Microsoft Entra Connect 的必要條件
本文說明 Microsoft Entra 連線 的必要條件和硬體需求。
安裝 Microsoft Entra 連線 之前
安裝 Microsoft Entra 連線 之前,您需要幾件事。
Microsoft Entra ID
- 您需要 Microsoft Entra 租使用者。 您可以使用 Azure 免費試用取得一個。 您可以使用下列其中一個入口網站來管理 Microsoft Entra 連線:
- Microsoft Entra 系統管理中心。
- Office 入口 網站。
- 新增並確認您打算在 Microsoft Entra ID 中使用的網域 。 例如,如果您打算為使用者使用 contoso.com,請確定此網域已經過驗證,而且您不只使用 contoso.onmicrosoft.com 預設網域。
- Microsoft Entra 租用戶默認允許 50,000 個物件。 當您驗證網域時,限制會增加到300,000個物件。 如果您需要 Microsoft Entra ID 中的更多物件,請開啟支援案例,讓限制進一步增加。 如果您需要超過 500,000 個物件,則需要授權,例如 Microsoft 365、Microsoft Entra ID P1 或 P2 或 Enterprise Mobility + Security。
準備內部部署數據
- 在同步處理至 Microsoft Entra ID 和 Microsoft 365 之前,請先使用 IdFix 來識別目錄中出現重複和格式化問題等錯誤。
- 檢閱 您可以在 Microsoft Entra ID 中啟用的選擇性同步處理功能,並評估您應該啟用的功能。
內部部署 Active Directory
- Active Directory 結構描述版本與樹系功能等級必須是 Windows Server 2003 或更新版本。 只要符合結構描述版本和樹系層級需求,網域控制站就能執行任何版本。 如果您需要執行 Windows Server 2016 或更新版本的域控制器支援,您可能需要 付費支持計劃 。
- Microsoft Entra ID 使用的網域控制站必須是可寫入的。 不支援使用只讀域控制器 (RODC),且 Microsoft Entra 連線 不會遵循任何寫入重新導向。
- 使用內部部署樹系或網域,方法是使用 「dotted」 (name 包含句號 “.”。不支援 NetBIOS 名稱。
- 建議您 啟用 Active Directory 回收站。
PowerShell 執行原則
Microsoft Entra 連線 會在安裝期間執行已簽署的 PowerShell 腳本。 請確定PowerShell執行原則將允許執行腳本。
安裝期間的建議執行原則為 "RemoteSigned"。
如需設定 PowerShell 執行原則的詳細資訊,請參閱 Set-ExecutionPolicy。
Microsoft Entra 連線 伺服器
Microsoft Entra 連線 伺服器包含重要的身分識別數據。 請務必正確保護此伺服器的系統管理存取權。 請遵循保護特殊許可權存取中的指導方針。
Microsoft Entra 連線 伺服器必須被視為 Active Directory 系統管理層模型中記載的第 0 層元件。 建議您遵循安全特殊許可權存取中提供的指引,將 Microsoft Entra 連線 伺服器強化為控制平面資產
若要深入瞭解保護 Active Directory 環境,請參閱 保護 Active Directory 的最佳做法。
安裝先決條件
- Microsoft Entra 連線 必須安裝在已加入網域的 Windows Server 2016 或更新版本上。 我們建議使用已加入網域的 Windows Server 2022。 您可以在 Windows Server 2016 上部署 Microsoft Entra 連線,但因為 Windows Server 2016 已獲得外延支援,因此如果您需要此設定的支援,您可能需要付費支持計劃。
- 所需的最低 .NET Framework 版本是 4.6.2,也支援較新版本的 .NET。 .NET 4.8 版和更新版本提供最佳的輔助功能合規性。
- Microsoft Entra 連線 無法在 2019 年之前安裝在 Small Business Server 或 Windows Server Essentials 上(支援 Windows Server Essentials 2019)。 伺服器必須使用 Windows Server 標準或更好。
- Microsoft Entra 連線 伺服器必須安裝完整的 GUI。 不支援在 Windows Server Core 上安裝 Microsoft Entra 連線。
- 如果您使用 Microsoft Entra 連線 精靈來管理 Active Directory 同盟服務 (AD FS) 組態,則 Microsoft Entra 連線 伺服器不得啟用 PowerShell 轉譯組策略。 如果您使用 Microsoft Entra 連線 精靈來管理同步設定,則可以啟用 PowerShell 轉譯。
- 如果要部署AD FS:
- 不支援中斷和分析 Microsoft Entra 連線 與 Microsoft Entra 標識符之間的流量。 這樣做可能會中斷服務。
- 如果您的混合式身分識別 管理員 istrators 已啟用 MFA,URL
https://secure.aadcdn.microsoftonline-p.com必須位於信任的網站清單中。 系統提示您輸入 MFA 挑戰,且之前尚未新增此網站時,系統會提示您將此網站新增至信任的網站清單。 您可以使用 Internet Explorer 將它新增至信任的網站。 - 如果您打算使用 Microsoft Entra 連線 Health 進行同步處理,請確定也符合 Microsoft Entra 連線 Health 的必要條件。 如需詳細資訊,請參閱 Microsoft Entra 連線 Health 代理程式安裝。
強化 Microsoft Entra 連線 伺服器
建議您強化 Microsoft Entra 連線 伺服器,以減少 IT 環境這個重要元件的安全性攻擊面。 遵循這些建議有助於降低貴組織的某些安全性風險。
- 建議您遵循安全特殊許可權存取和 Active Directory 系統管理層模型中提供的指引,將 Microsoft Entra 連線 伺服器強化為控制平面(先前稱為第 0 層)資產。
- 將 Microsoft Entra 連線 伺服器的系統管理存取限制為僅限網域系統管理員或其他嚴格控制的安全組。
- 為具有特殊許可權存取權的所有人員建立專用帳戶。 管理員 istrators 不應該流覽網頁、檢查其電子郵件,以及使用高許可權帳戶執行日常生產力工作。
- 請遵循保護特殊許可權存取中提供的指引。
- 拒絕搭配 Microsoft Entra 連線 伺服器使用 NTLM 驗證。 以下是一些執行此動作的方法:限制 Microsoft Entra 連線 伺服器上的 NTLM 和限制網域上的 NTLM
- 請確定每部計算機都有唯一的本機系統管理員密碼。 如需詳細資訊,請參閱本機 管理員 istrator 密碼解決方案 (Windows LAPS) 可以在每個工作站上設定唯一的隨機密碼,並將密碼儲存在受 ACL 保護的 Active Directory 中。 只有合格的授權使用者才可讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊許可權存取工作站操作環境的其他指引,請參閱 以乾淨來源原則為基礎的作業標準。
- 為具有組織資訊系統特殊許可權存取權的所有人員實作專用 特殊許可權存取工作站 。
- 請遵循這些 額外的指導方針 ,以減少 Active Directory 環境的受攻擊面。
- 遵循監視同盟設定的變更來設定警示,以監視您Idp與 Microsoft Entra識別符之間所建立信任的變更。
- 針對在 Microsoft Entra ID 或 AD 中具有特殊許可權存取權的所有使用者啟用 Multi Factor Authentication (MFA)。 使用 Microsoft Entra 連線 的一個安全性問題是,如果攻擊者可以控制 Microsoft Entra 連線 伺服器,他們可以在 Microsoft Entra 識別符中操作使用者。 為了防止攻擊者使用這些功能接管 Microsoft Entra 帳戶,MFA 提供保護,即使攻擊者設法使用 Microsoft Entra 重設使用者的密碼,連線 他們仍然無法略過第二個因素。
- 在您的租使用者上停用軟體比對。 軟體比對是一項絕佳的功能,可協助將現有雲端管理對象的授權來源傳輸至 Microsoft Entra 連線,但會產生某些安全性風險。 如果您不需要它,您應該 停用軟體比對。
- 停用硬式比對接管。 硬式比對接管可讓 Microsoft Entra 連線 控制雲端受控物件,並將對象的授權來源變更為 Active Directory。 一旦 Microsoft Entra 連線 接管對象的授權來源之後,連結至 Microsoft Entra 物件的 Active Directory 物件所做的變更將會覆寫原始的 Microsoft Entra 數據,包括密碼哈希,如果已啟用密碼哈希同步。 攻擊者可以使用這項功能接管雲端受控物件的控制權。 若要降低此風險, 請停用硬式比對接管。
Microsoft Entra 連線 使用的 SQL Server
- Microsoft Entra Connect 需要 SQL Server 資料庫來儲存身分識別資料。 根據預設,會安裝 SQL Server 2019 Express LocalDB(SQL Server Express 的輕量版)。 SQL Server Express 有 10 GB 的大小限制,可讓您管理大約 100,000 個物件。 如果您需要管理大量的目錄物件,請將安裝精靈指向不同的SQL Server 安裝。 SQL Server 安裝類型可能會影響 Microsoft Entra 連線 的效能。
- 如果您使用不同的 SQL Server 安裝,則適用下列需求:
- Microsoft Entra 連線 支援所有主流支援的 SQL Server 版本,最多可在 Windows 上執行的 SQL Server 2022 版本。 請參閱 SQL Server 生命週期一文 ,以確認 SQL Server 版本的支持狀態。 不再支援 SQL Server 2012。 Azure SQL 資料庫 不支援作為資料庫。 這包括 Azure SQL 資料庫 和 Azure SQL 受控執行個體。
- 您必須使用不區分大小寫的 SQL 定序。 這些定序會以其名稱中的 _CI_ 來識別。 不支援在名稱中使用 _CS_ 所識別的區分大小寫定序。
- 每個 SQL 實例只能有一個同步處理引擎。 不支援使用 MIM Sync、DirSync 或 Azure AD 同步 共用 SQL 實例。
帳戶
- 您必須擁有 Microsoft Entra Global 管理員 istrator 帳戶或混合式身分識別 管理員 istrator 帳戶,才能與您想要整合的 Microsoft Entra 租使用者。 此帳戶必須是 學校或組織帳戶 ,而且不能是 Microsoft 帳戶。
- 如果您使用快速設定或從 DirSync 升級,則必須具有企業 管理員 istrator 帳戶,才能用於您的 內部部署的 Active Directory。
- 如果您使用自定義設定安裝路徑,則有更多選項。 如需詳細資訊,請參閱 自定義安裝設定。
連線性
Microsoft Entra 連線 伺服器需要內部網路和因特網的 DNS 解析。 DNS 伺服器必須能夠將名稱解析為 內部部署的 Active Directory 和 Microsoft Entra 端點。
Microsoft Entra 連線 需要所有已設定網域的網路連線
Microsoft Entra 連線 需要網路連線到所有已設定樹系的根域
如果您的內部網路有防火牆,而且您需要在 Microsoft Entra 連線 伺服器與域控制器之間開啟埠,請參閱 Microsoft Entra 連線 埠以取得詳細資訊。
如果您的 Proxy 或防火牆限制可以存取哪些 URL,則必須開啟 Office 365 URL 和 IP 位址範圍中 記載的 URL。 另請參閱 保管庫 列出防火牆或 Proxy 伺服器上的 Microsoft Entra 系統管理中心 URL。
- 如果您使用德國的 Microsoft 雲端或 Microsoft Azure Government 雲端,請參閱 URL 的 Microsoft Entra 連線 同步服務實例考慮。
Microsoft Entra 連線 (1.1.614.0 版和更新版本)預設會使用 TLS 1.2 來加密同步引擎與 Microsoft Entra 標識符之間的通訊。 如果基礎操作系統上無法使用 TLS 1.2,Microsoft Entra 連線 會以累加方式回復為舊版通訊協定(TLS 1.1 和 TLS 1.0)。 從 Microsoft Entra 連線 2.0 版起。 不再支援 TLS 1.0 和 1.1,如果未啟用 TLS 1.2,安裝將會失敗。
在 1.1.614.0 版之前,Microsoft Entra 預設會使用 TLS 1.0 來加密同步引擎與 Microsoft Entr 連線 a 標識符之間的通訊。 若要變更為 TLS 1.2,請遵循啟用 Microsoft Entra 連線 TLS 1.2 中的步驟。
如果您使用輸出 Proxy 連線到因特網,則必須針對安裝精靈和 Microsoft Entr 連線 a 同步處理新增下列 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 檔案中的下列設定。 必須在檔案底部輸入此文字。 在此程式代碼中, <PROXYADDRESS> 代表實際的 Proxy IP 位址或主機名。
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>如果您的 Proxy 伺服器需要驗證, 服務帳戶 必須位於網域中。 使用自訂設定安裝路徑來指定 自定義服務帳戶。 您也需要對machine.config進行不同的變更。透過machine.config中的這項變更,安裝精靈和同步處理引擎會回應來自 Proxy 伺服器的驗證要求。 在所有安裝精靈頁面中,不包括 [ 設定 ] 頁面,都會使用登入用戶的認證。 在安裝精靈結尾的 [設定] 頁面上,內容會切換至您建立的服務帳戶。 machine.config 區段看起來應該像這樣:
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>如果在現有的設定中完成 Proxy 設定,Microsoft Entra ID Sync 服務必須重新啟動一次,Microsoft Entra 連線 才能讀取 Proxy 組態並更新行為。
當 Microsoft Entra 連線 將 Web 要求傳送至 Microsoft Entra ID 做為目錄同步處理的一部分時,Microsoft Entra ID 最多可能需要 5 分鐘才能回應。 Proxy 伺服器通常會有連線閑置逾時設定。 請確定設定至少設定為 6 分鐘以上。
如需詳細資訊,請參閱 MSDN 關於 預設 Proxy 元素。 如需連線問題的詳細資訊,請參閱 針對連線問題進行疑難解答。
其他
選擇性:使用測試用戶帳戶來驗證同步處理。
元件必要條件
PowerShell 和 .NET Framework
Microsoft Entra 連線 取決於 Microsoft PowerShell 5.0 和 .NET Framework 4.5.1。 您需要在伺服器上安裝此版本或更新版本。
為 Microsoft Entra 啟用 TLS 1.2 連線
在 1.1.614.0 版之前,Microsoft Entra 預設 連線 會使用 TLS 1.0 來加密同步引擎伺服器與 Microsoft Entra ID 之間的通訊。 您可以設定 .NET 應用程式,預設在伺服器上使用 TLS 1.2。 如需 TLS 1.2 的詳細資訊,請參閱 Microsoft 安全性諮詢2960358。
請確定您已安裝作業系統的 .NET 4.5.1 Hotfix。 如需詳細資訊,請參閱 Microsoft Security Advisory 2960358。 您可能已在伺服器上安裝此 Hotfix 或更新版本。
針對所有作業系統,請設定此登錄機碼,然後重新啟動伺服器。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001如果您也想要在同步處理引擎伺服器與遠端 SQL Server 之間啟用 TLS 1.2,請確定您已安裝 MICROSOFT SQL Server 的 TLS 1.2 支援所需的版本。
同步處理伺服器上的 DCOM 必要條件
在安裝同步處理服務期間,Microsoft Entra 連線 會檢查下列登錄機碼是否存在:
- HKEY_LOCAL_MACHINE:Software\Microsoft\Ole
在此登錄機碼下,Microsoft Entra 連線 會檢查下列值是否存在且未更正:
同盟安裝和設定的必要條件
Windows 遠端管理
當您使用 Microsoft Entra 連線 部署 AD FS 或 Web 應用程式 Proxy (WAP),請檢查下列需求:
- 如果目標伺服器已加入網域,請確定已啟用 Windows 遠端管理。
- 在提升權限的 PowerShell 命令視窗中,使用 命令
Enable-PSRemoting –force。
- 在提升權限的 PowerShell 命令視窗中,使用 命令
- 如果目標伺服器是未加入網域的 WAP 計算機,則有幾個額外的需求:
- 在目標電腦上 (WAP 計算機):
- 確定 Windows 遠端管理/WS-Management (WinRM) 服務是透過服務嵌入式管理單元執行。
- 在提升權限的 PowerShell 命令視窗中,使用 命令
Enable-PSRemoting –force。
- 在執行精靈的電腦上(如果目標電腦未加入網域或未受信任的網域):
- 在提升權限的 PowerShell 命令視窗中,使用 命令
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate。 - 在伺服器管理員中:
- 將 DMZ WAP 主機新增至電腦集區。 在伺服器管理員中,選取 [管理>新增伺服器],然後使用 [DNS] 索引標籤。
- 在 [伺服器管理員 [所有伺服器] 索引標籤上,以滑鼠右鍵按兩下 WAP 伺服器,然後選取 [管理身分]。 輸入 WAP 計算機的本機(非網域)認證。
- 若要驗證遠端 PowerShell 連線能力,請在 [伺服器管理員 [所有伺服器] 索引標籤上,以滑鼠右鍵按兩下 WAP 伺服器,然後選取 [Windows PowerShell]。 遠端 PowerShell 會話應該開啟,以確保可以建立遠端 PowerShell 工作階段。
- 在提升權限的 PowerShell 命令視窗中,使用 命令
- 在目標電腦上 (WAP 計算機):
TLS/SSL 憑證需求
- 建議您在 AD FS 伺服器陣列的所有節點和所有 Web 應用程式 Proxy 伺服器上使用相同的 TLS/SSL 憑證。
- 憑證必須是 X509 憑證。
- 您可以在測試實驗室環境中,在同盟伺服器上使用自我簽署憑證。 針對生產環境,建議您從公用證書頒發機構單位取得憑證。
- 如果您使用未公開信任的憑證,請確定安裝在每部 Web 應用程式 Proxy 伺服器上的憑證都信任於本地伺服器和所有同盟伺服器上。
- 憑證的身分識別必須符合同盟服務名稱(例如,sts.contoso.com)。
- 身分識別是 dNSName 類型的主體別名 (SAN) 延伸模組,如果沒有 SAN 專案,主體名稱會指定為一般名稱。
- 如果其中一個專案符合同盟服務名稱,則憑證中可以有多個SAN專案。
- 如果您打算使用 Workplace Join,則需要具有 value enterpriseregistration 的額外 SAN。後面接著貴組織的用戶主體名稱 (UPN) 後綴,例如 enterpriseregistration.contoso.com。
- 不支援以 CryptoAPI 新一代 (CNG) 金鑰和金鑰儲存提供者 (KSP) 為基礎的憑證。 因此,您必須使用以密碼編譯服務提供者 (CSP) 為基礎的憑證,而不是 KSP。
- 支援通配符憑證。
同盟伺服器的名稱解析
- 為內部網路(內部 DNS 伺服器)和外部網路設定 AD FS 名稱的 DNS 記錄(例如,sts.contoso.com)。透過網域註冊機構設定外部網路(公用 DNS)。 針對內部網路 DNS 記錄,請確定您使用 A 記錄,而不是 CNAME 記錄。 您必須使用 A 記錄,Windows 驗證 才能從已加入網域的電腦正常運作。
- 如果您要部署多個 AD FS 伺服器或 Web 應用程式 Proxy 伺服器,請確定您已設定負載平衡器,且 AD FS 名稱的 DNS 記錄(例如,sts.contoso.com)指向負載平衡器。
- 若要讓 Windows 整合式驗證在內部網路中使用 Internet Explorer 的瀏覽器應用程式運作,請確定 AD FS 名稱(例如,sts.contoso.com)已新增至 Internet Explorer 中的內部網路區域。 這項需求可透過組策略控制,並部署至所有已加入網域的計算機。
Microsoft Entra 連線 支援元件
Microsoft Entra 連線 會在安裝 Microsoft Entra 連線 的伺服器上安裝下列元件。 此清單適用於基本 Express 安裝。 如果您選擇在 [安裝同步處理服務] 頁面上使用不同的 SQL Server,則不會在本機安裝 SQL Express LocalDB。
- Microsoft Entra Connect Health
- Microsoft SQL Server 2022 命令行公用程式
- Microsoft SQL Server 2022 Express LocalDB
- Microsoft SQL Server 2022 Native Client
- Microsoft Visual C++ 14 轉散發套件
Microsoft Entra 連線 的硬體需求
下表顯示 Microsoft Entra 連線 Sync 電腦的最低需求。
| Active Directory 中的物件數目 | CPU | 記憶體 | 硬碟大小 |
|---|---|---|---|
| 少於 10,000 | 1.6 GHz | 6 GB | 70 GB |
| 10,000–50,000 | 1.6 GHz | 6 GB | 70 GB |
| 50,000–100,000 | 1.6 GHz | 16 GB | 100 GB |
| 對於 100,000 個以上的物件,需要完整版本的 SQL Server。 基於效能考慮,最好在本機安裝。 下列值僅適用於 Microsoft Entra 連線 安裝。 如果 SQL Server 將安裝在相同的伺服器上,則需要進一步的記憶體、磁碟驅動器和 CPU。 | |||
| 100,000–300,000 | 1.6 GHz | 32 GB | 300 GB |
| 300,000–600,000 | 1.6 GHz | 32 GB | 450 GB |
| 超過 600,000 | 1.6 GHz | 32 GB | 500 GB |
執行 AD FS 或 Web 應用程式 Proxy 伺服器的電腦的最低需求如下:
- CPU:雙核心 1.6 GHz 或更高版本
- 記憶體:2 GB 或更高
- Azure VM:A2 組態或更高版本