Share via


Vereisten voor Microsoft Entra Connect

In dit artikel worden de vereisten en de hardwarevereisten voor Microsoft Entra Connect beschreven.

Voordat u Microsoft Entra Connect installeert

Voordat u Microsoft Entra Connect installeert, zijn er enkele dingen die u nodig hebt.

Microsoft Entra-id

  • U hebt een Microsoft Entra-tenant nodig. U krijgt er een met een gratis proefversie van Azure. U kunt een van de volgende portals gebruiken om Microsoft Entra Connect te beheren:
  • Voeg het domein toe en controleer het domein dat u wilt gebruiken in Microsoft Entra-id. Als u bijvoorbeeld van plan bent contoso.com te gebruiken voor uw gebruikers, moet u ervoor zorgen dat dit domein is geverifieerd en u niet alleen het contoso.onmicrosoft.com standaarddomein gebruikt.
  • Een Microsoft Entra-tenant staat standaard 50.000 objecten toe. Wanneer u uw domein verifieert, wordt de limiet verhoogd tot 300.000 objecten. Als u nog meer objecten in Microsoft Entra ID nodig hebt, opent u een ondersteuningsaanvraag om de limiet nog verder te laten toenemen. Als u meer dan 500.000 objecten nodig hebt, hebt u een licentie nodig, zoals Microsoft 365, Microsoft Entra ID P1 of P2 of Enterprise Mobility + Security.

Uw on-premises gegevens voorbereiden

On-premises Active Directory

  • De active Directory-schemaversie en het functionele forestniveau moeten Windows Server 2003 of hoger zijn. De domeincontrollers kunnen elke versie uitvoeren zolang aan de vereisten op schema- en forestniveau wordt voldaan. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor domeincontrollers met Windows Server 2016 of ouder.
  • De domeincontroller die door Microsoft Entra-id wordt gebruikt, moet beschrijfbaar zijn. Het gebruik van een alleen-lezen domeincontroller (RODC) wordt niet ondersteund en Microsoft Entra Connect volgt geen schrijfomleidingen.
  • On-premises forests of domeinen gebruiken met behulp van 'gestippeld' (naam bevat een punt '.') NetBIOS-namen worden niet ondersteund.
  • U wordt aangeraden de Prullenbak van Active Directory in te schakelen.

PowerShell-uitvoeringsbeleid

Microsoft Entra Connect voert ondertekende PowerShell-scripts uit als onderdeel van de installatie. Zorg ervoor dat het PowerShell-uitvoeringsbeleid het uitvoeren van scripts toestaat.

Het aanbevolen uitvoeringsbeleid tijdens de installatie is RemoteSigned.

Zie Set-ExecutionPolicy voor meer informatie over het instellen van het PowerShell-uitvoeringsbeleid.

Microsoft Entra Connect-server

De Microsoft Entra Connect-server bevat kritieke identiteitsgegevens. Het is belangrijk dat beheerderstoegang tot deze server correct is beveiligd. Volg de richtlijnen in Het beveiligen van bevoegde toegang.

De Microsoft Entra Connect-server moet worden behandeld als een laag 0-onderdeel, zoals beschreven in het Active Directory-beheerlaagmodel. We raden u aan de Microsoft Entra Connect-server te beveiligen als een activum voor besturingsvlak door de richtlijnen in Secure Privileged Access te volgen

Zie De aanbevolen procedures voor het beveiligen van Active Directory voor meer informatie over het beveiligen van uw Active Directory-omgeving.

Installatievereisten

  • Microsoft Entra Connect moet zijn geïnstalleerd op een Windows Server 2016 of hoger die lid is van een domein. U wordt aangeraden Windows Server 2022 te gebruiken die lid zijn van een domein. U kunt Microsoft Entra Connect implementeren op Windows Server 2016, maar omdat Windows Server 2016 uitgebreide ondersteuning heeft, hebt u mogelijk een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor deze configuratie.
  • De minimaal vereiste .NET Framework-versie is 4.6.2 en nieuwere versies van .NET worden ook ondersteund. .NET versie 4.8 en hoger biedt de beste toegankelijkheidscompatibiliteit.
  • Microsoft Entra Connect kan niet worden geïnstalleerd op Small Business Server of Windows Server Essentials voor 2019 (Windows Server Essentials 2019 wordt ondersteund). De server moet gebruikmaken van Windows Server Standard of beter.
  • Op de Microsoft Entra Connect-server moet een volledige GUI zijn geïnstalleerd. Het installeren van Microsoft Entra Connect in Windows Server Core wordt niet ondersteund.
  • Op de Microsoft Entra Connect-server mag powerShell-transcriptiegroepsbeleid niet zijn ingeschakeld als u de Microsoft Entra Connect-wizard gebruikt om ad FS-configuratie (Active Directory Federation Services) te beheren. U kunt PowerShell-transcriptie inschakelen als u de wizard Microsoft Entra Connect gebruikt om de synchronisatieconfiguratie te beheren.
  • Zorg ervoor dat MSOnline PowerShell (MSOL) niet wordt geblokkeerd op tenantniveau.
  • Als AD FS wordt geïmplementeerd:
    • De servers waarop AD FS of Web toepassingsproxy zijn geïnstalleerd, moeten Windows Server 2012 R2 of hoger zijn. Extern beheer van Windows moet zijn ingeschakeld op deze servers voor externe installatie. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor Windows Server 2016 en ouder.
    • U moet TLS/SSL-certificaten configureren. Zie Ssl/TLS-protocollen en coderingssuites voor AD FS beheren en SSL-certificaten beheren in AD FS voor meer informatie.
    • U moet naamomzetting configureren.
  • Het wordt niet ondersteund om verkeer tussen Microsoft Entra Connect en Microsoft Entra ID te verbreken en te analyseren. Als u dit doet, kan de service worden onderbroken.
  • Als MFA is ingeschakeld voor uw hybride identiteitsbeheerders, moet de URL https://secure.aadcdn.microsoftonline-p.com in de lijst met vertrouwde sites staan. U wordt gevraagd deze site toe te voegen aan de lijst met vertrouwde sites wanneer u wordt gevraagd om een MFA-uitdaging en deze nog niet eerder is toegevoegd. U kunt Internet Explorer gebruiken om deze toe te voegen aan uw vertrouwde sites.
  • Als u Microsoft Entra Connect Health wilt gebruiken voor synchronisatie, moet u een globale beheerdersaccount gebruiken om Microsoft Entra Connect Sync te installeren. Als u een hybride beheerdersaccount gebruikt, wordt de agent geïnstalleerd, maar heeft deze de status Uitgeschakeld. Zie De installatie van de Microsoft Entra Connect Health-agent voor meer informatie.

Uw Microsoft Entra Connect-server beveiligen

U wordt aangeraden uw Microsoft Entra Connect-server te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.

  • U wordt aangeraden de Microsoft Entra Connect-server te beveiligen als een Besturingsvlakasset (voorheen Laag 0) door de richtlijnen te volgen in het model secure privileged Access en Active Directory-beheerlaag.
  • Beperk beheerderstoegang tot de Microsoft Entra Connect-server tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
  • Maak een toegewezen account voor alle medewerkers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
  • Volg de richtlijnen in Het beveiligen van bevoegde toegang.
  • Gebruik van NTLM-verificatie weigeren met de Microsoft Entra Connect-server. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra Connect-server en NTLM beperken in een domein
  • Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) voor meer informatie over het configureren van unieke willekeurige wachtwoorden op elk werkstation en de server slaat deze op in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in operationele standaarden op basis van het schone bronprincipe.
  • Implementeer toegewezen bevoegde toegangswerkstations voor alle medewerkers met uitgebreide toegang tot de informatiesystemen van uw organisatie.
  • Volg deze aanvullende richtlijnen om het kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
  • Volg de wijzigingen in de federatieconfiguratie controleren om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw Idp en Microsoft Entra-id.
  • Schakel Meervoudige verificatie (MFA) in voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van Microsoft Entra Connect is dat als een aanvaller controle kan krijgen over de Microsoft Entra Connect-server, gebruikers in Microsoft Entra ID kan manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA beveiliging, zodat zelfs als een aanvaller dit beheert, zoals het opnieuw instellen van het wachtwoord van een gebruiker met Behulp van Microsoft Entra Connect, ze de tweede factor nog steeds niet kunnen omzeilen.
  • Schakel Soft Matching in uw tenant uit. Soft Matching is een uitstekende functie voor het overdragen van de bron van autoriteit voor bestaande in de cloud beheerde objecten naar Microsoft Entra Connect, maar het wordt geleverd met bepaalde beveiligingsrisico's. Als u deze niet nodig hebt, moet u Soft Matching uitschakelen.
  • Schakel de overname van harde overeenkomsten uit. Met de overname van harde overeenkomsten kan Microsoft Entra Connect de controle overnemen over een door de cloud beheerd object en de bron van autoriteit voor het object wijzigen in Active Directory. Zodra de bron van autoriteit van een object wordt overgenomen door Microsoft Entra Connect, worden wijzigingen aangebracht in het Active Directory-object dat is gekoppeld aan het Microsoft Entra-object de oorspronkelijke Microsoft Entra-gegevens overschreven, inclusief de wachtwoord-hash, als Wachtwoord-hashsynchronisatie is ingeschakeld. Een aanvaller kan deze mogelijkheid gebruiken om de controle over door de cloud beheerde objecten over te nemen. Als u dit risico wilt beperken, schakelt u de overname van harde overeenkomsten uit.

SQL Server die wordt gebruikt door Microsoft Entra Connect

  • Microsoft Entra Connect vereist een SQL Server-database om identiteitsgegevens op te slaan. Standaard is een SQL Server 2019 Express LocalDB (een light-versie van SQL Server Express) geïnstalleerd. SQL Server Express heeft een limiet van 10 GB waarmee u ongeveer 100.000 objecten kunt beheren. Als u een hoger volume mapobjecten wilt beheren, wijst u de installatiewizard aan op een andere installatie van SQL Server. Het type SQL Server-installatie kan van invloed zijn op de prestaties van Microsoft Entra Connect.
  • Als u een andere installatie van SQL Server gebruikt, zijn deze vereisten van toepassing:
    • Microsoft Entra Connect ondersteunt alle gangbare ondersteunde SQL Server-versies tot EN MET SQL Server 2022 die worden uitgevoerd in Windows. Raadpleeg het artikel over de levenscyclus van SQL Server om de ondersteuningsstatus van uw SQL Server-versie te controleren. SQL Server 2012 wordt niet meer ondersteund. Azure SQL Database wordt niet ondersteund als een database. Dit omvat zowel Azure SQL Database als Azure SQL Managed Instance.
    • U moet een niet-hoofdlettergevoelige SQL-sortering gebruiken. Deze sorteringen worden geïdentificeerd met een _CI_ in hun naam. Het gebruik van een hoofdlettergevoelige sortering die wordt geïdentificeerd door _CS_ in de naam , wordt niet ondersteund.
    • U kunt slechts één synchronisatie-engine per SQL-exemplaar hebben. Het delen van een SQL-exemplaar met MIM Sync, DirSync of Azure AD Sync wordt niet ondersteund.
    • ONDERHOUD ODBC-stuurprogramma voor SQL Server versie 17 en OLE DB-stuurprogramma voor SQL Server versie 18 die zijn gebundeld met Microsoft Entra Connect. Het upgraden van de primaire of secundaire versie van ODBC-/OLE DB-stuurprogramma's wordt niet ondersteund. Het microsoft Entra Connect-productgroepteam bevat nieuwe ODBC-/OLE DB-stuurprogramma's wanneer deze beschikbaar komen en moeten worden bijgewerkt.

Rekeningen

  • U moet een Microsoft Entra Global Administrator-account of hybride identiteitsbeheerderaccount hebben voor de Microsoft Entra-tenant waarmee u wilt integreren. Dit account moet een school- of organisatieaccount zijn en kan geen Microsoft-account zijn.
  • Als u snelle instellingen gebruikt of een upgrade uitvoert vanuit DirSync, moet u een Enterprise Administrator-account hebben voor uw on-premises Active Directory.
  • Als u het installatiepad voor aangepaste instellingen gebruikt, hebt u meer opties. Zie Aangepaste installatie-instellingen voor meer informatie.

Connectiviteit

  • De Microsoft Entra Connect-server heeft DNS-omzetting nodig voor zowel intranet als internet. De DNS-server moet namen kunnen omzetten in zowel uw on-premises Active Directory als de Microsoft Entra-eindpunten.
  • Microsoft Entra Connect vereist netwerkconnectiviteit met alle geconfigureerde domeinen
  • Microsoft Entra Connect vereist netwerkconnectiviteit met het hoofddomein van alle geconfigureerde forests
  • Als u firewalls op uw intranet hebt en u poorten tussen de Microsoft Entra Connect-servers en uw domeincontrollers moet openen, raadpleegt u Microsoft Entra Connect-poorten voor meer informatie.
  • Als uw proxy of firewall beperkt welke URL's kunnen worden geopend, moeten de URL's in Office 365-URL's en IP-adresbereiken worden geopend. Zie ook safelist de URL's van het Microsoft Entra-beheercentrum op uw firewall of proxyserver.
  • Microsoft Entra Connect (versie 1.1.614.0 en later) maakt standaard gebruik van TLS 1.2 voor het versleutelen van de communicatie tussen de synchronisatie-engine en de Microsoft Entra-id. Als TLS 1.2 niet beschikbaar is op het onderliggende besturingssysteem, valt Microsoft Entra Connect incrementeel terug op oudere protocollen (TLS 1.1 en TLS 1.0). Vanaf Microsoft Entra Connect versie 2.0. TLS 1.0 en 1.1 worden niet meer ondersteund en de installatie mislukt als TLS 1.2 niet is ingeschakeld.
  • Vóór versie 1.1.614.0 gebruikt Microsoft Entra Connect standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engine en de Microsoft Entra-id. Als u wilt overschakelen naar TLS 1.2, volgt u de stappen in TLS 1.2 inschakelen voor Microsoft Entra Connect.

Belangrijk

Versie 2.3.20.0 is een beveiligingsupdate. Met deze update vereist Microsoft Entra Connect TLS 1.2. Zorg ervoor dat TLS 1.2 is ingeschakeld voordat u deze versie bijwerkt.

Alle versies van Windows Server ondersteunen TLS 1.2. Als TLS 1.2 niet is ingeschakeld op uw server, moet u dit inschakelen voordat u Microsoft Entra Connect V2.0 kunt implementeren.

Zie PowerShell-script om te controleren of TLS 1.2 is ingeschakeld voor een PowerShell-script om TLS te controleren

Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2. Zie voor meer informatie over het inschakelen van TLS 1.2 hoe u TLS 1.2 inschakelt

  • Als u een uitgaande proxy gebruikt om verbinding te maken met internet, moet de volgende instelling in de C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config-bestand worden toegevoegd voor de installatiewizard en Microsoft Entra Connect Sync om verbinding te kunnen maken met internet en Microsoft Entra ID. Deze tekst moet onder aan het bestand worden ingevoerd. In deze code <vertegenwoordigt PROXYADDRESS> het werkelijke IP-adres van de proxy of hostnaam.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Als voor uw proxyserver verificatie is vereist, moet het serviceaccount zich in het domein bevinden. Gebruik het installatiepad voor aangepaste instellingen om een aangepast serviceaccount op te geven. U hebt ook een andere wijziging nodig in machine.config. Met deze wijziging in machine.config reageren de installatiewizard en synchronisatie-engine op verificatieaanvragen van de proxyserver. Op alle installatiewizardpagina's, met uitzondering van de pagina Configureren , worden de referenties van de aangemelde gebruiker gebruikt. Op de pagina Configureren aan het einde van de installatiewizard wordt de context overgeschakeld naar het serviceaccount dat u hebt gemaakt. De sectie machine.config moet er als volgt uitzien:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Als de proxyconfiguratie wordt uitgevoerd in een bestaande installatie, moet de Microsoft Entra ID Sync-service eenmaal opnieuw worden opgestart voor de Microsoft Entra Connect om de proxyconfiguratie te lezen en het gedrag bij te werken.

  • Wanneer Microsoft Entra Connect een webaanvraag naar Microsoft Entra ID verzendt als onderdeel van adreslijstsynchronisatie, kan het tot vijf minuten duren voordat Microsoft Entra ID reageert. Het is gebruikelijk dat proxyservers een time-outconfiguratie voor verbinding inactief hebben. Zorg ervoor dat de configuratie is ingesteld op ten minste 6 minuten of langer.

Zie MSDN over het standaardproxy-element voor meer informatie. Zie Verbindingsproblemen oplossen voor meer informatie wanneer u problemen ondervindt met de connectiviteit.

Ander

Optioneel: Gebruik een testgebruikersaccount om synchronisatie te verifiëren.

Onderdelenvereisten

PowerShell en .NET Framework

Microsoft Entra Connect is afhankelijk van Microsoft PowerShell 5.0 en .NET Framework 4.5.1. U hebt deze versie of een latere versie op uw server nodig.

TLS 1.2 inschakelen voor Microsoft Entra Connect

Belangrijk

Versie 2.3.20.0 is een beveiligingsupdate. Met deze update vereist Microsoft Entra Connect TLS 1.2. Zorg ervoor dat TLS 1.2 is ingeschakeld voordat u deze versie bijwerkt.

Alle versies van Windows Server ondersteunen TLS 1.2. Als TLS 1.2 niet is ingeschakeld op uw server, moet u dit inschakelen voordat u Microsoft Entra Connect V2.0 kunt implementeren.

Zie PowerShell-script om te controleren of TLS 1.2 is ingeschakeld voor een PowerShell-script om TLS te controleren

Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2. Zie voor meer informatie over het inschakelen van TLS 1.2 hoe u TLS 1.2 inschakelt

Vóór versie 1.1.614.0 gebruikt Microsoft Entra Connect standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engineserver en Microsoft Entra-id. U kunt .NET-toepassingen configureren voor het gebruik van TLS 1.2 standaard op de server. Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2.

  1. Zorg ervoor dat de hotfix voor .NET 4.5.1 is geïnstalleerd voor uw besturingssysteem. Zie Microsoft Security Advisory 2960358 voor meer informatie. Mogelijk hebt u deze hotfix of een latere release al op uw server geïnstalleerd.

  2. Stel voor alle besturingssystemen deze registersleutel in en start de server opnieuw op.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Als u TLS 1.2 ook wilt inschakelen tussen de synchronisatie-engineserver en een externe SQL Server, moet u ervoor zorgen dat de vereiste versies zijn geïnstalleerd voor TLS 1.2-ondersteuning voor Microsoft SQL Server.

Zie voor meer informatie over het inschakelen van TLS 1.2

DCOM-vereisten op de synchronisatieserver

Tijdens de installatie van de synchronisatieservice controleert Microsoft Entra Connect op de aanwezigheid van de volgende registersleutel:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Onder deze registersleutel controleert Microsoft Entra Connect of de volgende waarden aanwezig zijn en niet zijn ondergebroken:

Vereisten voor federatie-installatie en -configuratie

Windows Remote Management

Wanneer u Microsoft Entra Connect gebruikt om AD FS of het Web toepassingsproxy (WAP) te implementeren, controleert u de volgende vereisten:

  • Als de doelserver lid is van een domein, controleert u of Windows Remote Managed is ingeschakeld.
    • Gebruik de opdracht Enable-PSRemoting –forcein een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
  • Als de doelserver een niet aan een domein gekoppelde WAP-machine is, zijn er enkele aanvullende vereisten:
    • Op de doelcomputer (WAP-machine):
      • Zorg ervoor dat de WinRM-service (Windows Remote Management/WS-Management) wordt uitgevoerd via de module Services.
      • Gebruik de opdracht Enable-PSRemoting –forcein een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
    • Op de computer waarop de wizard wordt uitgevoerd (als de doelcomputer niet lid is van een domein of een niet-vertrouwd domein is):
      • Gebruik de opdracht Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenatein een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
      • In serverbeheer:
        • Voeg een DMZ WAP-host toe aan een computergroep. Selecteer Servers toevoegen beheren> in serverbeheer en gebruik vervolgens het tabblad DNS.
        • Klik op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteer Beheren als. Voer lokale referenties (niet domein) in voor de WAP-computer.
        • Als u externe PowerShell-connectiviteit wilt valideren, klikt u op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteert u Windows PowerShell. Er moet een externe PowerShell-sessie worden geopend om ervoor te zorgen dat externe PowerShell-sessies tot stand kunnen worden gebracht.

Vereisten voor TLS/SSL-certificaten

  • We raden u aan hetzelfde TLS/SSL-certificaat te gebruiken op alle knooppunten van uw AD FS-farm en alle web-toepassingsproxy-servers.
  • Het certificaat moet een X509-certificaat zijn.
  • U kunt een zelfondertekend certificaat gebruiken op federatieservers in een testomgeving. Voor een productieomgeving raden we u aan het certificaat van een openbare certificeringsinstantie te verkrijgen.
    • Als u een certificaat gebruikt dat niet openbaar wordt vertrouwd, controleert u of het certificaat dat op elke web-toepassingsproxy-server is geïnstalleerd, wordt vertrouwd op zowel de lokale server als op alle federatieservers.
  • De identiteit van het certificaat moet overeenkomen met de naam van de federation-service (bijvoorbeeld sts.contoso.com).
    • De identiteit is een san-extensie (subject alternative name) van het type dNSName of als er geen SAN-vermeldingen zijn, wordt de onderwerpnaam opgegeven als een algemene naam.
    • Er kunnen meerdere SAN-vermeldingen aanwezig zijn in het certificaat, mits een van deze vermeldingen overeenkomt met de naam van de federation-service.
    • Als u van plan bent Workplace Join te gebruiken, is een extra SAN vereist met de waarde enterpriseregistration. Gevolgd door het UPN-achtervoegsel (User Principal Name) van uw organisatie, bijvoorbeeld enterpriseregistration.contoso.com.
  • Certificaten op basis van CNG-sleutels (CryptoAPI next-generation) en sleutelopslagproviders (KSP's) worden niet ondersteund. Als gevolg hiervan moet u een certificaat gebruiken op basis van een cryptografische serviceprovider (CSP) en niet een KSP.
  • Certificaten met jokertekens worden ondersteund.

Naamomzetting voor federatieservers

  • Stel DNS-records in voor de AD FS-naam (bijvoorbeeld sts.contoso.com) voor zowel het intranet (uw interne DNS-server) als het extranet (openbare DNS via uw domeinregistrar). Voor de intranet-DNS-record moet u ervoor zorgen dat u A-records en niet CNAME-records gebruikt. Het gebruik van A-records is vereist voor Windows-verificatie om correct te kunnen werken vanaf uw computer die lid is van een domein.
  • Als u meer dan één AD FS-server of web-toepassingsproxy-server implementeert, moet u ervoor zorgen dat u de load balancer hebt geconfigureerd en dat de DNS-records voor de AD FS-naam (bijvoorbeeld sts.contoso.com) verwijzen naar de load balancer.
  • Zorg ervoor dat de AD FS-naam (bijvoorbeeld sts.contoso.com) wordt toegevoegd aan de intranetzone in Internet Explorer om geïntegreerde Windows-verificatie te laten werken voor browsertoepassingen die Internet Explorer gebruiken. Deze vereiste kan worden beheerd via Groepsbeleid en geïmplementeerd op al uw computers die lid zijn van een domein.

Ondersteunende onderdelen van Microsoft Entra Connect

Microsoft Entra Connect installeert de volgende onderdelen op de server waarop Microsoft Entra Connect is geïnstalleerd. Deze lijst is bedoeld voor een eenvoudige Express-installatie. Als u ervoor kiest om een andere SQL Server te gebruiken op de pagina Synchronisatieservices installeren, wordt SQL Express LocalDB niet lokaal geïnstalleerd.

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 Opdrachtregelprogramma's
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Microsoft Visual C++ 14 Herdistributiepakket

Hardwarevereisten voor Microsoft Entra Connect

In de volgende tabel ziet u de minimale vereisten voor de Microsoft Entra Connect Sync-computer.

Aantal objecten in Active Directory CPU Geheugen Grootte van harde schijf
Minder dan 10.000 1,6 GHz 6 GB 70 GB
10,000–50,000 1,6 GHz 6 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
Voor 100.000 of meer objecten is de volledige versie van SQL Server vereist. Om prestatieredenen heeft het installeren van lokaal de voorkeur. De volgende waarden zijn alleen geldig voor de installatie van Microsoft Entra Connect. Als SQL Server op dezelfde server wordt geïnstalleerd, is meer geheugen, station en CPU vereist.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Meer dan 600.000 1,6 GHz 32 GB 500 GB

De minimale vereisten voor computers met AD FS of Web toepassingsproxy-servers zijn:

  • CPU: Dual Core 1,6 GHz of hoger
  • Geheugen: 2 GB of hoger
  • Azure VM: A2-configuratie of hoger

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.