Предварительные требования для Microsoft Entra Connect

  • Статья

В этой статье описываются предварительные требования и требования к оборудованию для Microsoft Entra Подключение.

Перед установкой Microsoft Entra Подключение

Перед установкой Microsoft Entra Подключение необходимо выполнить несколько действий.

Microsoft Entra ID

  • Вам нужен клиент Microsoft Entra. Вы получите его с бесплатной пробной версией Azure. Для управления Microsoft Entra Подключение можно использовать один из следующих порталов:
  • Добавьте и проверьте домен , который вы планируете использовать в идентификаторе Microsoft Entra. Например, если вы планируете использовать домен contoso.com для своих пользователей, убедитесь, что этот домен был подтвержден, и вы используете не только домен по умолчанию contoso.onmicrosoft.com.
  • Клиент Microsoft Entra по умолчанию разрешает 50 000 объектов. После подтверждения домена этот предел увеличивается до 300 000 объектов. Если вам нужно еще больше объектов в идентификаторе Microsoft Entra, откройте вариант поддержки, чтобы увеличить ограничение еще больше. Если вам требуется более 500 000 объектов, вам нужна лицензия, например Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Подготовка локальных данных

Локальный каталог Active Directory

  • Версия схемы и режим работы леса Active Directory должны предполагать использование ОС Windows Server, начиная с версии 2003. Контроллеры домена могут работать под управлением любой версии, если выполняются требования к версии схемы и уровню леса. Если требуется поддержка контроллеров домена под управлением Windows Server 2016 или более ранних версий, может потребоваться платная программа поддержки.
  • Контроллер домена, используемый в Microsoft Entra ID, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается, и Microsoft Entra Подключение не следует перенаправления записи.
  • Локальные леса и домены, использующие имена NetBIOS с точками (в имени содержится знак ".") не поддерживаются.
  • Рекомендуем активировать корзину Active Directory.

Политика выполнения PowerShell

Microsoft Entra Подключение запускает подписанные скрипты PowerShell в рамках установки. Убедитесь, что политика выполнения PowerShell позволяет выполнение сценариев.

Рекомендуемая политика выполнения в процессе установки — "RemoteSigned".

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Microsoft Entra Подключение

Сервер Microsoft Entra Подключение содержит критически важные данные удостоверения. Необходимо обеспечить надлежащую безопасность административного доступа к этому серверу. Следуйте рекомендациям статьи Защита привилегированного доступа.

Сервер Microsoft Entra Подключение должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Мы рекомендуем защитить сервер Microsoft Entra Подключение в качестве ресурса уровня управления, следуя инструкциям, приведенным в защищенном привилегированном доступе.

Дополнительные сведения о защите среды Active Directory см. в статье Рекомендации по обеспечению безопасности Active Directory.

Предварительные требования для установки

  • Microsoft Entra Подключение необходимо установить на присоединенном к домену Windows Server 2016 или более поздней версии. Рекомендуется использовать присоединенный к домену Windows Server 2022. Вы можете развернуть microsoft Entra Подключение в Windows Server 2016, но так как Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации.
  • Минимальная версия платформа .NET Framework требуется 4.6.2, а более новые версии .NET также поддерживаются. .NET версии 4.8 и больше обеспечивает оптимальное соответствие специальных возможностей.
  • Microsoft Entra Подключение не удается установить на small Business Server или Windows Server Essentials до 2019 г. (Windows Server Essentials 2019 поддерживается). Сервер должен использовать Windows Server Standard или более поздней версии.
  • Сервер Microsoft Entra Подключение должен иметь полный графический интерфейс. Установка Microsoft Entra Подключение в Windows Server Core не поддерживается.
  • Сервер Microsoft Entra Подключение не должен включать групповую политику транскрибирования PowerShell, если вы используете мастер microsoft Entra Подключение для управления конфигурацией службы федерации Active Directory (AD FS) (AD FS). Вы можете включить транскрибирование PowerShell, если вы используете мастер microsoft Entra Подключение для управления конфигурацией синхронизации.
  • Если ad FS развертывается:
  • Не поддерживается прерывание и анализ трафика между Microsoft Entra Подключение и идентификатором Microsoft Entra. Это может нарушить работу службы.
  • Если для гибридных удостоверений Администратор istrator включена MFA, URL-адрес https://secure.aadcdn.microsoftonline-p.comдолжен находиться в списке надежных сайтов. Если он не добавлен, вам будет предложено добавить этот сайт в список надежных сайтов перед появлением запроса MFA. Добавить его в список надежных сайтов можно в Internet Explorer.
  • Если вы планируете использовать Microsoft Entra Подключение Health для синхронизации, убедитесь, что необходимые условия для Microsoft Entra Подключение Health также выполнены. Дополнительные сведения см. в статье microsoft Entra Подключение Health agent installation.

Усиление защиты сервера Microsoft Entra Подключение

Рекомендуется ужесточить сервер Microsoft Entra Подключение, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуйте этим рекомендациям, чтобы устранить некоторые угрозы безопасности в организации.

  • Мы рекомендуем защитить ресурс Microsoft Entra Подключение в качестве ресурса уровня управления (прежнее название — уровень 0), следуя инструкциям, приведенным в модели административного уровня Secure Privileged Access и Active Directory.
  • Ограничить административный доступ к серверу Microsoft Entra Подключение только администраторам домена или другим строго контролируемым группам безопасности.
  • Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять обычную работу, используя учетные записи с высоким уровнем привилегий.
  • Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
  • Запрет использования проверки подлинности NTLM с сервером Microsoft Entra Подключение. Ниже приведены некоторые способы: ограничение NTLM на сервере Microsoft Entra Подключение и ограничение NTLM в домене
  • Убедитесь, что на каждом компьютере установлен уникальный пароль локального администратора. Дополнительные сведения см. в статье "Локальное Администратор istrator Password Solution(Windows LAPS) может настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые, авторизованные пользователи могут читать или запрашивать сброс паролей учетной записи локального администратора. Дополнительные рекомендации по работе с средой с windows LAPS и привилегированным доступом рабочих станций (PAW) можно найти в операционных стандартах на основе принципа чистого источника.
  • Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
  • Следуйте этим дополнительным рекомендациям, чтобы сократить направления атак на среду Active Directory.
  • Следуйте изменениям в конфигурации федерации монитора, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и идентификатором Microsoft Entra.
  • Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием Microsoft Entra Подключение заключается в том, что если злоумышленник может контролировать сервер Microsoft Entra Подключение, который может управлять пользователями в идентификаторе Microsoft Entra. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось, например, сбросить пароль пользователя с помощью Microsoft Entra Подключение они по-прежнему не могут обойти второй фактор.
  • Отключение нестрогого сопоставления в клиенте. Soft Matching — это отличная функция для передачи источника полномочий для существующих облачных управляемых объектов в Microsoft Entra Подключение, но она связана с определенными рисками безопасности. Если этого не требуется, следует отключить обратимое сопоставление.
  • Отключите отработку жесткого совпадения. Переключение на жесткое соответствие позволяет Microsoft Entra Подключение контролировать управляемый облаком объект и изменять источник центра для объекта в Active Directory. После того как источник центра объекта перезаписывается Подключение Microsoft Entra, изменения, внесенные в объект Active Directory, связанный с объектом Microsoft Entra, перезаписывают исходные данные Microsoft Entra, включая хэш паролей, если включена синхронизация хэша паролей. Злоумышленник может использовать эту возможность для контроля над облачными управляемыми объектами. Чтобы устранить этот риск, отключите отработку жесткого соответствия.

SQL Server, используемый Microsoft Entra Подключение

  • Microsoft Entra Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). Размер SQL Server Express ограничивается 10 ГБ, что обеспечивает управление примерно 100 000 объектов. Если необходимо управлять большим количеством объектов каталога, в мастере установки укажите другую установку SQL Server. Тип установки SQL Server может повлиять на производительность Microsoft Entra Подключение.
  • Если вы используете другую установку SQL Server, эти требования применяются:
    • Microsoft Entra Подключение поддерживает все основные поддерживаемые версии SQL Server до SQL Server 2022, работающих в Windows. Ознакомьтесь со статьей жизненного цикла SQL Server, чтобы проверить состояние поддержки версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных. Это относится как к Базе данных SQL Azure, так и к Управляемому экземпляру SQL Azure.
    • Необходимо использовать параметры сортировки SQL без учета регистра. Их можно определить по суффиксу _CI_ в имени. Параметры сортировки с учетом регистра, имена которых содержат суффикс _CS_ не поддерживаются.
    • Для каждого экземпляра SQL предусмотрен только один модуль синхронизации. Совместное использование экземпляра SQL с помощью службы "Синхронизация MIM", "DirSync" или "Синхронизация Azure AD" не поддерживается.

Организация

  • У вас должна быть учетная запись Microsoft Entra Global Администратор istrator или учетная запись гибридного удостоверения Администратор istrator для клиента Microsoft Entra, с которым вы хотите интегрироваться. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.
  • Если используются стандартные параметры или обновление DirSync, необходимо иметь учетную запись администратора предприятия для локальной службы Active Directory.
  • Если используется путь установки настраиваемых параметров, имеются дополнительные параметры. Дополнительные сведения см. в статье Параметры выборочной установки.

Подключение

  • Серверу Microsoft Entra Подключение требуется разрешение DNS для интрасети и Интернета. DNS-сервер должен иметь возможность разрешать имена как в локальная служба Active Directory, так и в конечных точках Microsoft Entra.

  • Microsoft Entra Подключение требует сетевого подключения ко всем настроенным доменам

  • Microsoft Entra Подключение требует сетевого подключения к корневому домену всех настроенных лесов.

  • Если у вас есть брандмауэры в интрасети и вам нужно открыть порты между серверами Microsoft Entra Подключение и контроллерами домена, см. дополнительные сведения о портах Microsoft Entra Подключение.

  • Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365. Также см. Сейф список URL-адресов Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере.

    • Если вы используете облако Майкрософт в Германии или облако Microsoft Azure для государственных организаций, ознакомьтесь с рекомендациями по использованию экземпляров службы синхронизации Microsoft Entra Подключение для URL-адресов.

  • Microsoft Entra Подключение (версия 1.1.614.0 и после) по умолчанию использует TLS 1.2 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Если протокол TLS 1.2 недоступен в базовой операционной системе, Microsoft Entra Подключение постепенно возвращается к старым протоколам (TLS 1.1 и TLS 1.0). Начиная с Microsoft Entra Подключение версии 2.0. Протоколы TLS 1.0 и 1.1 больше не поддерживаются, и установка завершится сбоем, если не включен протокол TLS 1.2.

  • До версии 1.1.614.0 Microsoft Entra Подключение по умолчанию использует TLS 1.0 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Чтобы изменить протокол TLS 1.2, выполните действия, описанные в разделе "Включить TLS 1.2 для Microsoft Entra Подключение".

  • Если вы используете исходящий прокси-сервер для подключения к Интернету, необходимо добавить следующий параметр в файле C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, чтобы мастер установки и Microsoft Entra Подключение Sync могли подключаться к Интернету и идентификатору Microsoft Entra. Этот текст необходимо добавить в конец указанного файла. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.

        <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Если для прокси-сервера требуется проверка подлинности, учетная запись службы должна размещаться в домене. Используйте путь установки настраиваемых параметров, чтобы определить настраиваемую учетную запись службы. Также требуется другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации отвечают на запросы аутентификации от прокси-сервера. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть следующим образом.

        <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Если конфигурация прокси-сервера выполняется в существующей настройке, службу синхронизации идентификаторов Microsoft Entra необходимо перезапустить один раз, чтобы microsoft Entra Подключение считывать конфигурацию прокси-сервера и обновлять поведение.

  • Когда Microsoft Entra Подключение отправляет веб-запрос в идентификатор Microsoft Entra в рамках синхронизации каталогов, идентификатор Microsoft Entra может занять до 5 минут, чтобы ответить. Как правило, для прокси-серверов обычно настраивается тайм-аут простоя подключения. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.

Дополнительную информацию об элементе "прокси-сервер по умолчанию" см. на сайте MSDN. В случае проблем с подключением изучите статью Устранение неполадок подключения в Azure AD Connect.

Другие

Необязательно: используйте тестовую учетную запись пользователя для проверки синхронизации.

Предварительные требования к компонентам

PowerShell и .NET Framework

Microsoft Entra Подключение зависит от Microsoft PowerShell 5.0 и платформа .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.

Включение TLS 1.2 для Microsoft Entra Подключение

До версии 1.1.614.0 Microsoft Entra Подключение по умолчанию использует TLS 1.0 для шифрования связи между сервером подсистемы синхронизации и идентификатором Microsoft Entra. Можно настроить приложения .NET таким образом, чтобы на сервере по умолчанию использовался протокол TLS 1.2. Дополнительные сведения о TLS 1.2 см. в статье Советы по безопасности корпорации Майкрософт (2960358).

  1. Убедитесь, что для операционной системы установлено исправление по .NET 4.5.1. Дополнительные сведения см. в статье Советы по безопасности корпорации Майкрософт (2960358). Это исправление или его более поздняя версия может быть уже установлена на вашем сервере.

  2. Для любой операционной системы задайте этот ключ реестра и перезагрузите сервер.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

  3. Если также требуется включить протокол TLS 1.2 между сервером с модулем синхронизации и удаленным экземпляром SQL Server, установите версии, необходимые для поддержки протокола TLS 1.2 для Microsoft SQL Server.

Необходимые компоненты DCOM на сервере синхронизации

Во время установки службы синхронизации Microsoft Entra Подключение проверка для наличия следующего раздела реестра:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Microsoft Entra Подключение проверка, чтобы узнать, присутствуют ли следующие значения и некорпорированы:

Предварительные требования для установки и настройки федерации

Служба удаленного управления Windows

При использовании Microsoft Entra Подключение для развертывания AD FS или прокси веб-приложения (WAP) проверка следующих требований:

  • Если целевой сервер присоединен к домену, включите удаленное управление Windows.
    • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
  • Если целевой сервер является компьютером WAP, не присоединенным к домену, существует несколько дополнительных требований:
    • На целевом компьютере (КОМПЬЮТЕР WAP):
      • Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку "Службы".
      • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
    • На компьютере, на котором работает мастер (если целевой компьютер не присоединен к домену или является ненадежным доменом):
      • В командном окне PowerShell с повышенными привилегиями выполните команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • В диспетчере серверов:
        • Добавьте узел WAP DMZ в пул компьютеров. В диспетчере сервера последовательно выберите Управление>Добавить серверы, затем используйте вкладку DNS.
        • На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
        • Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.

Требования к TLS- и SSL-сертификатам

  • Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
  • Это должен быть сертификат X509.
  • На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
    • Если используется сертификат, который не является общедоступным и доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).
  • Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
    • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
    • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
    • Если вы планируете использовать Workplace Join, вам потребуется дополнительное имя SAN со значением enterpriseregistration, после которого следует суффикс имени субъекта-пользователя (UPN) вашей организации (например, enterpriseregistration.contoso.com).
  • Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
  • Поддерживаются групповые сертификаты.

Разрешение имен для серверов федерации

  • Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
  • Если выполняется развертывание нескольких серверов AD FS или прокси-сервер веб-приложения, убедитесь, что настроен балансировщик нагрузки, и на него указывают записи DNS для имени AD FS (например, sts.contoso.com).
  • Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Microsoft Entra Подключение

Microsoft Entra Подключение устанавливает следующие компоненты на сервере, на котором установлен microsoft Entra Подключение. Этот список предназначен для базовой установки Express. Если на странице Установка служб синхронизации выбран другой SQL Server, то SQL Express LocalDB не устанавливается локально.

  • Microsoft Entra Connect Health
  • Служебные программы командной строки Microsoft SQL Server 2022
  • Microsoft SQL Server 2022 Express LocalDB
  • Собственный клиент Microsoft SQL Server 2022
  • Распространяемый пакет Microsoft Visual C++ 14

Требования к оборудованию для Microsoft Entra Подключение

В следующей таблице показаны минимальные требования для компьютера синхронизации Microsoft Entra Подключение.

Количество объектов в Active Directory ЦП Память Размер жесткого диска
Менее 10 000 1,6 ГГц 6 ГБ 70 ГБ
10 000–50 000 1,6 ГГц 6 ГБ 70 ГБ
50 000–100 000 1,6 ГГц 16 ГБ 100 ГБ
При наличии 100 000 или более объектов необходима полная версия SQL Server. По соображениям производительности предпочтительнее локальная установка. Следующие значения допустимы только для установки Microsoft Entra Подключение. Если SQL Server будет установлен на том же сервере, требуется дополнительная память, диск и ЦП.
100 000–300 000 1,6 ГГц 32 Гб 300 ГБ
300 000–600 000 1,6 ГГц 32 Гб 450 ГБ
Более 600 000 1,6 ГГц 32 Гб 500 ГБ

Для компьютеров, где выполняются AD FS или прокси-серверы веб-приложений, предъявляются следующие минимальные требования:

  • процессор: двухъядерный с тактовой частотой 1,6 ГГц или выше;
  • память: 2 ГБ или более;
  • виртуальная машина Azure: конфигурация A2 или выше.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.