Microsoft Entra Connect 的必要條件

本文描述 Microsoft Entra Connect 所需的必要條件和硬體需求。

安裝 Microsoft Entra Connect 之前

安裝 Microsoft Entra Connect 之前，需要準備好一些項目。

Microsoft Entra ID

• 您需要一個 Microsoft Entra 租用戶。 您可以透過 Azure 免費試用版取得一個租用戶。 您可以使用下列其中一個入口網站來管理 Microsoft Entra Connect：
  • Microsoft Entra 系統管理中心。
  • Office 入口網站。
• 新增和驗證網域，而此網域是您打算在 Microsoft Entra 中使用的網域。 例如，如果您計畫讓使用者使用 contoso.com，請確定此網域已經過驗證，且您不僅使用 contoso.onmicrosoft.com 預設網域。
• Microsoft Entra 租用戶預設允許 50,000 個物件。 您驗證您的網域時，上限將增加至 300,000 個物件。 如果在 Microsoft Entra 中需要更多物件，請建立支援案例以進一步提高上限。 如需 500,000 個以上的物件，則需取得 Microsoft 365、Microsoft Entra ID P1 或 P2，或 Enterprise Mobility + Security 這類授權。

準備您的內部部署資料

• 在同步至 Microsoft Entra ID 和 Microsoft 365 之前，請使用 IdFix 來識別目錄中重複項目和格式問題這類錯誤。
• 檢閱可在 Microsoft Entra ID 中啟用的選用同步處理功能，並評估應啟用的功能。

內部部署 Active Directory

• Active Directory 結構描述版本與樹系功能等級必須是 Windows Server 2003 或更新版本。 只要符合結構描述版本和樹系層級需求，網域控制站就能執行任何版本。 若您需要支援執行 Windows Server 2016 或較舊版本的網域控制站，可能需要選擇付費支援方案。
• Microsoft Entra ID 使用的網域控制站必須是可寫入的。 「不支援」使用唯讀網域控制站 (RODC)，而且 Microsoft Entra Connect 不會遵循任何寫入重新導向。
• 不支援使用內部部署樹系或「帶點」(名稱需包含句點 ".") NetBIOS 名稱的網域。
• 建議您啟用 Active Directory 資源回收筒。

PowerShell 執行原則

Microsoft Entra Connect 會在安裝過程執行已簽署的 PowerShell 指令碼。 請確保 PowerShell 執行原則允許執行指令碼。

安裝期間的建議執行原則為 "RemoteSigned"。

如需設定 PowerShell 執行原則的詳細資訊，請參閱 Set-ExecutionPolicy。

Microsoft Entra Connect 伺服器

Microsoft Entra Connect 伺服器包含重要的身分識別資料。 務必適當保護此伺服器的管理存取權。 請遵循保護特殊權限存取中的指導方針。

Microsoft Entra Connect 伺服器必須視為第 0 層元件，如 Active Directory 系統管理層模型中所述。 建議您遵循特殊權限的安全存取中所提供的指導，以將 Microsoft Entra Connect 伺服器強化為控制台資產

若要深入了解保護 Active Directory 環境，請參閱保護 Active Directory 的最佳做法。

安裝先決條件

• Microsoft Entra Connect 必須安裝於已加入網域的 Windows Server 2016 或更新版本上。 建議使用已加入網域的 Windows Server 2022。 您可以在 Windows Server 2016 上部署 Microsoft Entra Connect，但因為 Windows Server 2016 處於延伸支援狀態，所以如需此設定的支援，則可能需要付費支援方案。
• 所需的最低 .NET Framework 版本為 4.6.2，也支援更新的 .NET 版本。 .NET 4.8 及更新版本則提供最佳的協助工具合規性。
• Microsoft Entra Connect 無法安裝於 Small Business Server 或 2019 以前的 Windows Server Essentials 版本 (支援 Windows Server Essentials 2019)。 伺服器必須使用 Windows Server Standard 或以上版本。
• Microsoft Entra Connect 伺服器必須已安裝完整的 GUI。 不支援於 Windows Server Core 上安裝 Microsoft Entra Connect。
• 如果您使用 Microsoft Entra Connect 精靈來管理 Active Directory 同盟服務 (AD FS) 設定，則 Microsoft Entra Connect 伺服器不得啟用 PowerShell 謄寫群組原則。 如果您使用 Microsoft Entra Connect 精靈來管理同步設定，即可啟用 PowerShell 謄寫。
• 確定在租用戶層級不會封鎖 MS Online PowerShell (MSOL)。
• 如果正在部署 AD FS：
  • 安裝 AD FS 或 Web 應用程式 Proxy 的伺服器必須為 Windows Server 2012 R2 或更新版本。 必須在伺服器上啟用 Windows 遠端管理，才能執行遠端安裝。 如果您需要支援 Windows Server 2016 和較舊版本，可能需選擇付費支援方案。
  • 您必須設定 TLS/SSL 憑證。 如需詳細資訊，請參閱管理 AD FS 的 SSL/TLS 通訊協定和加密套件以及在 AD FS 中管理 SSL 憑證。
  • 您必須設定名稱解析。
• 不支援中斷和分析 Microsoft Entra Connect 與 Microsoft Entra ID 之間的流量。 執行上述行為可能會中斷服務。
• 如果您的混合式身分識別系統管理員已啟用 MFA，URL https://secure.aadcdn.microsoftonline-p.com 必須 位於信任的網站清單中。 系統向您提示 MFA 挑戰，且先前未新增此挑戰，則系統會提示您先將此網站新增至信任的網站清單。 您可以使用 Internet Explorer 將它新增到信任的網站。
• 如果您打算使用 Microsoft Entra Connect Health 進行同步處理，請確保同時符合 Microsoft Entra Connect Health 的先決條件。 如需詳細資訊，請參閱 Microsoft Entra Connect Health 代理程式安裝。

強化 Microsoft Entra Connect 伺服器

建議您強化 Microsoft Entra Connect 伺服器，以縮小 IT 環境中此重要元件的安全性受攻擊面。 遵循上述建議將有助於降低組織的部分安全性風險。

• 建議您遵循特殊權限的安全存取和 Active Directory 系統管理層模型中的指導，以將 Microsoft Entra Connect 伺服器強化為控制台 (過去稱為第 0 層) 資產。
• 將 Microsoft Entra Connect 伺服器的管理存取權限制為僅限網域系統管理員或其他嚴格受控的安全性群組。
• 針對所有具特殊權限存取的人員建立專用帳戶。 系統管理員不應使用權限極高的帳戶，來瀏覽網頁、檢查電子郵件和執行日常生產力工作。
• 遵循保護特殊權限存取中提供的指導方針。
• 拒絕搭配使用 NTLM 驗證與 Microsoft Entra Connect 伺服器。 以下是執行此作業的一些方式：在 Microsoft Entra Connect 伺服器上限制使用 NTLM 和在網域上限制使用 NTLM
• 確保每部電腦均擁有唯一的本機系統管理員密碼。 如需詳細資訊，請參閱區域系統管理員密碼解決方案 (Windows LAPS)，以在各工作站和伺服器上設定的唯一隨機密碼，並將其儲存在受 ACL 保護的 Active Directory。 只有合格的授權使用者才可讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊權限存取工作站 (PAW) 操作環境的其他指南，請參閱以乾淨來源準則為基礎的操作標準。
• 針對在貴組織資訊系統有特殊存取權的所有人員，執行專用的特殊權限存取工作站。
• 遵循這些額外指導方針來縮小 Active Directory 環境的受攻擊面。
• 遵循監視同盟設定的變更來設定警示，以監視 Idp 與 Microsoft Entra ID 之間所建立信任關係的變更。
• 針對在 Microsoft Entra ID 或 AD 中擁有特殊存取權的使用者啟用多重要素驗證 (MFA)。 使用 Microsoft Entra Connect 時可能出現的一個安全性問題，是如果攻擊者可以控制 Microsoft Entra Connect 伺服器，即可在 Microsoft Entra ID 中操控使用者。 若要防止攻擊者使用上述功能來接管 Microsoft Entra 帳戶，MFA 可提供保護措施，這樣一來，攻擊者即使設法破解 (例如使用 Microsoft Entra Connect 來重設使用者的密碼)，仍然無法繞過第二個重要素進行驗證。
• 停用租用戶上的 Soft Matching。 軟式比對是一項絕佳的功能，可協助將現有雲端受控物件的授權來源傳輸至 Microsoft Entra Connect，但會產生某些安全性風險。 若您不需要該功能，建議您停用 Soft Matching。
• 停用 Hard Match Takeover。 硬式比對接管可讓 Microsoft Entra Connec 控制雲端受控物件，並將物件的授權來源變更為 Active Directory。 Microsoft Entra Connect 接管物件的授權單元來源之後，對連結至 Microsoft Entra 物件的 Active Directory 物件所做的變更將會覆寫原始 Microsoft Entra 資料，包括密碼雜湊 (若已啟用密碼雜湊同步)。 攻擊者可以使用此功能來接管雲端受控物件的控制權。 若要降低此風險，請停用 Hard Match Takeover。

Microsoft Entra Connect 所使用的 SQL Server

• Microsoft Entra Connect 需要 SQL Server 資料庫來儲存身分識別資料。 預設會安裝 SQL Server 2019 Express LocalDB (SQL Server Express 的精簡版)。 SQL Server Express 的大小限制為 10 GB，可讓您管理約 100,000 個物件。 如果您需要管理的目錄物件數量更高，請將安裝精靈指向安裝不同的 SQL Server。 SQL Server 安裝的類型可能會影響 Microsoft Entra Connect 的效能。
• 如果您使用不同的 SQL Server 安裝程序，則適用於下列需求：
  • Microsoft Entra Connect 支援所有 SQL Server 主要支援版本，最高為 Windows 上執行的 SQL Server 2022。 若要確認 SQL Server 版本的支援狀態，請參閱 SQL Server 生命週期一文。 已不再支援 SQL Server 2012。 Azure SQL Database不支援作為資料庫使用。 這包括 Azure SQL Database 與 Azure SQL 受控執行個體。
  • 您必須使用不區分大小寫的 SQL 定序。 這些定序的名稱均可用 _CI_ 來進行識別。 不支援在區分大小寫的定序中透過名稱內的 _CS_ 進行識別。
  • 您在每個 SQL 執行個體中僅能擁有一個同步引擎。 「不支援」使用 MIM Sync、DirSync 或 Azure AD 同步來共用 SQL 執行個體。

帳戶

• 針對要與其整合的 Microsoft Entra 租用戶，您必須擁有 Microsoft Entra 全域系統管理員帳戶或混合式身分識別系統管理員帳戶。 此帳戶必須為學校或組織帳戶，且不可為 Microsoft 帳戶。
• 如果您使用快速設定或從 DirSync 升級，則必須具有內部部署 Active Directory 的企業系統管理員帳戶。
• 如果您使用自訂設定安裝路徑，則會有更多選項。 如需詳細資訊，請參閱自訂安裝設定。

連線性

• Microsoft Entra Connect 伺服器需要內部網路和網際網路的 DNS 解析。 DNS 伺服器必須能夠將名稱解析為內部部署 Active Directory 和 Microsoft Entra 端點。

• Microsoft Entra Connect 需要所有已設定網域的網路連線能力

• Microsoft Entra Connect 需要所有已設定樹系的根網域的網路連線能力

• 如果您的內部網路具有防火牆，而且需要開啟 Microsoft Entra Connect 伺服器與網域控制站之間的連接埠，請參閱 Microsoft Entra Connect 連接埠以取得詳細資訊。

• 如果您的 Proxy 或防火牆會限制可以存取的 URL，則必須開啟 Office 365 URL 和 IP 位址範圍中記載的 URL。 另請參閱在防火牆或 Proxy 伺服器上將 Microsoft Entra 系統管理中心 URL 列入安全清單。

  • 如果您要使用 Microsoft Cloud Germany 或 Microsoft Azure Government 雲端，請參閱 URL 的 Microsoft Entra Connect 同步處理執行個體考量。

• Microsoft Entra Connect (1.1.614.0 和更新版本) 預設會使用 TLS 1.2 來加密同步處理引擎與 Microsoft Entra ID 之間的通訊。 如果無法在基礎作業系統上使用 TLS 1.2，則 Microsoft Entra Connect 會逐步退回較舊的通訊協定 (TLS 1.1 和 TLS 1.0)。 自 Microsoft Entra Connect 2.0 版起。 不再支援 TLS 1.0 和1.1，如果未啟用 TLS 1.2，安裝則會失敗。

• Microsoft Entra Connect 1.1.614.0 之前的版本預設會使用 TLS 1.0 來加密同步處理引擎與 Microsoft Entra ID 之間的通訊。 若要變更為 TLS 1.2，請遵循針對 Microsoft Entra Connect 啟用 TLS 1.2 中的步驟。

• 如果您要使用連出 Proxy 來連線至網際網路，則必須在 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 檔案中新增下列設定，安裝精靈和 Microsoft Entra Connect 同步處理才能連線至網際網路和 Microsoft Entra ID。 必須在檔案底部輸入此文字。 在此程式碼中，<PROXYADDRESS> 代表實際的 Proxy IP 位址或主機名稱。

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• 如果您的 proxy 伺服器需要驗證，則服務帳戶必須位於網域中。 使用自訂設定安裝路徑來指定自訂的服務帳戶。 您也需要對 machine.config 進行不同的變更。在 machine.config 中進行這項變更之後，安裝精靈和同步處理引擎就會回應來自 Proxy 伺服器的驗證要求。 在所有安裝精靈頁面中 ([設定] 頁面除外)，都會使用已登入使用者認證。 在安裝精靈結尾的 [設定] 頁面上，內容會切換到您建立的服務帳戶。 Machine.config 區段應該看起來如下：

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• 如果要在現有的安裝程式中完成 Proxy 設定，則需要重新啟動 [Microsoft Entra ID 同步處理服務] 一次，Microsoft Entra Connect 才能讀取 Proxy 設定並更新行為。

• Microsoft Entra Connect 在目錄同步處理過程將 Web 要求傳送至 Microsoft Entra ID 時，Microsoft Entra ID 最多可能需要 5 分鐘的時間來產生回應。 Proxy 伺服器常會有連線閒置逾時設定。 確保此設定至少為 6 分鐘以上。

如需詳細資訊，請參閱關於預設 Proxy 元素的 MSDN。 如需連線問題的詳細資訊，請參閱針對連線問題進行疑難排解。

其他

選用：使用測試使用者帳戶來驗證同步處理。

元件的必要條件

PowerShell 和 .NET Framework

Microsoft Entra Connect 需要 Microsoft PowerShell 5.0 和 .NET Framework 4.5.1。 您需要在伺服器上安裝此版本或更新版本。

針對 Microsoft Entra Connect 啟用 TLS 1.2

Microsoft Entra Connect 1.1.614.0 之前的版本預設會使用 TLS 1.0 來加密同步處理引擎伺服器與 Microsoft Entra ID 之間的通訊。 您可以設定 .NET 應用程式在此伺服器上依預設使用 TLS 1.2。 如需 TLS 1.2 的詳細資訊，請參閱 Microsoft 安全性摘要報告 2960358。

1. 請確定您已為作業系統安裝 .NET 4.5.1 的 Hotfix。 如需詳細資訊，請參閱 Microsoft 安全性摘要報告 2960358。 您的伺服器上可能已經安裝此 Hotfix 或更新版本。

2. 請針對所有作業系統設定此登錄機碼並重新啟動伺服器。

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. 如果您也想要在同步引擎伺服器和遠端 SQL Server 之間啟用 TLS 1.2，請確定您已經安裝必要版本以獲得 TLS 1.2 support for Microsoft SQL Server (Microsoft SQL Server 的 TLS 1.2 支援)。

如需詳細資訊，請參閱 如何啟用 TLS 1.2

同步處理伺服器上的 DCOM 必要條件

在同步處理服務的安裝期間，Microsoft Entra Connect 會檢查下列登錄機碼是否存在：

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

在此登錄機碼下方，Microsoft Entra Connect 將會檢查下列值是否存在且未損毀：

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

同盟安裝和組態的必要條件

Windows 遠端管理

使用 Microsoft Entra Connect 來部署 AD FS 或 Web 應用程式 Proxy (WAP) 時，請檢查下列需求：

• 如果目標伺服器已加入網域，請確保已啟用 Windows 遠端管理。
  • 在提高權限的 PowerShell 命令視窗中，使用命令 Enable-PSRemoting –force。
• 如果目標伺服器是未加入網域的 WAP 電腦，則需要遵循一些額外需求：
  • 在目標電腦 (WAP 電腦) 上：
    • 請確定 Windows 遠端管理/WS-Management (WinRM) 服務正在透過服務嵌入式管理單元執行。
    • 在提高權限的 PowerShell 命令視窗中，使用命令 Enable-PSRemoting –force。
  • 在執行精靈的電腦上 (如果目標電腦未加入網域或為未受信任的網域)：
    • 在提高權限的 PowerShell 命令視窗中，使用命令 Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate。
    • 在 [伺服器管理員] 中：
      • 將 DMZ WAP 主機新增至電腦集區。 在 [伺服器管理員] 中，選取 [管理] > [新增伺服器]，然後使用 [DNS]索引標籤。
      • 在 [伺服器管理員] 的 [所有伺服器] 索引標籤，以滑鼠右鍵按一下 WAP 伺服器，接著選取 [管理身分]。 輸入 WAP 電腦的本機 (非網域) 認證。
      • 若要驗證遠端 PowerShell 的連線能力，請在 [伺服器管理員] 的 [所有伺服器] 索引標籤中：以滑鼠右鍵按一下 WAP 伺服器，然後選取 [Windows PowerShell]。 遠端 PowerShell 工作階段應隨即開啟，以確保可建立遠端 PowerShell 工作階段。

TLS/SSL 憑證需求

• 建議您在 AD FS 伺服器陣列的所有節點，以及所有 Web 應用程式 Proxy 伺服器上使用相同的 TLS/SSL 憑證。
• 此憑證必須是 X509 憑證。
• 您可以在測試實驗室環境中的同盟伺服器上使用自我簽署的憑證。 不過於生產環境中，我們建議您從公用憑證授權單位取得憑證。
  • 如果您使用非公開信任的憑證，請確定每個 Web 應用程式 Proxy 伺服器上安裝的憑證已取得本機伺服器和所有同盟伺服器的信任。
• 憑證的身分識別必須與同盟服務名稱相符 (例如 sts.contoso.com)。
  • 身分識別可以是 dNSName 類型的主體別名 (SAN) 副檔名；或如果沒有 SAN 項目，則會將主體名稱指定為通用名稱。
  • 憑證中可顯示多個 SAN 項目，前提是其中一個項目與同盟名稱相符。
  • 如果您打算使用 Workplace Join，則需要額外一個 SAN，值為 enterpriseregistration.，後面接著組織的使用者主體名稱 (UPN) 尾碼 (例如，enterpriseregistration.contoso.com)。
• 不支援以 CryptoAPI 新一代 (CNG) 金鑰和金鑰儲存體 (KSP) 為基礎的憑證。 因此您必須使用以密碼編譯服務提供者為基礎 (CSP) 的憑證，而無法以 KSP 為基礎。
• 支援萬用字元憑證。

同盟伺服器的名稱解析

• 針對內部網路 (內部 DNS 伺服器) 和外部網路 (透過網域註冊機構註冊的公用 DNS)，設定 AD FS 名稱 (例如 sts.contoso.com) 的 DNS 記錄。 請確認內部網路 DNS 記錄是使用 A 記錄而非 CNAME 記錄。 使用記錄為必要條件，如此一來 Windows 驗證才能在您加入網域的電腦上正常運作。
• 如果要部署多部 AD FS 伺服器或 Web 應用程式 Proxy 伺服器，請確定您已設定負載平衡器，並且 AD FS 名稱 (例如 sts.contoso.com) 的 DNS 記錄指向負載平衡器。
• 若要讓 Windows 整合式驗證能夠對您內部網路中使用 Internet Explorer 的瀏覽器應用程式發揮作用，請確定 AD FS 名稱 (例如 sts.contoso.com) 已新增到 Internet Explorer 中的內部網路區域。 此需求可透過群組原則加以控制，並部署到您所有加入網域的電腦中。

Microsoft Entra Connect 支援元件

Microsoft Entra Connect 會在已安裝 Microsoft Entra Connect 的伺服器上安裝下列元件。 此清單適用於基本快速安裝。 如果您在 [安裝同步處理服務] 頁面上選擇使用不同的 SQL Server，則不會在本機安裝 SQL Express LocalDB。

• Microsoft Entra Connect Health
• Microsoft SQL Server 2022 命令列公用程式
• Microsoft SQL Server 2022 Express LocalDB
• Microsoft SQL Server 2022 Native Client
• Microsoft Visual C++ 14 Redistribution Package

Microsoft Entra Connect 的硬體需求

下表顯示 Microsoft Entra Connect 同步處理電腦的基本需求。

Active Directory 中的物件數目	CPU	記憶體	硬碟大小
少於 10,000 個	1.6 GHz	6 GB	70 GB
10,000–50,000 個	1.6 GHz	6 GB	70 GB
50,000–100,000 個	1.6 GHz	16 GB	100 GB
若有 100,000 個以上的物件，則需要完整版本的 SQL Server。 由於效能考量，建議您在本機進行安裝。 下列值僅適用於 Microsoft Entra Connect 安裝。 若將 SQL Server 安裝於相同的伺服器上，則需要更多的記憶體、磁碟機和 CPU。
100,000–300,000 個	1.6 GHz	32 GB	300 GB
300,000–600,000 個	1.6 GHz	32 GB	450 GB
超過 600,000 個	1.6 GHz	32 GB	500 GB

執行 AD FS 或 Web 應用程式 Proxy 伺服器的電腦最低需求如下：

• CPU：雙核心 1.6 GHz 以上
• 記憶體：2 GB 以上
• Azure VM：A2 組態或更高等級

下一步

深入了解如何整合內部部署身分識別與 Microsoft Entra ID。