Microsoft Entra 雲端同步的必要條件

本文提供使用 Microsoft Entra 雲端同步作為身分識別解決方案的指引。

雲端佈建代理程式需求

您需要下列各項才能使用 Microsoft Entra 雲端同步：

• 網域系統管理員或企業系統管理員認證，以建立 Microsoft Entra Connect 雲端同步 gMSA (群組受管理的服務帳戶) 來執行代理程式服務。
• Microsoft Entra 租用戶中非來賓使用者的混合式身分識別管理員帳戶。
• 佈建代理程式的 Windows 2016 或更新版本內部部署伺服器。 此伺服器應該是以 Active Directory 管理層模型為基礎的第 0 層伺服器。 支援在網域控制站上安裝代理程式。 如需詳細資訊，請參閱 強化您的Microsoft Entra 布建代理程序伺服器
  • AD 結構描述的必要屬性：msDS-ExternalDirectoryObjectId
• 高可用性指的是 Microsoft Entra Cloud Sync 能夠長時間持續運作而不故障的能力。 透過安裝並執行多個作用中代理程式，即使其中一個代理程式發生故障，Microsoft Entra Cloud Sync 也可以持續運作。 Microsoft 建議安裝 3 個作用中代理程式，以獲得高可用性。
• 內部部署防火牆設定。

強化您的Microsoft Entra 布建代理程序伺服器

建議您強化 Microsoft Entra 布建代理程式伺服器，以減少 IT 環境這個重要元件的安全性攻擊面。 遵循上述建議將有助於降低組織的部分安全性風險。

• 建議您遵循安全特殊許可權存取和 Active Directory 系統管理層模型中提供的指引，將 Microsoft Entra 布建代理程式伺服器作為控制平面（先前稱為第 0 層）資產。
• 將系統管理存取限制為只有網域系統管理員或其他嚴格控制的安全組，才能存取 Microsoft Entra 布建代理程式伺服器。
• 針對所有具特殊權限存取的人員建立專用帳戶。 系統管理員不應使用權限極高的帳戶，來瀏覽網頁、檢查電子郵件和執行日常生產力工作。
• 遵循保護特殊權限存取中提供的指導方針。
• 拒絕搭配 Microsoft Entra 布建代理程式伺服器使用 NTLM 驗證。 以下是一些執行此動作的方法： 限制 Microsoft Entra 布建代理程式伺服器上的 NTLM 和 限制網域上的 NTLM
• 確保每部電腦均擁有唯一的本機系統管理員密碼。 如需詳細資訊，請參閱區域系統管理員密碼解決方案 (Windows LAPS)，以在各工作站和伺服器上設定的唯一隨機密碼，並將其儲存在受 ACL 保護的 Active Directory。 只有合格的授權使用者才可讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊權限存取工作站 (PAW) 操作環境的其他指南，請參閱以乾淨來源準則為基礎的操作標準。
• 針對在貴組織資訊系統有特殊存取權的所有人員，執行專用的特殊權限存取工作站。
• 遵循這些額外指導方針來縮小 Active Directory 環境的受攻擊面。
• 遵循監視同盟設定的變更來設定警示，以監視 Idp 與 Microsoft Entra ID 之間所建立信任關係的變更。
• 針對在 Microsoft Entra ID 或 AD 中擁有特殊存取權的使用者啟用多重要素驗證 (MFA)。 使用 Microsoft Entra 布建代理程式的安全性問題之一是，如果攻擊者可以控制 Microsoft Entra 布建代理程式伺服器，他們可以在 Microsoft Entra 識別符中操作使用者。 為了防止攻擊者使用這些功能接管Microsoft Entra 帳戶，MFA 會提供保護，因此即使攻擊者設法這麼做，例如使用 Microsoft Entra 布建代理程式重設使用者的密碼，他們仍然無法略過第二個因素。

群組受管理的服務帳戶

群組受管理的服務帳戶是受控網域帳戶，可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理、將管理委派給其他管理員的能力，也會將此功能擴充到多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 系統會在設定期間提示您輸入管理認證，以建立此帳戶。 帳戶會顯示為 domain\provAgentgMSA$。 如需 gMSA 的詳細資訊，請參閱群組受管理的服務帳戶。

gMSA 的必要條件

1. gMSA 網域樹系中的 Active Directory 結構描述需要更新成 Windows Server 2012 或更新版本。
2. 網域控制站上的 PowerShell RSAT 模組。
3. 網域中至少必須要有一個網域控制站執行 Windows Server 2012 或更新版本。
4. 安裝代理程式的已加入網域伺服器需要是 Windows Server 2016 或更新版本。

自訂 gMSA 帳戶

若要建立自訂 gMSA 帳戶，必須確定帳戶具有下列權限。

類型	名稱	存取	套用至
允許	gMSA 帳戶	讀取全部內容	子系裝置物件
允許	gMSA 帳戶	讀取全部內容	子系 InetOrgPerson 物件
允許	gMSA 帳戶	讀取全部內容	子系電腦物件
允許	gMSA 帳戶	讀取全部內容	子系 foreignSecurityPrincipal 物件
允許	gMSA 帳戶	完全控制	子系群組物件
允許	gMSA 帳戶	讀取全部內容	子系使用者物件
允許	gMSA 帳戶	讀取全部內容	子系連絡人物件
允許	gMSA 帳戶	建立/刪除使用者物件	此物件和所有子系物件

如需如何將現有代理程式升級成使用 gMSA 帳戶的步驟，請參閱群組受管理的服務帳戶。

如需如何為群組受管理的服務帳戶準備 Active Directory 的詳細資訊，請參閱使用雲端同步來群組受管理的服務帳戶概觀和群組受管理的服務帳戶。

在 Microsoft Entra 系統管理中心

1. 在 Microsoft Entra 租用戶上建立僅限雲端混合式身分識別管理員帳戶。 如此一來，如果內部部署服務失敗或無法使用，即可管理租用戶設定。 了解如何新增僅限雲端混合式身分識別管理員帳戶。 完成此步驟對於確保不會被租用戶封鎖至關重要。
2. 將一或多個自訂網域名稱新增至 Microsoft Entra 租用戶。 您的使用者可以使用其中一個網域名稱登入。

在 Active Directory 目錄中

執行 IdFix 工具來準備目錄屬性以進行同步處理。

在內部部署環境中

1. 識別已加入網域、執行 Windows Server 2016 或更新版本且至少有 4 GB RAM 和 .NET 4.7.1+ 執行階段的主機伺服器。
2. 本機伺服器上的 PowerShell 執行原則必須設定為 Undefined 或 RemoteSigned。
3. 如果您的伺服器與 Microsoft Entra ID 之間有防火牆，請參閱的防火牆和 Proxy 需求。

注意

不支援在 Windows Server Core 上安裝雲端佈建代理程式。

將 Microsoft Entra ID 佈建至 Active Directory：必要條件

若要將佈建群組實作至 Active Directory，需要下列必要條件。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

一般需求

• 至少具有 [混合式身分識別系統管理員] 角色的 Microsoft Entra 帳戶。
• 具有 Windows Server 2016 操作系統或更新版本的內部部署 Active Directory Domain Services 環境。
  • AD 結構描述的必要屬性：msDS-ExternalDirectoryObjectId
• 組建版本 1.1.1370.0 或更新版本的佈建代理程式。

注意

僅在全新安裝期間指派服務帳戶的權限。 若要從舊版升級，則必須使用 PowerShell Cmdlet 手動指派權限：

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

若要手動設定權限，您必須確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。

根據預設，這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet

• 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
  • 需要進行通用類別目錄查詢，篩選掉無效成員資格參考
• 組建版本 2.2.8.0 或更新版本的 Microsoft Entra Connect
  • 需要支援使用 Microsoft Entra Connect 同步處理的內部部署使用者成員資格
  • 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier

支援的群組

只支援下列項目：

• 僅支援雲端建立的安全性群組
• 這些群組可以獲指派或具備動態成員資格。
• 這些群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
• 已同步並且是此雲端建立的安全性群組的成員的內部部署使用者帳戶，可來自同一網域或跨網域，但必須全部來自相同樹系。
• 這些群組會以通用 AD 群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
• 不支援擁有超過 50,000 位成員的群組。
• 每個直接子巢狀群組都會計算為參考群組中的一位成員
• 如果群組在 Active Directory 中手動更新，則不支援 Microsoft Entra ID 與 Active Directory 之間的群組核對。

其他資訊

以下是將群組佈建至 Active Directory 的其他資訊。

• 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
• 所有這些使用者都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
• onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
• 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
• 若使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者，而不是 Microsoft Entra Cloud Sync，並且想要使用佈建至 AD，就必須使用 2.2.8.0 或更新版本。
• 只有一般 Microsoft Entra ID 租用戶支援從 Microsoft Entra ID 佈建至 Active Directory。 不支援 B2C 等租用戶。
• 群組佈建作業排程為每 20 分鐘執行一次。

更多需求

• 最低版本為 Microsoft .NET Framework 4.7.1

TLS 需求

注意

傳輸層安全性 (TLS) 是為了安全通訊所提供的通訊協定。 變更 TLS 設定會影響整個樹系。 如需詳細資訊，請參閱更新為啟用 TLS 1.1 和 TLS 1.2 作為 Windows WinHTTP 中的預設安全通訊協定。

在安裝之前，裝載 Microsoft Entra Connect 雲端佈建代理程式的 Windows 伺服器必須先啟用 TLS 1.2。

若要啟用 TLS 1.2，請遵循下列步驟。

1. 透過將內容複製到 .reg 檔案中來設定以下登錄機碼，然後執行該檔案 (以滑鼠右鍵按一下並選擇 [合併])：

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. 重新啟動伺服器。

防火牆和 Proxy 需求

如果伺服器與 Microsoft Entra ID 之間有防火牆，請設定下列項目：

• 確定代理程式可透過下列連接埠對 Microsoft Entra ID 提出輸出要求：

  連接埠號碼	描述
  80	驗證 TLS/SSL 憑證時下載憑證撤銷清單 (CRL)。
  443	處理服務的所有輸出通訊。
  8080 (選擇性)	如果無法使用連接埠 443，則代理程式會透過連接埠 8080 每 10 分鐘報告其狀態一次。 此狀態會顯示在 Microsoft Entra 系統管理中心。

• 如果您的防火牆會根據原始使用者強制執行規則，請開啟這些連接埠，讓來自以網路服務形式執行之 Windows 服務的流量得以通行。

• 請確定 Proxy 至少支援 HTTP 1.1 通訊協定，並啟用區塊編碼。

• 如果防火牆或 Proxy 可讓您指定安全尾碼，則請新增連線：

公用雲端

URL	描述
*.msappproxy.net *.servicebus.windows.net	代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	代理程式會使用這些 URL 來驗證憑證。
login.windows.net	代理程式會在註冊過程中使用這些 URL。

政府雲

URL	描述
*.msappproxy.us *.servicebus.usgovcloudapi.net	代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	代理程式會使用這些 URL 來驗證憑證。
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	代理程式會在註冊過程中使用這些 URL。

• 如果您無法新增連線，請允許存取每週更新的 Azure 資料中心 IP 範圍。

NTLM 需求

您不應該在執行 Microsoft Entra 佈建代理程式的 Windows Server 上啟用 NTLM，如果已啟用，應該確定已將 NTLM 停用。

已知的限制

以下是已知的限制：

差異同步處理

• 差異同步的群組範圍篩選不支援 50,000 位以上的成員。
• 當您刪除用作群組範圍篩選一部分的群組時，不會刪除本身為群組成員的使用者。
• 重新命名範圍中的 OU 或群組時，差異同步並不會移除使用者。

佈建記錄

• 佈建記錄無法清楚區分建立與更新作業。 您可能會看到更新的建立作業，以及建立的更新作業。

群組重新命名或 OU 重新命名

• 如果您重新命名 AD 中給定設定範圍內的群組或 OU，則雲端同步作業無法辨識 AD 中的名稱變更。 此作業不會進入隔離狀態，並且將維持良好的狀況。

範圍篩選

使用 OU 範圍篩選時

• 對於給定的設定，您最多只能同步 59 個不同的 OU 或安全性群組。
• 支援巢狀 OU (即，您「可以」同步具有 130 個巢狀 OU 的 OU，但「無法」在相同的設定中同步 60 個不同的 OU)。

密碼雜湊同步處理

• 不支援搭配使用密碼雜湊同步與 InetOrgPerson。

下一步

• 什麼是佈建？
• 什麼是 Microsoft Entra 雲端同步？