Microsoft Entra Connect 的先决条件
本文介绍 Microsoft Entra Connect 的先决条件和硬件要求。
安装 Microsoft Entra Connect 之前
在安装 Microsoft Entra Connect 之前,需要准备好以下项目。
Microsoft Entra ID
- 需要一个 Microsoft Entra 租户。 通过 Azure 免费试用版获得一个租户。 可以使用以下门户之一来管理 Microsoft Entra Connect:
- 添加并验证要在 Microsoft Entra ID 中使用的域。 例如,如果计划让用户使用 contoso.com,请确保此域已经过验证,并且不是直接使用 contoso.onmicrosoft.com 默认域。
- 默认情况下,Microsoft Entra 租户允许 50,000 个对象。 在验证域后,该限制增加到 30 万个对象。 如果 Microsoft Entra ID 中需要更多的对象,则请创建支持案例来请求增大此限制。 如果需要 50 万个以上的对象,则需要具备许可证,例如 Microsoft 365、Microsoft Entra ID P1 或 P2 或企业移动性 + 安全性。
准备本地数据
- 先使用 IdFix 识别目录中的错误(如重复项和格式设置问题),然后再同步到 Microsoft Entra ID 和 Microsoft 365。
- 查看可以在 Microsoft Entra ID 中启用的可选同步功能并评估要启用哪些功能。
本地 Active Directory
- Active Directory 架构版本与林功能级别必须是 Windows Server 2003 或更高版本。 只要符合架构版本和林级别的要求,域控制器就能运行任何版本。 如果需要支持运行 Windows Server 2016 或更低版本的域控制器,可能需要购买付费支持计划。
- Microsoft Entra ID 使用的域控制器必须可写。 不支持使用只读域控制器 (RODC),Microsoft Entra Connect 不遵循任何写入重定向。
- 不支持通过“以点分隔的”(名称包含句点“.”)NetBIOS 名称来使用本地林或域。
- 建议启用 Active Directory 回收站。
PowerShell 执行策略
Microsoft Entra Connect 在安装过程中运行已签名的 PowerShell 脚本。 确保 PowerShell 执行策略允许运行脚本。
安装期间建议的执行策略为“RemoteSigned”。
有关设置 PowerShell 执行策略的详细信息,请参阅 Set-ExecutionPolicy。
Microsoft Entra Connect 服务器
Microsoft Entra Connect 服务器包含关键标识数据。 确保对此服务器的管理访问权限得到适当的保护非常重要。 按照保护特权访问中的指南进行操作。
必须将 Microsoft Entra Connect 服务器视为第 0 层组件,如 Active Directory 管理层模型中所述。 建议遵循保护特权访问中提供的指导,将 Microsoft Entra Connect 服务器作为控制平面资产进行强化
若要详细了解如何保护 Active Directory 环境,请参阅保护 Active Directory 的最佳做法。
安装先决条件
- Microsoft Entra Connect 必须安装在加入域的 Windows Server 2016 或更高版本上。 建议使用已加入域的 Windows Server 2022。 可以在 Windows Server 2016 上部署 Microsoft Entra Connect,但由于 Windows Server 2016 处于外延支持阶段,如果你需要支持此配置,可能需要购买付费支持计划。
- 所需的最低 .NET Framework 版本为 4.6.2,另外也支持较新版本的 .NET。 .NET 版本 4.8 及更高版本提供了最佳的辅助功能合规性。
- 不能在 Small Business Server 或 2019 版以前的 Windows Server Essentials(支持 Windows Server Essentials 2019)上安装 Microsoft Entra Connect。 该服务器必须使用 Windows Server Standard 或更高版本。
- 必须在 Microsoft Entra Connect 服务器上安装完整的 GUI。 不支持在 Windows Server Core 上安装 Microsoft Entra Connect。
- 如果使用 Microsoft Entra Connect 向导来管理 Active Directory 联合身份验证服务 (AD FS) 配置,则 Microsoft Entra Connect 服务器不得启用“PowerShell 转换”组策略。 如果使用 Microsoft Entra Connect 向导来管理同步配置,则可以启用 PowerShell 脚本。
- 确保不会在租户级别阻止 MSOnline PowerShell (MSOL)。
- 如果正在部署 AD FS:
- 安装 AD FS 或 Web 应用程序代理的服务器必须是 Windows Server 2012 R2 或更高版本。 必须在这些服务器上启用 Windows 远程管理才能进行远程安装。 如果需要支持 Windows Server 2016 和更低版本,可能需要购买付费支持计划。
- 必须配置 TLS/SSL 证书。 有关详细信息,请参阅管理 AD FS 的 SSL/TLS 协议和密码套件和管理 AD FS 中的 SSL 证书。
- 必须配置名称解析。
- 不支持中断和分析 Microsoft Entra Connect 与 Microsoft Entra ID 之间的流量。 这样做可能会中断服务。
- 如果混合标识管理员已启用 MFA,URL
https://secure.aadcdn.microsoftonline-p.com
必须在受信任的站点列表中。 在显示 MFA 质询提示之前,系统会先提示将此 URL 添加到受信任的站点列表中(如果尚未添加)。 可以使用 Internet Explorer 将它添加到受信任站点。 - 如果计划使用 Microsoft Entra Connect Health 进行同步,则需要使用全局管理员帐户安装 Microsoft Entra Connect Sync。如果使用混合管理员帐户,则会安装代理,但处于禁用状态。 有关详细信息,请参阅 Microsoft Entra Connect Health 代理安装。
强化 Microsoft Entra Connect 服务器
建议强化 Microsoft Entra Connect 服务器来减小 IT 环境中的此关键组件的安全攻击面。 遵循这些建议有助于降低组织的部分安全风险。
- 建议遵循保护特权访问和 Active Directory 管理层模型中提供的指导,将 Microsoft Entra Connect 服务器作为控制平面(以前称为第 0 层)资产进行强化。
- 将 Microsoft Entra Connect 服务器的管理访问限制仅限于域管理员或其他受到严格控制的安全组。
- 为所有具有特权访问权限的人员创建专用帐户。 管理员不应该使用高特权帐户浏览网页、查看电子邮件和执行日常工作效率任务。
- 遵循保护特权访问中提供的指南进行操作。
- 拒绝对 Microsoft Entra Connect 服务器使用 NTLM 身份验证。 下面是执行此操作的一些方法:在 Microsoft Entra Connect 服务器上限制 NTLM 和在域上限制 NTLM
- 确保每台计算机都有唯一的本地管理员密码。 有关详细信息,请参阅本地管理员密码解决方案 (Windows LAPS),该解决方案可在每个工作站上配置唯一的随机密码,并将其存储在受 ACL 保护的 Active Directory 中。 只有符合条件的授权用户才可以读取或请求重置这些本地管理员帐户密码。 有关使用 Windows LAPS 和特权访问工作站 (PAW) 操作环境的附加指导,请参阅基于干净源原则的操作标准。
- 为具有组织信息系统的特权访问权限的所有人员实现专用的特权访问工作站。
- 按照以下附加指南操作,以减少 Active Directory 环境的攻击面。
- 按照监视联合身份验证配置的更改中的要求设置警报,以监视对在 Idp 与 Microsoft Entra 之间建立的信任的更改。
- 为在 Microsoft Entra ID 或 AD 中具有特权访问权限的所有用户启用多重身份验证 (MFA)。 使用 Microsoft Entra Connect 的一个安全问题是,如果攻击者可以控制 Microsoft Entra Connect 服务器,那么就可以在 Microsoft Entra ID 中操纵用户。 为了防止攻击者使用这些功能接管 Microsoft Entra 帐户,MFA 提供了保护措施,以便即使攻击者设法,例如使用 Microsoft Entra Connect 重置用户密码,他们仍然无法绕过第二重验证。
- 在租户上禁用软匹配。 软匹配是一项出色的功能,有助于将现有的云托管对象的授权源传输到 Microsoft Entra Connect,但存在某些安全风险。 如果不需要此功能,则应禁用软匹配。
- 禁用硬匹配接管。 硬匹配接管允许 Microsoft Entra Connect 控制云托管对象,并将对象的授权源更改为 Active Directory。 Microsoft Entra Connect 接管对象的授权源后,如果启用了密码哈希同步,对链接到 Microsoft Entra 对象的 Active Directory 对象所做的更改将覆盖原始 Microsoft Entra 数据(包括密码哈希)。 攻击者可以使用此功能接管云托管对象的控制权。 若要降低此风险,请禁用硬匹配接管。
Microsoft Entra Connect 使用的 SQL Server
- Microsoft Entra Connect 要求使用 SQL Server 数据库来存储标识数据。 默认安装 SQL Server 2019 Express LocalDB(轻量版本的 SQL Server Express)。 SQL Server Express 有 10-GB 的大小限制,允许管理大约 100,000 个对象。 如果需要管理更多的 Directory 对象,请将安装向导指向不同的 SQL Server 安装。 SQL Server 安装的类型可能会影响 Microsoft Entra Connect 的性能。
- 如果使用不同的 SQL Server 安装,则以下要求适用:
- Microsoft Entra Connect 支持最高为 Windows 上运行的 SQL Server 2022 的所有主要支持 SQL Server 版本。 请参阅 SQL Server 生命周期文章以验证 SQL Server 版本的支持状态。 不再支持 SQL Server 2012。 不支持将 Azure SQL 数据库用作数据库。 这包括 Azure SQL 数据库和 Azure SQL 托管实例。
- 必须使用不区分大小写的 SQL 排序规则。 可通过名称中的 _CI_ 识别这些排序规则。 不支持使用由名称中的 _CS_ 来识别的区分大小写的排序规则。
- 每个 SQL 实例只能有一个同步引擎。 不支持与 MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 实例。
- 维护与 Microsoft Entra Connect 捆绑的 ODBC Driver for SQL Server 版本 17 和 OLE DB Driver for SQL Server 版本 18。 不支持升级 ODBC/OLE DB 驱动程序的主要版本或次要版本。 Microsoft Entra Connect 产品组团队将包括新的 ODBC/OLE DB 驱动程序,因为这些驱动程序可用并且需要更新。
帐户
- 必须具有要与之集成的 Microsoft Entra 租户的 Microsoft Entra 全局管理员帐户或混合标识管理员帐户。 该帐户必须是学校或组织帐户,而不能是 Microsoft 帐户 。
- 如果使用快速设置或者从 DirSync 升级,则必须拥有本地 Active Directory 的企业管理员帐户。
- 如果使用自定义设置安装路径,则会有更多选项。 有关详细信息,请参阅自定义安装设置。
Connectivity
- Microsoft Entra Connect 服务器需要 Intranet 和 Internet 的 DNS 解析。 DNS 服务器必须能够将名称解析成本地 Active Directory 和 Microsoft Entra 终结点。
- Microsoft Entra Connect 需要到所有配置的域的网络连接
- Microsoft Entra Connect 需要与所有配置的林的根域建立网络连接
- 如果 Intranet 有防火墙,且需要开放 Microsoft Entra Connect 服务器与域控制器之间的端口,请参阅 Microsoft Entra Connect 端口,了解详细信息。
- 如果代理或防火墙限制了可访问的 URL,则必须打开 Office 365 URL 和 IP 地址范围中所述的 URL。 另请参阅在防火墙或代理服务器上将 Microsoft Entra 管理中心 URL 加入安全列表。
- 如果在德国使用 Microsoft 云或 Microsoft Azure 政府版云,请参阅 Microsoft Entra Connect 同步服务实例注意事项以了解 URL。
- Microsoft Entra Connect(1.1.614.0 版及更高版本)默认情况下使用 TLS 1.2 对同步引擎和 Microsoft Entra ID 之间的通信进行加密。 如果 TLS 1.2 在基础操作系统上不可用,Microsoft Entra Connect 会递增地回退到较旧的协议(TLS 1.1 和 TLS 1.0)。 Microsoft Entra Connect 2.0 及更高版本。 不再支持 TLS 1.0 和 1.1,如果未启用 TLS 1.2,安装将失败。
- 在 1.1.614.0 版以前,Microsoft Entra Connect 默认情况下使用 TLS 1.0 对同步引擎和 Microsoft Entra ID 之间的通信进行加密。 若要更改为 TLS 1.2,请按照为 Microsoft Entra connect 启用 TLS 1.2 中的步骤进行操作。
重要
版本 2.3.20.0 是一个安全更新。 在此更新中,Microsoft Entra Connect 需要 TLS 1.2。 在更新到此版本之前,请确保已启用 TLS 1.2。
Windows Server 的所有版本都支持 TLS 1.2。 如果服务器上未启用 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2.0。
有关用于检查 TLS 1.2 是否已启用的 PowerShell 脚本,请参阅 用于检查 TLS 的 PowerShell 脚本
有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。 有关启用 TLS 1.2 的详细信息,请参阅如何启用 TLS 1.2。
如果使用出站代理连接到 Internet,则必须在 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 文件中添加以下设置,才能将安装向导和 Microsoft Entra Connect 同步连接到 Internet 和 Microsoft Entra。 必须在文件底部输入此文本。 在此代码中,<PROXYADDRESS> 代表实际代理 IP 地址或主机名。
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
如果代理服务器需要身份验证,服务帐户必须位于域中。 使用自定义设置安装路径指定自定义服务帐户。 还需要对 machine.config 进行不同的更改。在 machine.config 中进行此更改之后,安装向导和同步引擎响应来自代理服务器的身份验证请求。 在所有安装向导页中(“配置”页除外)都使用已登录用户的凭据。 在安装向导末尾的“配置”页上,上下文将切换到你创建的服务帐户。 machine.config 部分应如下所示:
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
如果代理配置是在现有设置中完成的,则需要重启一次 Microsoft Entra ID Sync 服务,以便 Microsoft Entra Connect 读取代理配置并更新行为。
当 Microsoft Entra Connect 在目录同步过程中向 Microsoft Entra ID 发送 Web 请求时,Microsoft Entra ID 最多可能需要 5 分钟才能做出响应。 代理服务器具有连接空闲超时配置很常见。 确保配置设置为至少 6 分钟或更长时间。
有关默认代理元素的详细信息,请参阅 MSDN。 有关遇到连接问题时的详细信息,请参阅排查连接问题。
其他
可选:使用测试用户帐户验证同步。
组件先决条件
PowerShell 和 .NET Framework
Microsoft Entra Connect 依赖于 Microsoft PowerShell 5.0 和 .NET Framework 4.5.1。 服务器上需要安装此版本或更高版本。
为 Microsoft Entra Connect 启用 TLS 1.2
重要
版本 2.3.20.0 是一个安全更新。 在此更新中,Microsoft Entra Connect 需要 TLS 1.2。 在更新到此版本之前,请确保已启用 TLS 1.2。
Windows Server 的所有版本都支持 TLS 1.2。 如果服务器上未启用 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2.0。
有关用于检查 TLS 1.2 是否已启用的 PowerShell 脚本,请参阅 用于检查 TLS 的 PowerShell 脚本
有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。 有关启用 TLS 1.2 的详细信息,请参阅如何启用 TLS 1.2。
在 1.1.614.0 版以前,Microsoft Entra Connect 默认情况下使用 TLS 1.0 对同步引擎服务器和 Microsoft Entra ID 之间的通信进行加密。 默认情况下,可以将 .NET 应用程序配置为在服务器上使用 TLS 1.2。 有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。
请确保已为操作系统安装了 .NET 4.5.1 修补程序。 有关详细信息,请参阅 Microsoft 安全公告 2960358。 服务器上可能已经安装了此修补程序或更高版本的修补程序。
对于所有操作系统,设置此注册表项并重新启动服务器。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
如果还想要在同步引擎服务器和远程 SQL Server 之间启用 TLS 1.2,请确保为 Microsoft SQL Server 的 TLS 1.2 支持安装所需的版本。
有关详细信息,请参阅如何启用 TLS 1.2
同步服务器上的 DCOM 必备组件
在同步服务的安装过程中,Microsoft Entra Connect 会检查是否存在以下注册表项:
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
在此注册表项下,Microsoft Entra Connect 将检查以下值是否存在且未损坏:
联合身份验证安装和配置的先决条件
Windows 远程管理
使用 Microsoft Entra Connect 部署 AD FS 或 Web 应用程序代理 (WAP) 时,请检查以下要求:
- 如果目标服务器已加入域,请确保已启用“Windows 远程托管”。
- 在权限提升的 PowerShell 命令窗口中,使用命令
Enable-PSRemoting –force
。
- 在权限提升的 PowerShell 命令窗口中,使用命令
- 如果目标服务器是未加入域的 WAP 计算机,则需要满足一些额外的要求:
- 在目标计算机(WAP 计算机)上:
- 确保 Windows 远程管理/WS-Management (WinRM) 服务正在通过“服务”管理单元运行。
- 在权限提升的 PowerShell 命令窗口中,使用命令
Enable-PSRemoting –force
。
- 在运行向导的计算机上(如果目标计算机未加入域或者是不受信任的域):
- 在权限提升的 PowerShell 命令窗口中,使用命令
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate
。 - 在服务器管理器中:
- 将 DMZ WAP 主机添加到计算机池。 在服务器管理器中,选择“管理”>“添加服务器”,然后使用“DNS”选项卡。
- 在“服务器管理器所有服务器”选项卡上,右键单击 WAP 服务器,然后选择“管理方式” 。 输入 WAP 计算机的本地(非域)凭据。
- 若要验证远程 PowerShell 连接,请在“服务器管理器所有服务器”选项卡上,右键单击 WAP 服务器,并选择“Windows PowerShell” 。 此时应会打开远程 PowerShell 会话,以确保可以建立远程 PowerShell 会话。
- 在权限提升的 PowerShell 命令窗口中,使用命令
- 在目标计算机(WAP 计算机)上:
TLS/SSL 证书要求
- 建议在 AD FS 场的所有节点中以及所有 Web 应用程序代理服务器中使用相同的 TLS/SSL 证书。
- 该证书必须是 X509 证书。
- 在测试实验室环境中,可以在联合服务器上使用自签名证书。 对于生产环境,建议从某个公共证书颁发机构获取证书。
- 如果使用未公开受信任的证书,请确保每个 Web 应用程序代理服务器上安装的证书同时受本地服务器和所有联合服务器的信任。
- 证书的标识必须与联合身份验证服务名称(例如 sts.contoso.com)匹配。
- 标识是类型为 dNSName 的使用者备用名称 (SAN) 扩展,或者是指定为公用名的使用者名称(当不存在 SAN 条目时)。
- 证书中可以存在多个 SAN 条目,但是它们中必须有一个与联合身份验证服务名称匹配。
- 如果计划使用“工作区加入”,则还额外需要一个 SAN,它具有值“enterpriseregistration.”,后跟你的组织的用户主体名称 (UPN) 后缀(例如 enterpriseregistration.contoso.com)。
- 不支持基于 CryptoAPI 下一代 (CNG) 密钥和密钥存储提供者 (KSP) 的证书。 因此,必须使用基于加密服务提供者 (CSP) 的证书,而非基于 KSP 的证书。
- 支持通配符证书。
联合服务器的名称解析
- 针对 Intranet(内部 DNS 服务器)和 Extranet(通过域注册机构注册的公共 DNS)设置 AD FS 名称(例如 sts.contoso.com)的 DNS 记录。 对于 Intranet DNS 记录,请确保使用 A 记录而不是 CNAME 记录。 要让 Windows 身份验证在已加入域的计算机上正确工作,就需要使用记录。
- 如果要部署多个 AD FS 服务器或 Web 应用程序代理服务器,则请确保负载均衡器已配置,且 AD FS 名称(例如 sts.contoso.com)的 DNS 记录指向该负载均衡器。
- 如果要将 Windows 集成身份验证用于 Intranet 中使用 Internet Explorer 的浏览器应用程序,请确保将 AD FS 名称(例如 sts.contoso.com)添加到 Internet Explorer 中的 Intranet 区域。 此要求可以通过组策略进行控制,并部署到所有加入域的计算机上。
Microsoft Entra Connect 支持组件
Microsoft Entra Connect 会在安装 Microsoft Entra Connect 的服务器上安装以下组件。 此列表针对基本快速安装。 如果在“安装同步服务”页上选择使用不同的 SQL Server,则不会在本地安装 SQL Express LocalDB。
- Microsoft Entra Connect Health
- Microsoft SQL Server 2022 命令行实用工具
- Microsoft SQL Server 2022 Express LocalDB
- Microsoft SQL Server 2022 本机客户端
- Microsoft Visual C++ 14 再分发包
Microsoft Entra Connect 的硬件要求
下表显示了 Microsoft Entra Connect 同步计算机的最低要求。
Active Directory 中的对象数目 | CPU | 内存 | 硬盘驱动器大小 |
---|---|---|---|
少于 10,000 个 | 1.6 GHz | 6 GB | 70 GB |
10,000–50,000 | 1.6 GHz | 6 GB | 70 GB |
50,000–100,000 | 1.6 GHz | 16 GB | 100 GB |
如果对象数超过 100,000 个,则需要使用完整版本的 SQL Server。 出于性能原因,首选本地安装。 以下值仅对 Microsoft Entra Connect 安装有效。 如果 SQL Server 将安装在同一台服务器上,则需要更多的内存、驱动器和 CPU。 | |||
100,000–300,000 | 1.6 GHz | 32 GB | 300 GB |
300,000–600,000 | 1.6 GHz | 32 GB | 450 GB |
超过 600,000 个 | 1.6 GHz | 32 GB | 500 GB |
以下是运行 AD FS 或 Web 应用程序代理服务器的计算机的最低要求:
- CPU:双核 1.6 GHz 或更高
- 内存:2 GB 或更高
- Azure VM:A2 配置或更高
后续步骤
详细了解如何将本地标识与 Microsoft Entra ID 集成。