Microsoft Entra Connect:帳戶和權限
瞭解已使用和建立的帳戶,以及安裝和使用 Microsoft Entra 連線所需的許可權。
用於 Microsoft Entra 連線 的帳戶
Microsoft Entra 連線使用三個帳戶,將 內部部署 Windows Server Active Directory (Windows Server AD) 的資訊 同步處理至 Microsoft Entra ID:
AD DS 連線or 帳戶 :用來使用 Active Directory 網域服務 (AD DS) 讀取和寫入 Windows Server AD 的資訊。
ADSync 服務帳戶 :用來執行同步處理服務並存取 SQL Server 資料庫。
Microsoft Entra 連線or 帳戶 :用來將資訊寫入 Microsoft Entra ID。
您也需要下列帳戶來 安裝 Microsoft Entra 連線:
本機管理員istrator 帳戶 :正在安裝 Microsoft Entra 連線 且電腦上具有本機管理員istrator 許可權的系統管理員。
AD DS Enterprise 管理員istrator 帳戶 :選擇性地用來建立必要的 AD DS 連線or 帳戶。
Microsoft Entra Global 管理員istrator 帳戶 :用來建立 Microsoft Entra 連線or 帳戶,以及設定 Microsoft Entra 識別碼。 您可以在 Microsoft Entra 系統管理中心 檢 視全域管理員istrator 和混合式身分識別管理員istrator 帳戶。 請參閱 列出 Microsoft Entra 角色指派 。
SQL SA 帳戶 (選擇性) :當您使用 SQL Server 的完整版本時,用來建立 ADSync 資料庫。 SQL Server 實例可以是 Microsoft Entra 連線安裝的本機或遠端。 此帳戶可以是與 Enterprise 管理員istrator 帳戶相同的帳戶。
如果帳戶具有資料庫擁有者 (DBO) 許可權,則布建資料庫現在可以由 SQL Server 系統管理員執行頻外執行,然後由 Microsoft Entra 連線 系統管理員安裝。 如需詳細資訊,請參閱 使用 SQL 委派的系統管理員許可權 安裝 Microsoft Entra 連線。
重要
從組建 1.4.###.##開始,您無法再使用 Enterprise 管理員istrator 帳戶或 Domain 管理員istrator 帳戶作為 AD DS 連線or 帳戶。 如果您嘗試輸入使用現有帳戶 的企業管理員istrator 或 Domain 管理員istrator 帳戶,精靈會顯示錯誤訊息,而且您無法繼續。
注意
您可以使用企業存取模型 來管理 Microsoft Entra 連線 中使用的系統管理帳戶。 組織可以使用企業存取模型,在具有比生產環境更強安全性控制的環境中裝載系統管理帳戶、工作站和群組。 如需詳細資訊,請參閱 企業存取模型 。
初始設定之後不需要全域管理員istrator 角色。 安裝之後,唯一必要的帳戶是目錄同步處理帳戶角色帳戶。 建議您將角色變更為具有較低許可權層級的角色,而不是移除具有全域管理員istrator 角色的帳戶。 如果您需要再次執行精靈,完全移除帳戶可能會造成問題。 如果您需要再次使用 Microsoft Entra 連線精靈,您可以新增許可權。
Microsoft Entra 連線安裝
Microsoft Entra 連線安裝精靈提供兩個路徑:
- 快速設定:在 Microsoft Entra 連線快速設定 中,精靈需要更多許可權,以便輕鬆設定您的安裝。 精靈會建立使用者並設定許可權,讓您不需要。
- 自訂設定 :在 Microsoft Entra 連線自訂設定中,您可以在精靈中有更多的選擇和選項。 不過,在某些情況下,請務必確定您自己擁有正確的許可權。
快速設定
在快速設定中,您會在安裝精靈中輸入此資訊:
- AD DS Enterprise 管理員istrator 認證
- Microsoft Entra Global 管理員istrator 認證
AD DS Enterprise 管理員istrator 認證
AD DS Enterprise 管理員istrator 帳戶可用來設定 Windows Server AD。 這些認證只會在安裝期間使用。 Enterprise 管理員istrator,而不是 Domain 管理員istrator,應該確定 Windows Server AD 中的許可權可以在所有網域中設定。
如果您要從 DirSync 升級,則會使用 AD DS Enterprise 管理員istrator 認證來重設 DirSync 所使用的帳戶密碼。 也需要 Microsoft Entra Global 管理員istrator 認證。
Microsoft Entra Global 管理員istrator 認證
Microsoft Entra Global 管理員istrator 帳戶的認證只會在安裝期間使用。 此帳戶用來建立 Microsoft Entra 連線or 帳戶,以同步處理 Microsoft Entra 識別碼的變更。 帳戶也會啟用同步處理作為 Microsoft Entra ID 中的功能。
如需詳細資訊,請參閱 全域管理員istrator 。
快速設定所需的 AD DS 連線or 帳戶許可權
AD DS 連線or 帳戶會建立,以讀取和寫入 Windows Server AD。 帳戶在快速設定安裝期間建立時具有下列許可權:
| 權限 | 用於 |
|---|---|
| - 複寫目錄變更 - 複寫目錄變更全部 |
密碼雜湊同步處理 |
| 讀取/寫入所有屬性 (使用者) | 匯入和 Exchange 混合 |
| 讀取/寫入所有屬性 (iNetOrgPerson) | 匯入和 Exchange 混合 |
| 讀取/寫入所有屬性 (群組) | 匯入和 Exchange 混合 |
| 讀取/寫入所有屬性 (連絡人) | 匯入和 Exchange 混合 |
| 重設密碼 | 啟用密碼回寫的準備工作 |
快速設定精靈
在快速設定安裝中,精靈會為您建立一些帳戶和設定。
下表摘要說明快速設定精靈頁面、所收集的認證,以及其用途:
| 精靈頁面 | 收集的認證 | 需要的權限 | 目的 |
|---|---|---|---|
| N/A | 執行安裝精靈的使用者。 | 本機伺服器的管理員istrator。 | 用來建立用來執行同步服務的 ADSync 服務帳戶。 |
| 連線至 Microsoft Entra ID | Microsoft Entra 目錄認證。 | Microsoft Entra ID 中的全域管理員istrator 角色。 | - 用來在 Microsoft Entra 目錄中啟用同步處理。 - 用來建立 Microsoft Entra 連線or 帳戶,用於 Microsoft Entra 識別碼中的進行中同步作業。 |
| 連線至 AD DS | Windows Server AD 認證。 | Windows Server AD 中 Enterprise 管理員s 群組的成員。 | 用來在 Windows Server AD 中建立 AD DS 連線or 帳戶,並將許可權授與它。 這個建立的帳戶可用來在同步處理期間讀取和寫入目錄資訊。 |
自訂設定
在自訂設定安裝中,您在精靈中有更多選擇和選項。
自訂設定精靈
下表摘要說明自訂設定精靈頁面、收集的認證,以及其用途:
| 精靈頁面 | 收集的認證 | 需要的權限 | 目的 |
|---|---|---|---|
| N/A | 執行安裝精靈的使用者。 | - 本機伺服器的管理員istrator。 - 如果使用完整 SQL Server 的實例,使用者必須是 SQL Server 中的 System 管理員istrator (sysadmin)。 |
根據預設,用來建立作為同步處理引擎服務帳戶的本機帳戶。 只有在系統管理員未指定帳戶時,才會建立帳戶。 |
| 安裝同步處理服務,服務帳戶選項 | Windows Server AD 或本機使用者帳號憑證。 | 安裝精靈會授與使用者和許可權。 | 如果系統管理員指定帳戶,此帳戶會作為同步服務的服務帳戶。 |
| 連線至 Microsoft Entra ID | Microsoft Entra 目錄認證。 | Microsoft Entra ID 中的全域管理員istrator 角色。 | - 用來在 Microsoft Entra 目錄中啟用同步處理。 - 用來建立 Microsoft Entra 連線or 帳戶,用於 Microsoft Entra 識別碼中的進行中同步作業。 |
| 連線目錄 | 連線至 Microsoft Entra ID 之每個樹系的 Windows Server AD 認證。 | 許可權取決於您啟用的功能,您可以在建立 AD DS 連線or 帳戶 中找到 。 | 此帳戶用來在同步處理期間讀取和寫入目錄資訊。 |
| AD FS 伺服器 | 對於清單中的每部伺服器,當執行精靈的使用者登入認證不足以連線時,精靈會收集認證。 | Domain 管理員istrator 帳戶。 | 用於安裝及設定 Active Directory 同盟服務 (AD FS) 伺服器角色。 |
| Web 應用程式 Proxy 伺服器 | 對於清單中的每部伺服器,當執行精靈的使用者登入認證不足以連線時,精靈會收集認證。 | 目的電腦上的本機系統管理員。 | 用於 Web 應用程式 Proxy (WAP) 伺服器角色的安裝和設定。 |
| Proxy 信任認證 | 同盟服務信任認證(Proxy 用來從同盟服務 (FS) 註冊信任憑證的認證。 | 網域帳戶,這是 AD FS 伺服器的本機管理員istrator。 | FS-WAP 信任憑證的初始註冊。 |
| AD FS 服務帳戶頁面 使用網域使用者帳戶選項 | Windows Server AD 使用者帳號憑證。 | 網域使用者。 | 提供認證的 Microsoft Entra 使用者帳戶會作為 AD FS 服務的登入帳戶。 |
建立 AD DS 連線or 帳戶
重要
已推出名為 ADSyncConfig.psm1 的新 PowerShell 模組,其組建為 1.1.880.0(于 2018 年 8 月發行)。 此模組包含 Cmdlet 集合,可協助您為 Microsoft Entra Domain Services 連線or 帳戶設定正確的 Windows Server AD 許可權。
如需詳細資訊,請參閱 Microsoft Entra 連線:設定 AD DS 連線or 帳戶許可權 。
在連線目錄 頁面上指定的 帳戶,必須先在 Windows Server AD 中建立為一般使用者物件(不支援 VSA、MSA 或 gMSA),才能安裝。 Microsoft Entra 連線 1.1.524.0 版和更新版本可以選擇讓 Microsoft Entra 連線 精靈建立用來連線到 Windows Server AD 的 AD DS 連線or 帳戶。
您指定的帳號也必須具有必要的許可權。 安裝精靈不會驗證許可權,而且只有在同步處理期間才會發現任何問題。
您需要哪些許可權取決於您啟用的選用功能。 如果您有多個網域,則必須為樹系中的所有網域授與許可權。 如果您未啟用任何這些功能,預設網域使用者許可權就已足夠。
| 功能 | 權限 |
|---|---|
| ms-DS-ConsistencyGuid 功能 | 將許可權寫入設計 ms-DS-ConsistencyGuid 概念 - 使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 中所述 的屬性。 |
| 密碼雜湊同步處理 | - 複寫目錄變更 - 複寫目錄變更全部 |
| Exchange 混合式部署 | Exchange 混合回寫中記載了使用者、群組和連絡人適用的屬性的寫入權限。 |
| Exchange 郵件公用資料夾 | 公用資料夾屬性 (詳情記載於 Exchange 郵件公用資料夾) 的讀取權限。 |
| 密碼回寫 | 開始使用密碼管理中記載了使用者適用的屬性的寫入權限。 |
| 裝置回寫 | 使用 PowerShell 腳本授與的許可權,如裝置回 寫中所述 。 |
| 群組回寫 | 可讓您將Microsoft 365 群組 寫回 已安裝 Exchange 的樹系。 |
升級所需的許可權
當您從一個版本的 Microsoft Entra 連線升級至新版本時,您需要下列許可權:
| 主體 | 需要的權限 | 目的 |
|---|---|---|
| 執行安裝精靈的使用者 | 本機伺服器的 管理員istrator | 用來更新二進位檔。 |
| 執行安裝精靈的使用者 | ADSync 的成員管理員 | 用來變更同步處理規則和其他組態。 |
| 執行安裝精靈的使用者 | 如果您使用 SQL Server 的完整實例:同步處理引擎資料庫的 DBO (或類似的) | 用來進行資料庫層級變更,例如使用新的資料行更新資料表。 |
重要
在組建 1.1.484 中,Microsoft Entra 連線引進了回歸 Bug。 Bug 需要系統管理員許可權才能升級 SQL Server 資料庫。 錯誤會在組建 1.1.647 中修正。 若要升級至此組建,您必須具有系統管理員許可權。 在此案例中,DBO 許可權不足。 如果您嘗試在沒有系統管理員許可權的情況下升級 Microsoft Entra 連線,升級會失敗,且 Microsoft Entra 連線不再正常運作。
已建立的帳戶詳細資料
下列各節提供 Microsoft Entra 連線中建立帳戶的詳細資訊。
AD DS 連線or 帳戶
如果您使用快速設定,則會在 Windows Server AD 中建立用於同步處理的帳戶。 建立的帳戶位於 Users 容器中的樹系根域。 帳戶名稱前面會加上 MSOL_ 。 此帳戶會以未過期的冗長複雜密碼來建立。 如果您的網域中有密碼原則,請確定此帳戶允許長時間且複雜的密碼。
如果您使用自訂設定,您必須負責在開始安裝之前建立帳戶。 請參閱 建立 AD DS 連線or 帳戶 。
ADSync 服務帳戶
同步處理服務可以在不同的帳戶下執行。 它可以在虛擬服務帳戶 (VSA)、群組受控服務帳戶 (gMSA)、 獨立受控服務 (sMSA) 或一般使用者帳戶下 執行。 當您執行全新安裝時,2017 年 4 月版本的 Microsoft Entra 連線已變更支援的選項。 如果您從舊版的 Microsoft Entra 連線升級,則無法使用這些其他選項。
| 帳戶類型 | 安裝選項 | 描述 |
|---|---|---|
| Vsa | Express 和 custom,2017 年 4 月和更新版本 | 此選項用於所有快速設定安裝,但網域控制站上的安裝除外。 針對自訂設定,這是預設選項。 |
| gMSA | Custom,2017 年 4 月和更新版本 | 如果您使用 SQL Server 的遠端實例,建議您使用 gMSA。 |
| 使用者帳戶 | Express 和 custom,2017 年 4 月和更新版本 | 只有在 Windows Server 2008 上安裝 Microsoft Entra 連線,以及安裝在網域控制站上時,才會在安裝期間建立前面加上 AAD_ 的使用者帳戶。 |
| 使用者帳戶 | Express 和 custom,2017 年 3 月和更早版本 | 在安裝期間,系統會建立本機帳戶,並於帳戶前面加上 AAD_ 。 在自訂安裝中,您可以指定不同的帳戶。 |
如果您使用 Microsoft Entra 連線搭配 2017 年 3 月或更早版本的組建,請勿重設服務帳戶的密碼。 Windows 會基於安全性考慮終結加密金鑰。 若未重新安裝 Microsoft Entra 連線,您就無法將帳戶變更為任何其他帳戶。 如果您從 2017 年 4 月或更新版本升級至組建,您可以在服務帳戶上變更密碼,但無法變更所使用的帳戶。
重要
您只能在第一次安裝時設定服務帳戶。 安裝完成後,您無法變更服務帳戶。
下表說明同步處理服務帳戶的預設、建議和支援選項。
圖例:
- Bold = 預設選項,而且在大多數情況下,建議的選項。
- 斜體 = 非預設選項時的建議選項。
- 2008 = Windows Server 2008 上安裝時的預設選項
- 非粗體 = 支援的選項
- 本機帳戶 = 伺服器上的本機使用者帳戶
- 網域帳戶 = 網域使用者帳戶
- sMSA = 獨立受控服務帳戶
- gMSA = 群組受管理的服務帳戶
| 本機資料庫 Express |
本機資料庫/本機 SQL Server 自訂 |
遠端 SQL Server 自訂 |
|
|---|---|---|---|
| 已加入網域的電腦 | Vsa 本機帳戶 (2008) |
Vsa 本機帳戶 (2008) 本機帳戶 網域帳戶 sMSA、gMSA |
gMSA 網域帳戶 |
| 網域控制站 | 網域帳戶 | gMSA 網域帳戶 sMSA |
gMSA 網域帳戶 |
Vsa
VSA 是一種特殊類型的帳戶,沒有密碼且由 Windows 管理。
VSA 是要與同步處理引擎和 SQL Server 位於相同伺服器上的案例搭配使用。 如果您使用遠端 SQL Server,建議您使用 gMSA 而非 VSA。
VSA 功能需要 Windows Server 2008 R2 或更新版本。 如果您在 Windows Server 2008 上安裝 Microsoft Entra 連線,安裝會回復為使用 使用者帳戶 而非 VSA。
gMSA
如果您使用 SQL Server 的遠端實例,建議您使用 gMSA。 如需如何為 gMSA 準備 Windows Server AD 的詳細資訊,請參閱 群組受管理的服務帳戶概觀 。
若要使用此選項,請在 [ 安裝必要元件 ] 頁面上,選取 [使用現有的服務帳戶 ],然後選取 [ 受控服務帳戶 ]。
您也可以 在此案例中使用 sMSA 。 不過,您只能在本機電腦上使用 sMSA,而且使用 sMSA 而不是預設 VSA 沒有好處。
sMSA 功能需要 Windows Server 2012 或更新版本。 如果您需要使用舊版的作業系統,並使用遠端 SQL Server,則必須使用 使用者帳戶 。
使用者帳戶
安裝精靈會建立本機服務帳戶(除非您在自訂設定中指定要使用的帳戶)。 帳戶前面會加上 AAD_ ,並用於執行身分的實際同步處理服務。 如果您在網域控制站上安裝 Microsoft Entra 連線,則會在網域中建立帳戶。 如果下列狀況,AAD_ 服務帳戶必須位於網域中:
- 您可以使用執行 SQL Server 的遠端伺服器。
- 您可以使用需要驗證的 Proxy。
AAD_ 服務帳戶會以長時間的複雜密碼建立,且密碼不會過期。
此帳戶可用來安全地儲存其他帳戶的密碼。 密碼會以加密方式儲存在資料庫中。 加密金鑰的私密金鑰會使用 Windows 資料保護 API (DPAPI) 來保護密碼編譯服務秘密金鑰加密。
如果您使用 SQL Server 的完整實例,服務帳戶是同步處理引擎所建立資料庫的 DBO。 服務不會如預期般運作,任何其他許可權。 也會建立 SQL Server 登入。
帳戶也會獲得與同步處理引擎相關的檔案、登錄機碼和其他物件的許可權。
Microsoft Entra 連線or 帳戶
系統會建立 Microsoft Entra 識別碼中的帳戶,以供同步處理服務使用。 您可以依帳戶的顯示名稱來識別此帳戶。
帳戶所使用的伺服器名稱可以在使用者名稱的第二個部分中識別。 在上圖中,伺服器名稱為 DC1。 如果您有預備伺服器,則每個伺服器都有自己的帳戶。
伺服器帳戶會以長時間的複雜密碼建立,且密碼不會過期。 此帳戶獲授與特殊目錄同步處理帳戶角色,該角色具有只執行目錄同步處理工作的許可權。 此特殊內建角色無法在 Microsoft Entra 連線 精靈之外授與。 Microsoft Entra 系統管理中心 會以使用者角色顯示此帳戶。
Microsoft Entra 識別碼的限制為 20 個同步服務帳戶。
若要取得 Microsoft Entra 實例中現有的 Microsoft Entra 服務帳戶清單,請執行下列命令:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties若要移除未使用的 Microsoft Entra 服務帳戶,請執行下列命令:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
注意
您必須先安裝 Microsoft Graph PowerShell 模組,並使用 連線-MgGraph 連線到 Microsoft Entra ID 的實例,才能使用這些 PowerShell 命令。
如需如何管理或重設 Microsoft Entra 連線 帳戶密碼的詳細資訊,請參閱 管理 Microsoft Entra 連線 帳戶 。
相關文章
如需 Microsoft Entra 連線的詳細資訊,請參閱下列文章:
| 主題 | 連結 |
|---|---|
| 下載 Microsoft Entra 連線 | 下載 Microsoft Entra 連線 |
| 使用快速設定進行安裝 | 快速安裝 Microsoft Entra 連線 |
| 使用自訂設定進行安裝 | Microsoft Entra Connect 的自訂安裝 |
| 從 DirSync 升級 | 從 Azure AD 同步 工具升級 (DirSync) |
| 安裝之後 | 確認安裝和指派授權 |