Vereisten voor Microsoft Entra Cloud Sync
Dit artikel bevat richtlijnen voor het gebruik van Microsoft Entra Cloud Sync als uw identiteitsoplossing.
Vereisten voor cloudinrichtingsagent
U hebt het volgende nodig om Microsoft Entra Cloud Sync te gebruiken:
- Domeinbeheerder- of ondernemingsbeheerdersreferenties voor het maken van de Microsoft Entra Connect-cloudsynchronisatie gMSA (groepsbeheerserviceaccount) om de agentservice uit te voeren.
- Een beheerdersaccount voor hybride identiteit voor uw Microsoft Entra-tenant die geen gastgebruiker is.
- Een on-premises server voor de inrichtingsagent met Windows 2016 of hoger. Deze server moet een server op laag 0 zijn op basis van het active Directory-beheerlaagmodel. Het installeren van de agent op een domeincontroller wordt ondersteund. Zie Uw Microsoft Entra-inrichtingsagentserver beveiligen voor meer informatie
- Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
- Hoge beschikbaarheid verwijst naar de mogelijkheid van Microsoft Entra Cloud Sync om continu zonder fouten gedurende lange tijd te werken. Door meerdere actieve agents te installeren en uit te voeren, kan Microsoft Entra Cloud Sync blijven functioneren, zelfs als één agent zou moeten mislukken. Microsoft raadt aan drie actieve agents te installeren voor hoge beschikbaarheid.
- On-premises firewallconfiguraties.
Uw Microsoft Entra-inrichtingsagentserver beveiligen
U wordt aangeraden uw Microsoft Entra-inrichtingsagentserver te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.
- We raden u aan om de Microsoft Entra-inrichtingsagentserver te beveiligen als een Besturingsvlak-asset (voorheen Laag 0) door de richtlijnen te volgen in het model secure privileged Access en Active Directory-beheerlaag.
- Beperk beheerderstoegang tot de Microsoft Entra-inrichtingsagentserver tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
- Maak een toegewezen account voor alle medewerkers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
- Volg de richtlijnen in Het beveiligen van bevoegde toegang.
- Gebruik van NTLM-verificatie weigeren met de Microsoft Entra-inrichtingsagentserver. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra-inrichtingsagentserver en NTLM beperken in een domein
- Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) voor meer informatie over het configureren van unieke willekeurige wachtwoorden op elk werkstation en de server slaat deze op in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in operationele standaarden op basis van het schone bronprincipe.
- Implementeer toegewezen bevoegde toegangswerkstations voor alle medewerkers met uitgebreide toegang tot de informatiesystemen van uw organisatie.
- Volg deze aanvullende richtlijnen om het kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
- Volg de wijzigingen in de federatieconfiguratie controleren om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw Idp en Microsoft Entra-id.
- Schakel Multi Factor Authentication (MFA) in voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van de Microsoft Entra-inrichtingsagent is dat als een aanvaller controle kan krijgen over de Microsoft Entra-inrichtingsagentserver, gebruikers in Microsoft Entra-id kunnen manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA beveiliging, zodat zelfs als een aanvaller dit beheert, zoals het opnieuw instellen van het wachtwoord van een gebruiker met behulp van de Microsoft Entra-inrichtingsagent, ze de tweede factor nog steeds niet kunnen omzeilen.
Beheerde serviceaccounts groeperen
Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) biedt, de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit ook uitbreidt via meerdere servers. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. U wordt tijdens de installatie gevraagd om beheerdersreferenties om dit account te maken. Het account wordt weergegeven als domain\provAgentgMSA$
. Zie Beheerde serviceaccounts voor groepen voor meer informatie over een gMSA.
Vereisten voor gMSA
- Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
- PowerShell RSAT-modules op een domeincontroller.
- Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
- Een server die lid is van een domein waarop de agent wordt geïnstalleerd, moet Windows Server 2016 of hoger zijn.
Aangepast gMSA-account
Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.
Type | Naam | Toegang | Van toepassing op |
---|---|---|---|
Toestaan | gMSA-account | Alle eigenschappen lezen | Onderliggende apparaatobjecten |
Toestaan | gMSA-account | Alle eigenschappen lezen | Onderliggende InetOrgPerson-objecten |
Toestaan | gMSA-account | Alle eigenschappen lezen | Onderliggende computerobjecten |
Toestaan | gMSA-account | Alle eigenschappen lezen | Afstammeling foreignSecurityPrincipal-objecten |
Toestaan | gMSA-account | Volledig beheer | Onderliggende groepsobjecten |
Toestaan | gMSA-account | Alle eigenschappen lezen | Onderliggende gebruikersobjecten |
Toestaan | gMSA-account | Alle eigenschappen lezen | Onderliggende contactobjecten |
Toestaan | gMSA-account | Gebruikersobjecten maken/verwijderen | Dit object en alle onderliggende objecten |
Zie beheerde serviceaccounts voor groepen voor stappen voor het upgraden van een bestaande agent voor het gebruik van een gMSA-account.
Zie overzicht van beheerde serviceaccounts voor groepen en beheerde serviceaccounts met cloudsynchronisatie voor meer informatie over het voorbereiden van uw Active Directory voor een beheerd serviceaccount voor groepen.
In het Microsoft Entra-beheercentrum
- Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet beschikbaar zijn. Meer informatie over het toevoegen van een hybride identiteitsbeheerdersaccount in de cloud. Het voltooien van deze stap is essentieel om ervoor te zorgen dat uw tenant niet wordt vergrendeld.
- Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.
In uw directory in Active Directory
Voer het hulpprogramma IdFix uit om de adreslijstkenmerken voor te bereiden voor synchronisatie.
In uw on-premises omgeving
- Identificeer een hostserver die lid is van een domein waarop Windows Server 2016 of hoger wordt uitgevoerd, met minimaal 4 GB RAM en .NET 4.7.1+ runtime.
- Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.
- Zie firewall- en proxyvereisten als er een firewall is tussen uw servers en Microsoft Entra ID.
Notitie
Het installeren van de agent voor cloudinrichting in Windows Server Core wordt niet ondersteund.
Microsoft Entra-id inrichten voor Active Directory - Vereisten
De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.
Licentievereisten
Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken om de juiste licentie voor uw vereisten te vinden.
Algemene vereisten
- Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
- On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
- Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
- Inrichtingsagent met buildversie 1.1.1370.0 of hoger.
Notitie
De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.
Deze machtigingen worden niet toegepast op AdminSDHolder-objecten standaard microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets
- De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
- Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
- Microsoft Entra Connect Sync met buildversie 2.2.8.0 of hoger
- Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
- Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier
Ondersteunde groepen en schaallimieten
Het volgende wordt ondersteund:
- Alleen cloudbeveiligingsgroepen worden ondersteund
- Deze groepen kunnen toegewezen of dynamische lidmaatschapsgroepen hebben.
- Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
- De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
- Deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
- Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
- Tenants met meer dan 150.000 objecten worden niet ondersteund. Wat betekent dat als een tenant een combinatie van gebruikers en groepen heeft die groter zijn dan 150.000 objecten, de tenant niet wordt ondersteund.
- Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
- Afstemming van groepen tussen Microsoft Entra-id en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.
Aanvullende informatie
Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.
- Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
- Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
- De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
- Een on-premises gebruikersobjectGUID-kenmerk aan een onPremisesObjectIdentifier-kenmerk kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Connect Sync (2.2.8.0)
- Als u Microsoft Entra Connect Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en inrichting voor AD wilt gebruiken, moet dit 2.2.8.0 of hoger zijn.
- Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor inrichting van Microsoft Entra-id naar Active Directory. Tenants zoals B2C worden niet ondersteund.
- De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.
Meer vereisten
- Minimaal Microsoft .NET Framework 4.7.1
TLS-vereisten
Notitie
Transport Layer Security (TLS) is een protocol dat veilige communicatie biedt. Het wijzigen van de TLS-instellingen is van invloed op het hele forest. Zie Update voor het inschakelen van TLS 1.1 en TLS 1.2 als standaard beveiligde protocollen in WinHTTP in Windows voor meer informatie.
Voor de Windows-server waarop de Microsoft Entra Connect-cloudinrichtingsagent wordt gehost, moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.
Volg deze stappen om TLS 1.2 in te schakelen.
Stel de volgende registersleutels in door de inhoud te kopiëren naar een .reg bestand en voer het bestand uit (klik met de rechtermuisknop en kies Samenvoegen):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
Start de server opnieuw op.
Firewall- en proxyvereisten
Als er een firewall is tussen uw servers en Microsoft Entra ID, configureert u de volgende items:
Zorg ervoor dat agents uitgaande aanvragen kunnen indienen bij Microsoft Entra ID via de volgende poorten:
Poortnummer Beschrijving 80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat. 443 Verwerkt alle uitgaande communicatie met de service. 8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in het Microsoft Entra-beheercentrum. Als uw firewall regels afdwingt op basis van de oorspronkelijke gebruikers, opent u deze poorten voor verkeer van Windows-services die als netwerkservice worden uitgevoerd.
Zorg ervoor dat uw proxy ten minste HTTP 1.1-protocol ondersteunt en gesegmenteerde codering is ingeschakeld.
Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe:
URL | Beschrijving |
---|---|
*.msappproxy.net *.servicebus.windows.net |
De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice. |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
De agent gebruikt deze URL's om certificaten te verifiëren. |
login.windows.net |
De agent gebruikt deze URL's tijdens het registratieproces. |
NTLM-vereiste
Schakel NTLM niet in op de Windows Server waarop de Microsoft Entra-inrichtingsagent wordt uitgevoerd. Als deze is ingeschakeld, moet u ervoor zorgen dat u deze uitschakelt.
Bekende beperkingen
Hier volgen bekende beperkingen:
Deltasynchronisatie
- Het filteren van groepsbereiken voor deltasynchronisatie biedt geen ondersteuning voor meer dan 50.000 leden.
- Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
- Wanneer u de naam van de organisatie-eenheid of groep wijzigt die binnen het bereik valt, worden de gebruikers niet verwijderd door deltasynchronisatie.
Inrichtingslogboeken
- Het inrichten van logboeken maakt niet duidelijk onderscheid tussen het maken en bijwerken van bewerkingen. Mogelijk ziet u een bewerking voor het maken van een update en een updatebewerking voor een create.
Naam van groep wijzigen of organisatie-eenheid wijzigen
- Als u de naam van een groep of organisatie-eenheid in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatietaak de naamwijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft in orde.
Bereikfilter
Bij het gebruik van OE-bereikfilter
De bereikconfiguratie heeft een beperking van 4 MB in tekenlengte. In een standaard geteste omgeving wordt dit omgezet in ongeveer 50 afzonderlijke organisatie-eenheden (OE's) of beveiligingsgroepen, inclusief de vereiste metagegevens, voor een bepaalde configuratie.
Geneste OE's worden ondersteund (dat wil gezegd, u kunt een organisatie-eenheid met 130 geneste OE's synchroniseren, maar u kunt geen 60 afzonderlijke OE's synchroniseren in dezelfde configuratie).
Wachtwoord-hashsynchronisatie
- Het gebruik van wachtwoord-hashsynchronisatie met InetOrgPerson wordt niet ondersteund.