Krav för Microsoft Entra Connect

Artikel
11/06/2023

Den här artikeln beskriver kraven och maskinvarukraven för Microsoft Entra Anslut.

Innan du installerar Microsoft Entra Anslut

Innan du installerar Microsoft Entra Anslut finns det några saker som du behöver.

Microsoft Entra ID

Du behöver en Microsoft Entra-klientorganisation. Du får en med en kostnadsfri utvärderingsversion av Azure. Du kan använda någon av följande portaler för att hantera Microsoft Entra-Anslut:
- Administrationscentret för Microsoft Entra.
- Office-portalen.
Lägg till och verifiera den domän som du planerar att använda i Microsoft Entra-ID. Om du till exempel planerar att använda contoso.com för dina användare kontrollerar du att domänen har verifierats och att du inte bara använder den contoso.onmicrosoft.com standarddomänen.
En Microsoft Entra-klientorganisation tillåter som standard 50 000 objekt. När du verifierar din domän ökar gränsen till 300 000 objekt. Om du behöver ännu fler objekt i Microsoft Entra-ID öppnar du ett supportärende för att öka gränsen ytterligare. Om du behöver fler än 500 000 objekt behöver du en licens, till exempel Microsoft 365, Microsoft Entra ID P1 eller P2 eller Enterprise Mobility + Security.

Förbereda dina lokala data

Använd IdFix för att identifiera fel som dubbletter och formateringsproblem i katalogen innan du synkroniserar med Microsoft Entra ID och Microsoft 365.
Granska valfria synkroniseringsfunktioner som du kan aktivera i Microsoft Entra-ID och utvärdera vilka funktioner du bör aktivera.

Lokalt Active Directory

Active Directory-schemaversionen och skogens funktionsnivå måste vara Windows Server 2003 eller senare. Domänkontrollanterna kan köra vilken version som helst så länge schemaversionen och kraven på skogsnivå är uppfyllda. Du kan behöva ett betalt supportprogram om du behöver stöd för domänkontrollanter som kör Windows Server 2016 eller äldre.
Domänkontrollanten som används av Microsoft Entra-ID måste vara skrivbar. Det går inte att använda en skrivskyddad domänkontrollant (RODC) och Microsoft Entra Anslut inte följer några skrivomdirigeringar.
Använda lokala skogar eller domäner med hjälp av "prickad" (namnet innehåller en punkt ".") NetBIOS-namn stöds inte.
Vi rekommenderar att du aktiverar Papperskorgen för Active Directory.

PowerShell-körningsprincip

Microsoft Entra Anslut kör signerade PowerShell-skript som en del av installationen. Se till att PowerShell-körningsprincipen tillåter körning av skript.

Den rekommenderade körningsprincipen under installationen är "RemoteSigned".

Mer information om hur du anger PowerShell-körningsprincipen finns i Set-ExecutionPolicy.

Microsoft Entra Anslut server

Microsoft Entra Anslut-servern innehåller viktiga identitetsdata. Det är viktigt att den administrativa åtkomsten till den här servern är korrekt skyddad. Följ riktlinjerna i Skydda privilegierad åtkomst.

Microsoft Entra-Anslut-servern måste behandlas som en nivå 0-komponent enligt beskrivningen i active directory-administratörsnivåmodellen. Vi rekommenderar att du härdar Microsoft Entra Anslut-servern som en kontrollplanstillgång genom att följa anvisningarna i Säker privilegierad åtkomst

Mer information om hur du skyddar din Active Directory-miljö finns i Metodtips för att skydda Active Directory.

Krav för installation

Microsoft Entra Anslut måste installeras på en domänansluten Windows Server 2016 eller senare. Vi rekommenderar att du använder domänanslutna Windows Server 2022. Du kan distribuera Microsoft Entra Anslut på Windows Server 2016, men eftersom Windows Server 2016 har utökad support kan du behöva ett betalt supportprogram om du behöver stöd för den här konfigurationen.
Den lägsta .NET Framework-version som krävs är 4.6.2 och nyare versioner av .NET stöds också. .NET version 4.8 och senare erbjuder bästa möjliga tillgänglighetsefterlevnad.
Microsoft Entra Anslut kan inte installeras på Small Business Server eller Windows Server Essentials före 2019 (Windows Server Essentials 2019 stöds). Servern måste använda Windows Server Standard eller bättre.
Microsoft Entra Anslut-servern måste ha ett fullständigt GUI installerat. Installation av Microsoft Entra Anslut på Windows Server Core stöds inte.
Microsoft Entra-Anslut-servern får inte ha powershell-transkriptionsgruppprincip aktiverad om du använder Microsoft Entra Anslut-guiden för att hantera konfigurationen av Active Directory Federation Services (AD FS) (AD FS). Du kan aktivera PowerShell-transkription om du använder guiden Microsoft Entra Anslut för att hantera synkroniseringskonfigurationen.
Om AD FS distribueras:
- Servrarna där AD FS eller Web Programproxy är installerade måste vara Windows Server 2012 R2 eller senare. Windows fjärrhantering måste vara aktiverat på dessa servrar för fjärrinstallation. Du kan behöva ett betalt supportprogram om du behöver stöd för Windows Server 2016 och äldre.
- Du måste konfigurera TLS/SSL-certifikat. Mer information finns i Hantera SSL/TLS-protokoll och chiffersviter för AD FS och Hantera SSL-certifikat i AD FS.
- Du måste konfigurera namnmatchning.
Det går inte att bryta och analysera trafik mellan Microsoft Entra Anslut och Microsoft Entra-ID. Detta kan störa tjänsten.
Om dina hybrididentitetsadministratörer har MFA aktiverat måste URL:en https://secure.aadcdn.microsoftonline-p.comfinnas i listan över betrodda webbplatser. Du uppmanas att lägga till den här webbplatsen i listan över betrodda webbplatser när du uppmanas till en MFA-utmaning och den inte har lagts till tidigare. Du kan använda Internet Explorer för att lägga till det på dina betrodda webbplatser.
Om du planerar att använda Microsoft Entra Anslut Health för synkronisering kontrollerar du att kraven för Microsoft Entra Anslut Health också uppfylls. Mer information finns i Microsoft Entra Anslut Health-agentinstallation.

Härda Microsoft Entra Anslut-servern

Vi rekommenderar att du hårdnar din Microsoft Entra-Anslut-server för att minska säkerhetsangreppsytan för den här kritiska komponenten i DIN IT-miljö. Genom att följa dessa rekommendationer kan du minska vissa säkerhetsrisker för din organisation.

Vi rekommenderar att du härdar Microsoft Entra Anslut-servern som en kontrollplanstillgång (tidigare nivå 0) genom att följa riktlinjerna i modellen för säker privilegierad åtkomst och Active Directory-administrationsnivå.
Begränsa administrativ åtkomst till Microsoft Entra Anslut-servern till endast domänadministratörer eller andra strikt kontrollerade säkerhetsgrupper.
Skapa ett dedikerat konto för all personal med privilegierad åtkomst. Administratörer bör inte surfa på webben, kontrollera sin e-post och utföra dagliga produktivitetsuppgifter med mycket privilegierade konton.
Följ anvisningarna i Skydda privilegierad åtkomst.
Neka användning av NTLM-autentisering med Microsoft Entra Anslut-servern. Här följer några sätt att göra detta: Begränsa NTLM på Microsoft Entra Anslut Server och begränsa NTLM på en domän
Se till att varje dator har ett unikt lokalt administratörslösenord. Mer information finns i Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL (Lokal administratörslösenordlösning (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL ( Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL ( Local Administrator Password Solution (Windows LAPS) can Endast behöriga behöriga användare kan läsa eller begära återställning av dessa lösenord för det lokala administratörskontot. Ytterligare vägledning för att använda en miljö med Windows LAPS och privilegierade åtkomstarbetsstationer (PAW) finns i Driftstandarder baserat på principen för ren källa.
Implementera dedikerade arbetsstationer för privilegierad åtkomst för all personal med privilegierad åtkomst till organisationens informationssystem.
Följ dessa ytterligare riktlinjer för att minska attackytan i din Active Directory-miljö.
Följ övervakningsändringarna i federationskonfigurationen för att konfigurera aviseringar för att övervaka ändringar i det förtroende som upprättats mellan din Idp och Microsoft Entra-ID.
Aktivera Multi Factor Authentication (MFA) för alla användare som har privilegierad åtkomst i Microsoft Entra-ID eller i AD. Ett säkerhetsproblem med att använda Microsoft Entra Anslut är att om en angripare kan få kontroll över Microsoft Entra Anslut-servern kan de manipulera användare i Microsoft Entra-ID. För att förhindra att en angripare använder dessa funktioner för att ta över Microsoft Entra-konton erbjuder MFA skydd så att även om en angripare lyckas återställa en användares lösenord med Hjälp av Microsoft Entra Anslut kan de fortfarande inte kringgå den andra faktorn.
Inaktivera mjuk matchning för klientorganisationen. Mjuk matchning är en bra funktion för att överföra auktoritetskällan för befintliga molnhanterade objekt till Microsoft Entra Anslut, men den medför vissa säkerhetsrisker. Om du inte behöver det bör du inaktivera mjuk matchning.
Inaktivera Hard Match Takeover. Med hårda matchningsövertaganden kan Microsoft Entra Anslut ta kontroll över ett molnhanterat objekt och ändra auktoritetskällan för objektet till Active Directory. När källan till auktoriteten för ett objekt tas över av Microsoft Entra Anslut skrivs de ursprungliga Microsoft Entra-data över om Synkronisering av lösenordshash är aktiverad om synkronisering av lösenordshash har aktiverats. En angripare kan använda den här funktionen för att ta över kontrollen över molnhanterade objekt. Om du vill minska den här risken inaktiverar du ett hårt matchningsövertagande.

SQL Server som används av Microsoft Entra Anslut

Microsoft Entra Connect kräver en SQL Server-databas för att lagra identitetsdata. Som standard installeras en SQL Server 2019 Express LocalDB (en lätt version av SQL Server Express). SQL Server Express har en storleksgräns på 10 GB som gör att du kan hantera cirka 100 000 objekt. Om du behöver hantera en högre volym katalogobjekt pekar du installationsguiden på en annan installation av SQL Server. Typen av SQL Server-installation kan påverka prestandan för Microsoft Entra Anslut.
Om du använder en annan installation av SQL Server gäller följande krav:
- Microsoft Entra Anslut har stöd för alla SQL Server-versioner som stöds upp till SQL Server 2022 som körs i Windows. Se sql Server-livscykelartikeln för att verifiera supportstatusen för din SQL Server-version. SQL Server 2012 stöds inte längre. Azure SQL Database stöds inte som en databas. Detta omfattar både Azure SQL Database och Azure SQL Managed Instance.
- Du måste använda en skiftlägeskänslig SQL-sortering. Dessa sorteringar identifieras med en _CI_ i deras namn. Det går inte att använda en skiftlägeskänslig sortering som identifierats av _CS_ i deras namn.
- Du kan bara ha en synkroniseringsmotor per SQL-instans. Det går inte att dela en SQL-instans med MIM Sync, DirSync eller Azure AD Sync.

Accounts

Du måste ha ett konto för global Microsoft Entra-administratör eller hybrididentitetsadministratör för den Microsoft Entra-klient som du vill integrera med. Det här kontot måste vara ett skol- eller organisationskonto och får inte vara ett Microsoft-konto.
Om du använder expressinställningar eller uppgraderar från DirSync måste du ha ett företagsadministratörskonto för din lokal Active Directory.
Om du använder installationssökvägen för anpassade inställningar har du fler alternativ. Mer information finns i Anpassade installationsinställningar.

Anslutning

Microsoft Entra-Anslut-servern behöver DNS-matchning för både intranät och Internet. DNS-servern måste kunna matcha namn både till din lokal Active Directory och Microsoft Entra-slutpunkterna.
Microsoft Entra Anslut kräver nätverksanslutning till alla konfigurerade domäner
Microsoft Entra Anslut kräver nätverksanslutning till rotdomänen för alla konfigurerade skogar
Om du har brandväggar på intranätet och du behöver öppna portar mellan Microsoft Entra-Anslut-servrarna och dina domänkontrollanter kan du läsa Microsoft Entra Anslut portar för mer information.
Om proxy- eller brandväggsgränsen för vilka URL:er som kan nås måste url:erna som dokumenteras i Office 365-URL:er och IP-adressintervall öppnas. Se även Valv lista URL:er för Administrationscenter för Microsoft Entra på brandväggen eller proxyservern.
- Om du använder Microsoft-molnet i Tyskland eller Microsoft Azure Government-molnet kan du läsa mer i Överväganden för Instanser av Microsoft Entra-Anslut Sync-tjänst för URL:er.
Microsoft Entra Anslut (version 1.1.614.0 och senare) använder som standard TLS 1.2 för att kryptera kommunikationen mellan synkroniseringsmotorn och Microsoft Entra-ID. Om TLS 1.2 inte är tillgängligt i det underliggande operativsystemet faller Microsoft Entra Anslut stegvis tillbaka till äldre protokoll (TLS 1.1 och TLS 1.0). Från Microsoft Entra Anslut version 2.0 och senare. TLS 1.0 och 1.1 stöds inte längre och installationen misslyckas om TLS 1.2 inte är aktiverat.
Före version 1.1.614.0 använder Microsoft Entra Anslut som standard TLS 1.0 för att kryptera kommunikationen mellan synkroniseringsmotorn och Microsoft Entra-ID. Om du vill ändra till TLS 1.2 följer du stegen i Aktivera TLS 1.2 för Microsoft Entra Anslut.
Om du använder en utgående proxy för att ansluta till Internet måste följande inställning i filen C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config läggas till för installationsguiden och Microsoft Entra Anslut Sync för att kunna ansluta till Internet och Microsoft Entra ID. Den här texten måste anges längst ned i filen. I den här koden <representerar PROXYADDRESS> den faktiska proxy-IP-adressen eller värdnamnet.
```
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Om proxyservern kräver autentisering måste tjänstkontot finnas i domänen. Använd installationssökvägen för anpassade inställningar för att ange ett anpassat tjänstkonto. Du behöver också en annan ändring av machine.config. Med den här ändringen i machine.config svarar installationsguiden och synkroniseringsmotorn på autentiseringsbegäranden från proxyservern. På alla installationsguidesidor, exklusive sidan Konfigurera , används den inloggade användarens autentiseringsuppgifter. På sidan Konfigurera i slutet av installationsguiden växlas kontexten till det tjänstkonto som du skapade. Avsnittet machine.config bör se ut så här:
```
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Om proxykonfigurationen utförs i en befintlig konfiguration måste Microsoft Entra ID Sync-tjänsten startas om en gång för att Microsoft Entra-Anslut att läsa proxykonfigurationen och uppdatera beteendet.
När Microsoft Entra Anslut skickar en webbbegäran till Microsoft Entra-ID som en del av katalogsynkroniseringen kan Microsoft Entra-ID ta upp till 5 minuter att svara. Det är vanligt att proxyservrar har timeout-konfiguration för inaktiv anslutning. Kontrollera att konfigurationen är inställd på minst 6 minuter eller mer.

Mer information finns i MSDN om standardproxyelementet. Mer information om problem med anslutningen finns i Felsöka anslutningsproblem.

Övrigt

Valfritt: Använd ett testanvändarkonto för att verifiera synkroniseringen.

Komponentkrav

PowerShell och .NET Framework

Microsoft Entra Anslut är beroende av Microsoft PowerShell 5.0 och .NET Framework 4.5.1. Du behöver den här versionen eller en senare version installerad på servern.

Aktivera TLS 1.2 för Microsoft Entra Anslut

Före version 1.1.614.0 använder Microsoft Entra Anslut som standard TLS 1.0 för att kryptera kommunikationen mellan synkroniseringsmotorservern och Microsoft Entra-ID. Du kan konfigurera .NET-program att använda TLS 1.2 som standard på servern. Mer information om TLS 1.2 finns i Microsoft Security Advisory 2960358.

Kontrollera att snabbkorrigeringen .NET 4.5.1 är installerad för operativsystemet. Mer information finns i Microsoft Security Advisory 2960358. Du kan redan ha den här snabbkorrigeringen eller en senare version installerad på servern.

För alla operativsystem anger du den här registernyckeln och startar om servern.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

Om du också vill aktivera TLS 1.2 mellan synkroniseringsmotorservern och en fjärransluten SQL Server kontrollerar du att du har de versioner som krävs installerade för TLS 1.2-stöd för Microsoft SQL Server.

DCOM-krav på synkroniseringsservern

Under installationen av synkroniseringstjänsten kontrollerar Microsoft Entra Anslut om följande registernyckel finns:

HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Under den här registernyckeln kontrollerar Microsoft Entra Anslut om följande värden finns och är oförutstörda:

Förutsättningar för federationsinstallation och konfiguration

Windows Remote Management

När du använder Microsoft Entra Anslut för att distribuera AD FS eller Web Programproxy (WAP) kontrollerar du följande krav:

Om målservern är domänansluten kontrollerar du att Fjärrhanterad Windows är aktiverad.
- I ett upphöjt PowerShell-kommandofönster använder du kommandot Enable-PSRemoting –force.
Om målservern är en icke-domänansluten WAP-dator finns det några ytterligare krav:
- På måldatorn (WAP-dator):
  - Kontrollera att WinRM-tjänsten (Windows Remote Management/WS-Management) körs via snapin-modulen Tjänster.
  - I ett upphöjt PowerShell-kommandofönster använder du kommandot Enable-PSRemoting –force.
- På den dator där guiden körs (om måldatorn inte är domänansluten eller är en domän som inte är betrodd):
  - I ett upphöjt PowerShell-kommandofönster använder du kommandot Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
  - I serverhanteraren:
    - Lägg till en DMZ WAP-värd i en datorpool. I serverhanteraren väljer du Hantera>Lägg till servrar och använder sedan fliken DNS.
    - På fliken Serverhanteraren Alla servrar högerklickar du på WAP-servern och väljer Hantera som. Ange lokala autentiseringsuppgifter (inte domän) för WAP-datorn.
    - Om du vill verifiera powershell-fjärranslutningen högerklickar du på WAP-servern på fliken Serverhanteraren Alla servrar och väljer Windows PowerShell. En PowerShell-fjärrsession bör öppnas för att säkerställa att powershell-fjärrsessioner kan upprättas.

TLS/SSL-certifikatkrav

Vi rekommenderar att du använder samma TLS/SSL-certifikat över alla noder i AD FS-servergruppen och alla webb-Programproxy-servrar.
Certifikatet måste vara ett X509-certifikat.
Du kan använda ett självsignerat certifikat på federationsservrar i en testlabbmiljö. För en produktionsmiljö rekommenderar vi att du hämtar certifikatet från en offentlig certifikatutfärdare.
- Om du använder ett certifikat som inte är offentligt betrott kontrollerar du att certifikatet som är installerat på varje webb-Programproxy-server är betrott på både den lokala servern och på alla federationsservrar.
Certifikatets identitet måste matcha federationstjänstens namn (till exempel sts.contoso.com).
- Identiteten är antingen ett san-tillägg (subject alternative name) av typen dNSName eller, om det inte finns några SAN-poster, anges ämnesnamnet som ett gemensamt namn.
- Flera SAN-poster kan finnas i certifikatet förutsatt att en av dem matchar federationstjänstens namn.
- Om du planerar att använda Workplace Join krävs ytterligare ett SAN med värdet enterpriseregistration. Följt av upn-suffixet (user principal name) i din organisation, till exempel enterpriseregistration.contoso.com.
Certifikat baserade på CNG-nycklar (CryptoAPI, next generation) och nyckellagringsproviders (KSP: er) stöds inte. Därför måste du använda ett certifikat baserat på en kryptografisk tjänstprovider (CSP) och inte en KSP.
Wild card-certifikat stöds.

Namnmatchning för federationsservrar

Konfigurera DNS-poster för AD FS-namnet (till exempel sts.contoso.com) för både intranätet (din interna DNS-server) och extranätet (offentlig DNS via domänregistratorn). För intranätets DNS-post kontrollerar du att du använder A-poster och inte CNAME-poster. Användning av A-poster krävs för att Windows-autentisering ska fungera korrekt från din domänanslutna dator.
Om du distribuerar mer än en AD FS-server eller webbserver Programproxy ser du till att du har konfigurerat lastbalanseraren och att DNS-posterna för AD FS-namnet (till exempel sts.contoso.com) pekar på lastbalanseraren.
För att Windows-integrerad autentisering ska fungera för webbläsarprogram som använder Internet Explorer i intranätet kontrollerar du att AD FS-namnet (till exempel sts.contoso.com) läggs till i intranätzonen i Internet Explorer. Det här kravet kan styras via grupprincip och distribueras till alla dina domänanslutna datorer.

Microsoft Entra Anslut stödkomponenter

Microsoft Entra Anslut installerar följande komponenter på servern där Microsoft Entra Anslut är installerat. Den här listan är avsedd för en grundläggande Express-installation. Om du väljer att använda en annan SQL Server på sidan Installera synkroniseringstjänster installeras inte SQL Express LocalDB lokalt.

Microsoft Entra Connect Health
Kommandoradsverktyg för Microsoft SQL Server 2022
Microsoft SQL Server 2022 Express LocalDB
Microsoft SQL Server 2022 Native Client
Omdistributionspaket för Microsoft Visual C++ 14

Maskinvarukrav för Microsoft Entra Anslut

I följande tabell visas minimikraven för Microsoft Entra Anslut Sync-datorn.

Antal objekt i Active Directory	Processor	Minne	Hårddiskstorlek
Färre än 10 000	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
För 100 000 eller fler objekt krävs den fullständiga versionen av SQL Server. Av prestandaskäl är det bra att installera lokalt. Följande värden är endast giltiga för Microsoft Entra Anslut installation. Om SQL Server installeras på samma server krävs ytterligare minne, enhet och CPU.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
Mer än 600 000	1,6 GHz	32 GB	500 GB

Minimikraven för datorer som kör AD FS- eller Web Programproxy-servrar är:

CPU: Dubbla kärnor 1,6 GHz eller högre
Minne: 2 GB eller senare
Virtuell Azure-dator: A2-konfiguration eller senare

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.