Wymagania wstępne dotyczące usługi Microsoft Entra Cloud Sync

Ten artykuł zawiera wskazówki dotyczące korzystania z usługi Microsoft Entra Cloud Sync jako rozwiązania do obsługi tożsamości.

Wymagania dotyczące agenta aprowizacji w chmurze

Do korzystania z usługi Microsoft Entra Cloud Sync potrzebne są następujące elementy:

• Poświadczenia Administracja istratora domeny lub Administracja istratora przedsiębiorstwa w celu utworzenia konta usługi agenta zarządzanego przez usługę microsoft Entra Połączenie w chmurze( konta usługi zarządzanej przez grupę).
• Konto administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra, które nie jest użytkownikiem-gościem.
• Serwer lokalny dla agenta aprowizacji z systemem Windows 2016 lub nowszym. Ten serwer powinien być serwerem warstwy 0 na podstawie modelu warstwy administracyjnej usługi Active Directory. Instalowanie agenta na kontrolerze domeny jest obsługiwane.
  • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
• Wysoka dostępność odnosi się do możliwości ciągłego działania usługi Microsoft Entra Cloud Sync bez awarii przez długi czas. Po zainstalowaniu i uruchomieniu wielu aktywnych agentów usługa Microsoft Entra Cloud Sync może nadal działać, nawet jeśli jeden agent powinien zakończyć się niepowodzeniem. Firma Microsoft zaleca zainstalowanie 3 aktywnych agentów w celu zapewnienia wysokiej dostępności.
• Konfiguracje zapory lokalnej.

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Usługa Microsoft Entra Cloud Sync obsługuje i używa zarządzanego konta zarządzanego do uruchamiania agenta. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto. Konto jest wyświetlane jako domain\provAgentgMSA$. Aby uzyskać więcej informacji o gMSA, zobacz konta usług zarządzane przez grupę.

Wymagania wstępne dotyczące usługi gMSA

1. Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
2. Moduły RSAT programu PowerShell na kontrolerze domeny.
3. Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
4. Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.

Niestandardowe konto gMSA

Jeśli tworzysz niestandardowe konto gMSA, upewnij się, że konto ma następujące uprawnienia.

Type	Nazwisko	Access	Dotyczy
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty urządzenia podrzędnego
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty InetOrgPerson obiektów potomnych
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty komputera podrzędnego
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty podrzędne foreignSecurityPrincipal
Zezwalaj	konto gMSA	Pełna kontrola	Obiekty grupy podrzędnej
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty użytkownika podrzędnego
Zezwalaj	konto gMSA	Odczytywanie wszystkich właściwości	Obiekty kontaktów potomnych
Zezwalaj	konto gMSA	Tworzenie/usuwanie obiektów użytkownika	Ten obiekt i wszystkie obiekty podrzędne

Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta do korzystania z konta zarządzanego przez grupę, zobacz konta usługi zarządzane przez grupę.

Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie kont usług zarządzanych przez grupę.

W centrum administracyjnym firmy Microsoft Entra

1. Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej tylko w chmurze. Ukończenie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W katalogu w usłudze Active Directory

Uruchom narzędzie IdFix, aby przygotować atrybuty katalogu do synchronizacji.

W środowisku lokalnym

1. Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2016 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego platformy .NET 4.7.1 lub nowszej.
2. Zasady wykonywania programu PowerShell na serwerze lokalnym muszą być ustawione na wartość Niezdefiniowane lub RemoteSigned.
3. Jeśli między serwerami a identyfikatorem Firmy Microsoft istnieje zapora, zobacz Wymagania zapory i serwera proxy.

Uwaga

Instalowanie agenta aprowizacji w chmurze w systemie Windows Server Core nie jest obsługiwane.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Wymagania ogólne

• Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
• Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
  • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
• Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są stosowane do obiektów Administracja SDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji microsoft Entra

• Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
  • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
• Microsoft Entra Połączenie z kompilacją w wersji 2.2.8.0 lub nowszej
  • Wymagane do obsługi lokalnego członkostwa użytkowników zsynchronizowane przy użyciu usługi Microsoft Entra Połączenie
  • Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy

Obsługiwane są tylko następujące elementy:

• Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
• Te grupy mogą mieć przypisane lub dynamiczne członkostwo.
• Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
• Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
• Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
• Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
• Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
• Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

• Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
• Wszyscy ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
• Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
• Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Połączenie Sync (2.2.8.0)
• Jeśli używasz usługi Microsoft Entra Połączenie Sync (2.2.8.0) do synchronizowania użytkowników, a nie microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
• Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
• Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.

Więcej wymagań

• Minimalna wersja programu Microsoft .NET Framework 4.7.1

Wymagania protokołu TLS

Uwaga

Transport Layer Security (TLS) to protokół zapewniający bezpieczną komunikację. Zmiana ustawień protokołu TLS wpływa na cały las. Aby uzyskać więcej informacji, zobacz Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows (Aktualizacja w celu włączenia protokołów TLS 1.1 i TLS 1.2 jako domyślnych bezpiecznych protokołów w systemie Windows).

Przed zainstalowaniem serwera z systemem Windows, który hostuje agenta aprowizacji w chmurze firmy Microsoft Połączenie w chmurze, musi być włączony protokół TLS 1.2.

Aby włączyć protokół TLS 1.2, wykonaj następujące kroki.

1. Ustaw następujące klucze rejestru, kopiując zawartość do pliku .reg , a następnie uruchamiając plik (kliknij prawym przyciskiem myszy i wybierz polecenie Scal):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Uruchom ponownie serwer.

Wymagania dotyczące zapory i serwera proxy

Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

• Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

  Numer portu	opis
  80	Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL.
  443	Obsługuje całą komunikację wychodzącą z usługą.
  8080 (opcjonalnie)	Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym Microsoft Entra.

• Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

• Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia:

Chmura publiczna

URL	opis
*.msappproxy.net *.servicebus.windows.net	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agent używa tych adresów URL do weryfikowania certyfikatów.
login.windows.net	Agent używa tych adresów URL podczas procesu rejestracji.

Chmura dla instytucji rządowych USA

URL	opis
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agent używa tych adresów URL do weryfikowania certyfikatów.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agent używa tych adresów URL podczas procesu rejestracji.

• Jeśli nie możesz dodać połączeń, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

Wymaganie NTLM

Nie należy włączać protokołu NTLM w systemie Windows Server z uruchomionym agentem aprowizacji firmy Microsoft, a jeśli jest włączony, upewnij się, że został on wyłączony.

Znane ograniczenia

Poniżej przedstawiono znane ograniczenia:

Synchronizacja zmian

• Filtrowanie zakresu grup na potrzeby synchronizacji różnicowej nie obsługuje więcej niż 50 000 członków.
• Jeśli usuniesz grupę używaną jako część filtru określania zakresu grupy, użytkownicy, którzy są członkami grupy, nie zostaną usunięci.
• Po zmianie nazwy jednostki organizacyjnej lub grupy, która jest w zakresie, synchronizacja różnicowa nie usunie użytkowników.

Dzienniki aprowizacji

• Dzienniki aprowizacji nie rozróżniają wyraźnie operacji tworzenia i aktualizacji. Może zostać wyświetlona operacja tworzenia dla aktualizacji i operacja aktualizacji dla utworzenia.

Zmiana nazwy grupy lub zmiana nazwy jednostki organizacyjnej

• Jeśli zmienisz nazwę grupy lub jednostki organizacyjnej w usłudze AD, która jest w zakresie dla danej konfiguracji, zadanie synchronizacji w chmurze nie będzie mogło rozpoznać zmiany nazwy w usłudze AD. Zadanie nie przejdzie do kwarantanny i pozostanie w dobrej kondycji.

Filtr określania zakresu

W przypadku korzystania z filtru określania zakresu jednostek organizacyjnych

• Dla danej konfiguracji można zsynchronizować maksymalnie 59 oddzielnych jednostek organizacyjnych lub grup zabezpieczeń.
• Zagnieżdżone jednostki organizacyjne są obsługiwane (czyli można zsynchronizować jednostkę organizacyjną z 130 zagnieżdżonymi jednostkami organizacyjnymi, ale nie można zsynchronizować 60 oddzielnych jednostek organizacyjnych w tej samej konfiguracji).

Synchronizacja skrótów haseł

• Korzystanie z synchronizacji skrótów haseł z inetOrgPerson nie jest obsługiwane.

Następne kroki

• Co to jest aprowizacja?
• Co to jest usługa Microsoft Entra Cloud Sync?