Azure AD Connect 雲端同步的先決條件

本文提供如何選擇和使用 Azure Active Directory (Azure AD) Connect 雲端同步作為身分識別解決方案的指導。

雲端佈建代理程式需求

您需要下列各項才能使用 Azure AD Connect 雲端同步:

  • 網域管理員或企業管理員認證,以建立 Azure AD Connect 雲端同步 gMSA (群組受控服務帳戶) 來執行代理程式服務。
  • Azure AD 租用戶中不是來賓使用者的混合式身分識別管理員帳戶。
  • 佈建代理程式的 Windows 2016 或更新版本內部部署伺服器。 此伺服器應該是以 Active Directory 管理層模型為基礎的第 0 層伺服器。 支援在網域控制站上安裝代理程式。
  • 高可用性指的是 Azure AD Connect 雲端同步持續運作而不會長期失敗的功能。 安裝並執行多個作用中代理程式,Azure AD Connect 雲端同步即可持續運作,即使其中一個代理程式失敗也是一樣。 Microsoft 建議安裝 3 個作用中代理程式,以獲得高可用性。
  • 內部部署防火牆設定。

群組受管理的服務帳戶

群組受控服務帳戶是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理、將管理委派給其他管理員的能力,也會將此功能擴充到多部伺服器。 Azure AD Connect 雲端同步支援並使用 gMSA 來執行代理程式。 系統會在設定期間提示您輸入管理認證,以建立此帳戶。 此帳戶將會顯示為 (domain\provAgentgMSA$)。 如需 gMSA 的詳細資訊,請參閱群組受控服務帳戶

gMSA 的必要條件:

  1. gMSA 網域樹系中的 Active Directory 結構描述需要更新成 Windows Server 2012 或更新版本。
  2. 網域控制站上的 PowerShell RSAT 模組
  3. 網域中至少必須要有一個網域控制站執行 Windows Server 2012 或更新版本。
  4. 安裝代理程式的已加入網域伺服器需要是 Windows Server 2016 或更新版本。

自訂 gMSA 帳戶

如果您要建立自訂 gMSA 帳戶,則需要確定帳戶具有下列權限。

類型 名稱 存取 套用至
Allow gMSA 帳戶 讀取所有屬性 子系裝置物件
Allow gMSA 帳戶 讀取所有屬性 子系 InetOrgPerson 物件
Allow gMSA 帳戶 讀取所有屬性 子系電腦物件
Allow gMSA 帳戶 讀取所有屬性 子系 foreignSecurityPrincipal 物件
Allow gMSA 帳戶 完全控制 子系群組物件
Allow gMSA 帳戶 讀取所有屬性 子系使用者物件
Allow gMSA 帳戶 讀取所有屬性 子系連絡人物件
允許 gMSA 帳戶 建立/刪除使用者物件 此物件和所有子系物件

如需如何將現有代理程式升級成使用 gMSA 帳戶的步驟,請參閱群組受控服務帳戶

使用 PowerShell 建立 gMSA 帳戶

您可以使用下列 PowerShell 指令碼來建立自訂 gMSA 帳戶。 然後,您可以使用雲端同步 gMSA Cmdlet 來套用更細微的權限。

# Filename:    1_SetupgMSA.ps1
# Description: Creates and installs a custom gMSA account for use with Azure AD Connect cloud sync.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This 
# script is made available to you without any express, implied or 
# statutory warranty, not even the implied warranty of 
# merchantability or fitness for a particular purpose, or the 
# warranty of title or non-infringement. The entire risk of the 
# use or the results from the use of this script remains with you.
#
#
#
#
# Declare variables
$Name = 'provAPP1gMSA'
$Description = "Azure AD Cloud Sync service account for APP1 server"
$Server = "APP1.contoso.com"
$Principal = Get-ADGroup 'Domain Computers'

# Create service account in Active Directory
New-ADServiceAccount -Name $Name `
-Description $Description `
-DNSHostName $Server `
-ManagedPasswordIntervalInDays 30 `
-PrincipalsAllowedToRetrieveManagedPassword $Principal `
-Enabled $True `
-PassThru

# Install the new service account on Azure AD Cloud Sync server
Install-ADServiceAccount -Identity $Name

如需上述 Cmdlet 的其他資訊,請參閱開始使用群組受控服務帳戶

於 Azure Active Directory 管理中心

  1. 在 Azure AD 租用戶上建立僅限雲端混合式身分識別管理員帳戶。 如此一來,如果內部部署服務失敗或無法使用,即可管理租用戶設定。 了解如何新增僅限雲端混合式身分識別管理員帳戶。 完成此步驟對於確保不會被租用戶封鎖至關重要。
  2. 將一或多個自訂網域名稱新增至 Azure AD 租用戶。 您的使用者可以使用其中一個網域名稱登入。

在 Active Directory 目錄中

執行 IdFix 工具來準備目錄屬性以進行同步處理。

在內部部署環境中

  1. 識別已加入網域、執行 Windows Server 2016 或更新版本且至少有 4 GB RAM 和 .NET 4.7.1+ 執行階段的主機伺服器。

  2. 本機伺服器上的 PowerShell 執行原則必須設定為 Undefined 或 RemoteSigned。

  3. 如果您的伺服器與 Azure AD 之間有防火牆,則請參閱下面的防火牆和 Proxy 需求

注意

不支援在 Windows Server Core 上安裝雲端佈建代理程式。

其他需求

TLS 需求

注意

傳輸層安全性 (TLS) 是為了安全通訊所提供的通訊協定。 變更 TLS 設定會影響整個樹系。 如需詳細資訊,請參閱更新為啟用 TLS 1.1 和 TLS 1.2 作為 Windows WinHTTP 中的預設安全通訊協定

裝載 Azure AD Connect 雲端佈建代理程式的 Windows Server 必須先啟用 TLS 1.2,才能進行安裝。

若要啟用 TLS 1.2,請遵循下列步驟。

  1. 設定下列登錄機碼:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. 重新啟動伺服器。

防火牆和 Proxy 需求

如果伺服器與 Azure AD 之間有防火牆,請設定下列項目:

  • 確定代理程式可透過下列連接埠對 Azure AD 提出輸出要求:

    連接埠號碼 使用方式
    80 驗證 TLS/SSL 憑證時下載憑證撤銷清單 (CRL)。
    443 處理服務的所有輸出通訊。
    8080 (選擇性) 如果無法使用連接埠 443,則代理程式會透過連接埠 8080 每 10 分鐘報告其狀態一次。 此狀態會顯示在 Azure 入口網站中。
  • 如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。

  • 如果防火牆或 Proxy 可讓您指定安全尾碼,則請新增連線:

URL 使用方式
*.msappproxy.net
*.servicebus.windows.net
代理程式會使用這些 URL 來與 Azure AD 雲端服務進行通訊。
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
代理程式會使用這些 URL 來與 Azure AD 雲端服務進行通訊。
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
代理程式會使用這些 URL 來驗證憑證。
login.windows.net
代理程式會在註冊過程中使用這些 URL。

NTLM 需求

您不應該在執行 Azure AD Connect 佈建代理程式的 Windows Server 上啟用 NTLM,如果已啟用,則您應該確定已將它停用。

已知的限制

以下是已知的限制:

差異同步處理

  • 差異同步的群組範圍篩選不支援 50,000 位以上的成員。
  • 當您刪除用作群組範圍篩選一部分的群組時,不會刪除本身為群組成員的使用者。
  • 當您重新命名範圍中的 OU 或群組時,差異同步將不會移除使用者。

佈建記錄

  • 佈建記錄無法清楚區分建立與更新作業。 您可能會看到更新的建立作業,以及建立的更新作業。

群組重新命名或 OU 重新命名

  • 如果您重新命名 AD 中所給定設定範圍內的群組或 OU,則雲端同步工作將無法辨識 AD 中的名稱變更。 工作不會進入隔離所,而且將維持良好的狀況。

範圍篩選器

使用 OU 範圍篩選時

  • 針對給定的設定,您最多只能同步 59 個不同的 OU。
  • 支援巢狀 OU (即,您「可以」同步具有 130 個巢狀 OU 的 OU,但「無法」在相同的設定中同步 60 個不同的 OU)。

密碼雜湊同步處理

  • 不支援搭配使用密碼雜湊同步與 InetOrgPerson。

後續步驟