Учетные записи и разрешения для Microsoft Entra Connect
Сведения об учетных записях, которые используются и создаются, а также разрешения, необходимые для установки и использования Microsoft Entra Подключение.
Учетные записи, используемые для Подключение Microsoft Entra
Microsoft Entra Подключение использует три учетных записи для синхронизации сведений из локальной среды Windows Server Active Directory (Windows Server AD) с идентификатором Microsoft Entra:
Учетная запись ad DS Подключение or: используется для чтения и записи сведений в Windows Server AD с помощью служб домен Active Directory (AD DS).
Учетная запись службы ADSync: используется для запуска службы синхронизации и доступа к базе данных SQL Server.
Учетная запись Microsoft Entra Подключение or: используется для записи сведений в идентификатор Microsoft Entra.
Для установки Microsoft Entra Подключение также требуются следующие учетные записи:
Локальная учетная запись Администратор istrator: администратор, который устанавливает Microsoft Entra Подключение и имеет локальные разрешения Администратор istrator на компьютере.
Учетная запись ad DS Enterprise Администратор istrator. При необходимости используется для создания требуемой учетной записи Подключение or AD DS.
Учетная запись Microsoft Entra Global Администратор istrator: используется для создания учетной записи Microsoft Entra Подключение or и настройки идентификатора Microsoft Entra. Вы можете просматривать учетные записи глобального Администратор istrator и гибридного удостоверения Администратор istrator в Центре администрирования Microsoft Entra. См. список назначений ролей Microsoft Entra.
Учетная запись SA SQL (необязательно): используется для создания базы данных ADSync при использовании полной версии SQL Server. Экземпляр SQL Server может быть локальным или удаленным для установки Microsoft Entra Подключение. Эта учетная запись может быть той же учетной записью, что и учетная запись Enterprise Администратор istrator.
Теперь подготовка базы данных может выполняться с помощью администратора SQL Server и установки администратором Microsoft Entra Подключение, если у учетной записи есть разрешения владельца базы данных (DBO). Дополнительные сведения см. в разделе "Установка Microsoft Entra Подключение с помощью делегированных разрешений администратора SQL".
Важно!
Начиная с сборки 1.4.##.#.## вы больше не можете использовать учетную запись enterprise Администратор istrator или учетную запись домена Администратор istrator в качестве учетной записи Подключение or AD DS. Если вы пытаетесь ввести учетную запись, которая является корпоративным Администратор istrator или доменом Администратор istrator для использования существующей учетной записи, мастер отображает сообщение об ошибке и вы не можете продолжить.
Примечание.
Вы можете управлять учетными записями администратора, которые используются в Microsoft Entra Подключение с помощью корпоративной модели доступа. Организация может использовать корпоративную модель доступа для размещения административных учетных записей, рабочих станций и групп в среде с более строгими элементами безопасности, чем в рабочей среде. Дополнительные сведения см. в статье о Корпоративной модели доступа.
Роль глобального Администратор istrator не требуется после начальной установки. После установки единственной необходимой учетной записью является учетная запись роли "Учетные записи синхронизации каталогов". Вместо удаления учетной записи с ролью глобального Администратор istrator рекомендуется изменить роль на роль с более низким уровнем разрешений. Полное удаление учетной записи может привести к проблемам, если вам нужно снова запустить мастер. Вы можете добавить разрешения, если вам нужно снова использовать мастер microsoft Entra Подключение.
Установка Microsoft Entra Подключение
Мастер установки Microsoft Entra Подключение предлагает два пути:
- Экспресс-параметры. В Microsoft Entra Подключение экспресс-параметры мастер требует дополнительных разрешений, чтобы легко настроить установку. Мастер создает пользователей и настраивает разрешения, чтобы вам не нужно было.
- Пользовательские параметры. В Microsoft Entra Подключение пользовательских параметров в мастере есть дополнительные варианты и параметры. Однако для некоторых сценариев важно убедиться, что у вас есть правильные разрешения.
Стандартные параметры
В экспресс-параметрах введите эти сведения в мастере установки:
- учетные данные администратора предприятия AD DS;
- Учетные данные Microsoft Entra Global Администратор istrator
учетные данные администратора предприятия AD DS;
Учетная запись ad DS Enterprise Администратор istrator используется для настройки Windows Server AD. Эти учетные данные используются только во время установки. Корпоративный Администратор istrator, а не домен Администратор istrator, должен убедиться, что разрешения в Windows Server AD можно задать во всех доменах.
При обновлении с DirSync учетные данные ad DS Enterprise Администратор istrator используются для сброса пароля учетной записи, используемой DirSync. Кроме того, требуются учетные данные Глобального Администратор istrator Microsoft Entra Global Администратор istrator.
Учетные данные Microsoft Entra Global Администратор istrator
Учетные данные для учетной записи Microsoft Entra Global Администратор istrator используются только во время установки. Учетная запись используется для создания учетной записи Microsoft Entra Подключение or, которая синхронизирует изменения с идентификатором Microsoft Entra. Учетная запись также включает синхронизацию как функцию в идентификаторе Microsoft Entra.
Дополнительные сведения см. в статье Global Администратор istrator.
Разрешения учетной записи соединителя AD DS, необходимые для режима "Стандартные параметры"
Учетная запись ad DS Подключение or создается для чтения и записи в Windows Server AD. Учетная запись имеет следующие разрешения при создании во время установки экспресс-параметров:
| Разрешение | Используется для |
|---|---|
| — репликация изменений каталога — репликация всех изменений каталога |
Синхронизация хэша паролей |
| Чтение и запись всех свойств для пользователя | Гибридный импорт и обмен |
| Чтение и запись всех свойств для iNetOrgPerson | Гибридный импорт и обмен |
| Чтение и запись всех свойств для группы | Гибридный импорт и обмен |
| Чтение и запись всех свойств для контакта | Гибридный импорт и обмен |
| Сброс пароля | Подготовка к включению компонента обратной записи паролей |
Мастер экспресс-параметров
При установке экспресс-параметров мастер создает некоторые учетные записи и параметры.
В следующей таблице приведена сводка страниц мастера экспресс-параметров, собранных учетных данных и используемых ими.
| Страница мастера | Собранные учетные данные | Требуемые разрешения | Назначение |
|---|---|---|---|
| Н/П | Пользователь, выполняющий мастер установки. | Администратор istrator локального сервера. | Используется для создания учетной записи службы ADSync, которая используется для запуска службы синхронизации. |
| Подключение идентификатор Microsoft Entra | Учетные данные каталога Microsoft Entra. | Роль глобального Администратор istrator в идентификаторе Microsoft Entra. | — используется для включения синхронизации в каталоге Microsoft Entra. — Используется для создания учетной записи Microsoft Entra Подключение or, которая используется для текущих операций синхронизации в идентификаторе Microsoft Entra. |
| Подключение к AD DS | Учетные данные Windows Server AD. | Член группы корпоративных Администратор в Windows Server AD. | Используется для создания учетной записи ad DS Подключение or в Windows Server AD и предоставления им разрешений. Эта созданная учетная запись используется для чтения и записи сведений о каталоге во время синхронизации. |
Настраиваемые параметры
В установке пользовательских параметров в мастере есть дополнительные варианты и параметры.
Мастер пользовательских параметров
В следующей таблице приведена сводка страниц мастера пользовательских параметров, собранных учетных данных и используемых ими данных:
| Страница мастера | Собранные учетные данные | Требуемые разрешения | Назначение |
|---|---|---|---|
| Н/П | Пользователь, выполняющий мастер установки. | — Администратор istrator локального сервера. — При использовании экземпляра полного SQL Server пользователь должен быть системным Администратор istrator (sysadmin) в SQL Server. |
По умолчанию используется для создания локальной учетной записи, которая используется в качестве учетной записи службы подсистемы синхронизации. Учетная запись создается только в том случае, если администратор не указывает учетную запись. |
| Установка служб синхронизации, параметра учетной записи службы | Учетные данные учетной записи пользователя Windows Server AD или локальной учетной записи пользователя. | Пользователь и разрешения предоставляются мастером установки. | Если администратор указал учетную запись, она будет использоваться в качестве учетной записи службы синхронизации. |
| Подключение идентификатор Microsoft Entra | Учетные данные каталога Microsoft Entra. | Роль глобального Администратор istrator в идентификаторе Microsoft Entra. | — используется для включения синхронизации в каталоге Microsoft Entra. — Используется для создания учетной записи Microsoft Entra Подключение or, которая используется для текущих операций синхронизации в идентификаторе Microsoft Entra. |
| Подключить каталоги | Учетные данные Windows Server AD для каждого леса, подключенного к идентификатору Microsoft Entra. | Разрешения зависят от того, какие функции можно включить и найти в разделе "Создание учетной записи ad DS Подключение or". | Эта учетная запись используется для чтения и записи сведений о каталоге во время синхронизации. |
| Серверы AD FS | Для каждого сервера в списке мастер собирает учетные данные, когда учетные данные входа пользователя, выполняющего мастер, недостаточно для подключения. | Учетная запись домена Администратор istrator. | Используется во время установки и настройки роли сервера службы федерации Active Directory (AD FS) (AD FS). |
| Прокси-серверы веб-приложений | Для каждого сервера в списке мастер собирает учетные данные, когда учетные данные входа пользователя, выполняющего мастер, недостаточно для подключения. | Локальный администратор на целевом компьютере | Используется во время установки и настройки роли сервера прокси-сервера веб-приложения (WAP). |
| Учетные данные доверия прокси-сервера | Учетные данные доверия службы федерации (учетные данные, которые прокси-сервер использует для регистрации для сертификата доверия из служб федерации (FS)). | Учетная запись домена, которая является локальным Администратор istrator сервера AD FS. | Начальная регистрация сертификата доверия FS-WAP. |
| Страница учетной записи службы AD FS С помощью параметра учетной записи пользователя домена | Учетные данные учетной записи пользователя Windows Server AD. | Пользователь домена. | Учетная запись пользователя Microsoft Entra, учетные данные которой указаны в качестве учетной записи входа службы AD FS. |
Создание учетной записи соединителя AD DS
Важно!
Новый модуль PowerShell с именем ADSyncConfig.psm1 был представлен с сборкой 1.1.880.0 (выпущена в августе 2018 г.). Модуль содержит коллекцию командлетов, которые помогают настроить правильные разрешения Windows Server AD для учетной записи Подключение доменных служб Microsoft Entra.
Дополнительные сведения см. в разделе Подключение Microsoft Entra: настройка разрешения учетной записи Подключение учетной записи AD DS.
Учетная запись, указанная на Подключение странице каталогов, должна быть создана в Windows Server AD как обычный объект пользователя (VSA, MSA или gMSA не поддерживаются) перед установкой. Microsoft Entra Подключение версии 1.1.524.0 и более поздних версий позволяет мастеру Microsoft Entra Подключение создать учетную запись ad DS Подключение or, которая используется для подключения к Windows Server AD.
Указанная учетная запись также должна иметь необходимые разрешения. Мастер установки не проверяет разрешения, и все проблемы обнаруживаются только во время синхронизации.
Необходимые разрешения зависят от включаемых дополнительных функций. При наличии нескольких доменов следует предоставить разрешения для всех доменов в лесу. Если вы не включите какие-либо из этих функций, достаточно разрешений пользователя домена по умолчанию.
| Компонент | Разрешения |
|---|---|
| функция ms-DS-ConsistencyGuid | Разрешения на запись атрибута ms-DS-ConsistencyGuid , задокументированного в концепциях конструктора. Использование ms-DS-ConsistencyGuid в качестве sourceAnchor. |
| Синхронизация хэша паролей | — репликация изменений каталога — репликация всех изменений каталога |
| Гибридное развертывание Exchange | Запишите разрешения в атрибуты, описанные в статье Гибридная обратная запись Exchange для пользователей, групп и контактов. |
| Общедоступная папка почты Exchange | Разрешения на чтение для атрибутов, описанных в статье Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, для общедоступных папок. |
| Компонент обратной записи паролей | Запишите разрешения в атрибуты, описанные в статье Приступая к работе с компонентами управления паролями для пользователей. |
| Обратная запись устройств | Разрешения, предоставленные скриптом PowerShell, как описано в разделе "Обратная запись устройства". |
| Обратная запись групп | Позволяет выполнять обратную запись Группы Microsoft 365 в лес, на котором установлен Exchange. |
Разрешения, необходимые для обновления
При обновлении с одной версии Microsoft Entra Подключение до нового выпуска требуются следующие разрешения:
| Субъект | Требуемые разрешения | Назначение |
|---|---|---|
| Пользователь, выполняющий мастер установки | Администратор локального сервера | Используется для обновления двоичных файлов. |
| Пользователь, выполняющий мастер установки | Член ADSyncAdmins | Используется для внесения изменений в правила синхронизации и другие конфигурации. |
| Пользователь, выполняющий мастер установки | Если вы используете полный экземпляр SQL Server: DBO (или аналогично) ядра синхронизации | Используется для внесения изменений на уровне базы данных, таких как обновление таблиц с новыми столбцами. |
Важно!
В сборке 1.1.484 в Microsoft Entra Подключение появилась ошибка регрессии. Для обновления базы данных SQL Server требуется разрешение sysadmin. Ошибка исправлена в сборке 1.1.647. Для обновления до этой сборки необходимо иметь разрешения sysadmin. В этом сценарии разрешения DBO недостаточно. Если вы пытаетесь обновить Microsoft Entra Подключение без разрешений sysadmin, обновление завершается ошибкой, а Microsoft Entra Подключение больше не работает.
Сведения о созданных учетных записях
В следующих разделах приведены дополнительные сведения о созданных учетных записях в Microsoft Entra Подключение.
Учетная запись соединителя AD DS
При использовании экспресс-параметров учетная запись, используемая для синхронизации, создается в Windows Server AD. Созданная учетная запись находится в корневом домене леса в контейнере "Пользователи". Имя учетной записи имеет префикс MSOL_. Учетная запись создается с длинным сложным паролем, срок действия которого не истекает. Если у вас есть политика паролей в домене, убедитесь, что для этой учетной записи разрешены длинные и сложные пароли.
Если вы используете пользовательские параметры, перед началом установки вы несете ответственность за создание учетной записи. См. раздел Создание учетной записи соединителя AD DS.
Учетная запись службы ADSync
Служба синхронизации может работать от имени разных учетных записей. Он может выполняться под учетной записью виртуальной службы (VSA), групповой управляемой учетной записью службы (gMSA), автономной управляемой службой (sMSA) или обычной учетной записью пользователя. Поддерживаемые параметры были изменены с выпуском Microsoft Entra за апрель 2017 г. Подключение при новой установке. Если вы обновляете более ранний выпуск Microsoft Entra Подключение, эти другие параметры недоступны.
| Тип учетной записи | Вариант установки | Description |
|---|---|---|
| VSA | быстрая и настраиваемая установки, апрель 2017 г. и более поздние версии | Этот параметр используется для всех установок экспресс-параметров, за исключением установок на контроллере домена. Для пользовательских параметров используется параметр по умолчанию. |
| gMSA | Настраиваемая, сборка за апрель 2017 г. и более поздние версии | Если вы используете удаленный экземпляр SQL Server, рекомендуется использовать gMSA. |
| Учетная запись пользователя | быстрая и настраиваемая установки, апрель 2017 г. и более поздние версии | Учетная запись пользователя, префиксная с AAD_, создается во время установки только в том случае, если microsoft Entra Подключение установлена в Windows Server 2008 и когда она установлена на контроллере домена. |
| Учетная запись пользователя | быстрая и настраиваемая установки, март 2017 г. и более ранние версии | Локальная учетная запись с префиксом AAD_ создается во время установки. В пользовательской установке можно указать другую учетную запись. |
Если вы используете Microsoft Entra Подключение со сборкой с марта 2017 г. или более ранней версии, не сбрасывайте пароль в учетной записи службы. Windows уничтожает ключи шифрования по соображениям безопасности. Вы не можете изменить учетную запись на любую другую учетную запись, не переустановив Подключение Microsoft Entra. При обновлении до сборки с апреля 2017 г. или более поздней версии можно изменить пароль учетной записи службы, но не удается изменить используемую учетную запись.
Важно!
Учетную запись службы можно задать только при первой установке. После завершения установки нельзя изменить учетную запись службы.
В следующей таблице описаны параметры по умолчанию, рекомендуемые и поддерживаемые параметры для учетной записи службы синхронизации.
Условные обозначения:
- Полужирный= параметр по умолчанию и, в большинстве случаев, рекомендуемый вариант.
- Курсив = Рекомендуемый параметр, если он не является параметром по умолчанию.
- 2008 = параметр по умолчанию при установке в Windows Server 2008
- Нежирный = поддерживаемый параметр
- Локальная учетная запись = локальная учетная запись пользователя на сервере
- Учетная запись домена = учетная запись пользователя домена
- sMSA = автономная управляемая учетная запись службы
- gMSA = учетная запись управляемой службы группы
| Локальная база данных Express |
Локальная база данных или локальный SQL Server Пользовательская |
Удаленный SQL Server Пользовательская |
|
|---|---|---|---|
| компьютер, присоединенный к домену | VSA Локальная учетная запись (2008) |
VSA Локальная учетная запись (2008) Локальная учетная запись Доменная учетная запись sMSA, gMSA |
gMSA Доменная учетная запись |
| Контроллер домена | Доменная учетная запись | gMSA Доменная учетная запись sMSA |
gMSA Доменная учетная запись |
VSA
VSA — это особый тип учетной записи, которая не имеет пароля и управляется Windows.
VSA предназначено для использования с сценариями, в которых подсистема синхронизации и SQL Server находятся на одном сервере. При использовании удаленного SQL Server рекомендуется использовать gMSA вместо VSA.
Для функции VSA требуется Windows Server 2008 R2 или более поздней версии. При установке Microsoft Entra Подключение в Windows Server 2008 установка возвращается к использованию учетной записи пользователя вместо VSA.
gMSA
Если вы используете удаленный экземпляр SQL Server, рекомендуется использовать gMSA. Дополнительные сведения о подготовке Windows Server AD для gMSA см. в обзоре учетных записей управляемых служб группы.
Чтобы использовать этот параметр, на странице "Установка необходимых компонентов" выберите "Использовать существующую учетную запись службы" и выберите "Управляемая учетная запись службы".
Вы также можете использовать sMSA в этом сценарии. Однако вы можете использовать sMSA только на локальном компьютере, а не использовать sMSA по умолчанию.
Для функции sMSA требуется Windows Server 2012 или более поздней версии. Если необходимо использовать более раннюю версию операционной системы и использовать удаленный SQL Server, необходимо использовать учетную запись пользователя.
Учетная запись пользователя
Локальная учетная запись службы создается мастером установки (если вы не указываете в пользовательских параметрах используемую учетную запись). Учетная запись имеет префикс AAD_ и используется для фактической службы синхронизации для запуска от имени. При установке Microsoft Entra Подключение на контроллере домена учетная запись создается в домене. Учетная запись службы AAD_ должна быть размещена в домене, если:
- Вы используете удаленный сервер под управлением SQL Server.
- Вы используете прокси-сервер, требующий проверки подлинности.
Учетная запись службы AAD_ создается с длинным сложным паролем, срок действия которого не истекает.
Эта учетная запись используется для безопасного хранения паролей для других учетных записей. Пароли хранятся в базе данных. Закрытые ключи для ключей шифрования защищены с помощью шифрования секретных ключей служб шифрования с помощью API защиты данных Windows (DPAPI).
Если вы используете полный экземпляр SQL Server, учетная запись службы — это DBO созданной базы данных для подсистемы синхронизации. Служба не будет работать должным образом с другими разрешениями. Также создается имя входа SQL Server.
Учетная запись также предоставляет разрешения на файлы, разделы реестра и другие объекты, связанные с подсистемой синхронизации.
Учетная запись Microsoft Entra Подключение or
Учетная запись в идентификаторе Microsoft Entra создается для используемой службы синхронизации. Эту учетную запись можно определить по отображаемой имени.
Имя сервера, на который используется учетная запись, можно определить во второй части имени пользователя. На предыдущем рисунке имя сервера — DC1. При наличии промежуточных серверов каждый из них имеет собственную учетную запись.
Учетная запись сервера создается с длинным сложным паролем, срок действия которого не истекает. Учетная запись предоставляет специальную роль "Учетные записи синхронизации каталогов", которая имеет разрешения на выполнение только задач синхронизации каталогов. Эта специальная встроенная роль не может быть предоставлена за пределами мастера microsoft Entra Подключение. Центр администрирования Microsoft Entra отображает эту учетную запись с ролью пользователя.
Идентификатор Microsoft Entra id имеет ограничение в 20 учетных записей службы синхронизации.
Чтобы получить список существующих учетных записей службы Microsoft Entra в экземпляре Microsoft Entra, выполните следующую команду:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesЧтобы удалить неиспользуемые учетные записи службы Microsoft Entra, выполните следующую команду:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Примечание.
Прежде чем использовать эти команды PowerShell, необходимо установить модуль Microsoft Graph PowerShell и подключиться к экземпляру идентификатора Microsoft Entra с помощью Подключение-MgGraph.
Дополнительные сведения об управлении или сбросе пароля для учетной записи Microsoft Entra Подключение см. в статье "Управление учетной записью Microsoft Entra Подключение".
Связанные статьи
Дополнительные сведения о Microsoft Entra Подключение см. в следующих статьях:
| Раздел | Ссылка |
|---|---|
| Скачивание Подключение Microsoft Entra | Скачивание Подключение Microsoft Entra |
| Установка с помощью экспресс-параметров | Экспресс-установка Microsoft Entra Подключение |
| Установка с помощью настраиваемых параметров | Выборочная установка Microsoft Entra Connect |
| Обновление из DirSync | Обновление с помощью средства синхронизации Azure AD (DirSync) |
| После установки | Проверка установки и назначение лицензий |
Следующие шаги
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.