Microsoft Entra Cloud Sync 的必要條件
本文提供使用 Microsoft Entra Cloud Sync 作為身分識別解決方案的指導。
雲端佈建代理程式需求
您需要下列各項才能使用 Microsoft Entra Cloud Sync:
- 網域系統管理員或企業系統管理員認證,以建立 Microsoft Entra Connect 雲端同步 gMSA (群組受管理的服務帳戶) 來執行代理程式服務。
- Microsoft Entra 租用戶中非來賓使用者的混合式身分識別系統管理員帳戶。
- 佈建代理程式的 Windows 2016 或更新版本內部部署伺服器。 此伺服器應該是以 Active Directory 管理層模型為基礎的第 0 層伺服器。 支援在網域控制站上安裝代理程式。 如需詳細資訊,請參閱強化 Microsoft Entra 佈建代理程式伺服器
- AD 結構描述的必要屬性:msDS-ExternalDirectoryObjectId
- 高可用性指的是 Microsoft Entra Cloud Sync 能夠長時間持續運作而不故障的能力。 透過安裝並執行多個作用中代理程式,即使其中一個代理程式發生故障,Microsoft Entra Cloud Sync 也可以持續運作。 Microsoft 建議安裝 3 個作用中代理程式,以獲得高可用性。
- 內部部署防火牆設定。
強化您的 Microsoft Entra 佈建代理程式伺服器
建議您強化 Microsoft Entra 佈建代理程式伺服器,以減少 IT 環境中此重要元件的安全性受攻擊面。 遵循上述建議將有助於降低組織的部分安全性風險。
- 建議您遵循安全特殊權限存取和 Active Directory 系統管理層模型中的指導,以將 Microsoft Entra 佈建代理程式伺服器強化為控制平面 (過去稱為第 0 層) 資產。
- 將 Microsoft Entra 佈建代理程式伺服器的管理存取限制為僅限網域系統管理員或其他嚴格受控的安全性群組。
- 針對所有具特殊權限存取的人員建立專用帳戶。 系統管理員不應使用權限極高的帳戶,來瀏覽網頁、檢查電子郵件和執行日常生產力工作。
- 遵循<保護特殊權限存取>中提供的指導方針。
- 拒絕搭配使用 NTLM 驗證與 Microsoft Entra 佈建代理程式伺服器。 以下是執行此作業的一些方式:在 Microsoft Entra 佈建代理程式伺服器上限制使用 NTLM 和 在網域上限制使用 NTLM
- 確保每台機器均擁有唯一的本機系統管理員密碼。 如需詳細資訊,請參閱區域系統管理員密碼解決方案 (Windows LAPS),以在各工作站和伺服器上設定的唯一隨機密碼,並將其儲存在受 ACL 保護的 Active Directory。 只有合格的授權使用者才可讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊權限存取工作站 (PAW) 操作環境的其他指導,請參閱以乾淨來源準則為基礎的操作標準。
- 針對在貴組織資訊系統有特殊權限存取的所有人員,執行專用的特殊權限存取工作站。
- 遵循這些額外指導方針來縮小 Active Directory 環境的受攻擊面。
- 遵循監視同盟設定的變更來設定警示,以監視 Idp 與 Microsoft Entra ID 之間所建立信任關係的變更。
- 為所有在 Microsoft Entra ID 或 AD 中擁有特殊權限存取的使用者啟用多重要素驗證 (MFA)。 使用 Microsoft Entra 佈建代理程式伺服器時可能出現的一個安全性問題,是如果攻擊者可以控制 Microsoft Entra Connect 伺服器,即可在 Microsoft Entra ID 中操控使用者。 若要防止攻擊者使用上述功能來接管 Microsoft Entra 帳戶,MFA 提供了保護措施,這樣一來,攻擊者即使設法破解 (例如使用 Microsoft Entra 佈建代理程式來重設使用者密碼),仍然無法繞過第二個重要因素進行驗證。
群組受管理的服務帳戶
群組受管理的服務帳戶是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理、將管理委派給其他管理員的能力,也會將此功能擴充到多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 系統會在設定期間提示您輸入管理認證,以建立此帳戶。 帳戶會顯示為 domain\provAgentgMSA$
。 如需 gMSA 的詳細資訊,請參閱群組受管理的服務帳戶。
gMSA 的必要條件
- gMSA 網域樹系中的 Active Directory 架構需要更新成 Windows Server 2012 或更新版本。
- 網域控制站上的 PowerShell RSAT 模組。
- 網域中至少必須要有一個網域控制站執行 Windows Server 2012 或更新版本。
- 安裝代理程式的已加入網域伺服器需要是 Windows Server 2016 或更新版本。
自訂 gMSA 帳戶
若要建立自訂 gMSA 帳戶,需要確定帳戶具有下列權限。
類型 | 名稱 | 存取 | 套用至 |
---|---|---|---|
允許 | gMSA 帳戶 | 讀取全部內容 | 子系裝置物件 |
允許 | gMSA 帳戶 | 讀取全部內容 | 子系 InetOrgPerson 物件 |
允許 | gMSA 帳戶 | 讀取全部內容 | 子系電腦物件 |
允許 | gMSA 帳戶 | 讀取全部內容 | 子系 foreignSecurityPrincipal 物件 |
允許 | gMSA 帳戶 | 完全控制 | 子系群組物件 |
允許 | gMSA 帳戶 | 讀取全部內容 | 子系使用者物件 |
允許 | gMSA 帳戶 | 讀取全部內容 | 子系連絡人物件 |
允許 | gMSA 帳戶 | 建立/刪除使用者物件 | 此物件和所有子系物件 |
如需如何將現有代理程式升級成使用 gMSA 帳戶的步驟,請參閱群組受管理的服務帳戶。
如需如何為群組受管理的服務帳戶準備 Active Directory 的詳細資訊,請參閱群組受管理的服務帳戶概觀以及具有雲端同步功能的群組受管理的服務帳戶。
在 Microsoft Entra 系統管理中心
- 在 Microsoft Entra 租用戶上建立僅限雲端混合式身分識別系統管理員帳戶。 如此一來,如果內部部署服務失敗或無法使用,您便可以管理租用戶設定。 了解如何新增僅限雲端混合式身分識別系統管理員帳戶。 完成此步驟對於確保不會被租用戶封鎖至關重要。
- 將一或多個自訂網域名稱新增至 Microsoft Entra 租用戶。 您的使用者可以使用其中一個網域名稱登入。
在 Active Directory 目錄中
執行 IdFix 工具來準備目錄屬性以進行同步處理。
在內部部署環境中
- 識別已加入網域、執行 Windows Server 2016 或更新版本且至少有 4 GB RAM 和 .NET 4.7.1+ 執行階段的主機伺服器。
- 本機伺服器上的 PowerShell 執行原則必須設定為 Undefined 或 RemoteSigned。
- 如果您的伺服器與 Microsoft Entra ID 之間有防火牆,請參閱的防火牆和 Proxy 需求。
注意
不支援在 Windows Server Core 上安裝雲端佈建代理程式。
將 Microsoft Entra ID 佈建至 Active Directory:必要條件
若要將佈建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
一般需求
- 至少具有 [混合式身分識別管理員] 角色的 Microsoft Entra 帳戶。
- 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory Domain Services 環境。
- AD 結構描述的必要屬性:msDS-ExternalDirectoryObjectId
- 使用組建版本 1.1.1370.0 或更新版本的佈建代理程式。
注意
僅在全新安裝期間指派服務帳戶的權限。 若要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派權限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
若要手動設定權限,您需要確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。
根據預設,這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet
- 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
- 需要進行通用類別目錄查詢,篩選掉無效成員資格參考
- 組建版本 2.2.8.0 或更新版本的 Microsoft Entra Connect Sync
- 需要支援使用 Microsoft Entra Connect Sync 同步的內部部署使用者成員資格
- 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支援的群組和調整限制
支援下列功能:
- 僅支援雲端建立的安全性群組
- 這些群組可以獲指派或具備動態成員資格。
- 這些群組只能包含內部部署同步的使用者及/或其他雲端建立的安全性群組。
- 已同步並且是此雲端建立的安全性群組的成員的內部部署使用者帳戶,可來自同一網域或跨網域,但必須全部來自相同樹系。
- 這些群組會以通用 AD 群組範圍寫回。 內部部署環境必須支援通用群組範圍。
- 不支援擁有超過 50,000 位成員的群組。
- 不支援擁有超過 150,000 個物件的租用戶。 這表示,如果租用戶的任何使用者和群組組合具有超過 150,000 個物件,則不支援租用戶。
- 每個直接子巢狀群組都會計算為參考群組中的一位成員
- 如果群組在 Active Directory 中手動更新,則不支援 Microsoft Entra ID 與 Active Directory 之間的群組核對。
其他資訊
以下是將群組佈建至 Active Directory 的其他資訊。
- 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
- 這些使用者必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
- 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
- 若不是使用 Microsoft Entra Cloud Sync,而是使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者,並且想要使用佈建至 AD,就必須使用 2.2.8.0 或更新版本。
- 只有一般 Microsoft Entra ID 租用戶支援從 Microsoft Entra ID 向 Active Directory 佈建。 不支援 B2C 等租用戶。
- 群組佈建工作排程為每 20 分鐘執行一次。
更多需求
TLS 需求
注意
傳輸層安全性 (TLS) 是為了安全通訊所提供的通訊協定。 變更 TLS 設定會影響整個樹系。 如需詳細資訊,請參閱<更新為啟用 TLS 1.1 和 TLS 1.2 作為 Windows WinHTTP 中的預設安全通訊協定>。
在安裝之前,裝載 Microsoft Entra Connect 雲端佈建代理程式的 Windows 伺服器必須先啟用 TLS 1.2。
若要啟用 TLS 1.2,請遵循下列步驟。
透過將內容複製到 .reg 檔案中來設定以下登入機碼,然後執行該檔案 (以滑鼠右鍵按一下並選擇 [合併]):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
重新啟動伺服器。
防火牆和 Proxy 需求
如果伺服器與 Microsoft Entra ID 之間有防火牆,請設定下列項目:
確定代理程式可透過下列連接埠對 Microsoft Entra ID 提出輸出要求:
連接埠號碼 描述 80 驗證 TLS/SSL 憑證時下載憑證撤銷清單 (CRL) 443 處理所有與服務之間的輸出通訊 8080 (選擇性) 如果無法使用連接埠 443,則代理程式會透過連接埠 8080 每 10 分鐘報告其狀態一次。 此狀態會顯示在 Microsoft Entra 系統管理中心。 如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。
請確定 Proxy 至少支援 HTTP 1.1 通訊協定,並啟用區塊編碼。
如果防火牆或 Proxy 可讓您指定安全尾碼,則請新增連線:
URL | 描述 |
---|---|
*.msappproxy.net *.servicebus.windows.net |
代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。 |
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com |
代理程式會使用這些 URL 來與 Microsoft Entra 雲端服務進行通訊。 |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
代理程式會使用這些 URL 來驗證憑證。 |
login.windows.net |
代理程式會在註冊過程中使用這些 URL。 |
NTLM 需求
您不應該在執行 Microsoft Entra 佈建代理程式的 Windows Server 上啟用 NTLM,如果已啟用,應該確定已將 NTLM 停用。
已知的限制
以下是已知的限制:
差異同步處理
- 差異同步的群組範圍篩選不支援 50,000 位以上的成員。
- 當您刪除用作群組範圍篩選一部分的群組時,不會刪除本身為群組成員的使用者。
- 重新命名範圍中的 OU 或群組時,差異同步並不會移除使用者。
佈建記錄
- 佈建記錄無法清楚區分建立與更新作業。 您可能會看到更新的建立作業,以及建立的更新作業。
群組重新命名或 OU 重新命名
- 如果您重新命名 AD 中給定設定範圍內的群組或 OU,則雲端同步作業無法辨識 AD 中的名稱變更。 此工作不會進入隔離狀態,並且將維持良好的狀況。
範圍篩選
使用 OU 範圍篩選時
範圍設定的字元長度限制為 4MB。 在標準測試的環境中,這會轉譯為大約 50 個獨立的組織單位 (OU) 或安全性群組,包括其指定設定的必要中繼資料。
支援巢狀 OU (即,您「可以」同步具有 130 個巢狀 OU 的 OU,但「無法」在相同的設定中同步 60 個不同的 OU)。
密碼雜湊同步處理
- 不支援搭配使用密碼雜湊同步與 InetOrgPerson。