Microsoft Entra 云同步的先决条件

  • 项目

本文指导如何使用 Microsoft Entra 云同步作为标识解决方案。

云预配代理要求

需要以下内容才能使用 Microsoft Entra 云同步:

  • 域管理员或企业管理员凭据,用于创建 Microsoft Entra Connect 云同步 gMSA(组托管服务帐户)以运行代理服务。
  • 不是来宾用户的 Microsoft Entra 租户的混合标识管理员帐户。
  • 使用 Windows 2016 或更高版本的预配代理的本地服务器。 此服务器应该是基于 Active Directory 管理层模型的第 0 层服务器。 支持在域控制器上安装代理。
    • AD 架构属性所需 - msDS-ExternalDirectoryObjectId
  • 高可用性是指 Microsoft Entra 云同步可长期连续运行而不出现故障的能力。 通过安装和运行多个活动代理,即使有一个代理出现故障,Microsoft Entra 云同步也能继续运作。 为了实现高可用性,Microsoft 建议安装 3 个活动代理。
  • 本地防火墙配置。

Group Managed Service Accounts

组托管服务帐户是一种托管的域帐户,它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 在安装过程中,系统会提示你输入管理凭据,以便创建此帐户。 帐户显示为 domain\provAgentgMSA$。 有关 gMSA 的详细信息,请参阅组托管服务帐户

gMSA 的先决条件

  1. gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
  2. 域控制器上的 PowerShell RSAT 模块
  3. 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
  4. 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。

自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户,需要确保该帐户具有以下权限。

类型 名称 访问 应用于
Allow gMSA 帐户 读取所有属性 后代设备对象
Allow gMSA 帐户 读取所有属性 后代 InetOrgPerson 对象
Allow gMSA 帐户 读取所有属性 后代计算机对象
Allow gMSA 帐户 读取所有属性 后代 foreignSecurityPrincipal 对象
Allow gMSA 帐户 完全控制 后代组对象
Allow gMSA 帐户 读取所有属性 后代用户对象
Allow gMSA 帐户 读取所有属性 后代联系人对象
Allow gMSA 帐户 创建/删除用户对象 此对象和所有后代对象

有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅组托管服务帐户

若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述

在 Microsoft Entra 管理中心中

  1. 在 Microsoft Entra 租户中创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
  2. 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。

在 Active Directory 的目录中

运行 IdFix 工具,为同步准备目录属性。

在本地环境中

  1. 指定一台已加入域的、运行 Windows Server 2016 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器。
  2. 本地服务器上的 PowerShell 执行策略必须设置为 Undefined 或 RemoteSigned。
  3. 如果服务器和 Microsoft Entra ID 之间存在防火墙,请参阅防火墙和代理要求

注意

不支持在 Windows Server Core 上安装云预配代理。

将 Microsoft Entra ID 预配到 Active Directory - 先决条件

实现将组预配到 Active Directory 需要满足以下先决条件。

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

一般要求

  • 至少具有混合管理员角色的 Microsoft Entra 帐户。
  • 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
    • AD 架构属性所需 - msDS-ExternalDirectoryObjectId
  • 使用内部版本 1.1.1370.0 或更高版本预配代理。

注意

仅在干净安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。

默认情况下,这些权限不会应用于 AdminSDHolder 对象,请参阅 Microsoft Entra 预配代理 gMSA PowerShell cmdlet

  • 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局目录)上的一个或多个域控制器通信。
    • 全局目录查找需要筛选出无效的成员身份引用
  • 内部版本 2.2.8.0 或更高的 Microsoft Entra Connect
    • 支持使用 Microsoft Entra Connect 同步的本地用户成员身份所需
    • 将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier 所需

支持的组

仅支持以下各项:

  • 仅支持云创建的安全组
  • 这些组可以有分配的或动态成员身份。
  • 这些组只能包含本地同步的用户和/或其他云创建的安全组。
  • 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
  • 这些组以通用 AD 组范围写回。 本地环境必须支持通用组范围。
  • 不支持超过 50,000 个成员的组。
  • 每个直接子嵌套组计数为引用组中的一个成员
  • 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。

其他信息

下面是有关将组预配到 Active Directory 的其他信息。

  • 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
  • 所有这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
  • onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
  • 可以使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
  • 如果使用 Microsoft Entra Connect Sync (2.2.8.0) 同步用户,而不是 Microsoft Entra Cloud Sync,并且想要使用“预配到 AD”,则其必须是 2.2.8.0 或更高版本。
  • 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
  • 组预配作业计划为每 20 分钟运行一次。

更多要求

TLS 要求

注意

传输层安全性 (TLS) 是为进行安全通信提供的协议。 更改 TLS 设置会影响整个林。 有关详细信息,请参阅启用 TLS 1.1 和 TLS 1.2 作为 Windows 的 WinHTTP 中的默认安全协议的更新

托管 Microsoft Entra Connect 云预配代理的 Windows 服务器必须先启用 TLS 1.2,然后才能安装它。

若要启用 TLS 1.2,请执行下列步骤。

  1. 通过将内容复制到 .reg 文件中,然后运行该文件(右键单击并选择合并),设置以下注册表项:

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. 重新启动服务器。

防火墙和代理要求

如果服务器和 Microsoft Entra ID 之间存在防火墙,请配置以下项:

  • 确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:

    端口号 说明
    80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书。
    443 处理与服务的所有出站通信。
    8080(可选) 如果端口 443 不可用,代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态显示在 Microsoft Entra 管理中心。

  • 如果防火墙根据原始用户强制实施规则,请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。

  • 如果防火墙或代理允许指定安全后缀,请添加连接:

URL 说明
*.msappproxy.net
*.servicebus.windows.net		 代理使用这些 URL 与 Microsoft Entra 云服务通信。
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com		 代理使用这些 URL 与 Microsoft Entra 云服务通信。
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80		 代理使用这些 URL 来验证证书。
login.windows.net 在注册过程中,代理使用这些 URL。

NTLM 要求

不应在运行 Microsoft Entra 预配代理的 Windows Server 上启用 NTLM,如果已启用,应确保将其禁用。

已知限制

以下是已知的限制:

增量同步

  • 增量同步的组范围筛选不支持超过 50,000 个成员的情况。
  • 删除用作组范围筛选器一部分的组时,不会删除作为组成员的用户。
  • 重命名范围内的 OU 或组时,增量同步不会移除用户。

“预配”日志

  • 预配日志并没有清楚地区分创建和更新操作。 你可能会看到用于更新的创建操作和用于创建的更新操作。

组重命名或 OU 重命名

  • 如果重命名 AD 中某个给定配置范围内的组或 OU,云同步作业将无法识别 AD 中的名称更改。 该作业不会进入隔离状态,并且保持正常运行。

范围筛选器

使用 OU 范围筛选器时

  • 对于给定的配置,最多只能同步 59 个单独的 OU 或安全组。
  • 支持嵌套 OU(即,可以同步具有 130 个嵌套 OU 的 OU,但不能同步相同配置的 60 个单独的 OU)。

密码哈希同步

  • 不支持将密码哈希同步与 InetOrgPerson 一起使用。

后续步骤