Предварительные требования для Microsoft Entra Connect

В этой статье описываются предварительные требования и требования к оборудованию для Microsoft Entra Connect.

Перед установкой Microsoft Entra Connect

Перед установкой Microsoft Entra Connect необходимо выполнить несколько действий.

Идентификатор Microsoft Entra

• Вам нужен клиент Microsoft Entra. Вы получаете его с бесплатной пробной версией Azure. Для управления Microsoft Entra Connect можно использовать один из следующих порталов:
  • Центр администрирования Microsoft Entra.
  • Портал Office.
• Добавьте и проверьте домен , который вы планируете использовать в идентификаторе Microsoft Entra. Например, если вы планируете использовать contoso.com для пользователей, убедитесь, что этот домен проверен, и вы не используете только домен contoso.onmicrosoft.com по умолчанию.
• Клиент Microsoft Entra по умолчанию разрешает 50 000 объектов. При проверке домена ограничение увеличивается до 300 000 объектов. Если вам нужно еще больше объектов в идентификаторе Microsoft Entra, откройте вариант поддержки, чтобы увеличить ограничение еще больше. Если вам требуется более 500 000 объектов, вам нужна лицензия, например Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Подготовка локальных данных

• Используйте IdFix для выявления ошибок, таких как дубликаты и проблемы форматирования в каталоге перед синхронизацией с идентификатором Microsoft Entra и Microsoft 365.
• Просмотрите необязательные функции синхронизации, которые можно включить в идентификаторе Microsoft Entra и оценить, какие функции следует включить.

Локальный Active Directory

• Версия схемы Active Directory и функциональный уровень леса должен быть Windows Server 2003 или более поздней версии. Контроллеры домена могут запускать любую версию до тех пор, пока выполнены требования к версии схемы и уровню леса. Если требуется поддержка контроллеров домена под управлением Windows Server 2016 или более ранних версий, может потребоваться платная программа поддержки.
• Контроллер домена, используемый идентификатором Microsoft Entra, должен быть записываемым. Использование контроллера домена только для чтения (RODC) не поддерживается, и Microsoft Entra Connect не следует перенаправления записи.
• Использование локальных лесов или доменов с помощью "dotted" (имя содержит период ".") Имена NetBIOS не поддерживаются.
• Рекомендуется включить корзину Active Directory.

Политика выполнения PowerShell

Microsoft Entra Connect запускает подписанные скрипты PowerShell в процессе установки. Убедитесь, что политика выполнения PowerShell позволит выполнять скрипты.

Рекомендуемая политика выполнения во время установки — RemoteSigned.

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Microsoft Entra Connect

Сервер Microsoft Entra Connect содержит критически важные данные удостоверения. Важно правильно защитить административный доступ к этому серверу. Следуйте инструкциям в разделе "Защита привилегированного доступа".

Сервер Microsoft Entra Connect должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления, следуя инструкциям, приведенным в secure Privileged Access

Дополнительные сведения о защите среды Active Directory см. в рекомендациях по защите Active Directory.

Предварительные требования для установки

• Microsoft Entra Connect должен быть установлен на присоединенном к домену Windows Server 2016 или более поздней версии. Рекомендуется использовать присоединенный к домену Windows Server 2022. Вы можете развернуть Microsoft Entra Connect в Windows Server 2016, но так как Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации.
• Минимальная версия платформа .NET Framework требуется 4.6.2, а более новые версии .NET также поддерживаются. .NET версии 4.8 и больше обеспечивает оптимальное соответствие специальных возможностей.
• Microsoft Entra Connect не может быть установлен в Small Business Server или Windows Server Essentials до 2019 г. (Windows Server Essentials 2019 поддерживается). Сервер должен использовать windows Server уровня "Стандартный" или более поздней версии.
• Сервер Microsoft Entra Connect должен иметь полный графический интерфейс. Установка Microsoft Entra Connect в Windows Server Core не поддерживается.
• Сервер Microsoft Entra Connect не должен включать групповую политику транскрибирования PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией службы федерации Active Directory (AD FS) (AD FS). Вы можете включить транскрибирование PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией синхронизации.
• Убедитесь, что MSOnline PowerShell (MSOL) не блокируется на уровне клиента.
• Если ad FS развертывается:
  • Серверы, на которых установлен прокси-сервер AD FS или прокси веб-приложения, должны быть Windows Server 2012 R2 или более поздней версии. Удаленное управление Windows должно быть включено на этих серверах для удаленной установки. Вам может потребоваться платная программа поддержки, если требуется поддержка Windows Server 2016 и более ранних версий.
  • Необходимо настроить TLS/SSL-сертификаты. Дополнительные сведения см. в статье об управлении протоколами SSL/TLS и наборами шифров для AD FS и управлении SSL-сертификатами в AD FS.
  • Необходимо настроить разрешение имен.
• Он не поддерживается для разрыва и анализа трафика между Microsoft Entra Connect и идентификатором Microsoft Entra. Это может нарушить работу службы.
• Если у администраторов гибридных удостоверений включена MFA, URL-адрес https://secure.aadcdn.microsoftonline-p.com должен находиться в списке надежных сайтов. Вам будет предложено добавить этот сайт в список надежных сайтов, когда появится запрос на вызов MFA, и он еще не добавлен. Internet Explorer можно использовать для добавления его на надежные сайты.
• Если вы планируете использовать Microsoft Entra Connect Health для синхронизации, необходимо использовать учетную запись глобального администратора для установки Microsoft Entra Connect Sync. Если вы используете учетную запись гибридного администратора, агент будет установлен, но в отключенном состоянии. Дополнительные сведения см. в статье об установке агента Microsoft Entra Connect Health.

Усиление защиты сервера Microsoft Entra Connect

Рекомендуется ужесточить сервер Microsoft Entra Connect, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя этим рекомендациям, вы сможете устранить некоторые риски безопасности для вашей организации.

• Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления (ранее уровень 0), следуя инструкциям, приведенным в модели уровня "Безопасный привилегированный доступ" и "Административный уровень Active Directory".
• Ограничить административный доступ к серверу Microsoft Entra Connect только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать Интернет, проверять электронную почту и выполнять повседневные задачи повышения производительности с высоко привилегированными учетными записями.
• Следуйте инструкциям, приведенным в статье "Защита привилегированного доступа".
• Запрет использования проверки подлинности NTLM с сервером Microsoft Entra Connect. Ниже приведены некоторые способы: ограничение NTLM на сервере Microsoft Entra Connect и ограничение NTLM в домене
• Убедитесь, что у каждого компьютера есть уникальный пароль локального администратора. Дополнительные сведения см. в разделе "Решение для паролей локального администратора" (Windows LAPS) позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые авторизованные пользователи могут считывать или запрашивать сброс паролей учетных записей локального администратора. Дополнительные рекомендации по работе с средой с windows LAPS и привилегированным доступом рабочих станций (PAW) можно найти в операционных стандартах на основе принципа чистого источника.
• Реализуйте выделенные рабочие станции привилегированного доступа для всех сотрудников с привилегированным доступом к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям , чтобы уменьшить область атаки среды Active Directory.
• Следуйте изменениям в конфигурации федерации монитора, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и идентификатором Microsoft Entra.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием Microsoft Entra Connect заключается в том, что если злоумышленник может контролировать сервер Microsoft Entra Connect, который может управлять пользователями в идентификаторе Microsoft Entra ID. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось выполнить сброс пароля пользователя с помощью Microsoft Entra Connect, они по-прежнему не могут обойти второй фактор.
• Отключите обратимое сопоставление в клиенте. Soft Matching — это отличная функция, помогающая передавать источник полномочий для существующих облачных управляемых объектов в Microsoft Entra Connect, но она связана с определенными рисками безопасности. Если этого не требуется, следует отключить обратимое сопоставление.
• Отключите отработку жесткого совпадения. Переключение на жесткое соответствие позволяет Microsoft Entra Connect контролировать управляемый облачный объект и изменять источник центра для объекта в Active Directory. После того как источник центра объекта берется Microsoft Entra Connect, изменения, внесенные в объект Active Directory, связанный с объектом Microsoft Entra, перезаписывают исходные данные Microsoft Entra, включая хэш паролей, если включена синхронизация хэша паролей. Злоумышленник может использовать эту возможность для контроля над облачными управляемыми объектами. Чтобы устранить этот риск, отключите отработку жесткого соответствия.

SQL Server, используемый Microsoft Entra Connect

• Microsoft Entra Connect требует, чтобы база данных SQL Server хранила данные удостоверений. По умолчанию устанавливается SQL Server 2019 Express LocalDB (светлая версия SQL Server Express). SQL Server Express имеет ограничение размера 10 ГБ, позволяющее управлять примерно 100 000 объектами. Если вам нужно управлять более высоким объемом объектов каталогов, укажите мастер установки на другую установку SQL Server. Тип установки SQL Server может повлиять на производительность Microsoft Entra Connect.
• Если вы используете другую установку SQL Server, эти требования применяются:
  • Microsoft Entra Connect поддерживает все основные поддерживаемые версии SQL Server до SQL Server 2022, работающих в Windows. Ознакомьтесь со статьей жизненного цикла SQL Server, чтобы проверить состояние поддержки версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных. Это включает как База данных SQL Azure, так и Управляемый экземпляр SQL Azure.
  • Необходимо использовать параметры сортировки SQL без учета регистра. Эти параметры сортировки идентифицируются с именем _CI_. Использование параметров сортировки с учетом регистра, определяемой _CS_ в их имени , не поддерживается.
  • Для каждого экземпляра SQL можно использовать только один модуль синхронизации. Совместное использование экземпляра SQL с помощью службы "Синхронизация MIM", "DirSync" или "Синхронизация Azure AD" не поддерживается.
  • Обслуживание драйвера ODBC для SQL Server версии 17 и OLE DB Driver for SQL Server версии 18, которые упаковываются в Microsoft Entra Connect. Обновление основной или дополнительной версии драйверов ODBC/OLE DB не поддерживается. Команда группы продуктов Microsoft Entra Connect будет включать новые драйверы ODBC/OLE DB, так как они становятся доступными и должны быть обновлены.

Счета

• У вас должна быть учетная запись глобального администратора Microsoft Entra или учетная запись администратора гибридного удостоверения для клиента Microsoft Entra, с которым вы хотите интегрироваться. Эта учетная запись должна быть учебной или организационной и не может быть учетной записью Майкрософт.
• Если вы используете экспресс-параметры или обновление из DirSync, необходимо иметь учетную запись администратора предприятия для локальная служба Active Directory.
• Если вы используете путь установки пользовательских параметров, у вас есть дополнительные параметры. Дополнительные сведения см. в разделе "Пользовательские параметры установки".

Связь

• Для сервера Microsoft Entra Connect требуется разрешение DNS для интрасети и Интернета. DNS-сервер должен иметь возможность разрешать имена как в локальная служба Active Directory, так и в конечных точках Microsoft Entra.
• Microsoft Entra Connect требует сетевого подключения ко всем настроенным доменам
• Microsoft Entra Connect требует сетевого подключения к корневому домену всех настроенных лесов.
• Если у вас есть брандмауэры в интрасети и вам нужно открыть порты между серверами Microsoft Entra Connect и контроллерами домена, см . дополнительные сведения о портах Microsoft Entra Connect.
• Если прокси-сервер или брандмауэр ограничивают доступ к URL-адресам, url-адреса, описанные в URL-адресах Office 365 и диапазонах IP-адресов, должны быть открыты. Также см . список URL-адресов Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере.
  • Если вы используете облако Майкрософт в Германии или в облаке Microsoft Azure для государственных организаций, ознакомьтесь с рекомендациями по использованию экземпляров службы синхронизации Microsoft Entra Connect для URL-адресов.
• Microsoft Entra Connect (версия 1.1.614.0 и после) по умолчанию использует TLS 1.2 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Если протокол TLS 1.2 недоступен в базовой операционной системе, Microsoft Entra Connect постепенно возвращается к старым протоколам (TLS 1.1 и TLS 1.0). Начиная с Microsoft Entra Connect версии 2.0. TLS 1.0 и 1.1 больше не поддерживаются, а установка завершится ошибкой, если протокол TLS 1.2 не включен.
• До версии 1.1.614.0 Microsoft Entra Connect по умолчанию использует TLS 1.0 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Чтобы изменить протокол TLS 1.2, выполните действия, описанные в разделе "Включить TLS 1.2 для Microsoft Entra Connect".

Важный

Версия 2.3.20.0 — это обновление системы безопасности. Для этого обновления Microsoft Entra Connect требуется TLS 1.2. Перед обновлением до этой версии убедитесь, что у вас есть протокол TLS 1.2.

Все версии Windows Server поддерживают TLS 1.2. Если протокол TLS 1.2 не включен на сервере, необходимо включить это, прежде чем развернуть Microsoft Entra Connect версии 2.0.

Чтобы проверить, включен ли протокол TLS 1.2, см . сценарий PowerShell для проверки TLS.

Дополнительные сведения о TLS 1.2 см. в 2960358 рекомендаций по безопасности Майкрософт. Дополнительные сведения о включении TLS 1.2 см . в статье о включении TLS 1.2.

• Если вы используете исходящий прокси-сервер для подключения к Интернету, необходимо добавить следующий параметр в файле C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config , чтобы мастер установки и Microsoft Entra Connect Sync могли подключаться к Интернету и идентификатору Microsoft Entra Entra ID. Этот текст должен быть введен в нижней части файла. В этом коде <PROXYADDRESS> представляет фактический IP-адрес прокси-сервера или имя узла.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если прокси-сервер требует проверки подлинности, учетная запись службы должна находиться в домене. Используйте путь установки настраиваемых параметров, чтобы указать пользовательскую учетную запись службы. Кроме того, вам потребуется другое изменение в machine.config. При этом изменении в machine.config мастер установки и подсистема синхронизации отвечают на запросы проверки подлинности с прокси-сервера. На всех страницах мастера установки, за исключением страницы "Настройка ", используются учетные данные пользователя, выполнившего вход. На странице "Настройка" в конце мастера установки контекст переключится на созданную учетную запись службы. Раздел machine.config должен выглядеть следующим образом:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если конфигурация прокси-сервера выполняется в существующей настройке, служба синхронизации идентификаторов Microsoft Entra ID должна быть перезапущена один раз, чтобы Microsoft Entra Connect считывала конфигурацию прокси-сервера и обновляла поведение.

• Когда Microsoft Entra Connect отправляет веб-запрос в идентификатор Microsoft Entra ID в рамках синхронизации каталогов, идентификатор Microsoft Entra может занять до 5 минут, чтобы ответить. Обычно прокси-серверы имеют конфигурацию времени ожидания простоя подключения. Убедитесь, что конфигурация имеет значение не менее 6 минут или более.

Дополнительные сведения см. в разделе MSDN об элементе прокси-сервера по умолчанию. Дополнительные сведения о проблемах с подключением см. в статье "Устранение неполадок с подключением".

Другой

Необязательно. Используйте тестовую учетную запись пользователя для проверки синхронизации.

Необходимые компоненты

PowerShell и платформа .NET Framework

Microsoft Entra Connect зависит от Microsoft PowerShell 5.0 и платформа .NET Framework 4.5.1. Вам нужна эта версия или более поздняя версия, установленная на сервере.

Включение TLS 1.2 для Microsoft Entra Connect

Важный

Версия 2.3.20.0 — это обновление системы безопасности. Для этого обновления Microsoft Entra Connect требуется TLS 1.2. Перед обновлением до этой версии убедитесь, что у вас есть протокол TLS 1.2.

Все версии Windows Server поддерживают TLS 1.2. Если протокол TLS 1.2 не включен на сервере, необходимо включить это, прежде чем развернуть Microsoft Entra Connect версии 2.0.

Чтобы проверить, включен ли протокол TLS 1.2, см . сценарий PowerShell для проверки TLS.

Дополнительные сведения о TLS 1.2 см. в 2960358 рекомендаций по безопасности Майкрософт. Дополнительные сведения о включении TLS 1.2 см . в статье о включении TLS 1.2.

До версии 1.1.614.0 Microsoft Entra Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером подсистемы синхронизации и идентификатором Microsoft Entra. Приложения .NET можно настроить для использования TLS 1.2 по умолчанию на сервере. Дополнительные сведения о TLS 1.2 см. в 2960358 рекомендаций по безопасности Майкрософт.

1. Убедитесь, что для операционной системы установлен исправление .NET 4.5.1. Дополнительные сведения см. в 2960358 рекомендаций по безопасности Майкрософт. Возможно, на сервере уже установлен этот исправление или более поздний выпуск.

2. Для всех операционных систем задайте этот раздел реестра и перезапустите сервер.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Если вы также хотите включить TLS 1.2 между сервером обработчика синхронизации и удаленным SQL Server, убедитесь, что у вас установлены необходимые версии для поддержки TLS 1.2 для Microsoft SQL Server.

Дополнительные сведения см . в статье о включении TLS 1.2

Предварительные требования DCOM на сервере синхронизации

Во время установки службы синхронизации Microsoft Entra Connect проверяет наличие следующего раздела реестра:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Microsoft Entra Connect проверяет наличие и неподвержден ли следующие значения:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Необходимые условия для установки и настройки федерации

Удаленное управление Windows

При использовании Microsoft Entra Connect для развертывания AD FS или прокси веб-приложения (WAP) проверьте следующие требования:

• Если целевой сервер присоединен к домену, убедитесь, что удаленное управление Windows включено.
  • В командном окне PowerShell с повышенными привилегиями используйте команду Enable-PSRemoting –force.
• Если целевой сервер является компьютером WAP, не присоединенным к домену, существует несколько дополнительных требований:
  • На целевом компьютере (КОМПЬЮТЕР WAP):
    • Убедитесь, что служба удаленного управления Windows или WS-Management (WinRM) выполняется с помощью оснастки служб.
    • В командном окне PowerShell с повышенными привилегиями используйте команду Enable-PSRemoting –force.
  • На компьютере, на котором работает мастер (если целевой компьютер не присоединен к домену или является ненадежным доменом):
    • В командном окне PowerShell с повышенными привилегиями используйте команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • В диспетчере серверов:
      • Добавьте узел WAP DMZ в пул компьютеров. В диспетчере серверов выберите "Управление серверами>" и перейдите на вкладку DNS.
      • На вкладке диспетчер сервера Все серверы щелкните правой кнопкой мыши сервер WAP и выберите "Управление как". Введите локальные (не доменные) учетные данные для компьютера WAP.
      • Чтобы проверить удаленное подключение PowerShell, на вкладке диспетчер сервера Все серверы щелкните правой кнопкой мыши сервер WAP и выберите Windows PowerShell. Удаленный сеанс PowerShell должен быть открыт, чтобы обеспечить возможность установки удаленных сеансов PowerShell.

Требования к SSL-сертификату TLS/SSL

• Мы рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS и всех прокси-серверах веб-приложения.
• Сертификат должен быть сертификатом X509.
• Самозаверяющий сертификат можно использовать на серверах федерации в тестовой лабораторной среде. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
  • Если вы используете сертификат, который не является общедоступным доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложения, является доверенным как на локальном сервере, так и на всех серверах федерации.
• Удостоверение сертификата должно соответствовать имени службы федерации (например, sts.contoso.com).
  • Удостоверение является расширением альтернативного имени субъекта (SAN) типа dNSName или, если нет записей SAN, имя субъекта указывается в качестве общего имени.
  • Несколько записей SAN могут присутствовать в сертификате, если один из них соответствует имени службы федерации.
  • Если вы планируете использовать присоединение к рабочему месту, требуется дополнительная SAN со значением корпоративной регистрации. За которым следует суффикс имени участника-пользователя (UPN) вашей организации, например, enterpriseregistration.contoso.com.
• Сертификаты на основе ключей следующего поколения CryptoAPI (CNG) и поставщиков хранилища ключей (KSPs) не поддерживаются. В результате необходимо использовать сертификат на основе поставщика криптографических служб (CSP), а не KSP.
• Поддерживаются сертификаты с подстановочными карточками.

Разрешение имен для серверов федерации

• Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS через регистратор домена). Для записи DNS интрасети убедитесь, что вы используете записи A, а не записи CNAME. Использование записей A требуется для правильной работы проверка подлинности Windows с компьютера, присоединенного к домену.
• Если вы развертываете несколько серверов AD FS или прокси-сервера веб-приложений, убедитесь, что вы настроили подсистему балансировки нагрузки и что записи DNS для имени AD FS (например, sts.contoso.com) указывают на подсистему балансировки нагрузки.
• Чтобы встроенная проверка подлинности Windows работала для браузерных приложений с помощью Internet Explorer в интрасети, убедитесь, что имя AD FS (например, sts.contoso.com) добавляется в зону интрасети в Internet Explorer. Это требование можно контролировать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Microsoft Entra Connect

Microsoft Entra Connect устанавливает следующие компоненты на сервере, на котором установлен Microsoft Entra Connect. Этот список предназначен для базовой установки Express. Если вы решили использовать другой SQL Server на странице "Установка служб синхронизации", sql Express LocalDB не устанавливается локально.

• Microsoft Entra Connect Health
• Служебные программы командной строки Microsoft SQL Server 2022
• Microsoft SQL Server 2022 Express LocalDB
• Собственный клиент Microsoft SQL Server 2022
• Пакет распространения Microsoft Visual C++ 14

Требования к оборудованию для Microsoft Entra Connect

В следующей таблице показаны минимальные требования к компьютеру синхронизации Microsoft Entra Connect.

Количество объектов в Active Directory	ЦПУ	Память	Размер жесткого диска
Менее 10 000	1,6 ГГц	6 ГБ	70 ГБ
10,000–50,000	1,6 ГГц	6 ГБ	70 ГБ
50,000–100,000	1,6 ГГц	16 ГБ	100 ГБ
Для 100 000 или более объектов требуется полная версия SQL Server. По соображениям производительности установка локально предпочтительна. Следующие значения допустимы только для установки Microsoft Entra Connect. Если SQL Server будет установлен на том же сервере, требуется дополнительная память, диск и ЦП.
100,000–300,000	1,6 ГГц	32 ГБ	300 ГБ
300,000–600,000	1,6 ГГц	32 ГБ	450 ГБ
Более 600 000	1,6 ГГц	32 ГБ	500 ГБ

Минимальные требования для компьютеров с серверами AD FS или прокси-серверами веб-приложений:

• ЦП: двойной ядер 1,6 ГГц или выше
• Память: 2 ГБ или выше
• Виртуальная машина Azure: конфигурация A2 или более поздняя версия

Дальнейшие действия

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.