Необходимые условия для Azure AD Connect

В этой статье описаны необходимые условия и требования к оборудованию для Azure Active Directory (Azure AD) Connect.

Перед установкой Azure AD Connect

Прежде чем установить Azure AD Connect и обновить DirSync, вам потребуется ряд элементов.

Azure AD

• Вам требуется клиент Azure AD. Вы получите его с бесплатной пробной версией Azure. Вы можете использовать один из следующих порталов для управления Azure AD Connect:
  • Портал Azure.
  • Портал Office.
• Добавьте и подтвердите домен , который вы планируете использовать в Azure AD. Например, если вы планируете использовать домен contoso.com для своих пользователей, убедитесь, что этот домен был подтвержден, и вы используете не только домен по умолчанию contoso.onmicrosoft.com.
• Клиент Azure AD по умолчанию может вмещать 50 000 объектов. После подтверждения домена этот предел увеличивается до 300 000 объектов. Если требуется еще увеличить количество объектов в Azure AD, следует открыть заявку в службу технической поддержки, чтобы дополнительно повысить это предельное значение. Если необходимо более 500 000 объектов, потребуется лицензия, например для Microsoft 365, Azure AD категории "Премиум" или Enterprise Mobility + Security.

Подготовка локальных данных

• Воспользуйтесь инструментом IdFix для выявления ошибок в каталоге, например повторяющихся записей или проблем с форматированием, прежде чем выполнять синхронизацию с Azure AD и Office 365.
• Просмотрите необязательные функции синхронизации, которые можно включить в Azure AD, и решите, какие их них необходимо использовать.

Локальная служба Active Directory

• Версия схемы и режим работы леса Active Directory должны предполагать использование ОС Windows Server, начиная с версии 2003. Контроллеры домена могут работать под управлением любой версии, если выполняются требования к версии схемы и уровню леса. Вам может потребоваться платная программа поддержки, если требуется поддержка контроллеров домена под управлением Windows Server 2016 или более старых версий.
• Контроллер домена, используемый Azure AD, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается, и Azure AD Connect не выполняет перенаправления записи.
• Локальные леса и домены, использующие имена NetBIOS с точками (в имени содержится знак ".") не поддерживаются.
• Рекомендуем активировать корзину Active Directory.

Политика выполнения PowerShell

Azure Active Directory Connect выполняет подписанные сценарии PowerShell в рамках процесса установки. Убедитесь, что политика выполнения PowerShell позволяет выполнение сценариев.

Рекомендуемая политика выполнения в процессе установки — "RemoteSigned".

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Azure AD Connect

Сервер Azure AD Connect содержит важные данные удостоверений. Необходимо обеспечить надлежащую безопасность административного доступа к этому серверу. Следуйте рекомендациям статьи Защита привилегированного доступа.

Сервер Azure AD Connect должен рассматриваться как компонент уровня 0, как описано в статье Модель уровня администрирования Active Directory. Мы рекомендуем усилить защиту сервера Azure AD Connect в качестве ресурса уровня управления, следуя указаниям, приведенным в статье Обеспечение безопасности привилегированного доступа.

Дополнительные сведения о защите среды Active Directory см. в статье Рекомендации по обеспечению безопасности Active Directory.

Предварительные требования для установки

• Azure AD Connect необходимо установить на присоединенный к домену сервер под управлением ОС Windows Server, начиная с версии 2016. Вы можете развернуть Azure AD Connect на Windows Server 2016 но так как Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации. Рекомендуется использовать присоединенную к домену Windows Server 2022.
• Минимальная требуемая версия платформа .NET Framework — 4.6.2, также поддерживаются более новые версии .NET.
• Не допускается установка службы Azure AD Connect на серверы под управлением Small Business Server или Windows Server Essentials, версии которых предшествуют версиям 2019 года (Windows Server Essentials 2019 поддерживается). Сервер должен использовать Windows Server Standard или более поздней версии.
• На сервере Azure AD Connect должен быть установлен полный графический интерфейс пользователя. Установка Azure AD Connect на Windows Server Core не поддерживается.
• Если для управления конфигурацией службы федерации Active Directory (AD FS) используется мастер Azure AD Connect, на сервере Azure AD Connect не должна быть включена групповая политика транскрибирования PowerShell. Транскрибирование PowerShell можно включить, если мастер Azure AD Connect используется для управления конфигурацией синхронизации.
• Если развертывается AD FS, должны выполняться требования, указанные ниже.
  • Серверами, на которых установлены AD FS или прокси веб-приложения, должны быть серверы Windows Server 2012 R2 или более поздней версии. удаленное управление Windows . Вам может потребоваться платная программа поддержки, чтобы получить поддержку для Windows Server 2016 и более ранних версий.
  • Необходимо настроить сертификаты TLS/SSL. Дополнительные сведения см. в статьях Управление протоколами SSL/TLS и наборами шифров для AD FS и Управление SSL-сертификатами в AD FS.
  • Необходимо настроить разрешение имен.
• Прерывание и анализ трафика между Azure AD Connect и Azure AD не поддерживается. Это может нарушить работу службы.
• Если у администраторов гибридных удостоверений включена многофакторная проверка подлинности, URL-адрес https://secure.aadcdn.microsoftonline-p.comдолжен находиться в списке надежных сайтов. Если он не добавлен, вам будет предложено добавить этот сайт в список надежных сайтов перед появлением запроса MFA. Добавить его в список надежных сайтов можно в Internet Explorer.
• Если для синхронизации планируется использовать Azure AD Connect Health, убедитесь, что также выполнены предварительные условия для Azure AD Connect Health. Дополнительные сведения см. в статье Установка агента Azure AD Connect Health.

Усиление защиты сервера Azure AD Connect

Рекомендуем усилить защиту сервера Azure AD Connect, чтобы уменьшить вероятность атаки на этот критически важный компонент ИТ-среды. Следуйте этим рекомендациям, чтобы устранить некоторые угрозы безопасности в организации.

• Мы рекомендуем усилить защиту сервера Azure AD Connect в качестве ресурса уровня управления (прежнее название — уровень 0), следуя указаниям, приведенным в статье Обеспечение безопасности привилегированного доступа и Модель уровня администрирования Active Directory.
• Ограничьте административный доступ к серверу Azure AD Connect и предоставьте его только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять обычную работу, используя учетные записи с высоким уровнем привилегий.
• Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
• Запретите использование проверки подлинности NTLM на сервере AADConnect. Это можно сделать несколькими способами: ограничение NTLM на сервере AADConnect и ограничение NTLM на домене.
• Убедитесь, что на каждом компьютере установлен уникальный пароль локального администратора. Дополнительные сведения см. в статье Диспетчер паролей локальных администраторов (LAPS), где указано, что LAPS позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, а также сохранять их в Active Directory (AD) с защитой ACL. Только допустимые, авторизованные пользователи могут читать или запрашивать сброс паролей учетной записи локального администратора. LAPS для использования на рабочих станциях и серверах можно получить на сайте Центра загрузки Майкрософт. Дополнительные инструкции по работе со средой с помощью LAPS и рабочих станций с привилегированным доступом (PAW) приведены в статье Операционные стандарты на основе принципа чистоты источника.
• Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям, чтобы сократить направления атак на среду Active Directory.
• Следуйте указаниям в разделе Мониторинг изменений конфигурации федерации, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и Azure AD.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ к AAD или к домену приложения. Одна из проблем безопасности при использовании Azure AD Connect заключается в том, что если злоумышленник может получить контроль над сервером Azure AD Connect, он может управлять пользователями в Azure AD. Чтобы предотвратить использование этих возможностей злоумышленником для управления Azure AD учетными записями, MFA обеспечивает защиту, чтобы даже если злоумышленнику удалось, например, сбросить пароль пользователя с помощью Azure AD Connect, он по-прежнему не может обойти второй фактор.
• Отключение нестрогого сопоставления в клиенте. Обратимое сопоставление — это отличная функция, которая помогает передать источник полномочий для существующих облачных управляемых объектов в Azure AD Connect, но он сопряжен с определенными рисками безопасности. Если оно не требуется, отключите обратимое сопоставление.
• Отключите захват жесткого соответствия. Захват жесткого соответствия позволяет Azure AD Connect получить контроль над облачным управляемым объектом и изменить источник полномочий для объекта на Active Directory. После того как Azure AD Connect берет на себя источник полномочий объекта, изменения, внесенные в объект Active Directory, связанный с объектом Azure AD, перезаписывают исходные данные Azure AD, включая хэш паролей, если синхронизация хэша паролей включена. Злоумышленник может использовать эту возможность для управления облачными управляемыми объектами. Чтобы снизить этот риск, отключите захват жесткого соответствия.

SQL Server, используемый Azure AD Connect

• Azure AD Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). Размер SQL Server Express ограничивается 10 ГБ, что обеспечивает управление примерно 100 000 объектов. Если необходимо управлять большим количеством объектов каталога, в мастере установки укажите другую установку SQL Server. Тип установки SQL Server может влиять на производительность Azure AD Connect.
• Если используется другая установка SQL Server, применяются требования, указанные ниже.
  • Azure AD Connect поддерживают все основные поддерживаемые версии SQL Server до SQL Server 2019 года. Чтобы проверить состояние поддержки версии SQL Server, ознакомьтесь со статьей о жизненном цикле SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных. Это относится как к Базе данных SQL Azure, так и к Управляемому экземпляру SQL Azure.
  • Необходимо использовать параметры сортировки SQL без учета регистра. Их можно определить по суффиксу _CI_ в имени. Параметры сортировки с учетом регистра, имена которых содержат суффикс _CS_ не поддерживаются.
  • Для каждого экземпляра SQL предусмотрен только один модуль синхронизации. Совместное использование экземпляра SQL модулями FIM/MIM Sync, DirSync и Azure AD Sync не поддерживается.

Учетные записи

• У вас должна быть учетная запись глобального администратора Azure AD или учетная запись администратора гибридных удостоверений для Azure AD клиента, с которым вы хотите интегрироваться. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.
• Если используются стандартные параметры или обновление DirSync, необходимо иметь учетную запись администратора предприятия для локальной службы Active Directory.
• Если используется путь установки настраиваемых параметров, имеются дополнительные параметры. Дополнительные сведения см. в статье Параметры выборочной установки.

Соединение

• Для серверов Azure AD Connect требуется разрешение DNS как для интрасети, так и для Интернета. DNS-сервер должен иметь возможность разрешения имен как для локальной службы Active Directory, так и для конечных точек Azure AD.

• Для Azure AD Connect требуется сетевое подключение ко всем настроенным доменам.

• Azure AD Connect требует сетевого подключения к корневому домену всех настроенных лесов.

• Если в вашей интрасети есть брандмауэры, и вам необходимо открыть порты между серверами Azure AD Connect и контроллерами доменов, см. дополнительные сведения в статье Порты Azure AD Connect.

• Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365. Кроме того, см. раздел Добавление URL-адресов портала Azure в список надежных адресов в брандмауэре или на прокси-сервере.

  • Если используется платформа Microsoft Cloud в Германии или облако Microsoft Azure для государственных организаций, то сведения об URL-адресах см. в статье Рекомендации по экземплярам службы синхронизации Azure AD Connect.

• Azure AD Connect (версия 1.1.614.0 и более поздние версии) по умолчанию использует TLS 1.2 для шифрования связи между модулем синхронизации и Azure AD. Если TLS 1.2 не поддерживается для базовой операционной системы, Azure AD Connect последовательно пытается перейти на более старые протоколы (TLS 1.1 и TLS 1.0). Версии Azure AD Connect, начиная с версии 2.0 Протоколы TLS 1.0 и 1.1 больше не поддерживаются, и установка завершится сбоем, если не включен протокол TLS 1.2.

• До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между модулем синхронизации и Azure AD. Чтобы перейти на использование TLS 1.2, нужно выполнить инструкции из раздела Включение протокола TLS 1.2 для Azure AD Connect.

• Если для подключения к Интернету используется исходящий прокси-сервер, то в файл C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config необходимо добавить нижеуказанные параметры, чтобы мастер установки и служба синхронизации Azure AD Connect могли подключаться к Интернету и Azure AD. Этот текст необходимо добавить в конец указанного файла. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если для прокси-сервера требуется проверка подлинности, учетная запись службы должна размещаться в домене. Используйте путь установки настраиваемых параметров, чтобы определить настраиваемую учетную запись службы. Также требуется другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации отвечают на запросы аутентификации от прокси-сервера. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть следующим образом.

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если конфигурация прокси-сервера выполняется в существующей установке, необходимо перезапустить службу Microsoft Azure AD Sync, чтобы обеспечить возможность считывания конфигурации прокси-сервера и обновления поведения для Azure AD Connect.

• Когда в процессе синхронизации каталогов Azure AD Connect отправляет веб-запрос в Azure AD, то для ответа Azure AD может потребоваться до 5 минут. Как правило, для прокси-серверов обычно настраивается тайм-аут простоя подключения. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.

Дополнительную информацию об элементе "прокси-сервер по умолчанию" см. на сайте MSDN. В случае проблем с подключением изучите статью Устранение неполадок подключения в Azure AD Connect.

Другое

Необязательно: используйте тестовую учетную запись пользователя для проверки синхронизации.

Предварительные требования к компонентам

PowerShell и .NET Framework

Azure AD Connect использует Microsoft PowerShell 5.0 и .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.

Включение протокола TLS 1.2 для Azure AD Connect

До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером модуля синхронизации и Azure AD. Можно настроить приложения .NET таким образом, чтобы на сервере по умолчанию использовался протокол TLS 1.2. Дополнительные сведения о TLS 1.2 см. в статье Советы по безопасности корпорации Майкрософт (2960358).

1. Убедитесь, что для операционной системы установлено исправление по .NET 4.5.1. Дополнительные сведения см. в статье Советы по безопасности корпорации Майкрософт (2960358). Это исправление или его более поздняя версия может быть уже установлена на вашем сервере.

2. Для любой операционной системы задайте этот ключ реестра и перезагрузите сервер.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Если также требуется включить протокол TLS 1.2 между сервером с модулем синхронизации и удаленным экземпляром SQL Server, установите версии, необходимые для поддержки протокола TLS 1.2 для Microsoft SQL Server.

Необходимые компоненты DCOM на сервере синхронизации

В процессе установки службы синхронизации Azure AD Connect проверяет наличие следующего раздела реестра:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Azure AD Connect проверит наличие и отсутствие повреждений следующих значений:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Предварительные требования для установки и настройки федерации

Удаленное управление Windows

Если Azure AD Connect используется для развертывания AD FS или прокси-сервера веб-приложения (WAP), проверьте выполнение требований, указанных ниже.

• Если целевой сервер присоединен к домену, включите удаленное управление Windows.
  • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
• Если целевой сервер представляет собой WAP-компьютер, не присоединенный к домену, имеются некоторые дополнительные требования, указанные ниже.
  • На целевом компьютере (WAP):
    • Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку "Службы".
    • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
  • На компьютере, где запущен мастер (если целевой компьютер не присоединен к домену или представляет собой ненадежный домен), выполните действия, указанные ниже.
    • В командном окне PowerShell с повышенными привилегиями выполните команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
    • В диспетчере серверов
      • Добавьте узел WAP DMZ в пул компьютеров. В диспетчере сервера последовательно выберите Управление>Добавить серверы, затем используйте вкладку DNS.
      • На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
      • Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.

Требования к TLS- и SSL-сертификатам

• Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
• Это должен быть сертификат X509.
• На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
  • Если используется сертификат, который не является общедоступным и доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).
• Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
  • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
  • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
  • Если вы планируете использовать Workplace Join, вам потребуется дополнительное имя SAN со значением enterpriseregistration, после которого следует суффикс имени субъекта-пользователя (UPN) вашей организации (например, enterpriseregistration.contoso.com).
• Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
• Поддерживаются групповые сертификаты.

Разрешение имен для серверов федерации

• Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
• Если выполняется развертывание нескольких серверов AD FS или прокси-сервер веб-приложения, убедитесь, что настроен балансировщик нагрузки, и на него указывают записи DNS для имени AD FS (например, sts.contoso.com).
• Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Azure AD Connect

Azure AD Connect устанавливает компоненты, указанные ниже, на сервере, где установлен Azure AD Connect. Этот список предназначен для базовой установки Express. Если на странице Установка служб синхронизации выбран другой SQL Server, то SQL Express LocalDB не устанавливается локально.

• Azure AD Connect Health
• Программы командной строки Microsoft SQL Server 2019
• Microsoft SQL Server 2019 Express LocalDB
• Microsoft SQL Server 2019 Native Client
• Распространяемый пакет Microsoft Visual C++ 14

Требования к оборудованию для Azure AD Connect

В таблице ниже содержатся минимальные требования к компьютеру синхронизации с Azure AD Connect.

Количество объектов в Active Directory	ЦП	Память	Размер жесткого диска
Менее 10 000	1,6 ГГц	6 ГБ	70 ГБ
10 000–50 000	1,6 ГГц	6 ГБ	70 ГБ
50 000–100 000	1,6 ГГц	16 Гб	100 ГБ
При наличии 100 000 или более объектов необходима полная версия SQL Server. По соображениям производительности предпочтительнее локальная установка. Следующие значения допустимы только для установки Azure AD Connect. Если SQL Server будут установлены на том же сервере, потребуется дополнительная память, диск и ЦП.
100 000–300 000	1,6 ГГц	32 ГБ	300 ГБ
300 000–600 000	1,6 ГГц	32 ГБ	450 ГБ
Более 600 000	1,6 ГГц	32 ГБ	500 ГБ

Для компьютеров, где выполняются AD FS или прокси-серверы веб-приложений, предъявляются следующие минимальные требования:

• процессор: двухъядерный с тактовой частотой 1,6 ГГц или выше;
• память: 2 ГБ или более;
• виртуальная машина Azure: конфигурация A2 или выше.

Дальнейшие действия

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.