Учетные записи и разрешения для Microsoft Entra Connect
Сведения об учетных записях, которые используются и создаются, а также разрешения, необходимые для установки и использования Microsoft Entra Connect.
Учетные записи, используемые для Microsoft Entra Connect
Microsoft Entra Connect использует три учетных записи для синхронизации данных из локальной среды Windows Server Active Directory (Windows Server AD) с идентификатором Microsoft Entra:
Учетная запись соединителя AD DS: используется для чтения и записи сведений в Windows Server AD с помощью служб домен Active Directory (AD DS).
Учетная запись службы ADSync: используется для запуска службы синхронизации и доступа к базе данных SQL Server.
Учетная запись соединителя Microsoft Entra: используется для записи сведений в идентификатор Microsoft Entra.
Для установки Microsoft Entra Connect также требуются следующие учетные записи:
Учетная запись локального администратора: администратор, который устанавливает Microsoft Entra Connect и имеет разрешения локального администратора на компьютере.
Учетная запись администратора предприятия AD DS. При необходимости используется для создания необходимой учетной записи соединителя AD DS.
Учетная запись глобального администратора Microsoft Entra: используется для создания учетной записи соединителя Microsoft Entra Connector и настройки идентификатора Microsoft Entra. Вы можете просматривать учетные записи глобального администратора и администратора гибридных удостоверений в Центре администрирования Microsoft Entra. См. список назначений ролей Microsoft Entra.
Учетная запись SA SQL (необязательно): используется для создания базы данных ADSync при использовании полной версии SQL Server. Экземпляр SQL Server может быть локальным или удаленным для установки Microsoft Entra Connect. Эта учетная запись может быть той же учетной записью, что и учетная запись администратора предприятия.
Теперь подготовка базы данных может выполняться администратором SQL Server, а затем устанавливается администратором Microsoft Entra Connect, если у учетной записи есть разрешения владельца базы данных (DBO). Дополнительные сведения см. в статье "Установка Microsoft Entra Connect с помощью делегированных разрешений администратора SQL".
Внимание
Начиная с сборки 1.4.##.#.## вы больше не можете использовать учетную запись администратора предприятия или учетную запись администратора домена в качестве учетной записи соединителя AD DS. Если вы пытаетесь ввести учетную запись, которая является администратором предприятия или администратором домена для использования существующей учетной записи, мастер отображает сообщение об ошибке и не сможете продолжить.
Примечание.
Вы можете управлять учетными записями администратора, которые используются в Microsoft Entra Connect с помощью корпоративной модели доступа. Организация может использовать корпоративную модель доступа для размещения административных учетных записей, рабочих станций и групп в среде с более строгими элементами безопасности, чем в рабочей среде. Дополнительные сведения см. в статье о Корпоративной модели доступа.
Роль глобального администратора не требуется после начальной настройки. После установки единственной необходимой учетной записью является учетная запись роли "Учетные записи синхронизации каталогов". Вместо удаления учетной записи с ролью глобального администратора рекомендуется изменить роль на роль с более низким уровнем разрешений. Полное удаление учетной записи может привести к проблемам, если вам нужно снова запустить мастер. Вы можете добавить разрешения, если вам нужно снова использовать мастер Microsoft Entra Connect.
Установка Microsoft Entra Connect
Мастер установки Microsoft Entra Connect предлагает два пути:
- Экспресс-параметры. В параметрах Microsoft Entra Connect express мастер требует дополнительных разрешений, чтобы легко настроить установку. Мастер создает пользователей и настраивает разрешения, чтобы вам не нужно было.
- Пользовательские параметры: в Microsoft Entra Connect настраиваемые параметры доступны больше вариантов и параметров в мастере. Однако для некоторых сценариев важно убедиться, что у вас есть правильные разрешения.
Стандартные параметры
В экспресс-параметрах введите эти сведения в мастере установки:
- учетные данные администратора предприятия AD DS;
- Учетные данные глобального администратора Microsoft Entra
учетные данные администратора предприятия AD DS;
Учетная запись администратора предприятия AD DS используется для настройки Windows Server AD. Эти учетные данные используются только во время установки. Администратор предприятия, а не администратор домена, должен убедиться, что разрешения в Windows Server AD можно задать во всех доменах.
При обновлении с DirSync учетные данные администратора ПРЕДПРИЯТИЯ AD DS используются для сброса пароля учетной записи, используемой DirSync. Также требуются учетные данные глобального администратора Microsoft Entra.
Учетные данные глобального администратора Microsoft Entra
Учетные данные учетной записи глобального администратора Microsoft Entra используются только во время установки. Учетная запись используется для создания учетной записи соединителя Microsoft Entra Connector, которая синхронизирует изменения с идентификатором Microsoft Entra. Учетная запись также включает синхронизацию как функцию в идентификаторе Microsoft Entra.
Дополнительные сведения см. в разделе "Глобальный администратор".
Разрешения учетной записи соединителя AD DS, необходимые для режима "Стандартные параметры"
Учетная запись соединителя AD DS создается для чтения и записи в Windows Server AD. Учетная запись имеет следующие разрешения при создании во время установки экспресс-параметров:
| Разрешение | Используется для |
|---|---|
| — репликация изменений каталога — репликация всех изменений каталога |
Синхронизация хэша паролей |
| Чтение и запись всех свойств для пользователя | Гибридный импорт и обмен |
| Чтение и запись всех свойств для iNetOrgPerson | Гибридный импорт и обмен |
| Чтение и запись всех свойств для группы | Гибридный импорт и обмен |
| Чтение и запись всех свойств для контакта | Гибридный импорт и обмен |
| Сброс пароля | Подготовка к включению компонента обратной записи паролей |
Мастер экспресс-параметров
При установке экспресс-параметров мастер создает некоторые учетные записи и параметры.
В следующей таблице приведена сводка страниц мастера экспресс-параметров, собранных учетных данных и используемых ими.
| Страница мастера | Собранные учетные данные | Требуемые разрешения | Характер использования |
|---|---|---|---|
| Н/П | Пользователь, выполняющий мастер установки. | Администратор локального сервера. | Используется для создания учетной записи службы ADSync, которая используется для запуска службы синхронизации. |
| Подключение к идентификатору Microsoft Entra | Учетные данные каталога Microsoft Entra. | Роль глобального администратора в идентификаторе Microsoft Entra. | — используется для включения синхронизации в каталоге Microsoft Entra. — Используется для создания учетной записи соединителя Microsoft Entra Connector, которая используется для текущих операций синхронизации в идентификаторе Microsoft Entra. |
| Подключение к AD DS | Учетные данные Windows Server AD. | Член группы корпоративных администраторов в Windows Server AD. | Используется для создания учетной записи соединителя AD AD в Windows Server AD и предоставления им разрешений. Эта созданная учетная запись используется для чтения и записи сведений о каталоге во время синхронизации. |
Настраиваемые параметры
В установке пользовательских параметров в мастере есть дополнительные варианты и параметры.
Мастер пользовательских параметров
В следующей таблице приведена сводка страниц мастера пользовательских параметров, собранных учетных данных и используемых ими данных:
| Страница мастера | Собранные учетные данные | Требуемые разрешения | Характер использования |
|---|---|---|---|
| Н/П | Пользователь, выполняющий мастер установки. | — администратор локального сервера. — При использовании экземпляра полного SQL Server пользователь должен быть системным администратором (sysadmin) в SQL Server. |
По умолчанию используется для создания локальной учетной записи, которая используется в качестве учетной записи службы подсистемы синхронизации. Учетная запись создается только в том случае, если администратор не указывает учетную запись. |
| Установка служб синхронизации, параметра учетной записи службы | Учетные данные учетной записи пользователя Windows Server AD или локальной учетной записи пользователя. | Пользователь и разрешения предоставляются мастером установки. | Если администратор указал учетную запись, она будет использоваться в качестве учетной записи службы синхронизации. |
| Подключение к идентификатору Microsoft Entra | Учетные данные каталога Microsoft Entra. | Роль глобального администратора в идентификаторе Microsoft Entra. | — используется для включения синхронизации в каталоге Microsoft Entra. — Используется для создания учетной записи соединителя Microsoft Entra Connector, которая используется для текущих операций синхронизации в идентификаторе Microsoft Entra. |
| Подключить каталоги | Учетные данные Windows Server AD для каждого леса, подключенного к идентификатору Microsoft Entra. | Разрешения зависят от того, какие функции можно включить и найти в учетной записи соединителя AD DS. | Эта учетная запись используется для чтения и записи сведений о каталоге во время синхронизации. |
| Серверы AD FS | Для каждого сервера в списке мастер собирает учетные данные, когда учетные данные входа пользователя, выполняющего мастер, недостаточно для подключения. | Учетная запись администратора домена. | Используется во время установки и настройки роли сервера службы федерации Active Directory (AD FS) (AD FS). |
| Прокси-серверы веб-приложений | Для каждого сервера в списке мастер собирает учетные данные, когда учетные данные входа пользователя, выполняющего мастер, недостаточно для подключения. | Локальный администратор на целевом компьютере | Используется во время установки и настройки роли сервера прокси-сервера веб-приложения (WAP). |
| Учетные данные доверия прокси-сервера | Учетные данные доверия службы федерации (учетные данные, которые прокси-сервер использует для регистрации для сертификата доверия из служб федерации (FS)). | Учетная запись домена, которая является локальным администратором сервера AD FS. | Начальная регистрация сертификата доверия FS-WAP. |
| Страница учетной записи службы AD FS С помощью параметра учетной записи пользователя домена | Учетные данные учетной записи пользователя Windows Server AD. | Пользователь домена. | Учетная запись пользователя Microsoft Entra, учетные данные которой указаны в качестве учетной записи входа службы AD FS. |
Создание учетной записи соединителя AD DS
Внимание
Новый модуль PowerShell с именем ADSyncConfig.psm1 был представлен с сборкой 1.1.880.0 (выпущена в августе 2018 г.). Модуль содержит коллекцию командлетов, которые помогают настроить правильные разрешения Windows Server AD для учетной записи соединителя доменных служб Microsoft Entra.
Дополнительные сведения см. в статье Microsoft Entra Connect: настройка разрешения учетной записи соединителя AD DS.
Учетная запись, указанная на странице "Подключение каталогов" , должна быть создана в Windows Server AD как обычный объект пользователя (VSA, MSA или gMSA не поддерживаются) перед установкой. Microsoft Entra Connect версии 1.1.524.0 и более поздних версий позволяет мастеру Microsoft Entra Connect создать учетную запись соединителя AD DS, которая используется для подключения к Windows Server AD.
Указанная учетная запись также должна иметь необходимые разрешения. Мастер установки не проверяет разрешения, и все проблемы обнаруживаются только во время синхронизации.
Необходимые разрешения зависят от включаемых дополнительных функций. При наличии нескольких доменов следует предоставить разрешения для всех доменов в лесу. Если вы не включите какие-либо из этих функций, достаточно разрешений пользователя домена по умолчанию.
| Функция | Разрешения |
|---|---|
| функция ms-DS-ConsistencyGuid | Разрешения на запись атрибута ms-DS-ConsistencyGuid , задокументированного в концепциях конструктора. Использование ms-DS-ConsistencyGuid в качестве sourceAnchor. |
| Синхронизация хэша паролей | — репликация изменений каталога — репликация всех изменений каталога |
| Гибридное развертывание Exchange | Запишите разрешения в атрибуты, описанные в статье Гибридная обратная запись Exchange для пользователей, групп и контактов. |
| Общедоступная папка почты Exchange | Разрешения на чтение для атрибутов, описанных в статье Службы синхронизации Azure AD Connect: атрибуты, синхронизируемые с Azure Active Directory, для общедоступных папок. |
| Компонент обратной записи паролей | Запишите разрешения в атрибуты, описанные в статье Приступая к работе с компонентами управления паролями для пользователей. |
| Обратная запись устройств | Разрешения, предоставленные скриптом PowerShell, как описано в разделе "Обратная запись устройства". |
| Обратная запись групп | Позволяет выполнять обратную запись Группы Microsoft 365 в лес, на котором установлен Exchange. |
Разрешения, необходимые для обновления
При обновлении с одной версии Microsoft Entra Connect до нового выпуска требуются следующие разрешения:
| Субъект | Требуемые разрешения | Характер использования |
|---|---|---|
| Пользователь, выполняющий мастер установки | Администратор локального сервера | Используется для обновления двоичных файлов. |
| Пользователь, выполняющий мастер установки | Член ADSyncAdmins | Используется для внесения изменений в правила синхронизации и другие конфигурации. |
| Пользователь, выполняющий мастер установки | Если вы используете полный экземпляр SQL Server: DBO (или аналогично) ядра синхронизации | Используется для внесения изменений на уровне базы данных, таких как обновление таблиц с новыми столбцами. |
Внимание
В сборке 1.1.484 в Microsoft Entra Connect появилась ошибка регрессии. Для обновления базы данных SQL Server требуется разрешение sysadmin. Ошибка исправлена в сборке 1.1.647. Для обновления до этой сборки необходимо иметь разрешения sysadmin. В этом сценарии разрешения DBO недостаточно. Если вы пытаетесь обновить Microsoft Entra Connect без разрешений sysadmin, обновление завершается ошибкой, и Microsoft Entra Connect больше не работает.
Сведения о созданных учетных записях
В следующих разделах приведены дополнительные сведения о созданных учетных записях в Microsoft Entra Connect.
Учетная запись соединителя AD DS
При использовании экспресс-параметров учетная запись, используемая для синхронизации, создается в Windows Server AD. Созданная учетная запись находится в корневом домене леса в контейнере "Пользователи". Имя учетной записи имеет префикс MSOL_. Учетная запись создается с длинным сложным паролем, срок действия которого не истекает. Если у вас есть политика паролей в домене, убедитесь, что для этой учетной записи разрешены длинные и сложные пароли.
Если вы используете пользовательские параметры, перед началом установки вы несете ответственность за создание учетной записи. См. раздел Создание учетной записи соединителя AD DS.
Учетная запись службы ADSync
Служба синхронизации может работать от имени разных учетных записей. Он может выполняться под учетной записью виртуальной службы (VSA), групповой управляемой учетной записью службы (gMSA), автономной управляемой службой (sMSA) или обычной учетной записью пользователя. Поддерживаемые параметры были изменены с выпуском Microsoft Entra Connect за апрель 2017 г. при новой установке. Если вы обновляете более ранний выпуск Microsoft Entra Connect, эти другие параметры недоступны.
| Тип учетной записи | Вариант установки | Description |
|---|---|---|
| VSA | быстрая и настраиваемая установки, апрель 2017 г. и более поздние версии | Этот параметр используется для всех установок экспресс-параметров, за исключением установок на контроллере домена. Для пользовательских параметров используется параметр по умолчанию. |
| gMSA | Настраиваемая, сборка за апрель 2017 г. и более поздние версии | Если вы используете удаленный экземпляр SQL Server, рекомендуется использовать gMSA. |
| Учетная запись пользователя | быстрая и настраиваемая установки, апрель 2017 г. и более поздние версии | Во время установки создается префикс учетной записи пользователя с AAD_ только при установке Microsoft Entra Connect в Windows Server 2008 и при установке на контроллере домена. |
| Учетная запись пользователя | быстрая и настраиваемая установки, март 2017 г. и более ранние версии | Локальная учетная запись с префиксом AAD_ создается во время установки. В пользовательской установке можно указать другую учетную запись. |
Если вы используете Microsoft Entra Connect со сборкой с марта 2017 г. или более ранней версии, не сбрасывайте пароль в учетной записи службы. Windows уничтожает ключи шифрования по соображениям безопасности. Вы не можете изменить учетную запись на любую другую учетную запись, не переустановив Microsoft Entra Connect. При обновлении до сборки с апреля 2017 г. или более поздней версии можно изменить пароль учетной записи службы, но не удается изменить используемую учетную запись.
Внимание
Учетную запись службы можно задать только при первой установке. После завершения установки нельзя изменить учетную запись службы.
В следующей таблице описаны параметры по умолчанию, рекомендуемые и поддерживаемые параметры для учетной записи службы синхронизации.
Условные обозначения:
- Полужирный= параметр по умолчанию и, в большинстве случаев, рекомендуемый вариант.
- Курсив = Рекомендуемый параметр, если он не является параметром по умолчанию.
- 2008 = параметр по умолчанию при установке в Windows Server 2008
- Нежирный = поддерживаемый параметр
- Локальная учетная запись = локальная учетная запись пользователя на сервере
- Учетная запись домена = учетная запись пользователя домена
- sMSA = автономная управляемая учетная запись службы
- gMSA = учетная запись управляемой службы группы
| Локальная база данных Express |
Локальная база данных или локальный SQL Server Пользовательское |
Удаленный SQL Server Пользовательское |
|
|---|---|---|---|
| компьютер, присоединенный к домену | VSA Локальная учетная запись (2008) |
VSA Локальная учетная запись (2008) Локальная учетная запись Доменная учетная запись sMSA, gMSA |
gMSA Доменная учетная запись |
| Контроллер домена | Доменная учетная запись | gMSA Доменная учетная запись sMSA |
gMSA Доменная учетная запись |
VSA
VSA — это особый тип учетной записи, которая не имеет пароля и управляется Windows.
VSA предназначено для использования с сценариями, в которых подсистема синхронизации и SQL Server находятся на одном сервере. При использовании удаленного SQL Server рекомендуется использовать gMSA вместо VSA.
Для функции VSA требуется Windows Server 2008 R2 или более поздней версии. Если установить Microsoft Entra Connect в Windows Server 2008, установка возвращается к использованию учетной записи пользователя вместо VSA.
gMSA
Если вы используете удаленный экземпляр SQL Server, рекомендуется использовать gMSA. Дополнительные сведения о подготовке Windows Server AD для gMSA см. в обзоре учетных записей управляемых служб группы.
Чтобы использовать этот параметр, на странице "Установка необходимых компонентов" выберите "Использовать существующую учетную запись службы" и выберите "Управляемая учетная запись службы".
Вы также можете использовать sMSA в этом сценарии. Однако вы можете использовать sMSA только на локальном компьютере, а не использовать sMSA по умолчанию.
Для функции sMSA требуется Windows Server 2012 или более поздней версии. Если необходимо использовать более раннюю версию операционной системы и использовать удаленный SQL Server, необходимо использовать учетную запись пользователя.
Учетная запись пользователя
Локальная учетная запись службы создается мастером установки (если вы не указываете в пользовательских параметрах используемую учетную запись). Учетная запись имеет префикс AAD_ и используется для фактической службы синхронизации для запуска от имени. При установке Microsoft Entra Connect на контроллере домена учетная запись создается в домене. Учетная запись службы AAD_ должна быть размещена в домене, если:
- Вы используете удаленный сервер под управлением SQL Server.
- Вы используете прокси-сервер, требующий проверки подлинности.
Учетная запись службы AAD_ создается с длинным сложным паролем, срок действия которого не истекает.
Эта учетная запись используется для безопасного хранения паролей для других учетных записей. Пароли хранятся в базе данных. Закрытые ключи для ключей шифрования защищены с помощью шифрования секретных ключей служб шифрования с помощью API защиты данных Windows (DPAPI).
Если вы используете полный экземпляр SQL Server, учетная запись службы — это DBO созданной базы данных для подсистемы синхронизации. Служба не будет работать должным образом с другими разрешениями. Также создается имя входа SQL Server.
Учетная запись также предоставляет разрешения на файлы, разделы реестра и другие объекты, связанные с подсистемой синхронизации.
Учетная запись соединителя Microsoft Entra
Учетная запись в идентификаторе Microsoft Entra создается для используемой службы синхронизации. Эту учетную запись можно определить по отображаемой имени.
Имя сервера, на который используется учетная запись, можно определить во второй части имени пользователя. На предыдущем рисунке имя сервера — DC1. При наличии промежуточных серверов каждый из них имеет собственную учетную запись.
Учетная запись сервера создается с длинным сложным паролем, срок действия которого не истекает. Учетная запись предоставляет специальную роль "Учетные записи синхронизации каталогов", которая имеет разрешения на выполнение только задач синхронизации каталогов. Эта специальная встроенная роль не может быть предоставлена за пределами мастера Microsoft Entra Connect. Центр администрирования Microsoft Entra отображает эту учетную запись с ролью пользователя.
Идентификатор Microsoft Entra id имеет ограничение в 20 учетных записей службы синхронизации.
Чтобы получить список существующих учетных записей службы Microsoft Entra в экземпляре Microsoft Entra, выполните следующую команду:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesЧтобы удалить неиспользуемые учетные записи службы Microsoft Entra, выполните следующую команду:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Примечание.
Прежде чем использовать эти команды PowerShell, необходимо установить модуль Microsoft Graph PowerShell и подключиться к экземпляру идентификатора Microsoft Entra с помощью Connect-MgGraph.
Дополнительные сведения об управлении или сбросе пароля для учетной записи Microsoft Entra Connect см. в статье "Управление учетной записью Microsoft Entra Connect".
Связанные статьи
Дополнительные сведения о Microsoft Entra Connect см. в следующих статьях:
| Раздел | Установить связь |
|---|---|
| Скачивание Microsoft Entra Connect | Скачивание Microsoft Entra Connect |
| Установка с помощью экспресс-параметров | Экспресс-установка Microsoft Entra Connect |
| Установка с помощью настраиваемых параметров | Выборочная установка Microsoft Entra Connect |
| Обновление из DirSync | Обновление с помощью средства синхронизации Azure AD (DirSync) |
| После установки | Проверка установки и назначение лицензий |
Следующие шаги
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по