Uwierzytelnij się w Microsoft Entra ID przy użyciu tożsamości aplikacji

2025-06-25

Program Microsoft Entra Connect używa konta programu Microsoft Entra Connector do uwierzytelniania i synchronizowania tożsamości z usługi Active Directory do programu Microsoft Entra Connect. To konto używa nazwy użytkownika i hasła do uwierzytelniania żądań.

Aby zwiększyć bezpieczeństwo usługi, wprowadzamy tożsamość aplikacji, która wykorzystuje przepływ poświadczeń klienta OAuth 2.0 z certyfikatami. W tej nowej metodzie firma Microsoft Entra lub administrator tworzy pojedynczą aplikację inną niż Microsoft w usłudze Microsoft Entra ID i używa jednej z następujących odpowiednich opcji zarządzania certyfikatami dla poświadczeń.

Program Microsoft Entra Connect oferuje trzy opcje zarządzania aplikacjami i certyfikatami:

Zarządzane przez firmę Microsoft Entra Connect (zalecane)
Przynieś własną aplikację (BYOA)
Bring Your Own Certificate (BYOC) - przynieś własny certyfikat

Zarządzane przez firmę Microsoft Entra Connect (zalecane)

Firma Microsoft Entra Connect zarządza aplikacją i certyfikatem, która obejmuje tworzenie, rotację i usuwanie certyfikatu. Certyfikat jest przechowywany w CURRENT_USER magazynie. Aby uzyskać optymalną ochronę klucza prywatnego certyfikatu, zalecamy, aby maszyna korzystała z rozwiązania Trusted Platform Module (TPM) w celu ustanowienia granicy zabezpieczeń opartej na sprzęcie.

Gdy moduł TPM jest dostępny, operacje usługi kluczy są wykonywane w dedykowanym środowisku sprzętowym. Natomiast jeśli moduł TPM nie może być używany, program Microsoft Entra Connect domyślnie przechowuje certyfikat w domyślnym dostawcy oprogramowania Microsoft do przechowywania kluczy i oznacza klucz prywatny jako nieeksportowalny dla dodatkowej ochrony. Bez izolacji sprzętowej zapewnianej przez moduł TPM tylko zabezpieczenia oprogramowania zabezpieczają klucz prywatny, który nie zapewnia takiego samego poziomu ochrony.

Aby uzyskać więcej informacji na temat technologii TPM, zobacz Omówienie technologii Trusted Platform Module.

Zalecamy opcję zarządzania certyfikatami Programu Microsoft Entra Connect, ponieważ zarządzamy kluczami i automatycznie obracamy certyfikat po wygaśnięciu. To zachowanie jest opcją domyślną w wersjach microsoft Entra Connect Sync równych lub wyższych niż 2.5.3.0.

Używamy zadania konserwacji, aby sprawdzić, czy certyfikat wymaga odnowienia, a następnie automatycznie odnawiamy certyfikat. Jeśli harmonogram jest wstrzymany lub zadanie konserwacji jest wyłączone, automatyczna rotacja nie może się odbyć, mimo że usługa Microsoft Entra Connect Sync zarządza certyfikatem.

Przynieś swoją aplikację

W konfiguracji byOA (Bring Your Own Application) administrator klienta zarządza aplikacją używaną przez program Microsoft Entra Connect Sync do uwierzytelniania w usłudze Microsoft Entra, uprawnień aplikacji i poświadczenia certyfikatu używanego przez aplikację.

Administrator rejestruje aplikację Microsoft Entra i tworzy jednostkę usługi. Aplikacja wymaga przypisanych wymaganych uprawnień .

Administrator jest odpowiedzialny za utworzenie certyfikatu, rotacji i usunięcia nieużywanych lub wygasłych certyfikatów. Certyfikat musi być przechowywany w LOCAL_MACHINE magazynie.

Administrator jest odpowiedzialny za zabezpieczenie klucza prywatnego certyfikatu i upewnienie się, że tylko usługa Microsoft Entra Connect Sync może uzyskać dostęp do klucza prywatnego na potrzeby podpisywania.

Przynieś swój własny certyfikat

W konfiguracji byOC (Bring Your Own Certificate) administrator zarządza poświadczeniami certyfikatu używanymi przez aplikację. Administrator jest odpowiedzialny za utworzenie certyfikatu, rotacji i usunięcia nieużywanych lub wygasłych certyfikatów. Certyfikat musi być przechowywany w LOCAL_MACHINE magazynie.

Zalecamy użycie modułu TPM lub sprzętowego modułu zabezpieczeń (HSM) w celu zapewnienia granicy zabezpieczeń opartej na sprzęcie, a nie domyślnej. Aby sprawdzić stan modułu TPM, użyj polecenia cmdlet Get-TPM programu PowerShell.

Jeśli używasz Hyper-V maszyn wirtualnych, możesz włączyć moduł TPM, wybierając pozycję Zabezpieczenia>Włącz moduł Trusted Platform Module. Ten krok można wykonać tylko na maszynach wirtualnych 2. generacji. Nie można przekonwertować maszyn wirtualnych generacji 1 na maszyny wirtualne generacji 2. Aby uzyskać więcej informacji, zobacz Ustawienia zabezpieczeń maszyn wirtualnych generacji 2 dla funkcji Hyper-V i Włączanie zaufanego uruchamiania na istniejących maszynach wirtualnych usługi Azure Gen2.

Wymagania wstępne

Do zaimplementowania uwierzytelniania przy użyciu tożsamości aplikacji wymagane są następujące wymagania wstępne.

Ważne

Nowe wersje programu Microsoft Entra Connect Sync są dostępne tylko za pośrednictwem centrum administracyjnego firmy Microsoft Entra.

Po wykonaniu czynności opisanych w nowej komunikacji nowe wersje programu Microsoft Entra Connect Sync są dostępne tylko w okienku Microsoft Entra Connect w centrum administracyjnym firmy Microsoft Entra i nie zostaną już wydane w Centrum pobierania Microsoft.

Microsoft Entra Connect w wersji 2.5.3.0 lub nowszej.
Konto Microsoft Entra posiadające co najmniej rolę administratora tożsamości hybrydowej.
Lokalne środowisko usług Active Directory Domain Services z systemem operacyjnym Windows Server 2016 lub nowszym.
Opcjonalnie: moduł TPM 2.0 jest obecny i gotowy do użycia (zalecane dla bezpieczeństwa).

W przypadku opcji zarządzania certyfikatami BYOC potrzebne są następujące dodatkowe wymagania:

Certyfikat jest tworzony w module HSM lub module TPM przy użyciu dostawcy API kryptografii nowej generacji. Klucz prywatny jest oznaczony jako niemożliwy do przesłaniania. Zdarzenie ostrzegawcze 1014 jest emitowane, jeśli moduł TPM nie jest używany. Obsługiwane są następujące konfiguracje certyfikatów:
- KeyLength: 2048
- KeyAlgorithm: RSA
- KeyHashAlgorithm: SHA256
Utworzony certyfikat jest przechowywany w LOCAL_MACHINE magazynie.
Przyznaj konto Microsoft Entra Connect Sync uprawnienia do podpisywania przy użyciu klucza prywatnego.

W przypadku opcji zarządzania aplikacjami BYOA potrzebne są następujące dodatkowe wymagania:

Klient tworzy certyfikat zgodnie z wymaganiami wstępnymi BYOC opisanymi wcześniej.
Klient rejestruje aplikację w identyfikatorze Entra firmy Microsoft i tworzy jednostkę usługi. Niezbędne uprawnienia są przyznawane za pośrednictwem interfejsu API programu Microsoft Graph.
Klient rejestruje certyfikat w aplikacji.

Instalacja i uaktualnianie (zarządzane przez program Microsoft Entra Connect)

Aplikacja zarządzana i poświadczenia programu Microsoft Entra Connect Sync są automatycznie konfigurowane podczas początkowej instalacji dla nowych instalacji. Aby potwierdzić, że program Microsoft Entra Connect korzysta z tożsamości aplikacji, użyj polecenia cmdlet programu PowerShell Get-ADSyncEntraConnectorCredential.

W przypadku uaktualnień wybierz pozycję Konfiguruj uwierzytelnianie oparte na aplikacji do identyfikatora Entra firmy Microsoft (wersja zapoznawcza).

Jeśli nie wybrano pola podczas uaktualniania, po zakończeniu instalacji zostanie wyświetlone następujące zalecenie.

Jeśli nie wybrano pola podczas uaktualniania lub chcesz przełączyć się do uwierzytelniania opartego na aplikacji, użyj pozycji Zadania.

W okienku Dodatkowe zadania wybierz pozycję Konfiguruj uwierzytelnianie oparte na aplikacji do identyfikatora Microsoft Entra ID (wersja zapoznawcza), a następnie postępuj zgodnie z monitami.

Dołączanie do uwierzytelniania opartego na aplikacji przy użyciu programu PowerShell

Ta sekcja ma zastosowanie tylko wtedy, gdy używasz opcji BYOC lub BYOA. Wersje programu Microsoft Entra Connect niższe niż 2.5.3.0 domyślnie używają nazwy użytkownika i hasła do uwierzytelniania w usłudze Microsoft Entra ID. Aby dołączyć do uwierzytelniania opartego na aplikacji, administrator musi wykonać następujące kroki w wersji microsoft Entra Connect Sync równej lub wyższej niż 2.5.3.0.

Uwaga / Notatka

Upewnij się, że korzystasz z serwera Microsoft Entra Connect i że zainstalowano moduł Microsoft Entra Connect Sync programu PowerShell.

Użyj polecenia programu PowerShell, aby zweryfikować bieżącą metodę uwierzytelniania.
```
Get-ADSyncEntraConnectorCredential
```
Ten krok powinien zwrócić wartość ConnectorIdentityType obecnie używaną.
Wyłącz harmonogram, aby upewnić się, że żadne cykle synchronizacji nie są uruchamiane do momentu ukończenia tej zmiany.
```
Set-ADSyncScheduler -SyncCycleEnabled $false
```
Zarejestruj aplikację i utwórz jednostkę usługi w identyfikatorze Entra firmy Microsoft.
- Zarządzane przez firmę Microsoft Entra Connect:
```
 Add-EntraApplicationRegistration
```
- Użyj BYOC:
  
  Uwaga / Notatka
  
  Certyfikat SHA256Hash należy podać podczas rejestrowania aplikacji. Użyj skryptu generowania , aby wygenerować skrót.
```
Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>
```
  Zamień <CertificateSHA256Hash> na CertificateSHA256Hash.
- Użyj funkcji BYOA:
  
  Zarejestruj aplikację Microsoft Entra i utwórz główne konto usługi. Zanotuj identyfikator aplikacji, ponieważ jest on potrzebny w następnej sekcji.
Połącz aplikację Microsoft Entra Application z usługą Microsoft Entra Connect Sync przy użyciu poświadczeń administratora.
- Zarządzane przez firmę Microsoft Entra Connect:
```
Add-ADSyncApplicationRegistration
```
- Użyj BYOC:
```
 Add-ADSyncApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>
```
- Użyj funkcji BYOA:
```
 Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash> –ApplicationAppId <appId>
```
Zastąp <CertificateSHA256Hash> elementem CertificateSHA256Hash i <appId> identyfikatorem aplikacji utworzonej w Microsoft Entra ID.
Uruchom weryfikację, aby potwierdzić, że używasz teraz tożsamości aplikacji. Uruchom następujące polecenie cmdlet, aby pobrać aktualne uwierzytelnianie i upewnij się, że ma wartość ConnectorIdentityType jako Application.
```
Get-ADSyncEntraConnectorCredential
```
Ponowne włączanie harmonogramu w celu rozpoczęcia usługi synchronizacji przy użyciu następującego polecenia cmdlet:
```
Set-ADSyncScheduler -SyncCycleEnabled $true
```
Usuń konto synchronizacji katalogów (DSA) z Microsoft Entra ID (zalecane).

Wyświetlanie certyfikatu

Aby wyświetlić informacje o certyfikacie, przejdź do pozycji Zadania , a następnie wybierz pozycję Wyświetl lub eksportuj bieżącą konfigurację. Przewiń w dół do szczegółów certyfikatu. Poniższa tabela zawiera informacje o certyfikacie.

Majątek	Opis
Certyfikat zarządzany przez	Niezależnie od tego, czy certyfikatem zarządza program Microsoft Entra Connect Sync, czy BYOC.
Włączono automatyczną rotację	Określa, czy jest włączona automatyczna rotacja, czy rotacja ręczna.
Odcisk palca certyfikatu	Unikatowy identyfikator certyfikatu.
Skrót SHA256 certyfikatu	Odcisk palca certyfikatu wygenerowanego przy użyciu algorytmu skrótu SHA-256.
Nazwa podmiotu	Identyfikuje jednostkę skojarzona z certyfikatem.
Wystawione przez	Kto jest wystawcą certyfikatu.
Numer seryjny	Unikatowo identyfikuje certyfikat spośród certyfikatów tego samego wystawcy.
Nieważne przed	Pierwsza data ważności certyfikatu.
Nie ważne po	Data ostatniego ważności certyfikatu.

Rotacja certyfikatów na żądanie

Program Microsoft Entra Connect ostrzega, gdy zbliża się termin rotacji certyfikatów. Oznacza to, że jeśli termin upływu jest krótszy lub wynosi 150 dni. Spowoduje to wystąpienie błędu, jeśli certyfikat już wygasł. Te ostrzeżenia (identyfikator zdarzenia 1011) i błędy (identyfikator zdarzenia 1012) można znaleźć w dzienniku zdarzeń aplikacji.

Ten komunikat jest emitowany z częstotliwością ustaloną przez harmonogram, jeśli konserwacja jest włączona, a harmonogram nie został zawieszony. Uruchom polecenie Get-ADSyncSchedulerSettings , aby sprawdzić, czy harmonogram jest zawieszony, czy konserwacja jest włączona lub wyłączona.

Jeśli program Microsoft Entra Connect zarządza certyfikatem, nie jest wymagana żadna akcja , chyba że harmonogram zostanie zawieszony lub konserwacja zostanie wyłączona. Program Microsoft Entra Connect Sync dodaje nowe poświadczenia certyfikatu do aplikacji i próbuje usunąć stare poświadczenia certyfikatu. Jeśli nie uda się usunąć starego poświadczenia certyfikatu, w dziennikach aplikacji w Podglądzie zdarzeń zostanie wyświetlone zdarzenie błędu.

Jeśli zobaczysz ten błąd, uruchom następujące polecenie cmdlet w programie PowerShell, aby wyczyścić stare poświadczenia certyfikatu z Microsoft Entra. Polecenie cmdlet akceptuje CertificateId wartość certyfikatu, która powinna zostać usunięta, i którą można uzyskać z dziennika lub centrum administracyjnego Microsoft Entra.

Remove-EntraApplicationKey -CertificateId <certificateId>

Użyj kreatora

Po włączeniu uwierzytelniania aplikacji w okienku Dodatkowe zadania zostanie wyświetlona inna opcja. Opcja Obróć certyfikat aplikacji jest teraz dostępna. Od tego momentu można ręcznie obrócić certyfikat. Zalecamy opcję zarządzania certyfikatami Programu Microsoft Entra Connect, ponieważ zarządzamy kluczami i automatycznie obracamy certyfikat po wygaśnięciu. Ta opcja jest domyślna w wersjach microsoft Entra Connect Sync równych lub wyższych niż 2.5.3.0.

Użyj PowerShell

Jeśli podczas korzystania z opcji BYOC zostanie wyświetlone ostrzeżenie z programu Microsoft Entra Connect Sync, zdecydowanie zalecamy wygenerowanie nowego klucza i certyfikatu oraz rotację certyfikatu używanego przez program Microsoft Entra Connect Sync przy użyciu programu PowerShell.

Wyłącz harmonogram, aby upewnić się, że żadne cykle synchronizacji nie są uruchamiane do momentu ukończenia tej zmiany. Aby wyłączyć harmonogram, użyj następującego polecenia cmdlet programu PowerShell:
```
Set-ADSyncScheduler -SyncCycleEnabled $false
```
Wywołaj rotację poświadczeń certyfikatu, gdy używasz opcji Zarządzane przez firmę Microsoft (tryb domyślny), ale harmonogram jest zawieszony lub konserwacja jest wyłączona.
```
Invoke-ADSyncApplicationCredentialRotation
```
W trybie BYOC należy podać nowy certyfikat SHA256Hash :
```
Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash <CertificateSHA256Hash>
```
W trybie BYOA należy podać nowy certyfikat SHA256Hash :
```
 Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>
```
Zamień <CertificateSHA256Hash> na CertificateSHA256Hash.
Pobierz bieżące uwierzytelnianie i upewnij się, że ma wartość ConnectorIdentityType jako Application. Użyj następującego polecenia cmdlet programu PowerShell, aby zweryfikować bieżące uwierzytelnianie:
```
Get-ADSyncEntraConnectorCredential
```
Ponowne włączanie harmonogramu w celu rozpoczęcia usługi synchronizacji:
```
Set-ADSyncScheduler -SyncCycleEnabled $true
```
Sprawdź, czy cykl synchronizacji zakończył się pomyślnie.
Usuń stary certyfikat z LOCAL_MACHINE sklepu dla opcji BYOC i BYOA.

Certyfikat można odnowić lub wymienić w dowolnym momencie, nawet jeśli bieżący certyfikat nie wymaga jeszcze rotacji lub już wygasł.

Skrypt do generowania skrótu SHA256 certyfikatu

# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()

# Compute SHA256Hash of certificate 
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)

# Convert hash to bytes for PowerShell (Core) 7.1+:
$certHash = [System.Convert]::ToHexString($hashBytes)

# Convert hash to bytes for older PowerShell:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''

Uprawnienie do zasobów

ADSynchronization.ReadWrite.All

Kategoria	Aplikacja	Delegowany
`Identifier`	0b41ed4d-5f52-442b-8952-ea7d90719860	0b41ed4d-5f52-442b-8952-ea7d90719860
`DisplayText`	Za pośrednictwem Microsoft Entra Connect Sync odczytuj, zapisuj i zarządzaj synchronizacją tożsamości ze środowiskiem lokalnym.	Za pośrednictwem Microsoft Entra Connect Sync odczytuj, zapisuj i zarządzaj synchronizacją tożsamości ze środowiskiem lokalnym.
`Description`	Umożliwia aplikacji odczytywanie, zapisywanie i zarządzanie danymi tożsamości synchronizowanymi ze środowiskiem lokalnym za pośrednictwem usługi Microsoft Entra Connect Sync.	Umożliwia aplikacji odczytywanie, zapisywanie i zarządzanie danymi tożsamości synchronizowanymi ze środowiskiem lokalnym za pośrednictwem usługi Microsoft Entra Connect Sync.
`AdminConsentRequired`	Tak.	Tak.

Uprawnienia programu Microsoft Graph dla usługi BYOA

PasswordWriteback.RefreshClient.All

Kategoria	Aplikacja	Delegowany
`Identifier`	fc7e8088-95b5-453e-8bef-b17ecfec5ba3	-
`DisplayText`	Odczyt, zapis i zarządzanie przywracaniem samoobsługowego resetowania haseł dla agenta synchronizacji Microsoft Entra Connect.	-
`Description`	Umożliwia aplikacji odświeżanie i ponowne tworzenie konfiguracji lokalnej na potrzeby samoobsługowego resetowania haseł przez firmę Microsoft.	-
`AdminConsentRequired`	Tak.	-

PasswordWriteback.RegisterClientVersion.All

Kategoria	Aplikacja	Delegowany
`Identifier`	e006e431-a65b-4f3e-8808-77d29d4c5f1a	-
`DisplayText`	Odczyt, zapis i zarządzanie konfiguracją wersji klienta samoobsługowego resetowania haseł dla agenta synchronizacji Programu Microsoft Entra Connect.	-
`Description`	Umożliwia aplikacji zarejestrowanie nowszej wersji lokalnego agenta synchronizacji Programu Microsoft Entra Connect.	-
`AdminConsentRequired`	Tak.	-

PasswordWriteback.OffboardClient.All

Kategoria	Aplikacja	Delegowany
`Identifier`	69201c67-737b-4a20-8f16-e0c8c64e0b0e	-
`DisplayText`	Odczyt, zapis i zarządzanie konfiguracją samoobsługowego resetowania haseł oraz odinstalowywania/odłączania dla agenta synchronizacji Microsoft Entra Connect.	-
`Description`	Umożliwia aplikacji odłączenie wersji lokalnego agenta microsoft Entra Connect Sync.	-
`AdminConsentRequired`	Tak.	-

Proces odwoływania certyfikatów

W przypadku certyfikatów z podpisem własnym, zarówno zarządzanych przez Microsoft Entra, jak i BYOC, administrator musi dokonać ręcznego odwołania, usuwając wartość keyCredential z identyfikatora Microsoft Entra. Rotacja certyfikatu na żądanie jest również opcją.

W przypadku certyfikatów BYOC wystawionych przez urząd certyfikacji zarejestrowany w firmie Microsoft Entra administrator może postępować zgodnie z procesem odwoływania certyfikatów.

Usuwanie starszego konta usługi przy użyciu programu PowerShell

Po przejściu do uwierzytelniania opartego na aplikacji i programie Microsoft Entra Connect Sync działa zgodnie z oczekiwaniami, zdecydowanie zalecamy usunięcie starszej nazwy użytkownika DSA i konta usługi haseł przy użyciu programu PowerShell. Jeśli używasz konta niestandardowego, którego nie można usunąć, pozbaw przywilejów i usuń z niego rolę DSA.

Wykonaj następujące kroki, aby usunąć starsze konto usługi.

Dodaj nazwę użytkownika i hasło konta usługi.
```
$HACredential
```
Zostanie wyświetlony monit o wprowadzenie wartości administratora Microsoft Entra oraz hasła. Wprowadź nazwę użytkownika i hasło.
Następnie dodaj konto usługi.
```
Remove-ADSyncAADServiceAccount -AADCredential $HACredential -Name <$serviceAccountName>
```
Wartość ServiceAccountName jest pierwszą częścią UserPrincipalName wartości konta usługi używanego w identyfikatorze Entra firmy Microsoft. Ten użytkownik można znaleźć na liście użytkowników w centrum administracyjnym firmy Microsoft Entra. Jeśli nazwa UPN to aringdahl@fabrikam.com, użyj aringdahl jako wartość ServiceAccountName.

Przywróć starsze konto usługi przy użyciu programu PowerShell

Jeśli chcesz wrócić do starszego konta usługi, możesz użyć programu PowerShell, aby przywrócić użycie konta usługi, aby szybko rozwiązać ten problem. Aby wrócić do korzystania z konta usługi, wykonaj poniższe kroki.

W ramach cofnięcia zmian należy ponownie utworzyć konto DSA. Zastosowanie tego nowego konta może potrwać do 15 minut, więc może zostać wyświetlony błąd "Odmowa dostępu" podczas ponownego włączenia cyklu synchronizacji.

Wyłącz harmonogram, aby upewnić się, że żadne cykle synchronizacji nie są uruchamiane do momentu ukończenia tej zmiany.
```
Set-ADSyncScheduler -SyncCycleEnabled $false
```
Dodaj konto usługi. Zostanie wyświetlony monit o wprowadzenie wartości administratora Microsoft Entra oraz hasła. Wprowadź poświadczenia.
```
Add-ADSyncAADServiceAccount
```
Pobierz bieżący mechanizm uwierzytelniania i upewnij się, że wartość ConnectorIdentityType wróciła do ServiceAccount.
```
Get-ADSyncEntraConnectorCredential
```
Ponownie włączyć harmonogram, aby rozpocząć usługę synchronizacji.
```
Set-ADSyncScheduler -SyncCycleEnabled $true
```