Krav för Microsoft Entra molnsynkronisering

Den här artikeln innehåller vägledning om hur du använder Microsoft Entra Cloud Sync som identitetslösning.

Krav för molnetableringsagent

Du behöver följande för att använda Microsoft Entra Cloud Sync:

• Autentiseringsuppgifter för domänadministratör eller företagsadministratör för att skapa Microsoft Entra Anslut cloud sync gMSA (grupphanterat tjänstkonto) för att köra agenttjänsten.
• Ett hybrididentitetsadministratörskonto för din Microsoft Entra-klientorganisation som inte är en gästanvändare.
• En lokal server för etableringsagenten med Windows 2016 eller senare. Den här servern ska vara en nivå 0-server baserat på active directory-modellen på administrationsnivå. Det finns stöd för att installera agenten på en domänkontrollant.
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Hög tillgänglighet avser Microsoft Entra Cloud Syncs möjlighet att arbeta kontinuerligt utan fel under en längre tid. Genom att ha flera aktiva agenter installerade och igång kan Microsoft Entra Cloud Sync fortsätta att fungera även om en agent skulle misslyckas. Microsoft rekommenderar att du har tre aktiva agenter installerade för hög tillgänglighet.
• Lokala brandväggskonfigurationer.

Grupphanterade tjänstkonton

Ett grupphanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad SPN-hantering (Service Principal Name), möjligheten att delegera hanteringen till andra administratörer och som även utökar den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och använder en gMSA för att köra agenten. Du uppmanas att ange administrativa autentiseringsuppgifter under installationen för att kunna skapa det här kontot. Kontot visas som domain\provAgentgMSA$. Mer information om en gMSA finns i gruppen Hanterade tjänstkonton.

Krav för gMSA

1. Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
2. PowerShell RSAT-moduler på en domänkontrollant.
3. Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
4. En domänansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.

Anpassat gMSA-konto

Om du skapar ett anpassat gMSA-konto måste du se till att kontot har följande behörigheter.

Typ	Name	Access	Gäller för
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade enhetsobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade InetOrgPerson-objekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade datorobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade foreignSecurityPrincipal-objekt
Tillåt	gMSA-konto	Fullständig kontroll	Underordnade gruppobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade användarobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade kontaktobjekt
Tillåt	gMSA-konto	Skapa/ta bort användarobjekt	Det här objektet och alla underordnade objekt

Anvisningar om hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i gruppen Hanterade tjänstkonton.

Mer information om hur du förbereder din Active Directory för grupphanterat tjänstkonto finns i översikt över grupphanterade tjänstkonton.

I administrationscentret för Microsoft Entra

1. Skapa ett molnbaserat hybrididentitetsadministratörskonto i din Microsoft Entra-klientorganisation. På så sätt kan du hantera konfigurationen av klientorganisationen om dina lokala tjänster misslyckas eller blir otillgängliga. Lär dig hur du lägger till ett molnbaserat hybrididentitetsadministratörskonto. Att slutföra det här steget är viktigt för att säkerställa att du inte blir utelåst från din klientorganisation.
2. Lägg till ett eller flera anpassade domännamn i din Microsoft Entra-klientorganisation. Användarna kan logga in med något av dessa domännamn.

I din katalog i Active Directory

Kör IdFix-verktyget för att förbereda katalogattributen för synkronisering.

I din lokala miljö

1. Identifiera en domänansluten värdserver som kör Windows Server 2016 eller senare med minst 4 GB RAM-minne och .NET 4.7.1+-körning.
2. PowerShell-körningsprincipen på den lokala servern måste vara inställd på Odefinierad eller RemoteSigned.
3. Om det finns en brandvägg mellan dina servrar och Microsoft Entra-ID kan du läsa Brandväggs- och proxykrav.

Kommentar

Installation av molnetableringsagenten på Windows Server Core stöds inte.

Etablera Microsoft Entra-ID till Active Directory – krav

Följande krav krävs för att implementera etableringsgrupper i Active Directory.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Allmänna krav

• Microsoft Entra-konto med minst en hybridadministratörsroll .
• Lokal Active Directory-domän Services-miljö med Windows Server 2016-operativsystem eller senare.
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Etableringsagent med version 1.1.1370.0 eller senare.

Kommentar

Behörigheterna till tjänstkontot tilldelas endast vid ren installation. Om du uppgraderar från den tidigare versionen måste behörigheter tilldelas manuellt med PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Om behörigheterna anges manuellt måste du se till att läs-, skriv-, skapa- och ta bort alla egenskaper för alla underordnade grupper och användarobjekt.

Dessa behörigheter tillämpas inte på AdminSDHolder-objekt som standard Microsoft Entra-etableringsagent gMSA PowerShell-cmdletar

• Etableringsagenten måste kunna kommunicera med en eller flera domänkontrollanter på portarna TCP/389 (LDAP) och TCP/3268 (global katalog).
  • Krävs för global katalogsökning för att filtrera bort ogiltiga medlemskapsreferenser
• Microsoft Entra Anslut med version 2.2.8.0 eller senare
  • Krävs för att stödja lokalt användarmedlemskap som synkroniserats med Microsoft Entra Anslut
  • Krävs för att synkronisera AD:user:objectGUID till AAD:user:onPremisesObjectIdentifier

Grupper som stöds

Endast följande stöds:

• Endast molnskapade säkerhetsgrupper stöds
• Dessa grupper kan ha tilldelat eller dynamiskt medlemskap.
• Dessa grupper kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• De lokala användarkonton som synkroniseras och är medlemmar i den här molnskapade säkerhetsgruppen kan komma från samma domän eller korsdomän, men alla måste komma från samma skog.
• Dessa grupper skrivs tillbaka med OMfånget FÖR AD-grupper för universella grupper. Din lokala miljö måste ha stöd för det universella gruppomfånget.
• Grupper som är större än 50 000 medlemmar stöds inte.
• Varje direkt underordnad kapslad grupp räknas som en medlem i referensgruppen
• Avstämning av grupper mellan Microsoft Entra-ID och Active Directory stöds inte om gruppen uppdateras manuellt i Active Directory.

Ytterligare information

Följande är ytterligare information om etableringsgrupper till Active Directory.

• Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• Alla dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
• OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
• Ett objectGUID-attribut för lokala användare till molnanvändare påPremisesObjectIdentifier-attribut kan synkroniseras med antingen Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Anslut Sync (2.2.8.0)
• Om du använder Microsoft Entra Anslut Sync (2.2.8.0) för att synkronisera användare, i stället för Microsoft Entra Cloud Sync och vill använda Etablering till AD, måste det vara 2.2.8.0 eller senare.
• Endast vanliga Microsoft Entra ID-klienter stöds för etablering från Microsoft Entra-ID till Active Directory. Klienter som B2C stöds inte.
• Gruppetableringsjobbet är schemalagt att köras var 20:e minut.

Fler krav

• Minsta Microsoft .NET Framework 4.7.1

TLS-krav

Kommentar

Transport Layer Security (TLS) är ett protokoll som tillhandahåller säker kommunikation. Om du ändrar TLS-inställningarna påverkas hela skogen. Mer information finns i Uppdatera för att aktivera TLS 1.1 och TLS 1.2 som standardsäkerhetsprotokoll i WinHTTP i Windows.

Den Windows-server som är värd för Microsoft Entra Anslut molnetableringsagenten måste ha TLS 1.2 aktiverat innan du installerar det.

Följ dessa steg för att aktivera TLS 1.2.

1. Ange följande registernycklar genom att kopiera innehållet till en .reg fil och sedan köra filen (högerklicka och välj Slå samman):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starta om servern.

Brandväggs- och proxykrav

Om det finns en brandvägg mellan dina servrar och Microsoft Entra ID konfigurerar du följande objekt:

• Se till att agenter kan göra utgående begäranden till Microsoft Entra-ID via följande portar:

  Portnummer	beskrivning
  80	Laddar ned listan över återkallade certifikat (CRL: er) när TLS/SSL-certifikatet verifieras.
  443	Hanterar all utgående kommunikation med tjänsten.
  8080 (valfritt)	Agenter rapporterar sin status var 10:e minut via port 8080, om port 443 inte är tillgänglig. Den här statusen visas i Microsoft Entra administrationscenter.

• Om brandväggen framtvingar regler baserat på de användare som genererar den öppnar du dessa portar för trafik från Windows-tjänster som körs som en nätverkstjänst.

• Om brandväggen eller proxyn tillåter att du anger säkra suffix lägger du till anslutningar:

Offentligt moln

webbadress	beskrivning
*.msappproxy.net *.servicebus.windows.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.net	Agenten använder dessa URL:er under registreringsprocessen.

U.S. Government Cloud

webbadress	beskrivning
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agenten använder dessa URL:er under registreringsprocessen.

• Om du inte kan lägga till anslutningar tillåter du åtkomst till IP-intervallen för Azure-datacenter, som uppdateras varje vecka.

NTLM-krav

Du bör inte aktivera NTLM på Den Windows Server som kör Microsoft Entra-etableringsagenten och om den är aktiverad bör du se till att du inaktiverar den.

Kända begränsningar

Följande är kända begränsningar:

Deltasynkronisering

• Gruppomfattningsfiltrering för deltasynkronisering stöder inte fler än 50 000 medlemmar.
• När du tar bort en grupp som används som en del av ett gruppomfångsfilter tas inte användare som är medlemmar i gruppen bort.
• När du byter namn på organisationsenheten eller gruppen som finns i omfånget tar deltasynkroniseringen inte bort användarna.

Etableringsloggar

• Etableringsloggar skiljer inte tydligt mellan skapande- och uppdateringsåtgärder. Du kan se en create-åtgärd för en uppdatering och en uppdateringsåtgärd för en skapande.

Namnbyte eller organisationsenhetsbyte

• Om du byter namn på en grupp eller organisationsenhet i AD som finns i omfånget för en viss konfiguration kan molnsynkroniseringsjobbet inte identifiera namnändringen i AD. Jobbet hamnar inte i karantän och förblir felfritt.

Omfångsfilter

När du använder OU-omfångsfilter

• Du kan bara synkronisera upp till 59 separata organisationsenheter eller säkerhetsgrupper för en viss konfiguration.
• Kapslade organisationsenheter stöds (d.v.s. du kan synkronisera en organisationsenhet som har 130 kapslade organisationsenheter, men du kan inte synkronisera 60 separata organisationsenheter i samma konfiguration).

Hash-synkronisering av lösenord

• Användning av synkronisering av lösenordshash med InetOrgPerson stöds inte.

Nästa steg

• Vad är etablering?
• Vad är Microsoft Entra molnsynkronisering?