Предварительные требования для облачной синхронизации Azure AD Connect

В этой статье описано, как выбрать и применить облачную синхронизацию Azure Active Directory (Azure AD) Connect в качестве решения для идентификации.

Требования к агенту облачной подготовки

Для использования облачной синхронизации Azure AD Connect вам потребуются следующие ресурсы:

  • Учетные данные администратора домена или администратора предприятия для создания Azure AD Connect Cloud Sync gMSA (групповая управляемая учетная запись службы) для запуска службы агента.
  • Учетная запись администратора гибридных удостоверений для клиента Azure AD, не являющегося гостевым пользователем.
  • Локальный сервер для агента подготовки с Windows 2016 или более поздней версии. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory. Поддерживается установка агента на контроллере домена.
  • Высокий уровень доступности соответствует возможности облачной синхронизации Azure AD Connect работать без сбоев в течение долгого времени. При установке и запуске нескольких активных агентов облачная синхронизация Azure AD Connect может продолжать работать даже в случае сбоя одного агента. Для обеспечения высокой доступности корпорация Майкрософт рекомендует установить 3 активных агента.
  • Конфигурации для локального брандмауэра.

Групповые управляемые учетные записи служб

Групповая управляемая учетная запись службы — это управляемая доменная учетная запись, которая обеспечивает автоматическое управление паролями, упрощенное управление именами участников-служб, возможность делегировать управление другим администраторам, а также расширяет эту функциональность на несколько серверов. Облачная синхронизация Azure AD Connect поддерживает и использует gMSA для запуска агента. Для создания этой учетной записи вам будет предложено ввести учетные данные администратора во время установки. Учетная запись будет отображаться как (domain\provAgentgMSA$). Дополнительные сведения о групповых управляемых учетных записях служб (gMSA) см. в разделе Групповые управляемые учетные записи служб.

Предварительные требования для gMSA:

  1. Необходимо обновить схему Active Directory в лесу домена gMSA до Windows Server 2012 или более поздней версии.
  2. Модули POWERSHELL RSAT на контроллере домена
  3. По крайней мере один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
  4. Сервер, присоединенный к домену, на котором устанавливается агент, должен работать под Windows Server 2016 или ОС более поздней версии.

Настраиваемая учетная запись gMSA

При создании пользовательской учетной записи gMSA необходимо убедиться, что учетная запись имеет следующие разрешения.

Тип Имя Доступ Применяется к
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты устройств
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты InetOrgPerson
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты компьютера
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты foreignSecurityPrincipal
Allow Учетная запись gMSA Полный доступ Дочерние объекты группы
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты пользователя
Allow Учетная запись gMSA Чтение всех свойств Дочерние объекты контакта
Allow Учетная запись gMSA Создание и удаление объектов-пользователей Этот объект и все дочерние объекты

Инструкции по обновлению существующего агента для использования учетной записи gMSA см. в разделе групповые управляемые учетные записи служб.

Создание учетной записи gMSA с использованием PowerShell

Для создания пользовательской учетной записи gMSA вы можете использовать следующий скрипт PowerShell. Затем вы можете использовать командлеты gMSA облачной синхронизации для применения более детализированных разрешений.

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

Дополнительные сведения об указанных выше командлетах см. в статье Начало работы с групповыми управляемыми учетными записями служб.

В центре администрирования Azure Active Directory

  1. Создайте облачную учетную запись администратора гибридных удостоверений в клиенте Azure AD. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте больше о том, как добавить облачную учетную запись администратора гибридных удостоверений. Выполнение этого шага очень важно, чтобы не потерять доступ к клиенту.
  2. Добавьте одно имя личного домена (или несколько) в клиент Azure AD. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В каталоге Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

  1. Выберите присоединенный к домену сервер узла под управлением Windows Server 2016 или более поздней версии, на котором есть не менее 4 ГБ ОЗУ и среда выполнения .NET 4.7.1 или более поздней версии.

  2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.

  3. Если между вашими серверами и Azure AD есть брандмауэр, выполните дополнительные настройки из раздела Требованиях к брандмауэру и прокси-серверу ниже.

Примечание

Установка агента облачной подготовки на Windows Server Core не поддерживается.

Дополнительные требования

Требования к TLS

Примечание

Протокол TLS обеспечивает безопасность обмена данными. Изменение параметров TLS влияет на весь лес. Дополнительные сведения см. в статье Обновление, предусматривающее использование TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Перед установкой на сервере Windows, на котором размещен агент облачной подготовки Azure AD Connect, должен быть настроен протокол TLS 1.2.

Чтобы включить TLS 1.2, сделайте следующее:

  1. Настройте следующие разделы реестра:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и Azure AD присутствует брандмауэр, необходимо настроить указанные ниже элементы.

  • Убедитесь, что агенты могут передавать исходящие запросы в Azure AD через приведенные ниже порты.

    Номер порта Как он используется
    80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
    443 Обработка всего исходящего трафика для службы.
    8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Эти данные о состоянии отображаются на портале Azure AD.
  • Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

  • Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, добавьте следующие подключения:

URL-адрес Как он используется
*.msappproxy.net
*.servicebus.windows.net
Агент использует эти URL-адреса для взаимодействия с облачной службой Azure AD.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Агент использует эти URL-адреса для взаимодействия с облачной службой Azure AD.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Агент использует эти URL-адреса для проверки сертификатов.
login.windows.net
Агент использует эти URL-адреса в процессе регистрации.

Требование NTLM

Не следует включать NTLM на сервере Windows, на котором выполняется агент подготовки Azure AD Connect, а если он включен, его следует отключить.

Известные ограничения

Ниже известные ограничения:

синхронизация изменений;

  • Фильтрация групповой области для разностной синхронизации не поддерживает более 50,000 членов.
  • При удалении группы, которая используется как часть фильтра групповой области, пользователи, входящие в эту группу, не удаляются.
  • При переименовании подразделения или группы, которые находятся в области, разностная синхронизация не удалит пользователей.

Подготовка журналов

  • Журналы подготовки не различают операции создания и обновления. Вы можете увидеть операцию создания для обновления и операцию обновления для создания.

Переименование группы или переименование подразделения

  • Если вы переименуете группу или подразделение в AD, которое находится в области для данной конфигурации, задание синхронизации в облаке не сможет распознать изменение имени в AD. Задание не перейдет в карантин и останется работоспособным.

Фильтр области действия

При использовании фильтра подразделений

  • Для определенной конфигурации можно синхронизировать только до 59 отдельных подразделений или групп безопасности.
  • Поддерживаются вложенные подразделения (то есть в одной конфигурации можно синхронизировать подразделение с 130 вложенными подразделениями, но нельзя синхронизировать 60 отдельных подразделений).

Синхронизация хэша паролей

  • Использование синхронизации хэша паролей с InetOrgPerson не поддерживается.

Дальнейшие действия