |
PasswordWriteback.OffboardClient.Tutto
| Categoria | Applicazione | Delegato |
|---|---|---|
Identifier |
69201c67-737b-4a20-8f16-e0c8c64e0b0e | - |
DisplayText |
Leggere, scrivere e gestire la configurazione di disinstallazione/rimozione per la reimpostazione self-service della password dell'agente di sincronizzazione Microsoft Entra Connect. | - |
Description |
Consente all'app di eseguire l'offboarding di una versione dell'agente di sincronizzazione Microsoft Entra Connect locale. | - |
AdminConsentRequired |
Sì. | - |
Processo di revoca dei certificati
Per i certificati autofirmati, sia Microsoft Entra Managed che BYOC, un amministratore deve eseguire la revoca manuale rimuovendo il valore keyCredential da Microsoft Entra ID. Anche una rotazione su richiesta del certificato è un'opzione.
Per i certificati BYOC emessi da un'autorità di certificazione registrata con Microsoft Entra, l'amministratore può seguire il processo di revoca dei certificati.
Rimuovere un account del servizio legacy usando PowerShell
Dopo la transizione all'autenticazione basata su applicazioni e Microsoft Entra Connect Sync funziona come previsto, è consigliabile rimuovere il nome utente e l'account del servizio password DSA legacy usando PowerShell. Se si utilizza un account personalizzato che non può essere rimosso, rimuovi i privilegi e il ruolo DSA da esso.
Segui questi passaggi per rimuovere l'account di servizio obsoleto.
Aggiungere il nome utente e la password dell'account del servizio.
$HACredentialViene richiesto di immettere il valore di amministratore
UserPrincipalNamedi Microsoft Entra e la password. Immettere il nome utente e la password.Aggiungere quindi l'account del servizio.
Remove-ADSyncAADServiceAccount -AADCredential $HACredential -Name <$serviceAccountName>Il valore
ServiceAccountNameè la prima parte del valoreUserPrincipalNamedell'account servizio utilizzato in Microsoft Entra ID. È possibile trovare questo utente nell'elenco degli utenti nell'interfaccia di amministrazione di Microsoft Entra. Se l'UPN èaringdahl@fabrikam.com, usarearingdahlcomeServiceAccountNamevalore.
Eseguire il rollback a un account di servizio legacy utilizzando PowerShell
Se si vuole tornare all'account del servizio legacy, è possibile usare PowerShell per ripristinare l'uso dell'account del servizio per attenuare tempestivamente il problema. Seguire questa procedura per eseguire il rollback all'account del servizio.
Come parte del rollback, è necessario ricreare l'account DSA. L'applicazione di questo nuovo account potrebbe richiedere fino a 15 minuti, pertanto è possibile che venga visualizzato un errore "Accesso negato" quando si riattiva il ciclo di sincronizzazione.
Disabilitare l'utilità di pianificazione per assicurarsi che non vengano eseguiti cicli di sincronizzazione fino al completamento di questa modifica.
Set-ADSyncScheduler -SyncCycleEnabled $falseAggiungere l'account di servizio. Viene richiesto di immettere il valore di amministratore
UserPrincipalNamedi Microsoft Entra e la password. Immettere le credenziali.Add-ADSyncAADServiceAccountOttieni il meccanismo di autenticazione corrente e verifica che il valore di
ConnectorIdentityTypesia tornato aServiceAccount.Get-ADSyncEntraConnectorCredentialRiattivare l'utilità di pianificazione per avviare il servizio di sincronizzazione.
Set-ADSyncScheduler -SyncCycleEnabled $true