Microsoft Entra 云同步的先决条件
本文指导如何使用 Microsoft Entra 云同步作为标识解决方案。
云预配代理要求
需要以下内容才能使用 Microsoft Entra 云同步:
- 域管理员或企业管理员凭据,用于创建 Microsoft Entra Connect 云同步 gMSA(组托管服务帐户)以运行代理服务。
- 不是来宾用户的 Microsoft Entra 租户的混合标识管理员帐户。
- 使用 Windows 2016 或更高版本的预配代理的本地服务器。 此服务器应该是基于 Active Directory 管理层模型的第 0 层服务器。 支持在域控制器上安装代理。
- AD 架构属性所需 - msDS-ExternalDirectoryObjectId
- 高可用性是指 Microsoft Entra 云同步可长期连续运行而不出现故障的能力。 通过安装和运行多个活动代理,即使有一个代理出现故障,Microsoft Entra 云同步也能继续运作。 为了实现高可用性,Microsoft 建议安装 3 个活动代理。
- 本地防火墙配置。
Group Managed Service Accounts
组托管服务帐户是一种托管的域帐户,它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 在安装过程中,系统会提示你输入管理凭据,以便创建此帐户。 帐户显示为 domain\provAgentgMSA$
。 有关 gMSA 的详细信息,请参阅组托管服务帐户。
gMSA 的先决条件
- gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
- 域控制器上的 PowerShell RSAT 模块。
- 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
- 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。
自定义 gMSA 帐户
如果要创建自定义 gMSA 帐户,需要确保该帐户具有以下权限。
类型 | 名称 | 访问 | 应用于 |
---|---|---|---|
Allow | gMSA 帐户 | 读取所有属性 | 后代设备对象 |
Allow | gMSA 帐户 | 读取所有属性 | 后代 InetOrgPerson 对象 |
Allow | gMSA 帐户 | 读取所有属性 | 后代计算机对象 |
Allow | gMSA 帐户 | 读取所有属性 | 后代 foreignSecurityPrincipal 对象 |
Allow | gMSA 帐户 | 完全控制 | 后代组对象 |
Allow | gMSA 帐户 | 读取所有属性 | 后代用户对象 |
Allow | gMSA 帐户 | 读取所有属性 | 后代联系人对象 |
Allow | gMSA 帐户 | 创建/删除用户对象 | 此对象和所有后代对象 |
有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅组托管服务帐户。
若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述。
在 Microsoft Entra 管理中心中
- 在 Microsoft Entra 租户中创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
- 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。
在 Active Directory 的目录中
运行 IdFix 工具,为同步准备目录属性。
在本地环境中
- 指定一台已加入域的、运行 Windows Server 2016 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器。
- 本地服务器上的 PowerShell 执行策略必须设置为 Undefined 或 RemoteSigned。
- 如果服务器和 Microsoft Entra ID 之间存在防火墙,请参阅防火墙和代理要求。
注意
不支持在 Windows Server Core 上安装云预配代理。
将 Microsoft Entra ID 预配到 Active Directory - 先决条件
实现将组预配到 Active Directory 需要满足以下先决条件。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
一般要求
- 至少具有混合管理员角色的 Microsoft Entra 帐户。
- 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
- AD 架构属性所需 - msDS-ExternalDirectoryObjectId
- 使用内部版本 1.1.1370.0 或更高版本预配代理。
注意
仅在干净安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。
默认情况下,这些权限不会应用于 AdminSDHolder 对象,请参阅 Microsoft Entra 预配代理 gMSA PowerShell cmdlet
- 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局目录)上的一个或多个域控制器通信。
- 全局目录查找需要筛选出无效的成员身份引用
- 内部版本 2.2.8.0 或更高的 Microsoft Entra Connect
- 支持使用 Microsoft Entra Connect 同步的本地用户成员身份所需
- 将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier 所需
支持的组
仅支持以下各项:
- 仅支持云创建的安全组
- 这些组可以有分配的或动态成员身份。
- 这些组只能包含本地同步的用户和/或其他云创建的安全组。
- 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
- 这些组以通用 AD 组范围写回。 本地环境必须支持通用组范围。
- 不支持超过 50,000 个成员的组。
- 每个直接子嵌套组计数为引用组中的一个成员
- 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。
其他信息
下面是有关将组预配到 Active Directory 的其他信息。
- 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
- 所有这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
- onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
- 可以使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
- 如果使用 Microsoft Entra Connect Sync (2.2.8.0) 同步用户,而不是 Microsoft Entra Cloud Sync,并且想要使用“预配到 AD”,则其必须是 2.2.8.0 或更高版本。
- 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
- 组预配作业计划为每 20 分钟运行一次。
更多要求
TLS 要求
注意
传输层安全性 (TLS) 是为进行安全通信提供的协议。 更改 TLS 设置会影响整个林。 有关详细信息,请参阅启用 TLS 1.1 和 TLS 1.2 作为 Windows 的 WinHTTP 中的默认安全协议的更新。
托管 Microsoft Entra Connect 云预配代理的 Windows 服务器必须先启用 TLS 1.2,然后才能安装它。
若要启用 TLS 1.2,请执行下列步骤。
通过将内容复制到 .reg 文件中,然后运行该文件(右键单击并选择合并),设置以下注册表项:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
重新启动服务器。
防火墙和代理要求
如果服务器和 Microsoft Entra ID 之间存在防火墙,请配置以下项:
确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:
端口号 说明 80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书。 443 处理与服务的所有出站通信。 8080(可选) 如果端口 443 不可用,代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态显示在 Microsoft Entra 管理中心。 如果防火墙根据原始用户强制实施规则,请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。
如果防火墙或代理允许指定安全后缀,请添加连接:
URL | 说明 |
---|---|
*.msappproxy.net *.servicebus.windows.net |
代理使用这些 URL 与 Microsoft Entra 云服务通信。 |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
代理使用这些 URL 与 Microsoft Entra 云服务通信。 |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
代理使用这些 URL 来验证证书。 |
login.windows.net |
在注册过程中,代理使用这些 URL。 |
NTLM 要求
不应在运行 Microsoft Entra 预配代理的 Windows Server 上启用 NTLM,如果已启用,应确保将其禁用。
已知限制
以下是已知的限制:
增量同步
- 增量同步的组范围筛选不支持超过 50,000 个成员的情况。
- 删除用作组范围筛选器一部分的组时,不会删除作为组成员的用户。
- 重命名范围内的 OU 或组时,增量同步不会移除用户。
“预配”日志
- 预配日志并没有清楚地区分创建和更新操作。 你可能会看到用于更新的创建操作和用于创建的更新操作。
组重命名或 OU 重命名
- 如果重命名 AD 中某个给定配置范围内的组或 OU,云同步作业将无法识别 AD 中的名称更改。 该作业不会进入隔离状态,并且保持正常运行。
范围筛选器
使用 OU 范围筛选器时
- 对于给定的配置,最多只能同步 59 个单独的 OU 或安全组。
- 支持嵌套 OU(即,可以同步具有 130 个嵌套 OU 的 OU,但不能同步相同配置的 60 个单独的 OU)。
密码哈希同步
- 不支持将密码哈希同步与 InetOrgPerson 一起使用。