Microsoft Entra Connect 會安裝內部部署服務,以協調 Active Directory 與 Microsoft Entra ID 之間的同步處理。 Microsoft Entra ID 同步的同步處理服務 (ADSync) 會在內部部署環境中的伺服器上執行。 預設會在快速安裝中設定服務的認證,但可自訂以符合您的組織安全性需求。 這些認證不會用來連線到您的內部部署樹系或 Microsoft Entra ID。
選擇 ADSync 服務帳戶是安裝 Microsoft Entra Connect 之前的一項重要規劃決策。 在安裝後變更認證的任何嘗試都會導致服務無法啟動、失去同步處理資料庫的存取權,以及無法向您的連線目錄 (Azure 和 AD DS) 進行驗證。 在還原原始認證之前,不會進行任何同步處理。
同步處理服務可以在不同帳戶下執行。 它可以在虛擬服務帳戶 (VSA)、受管理的服務帳戶 (gMSA/sMSA) 或一般使用者帳戶下執行。 當您執行全新安裝時,2017 年 4 月版和 2021 年 3 月版之 Microsoft Entra Connect 的支援選項已變更。 如果您從舊版 Microsoft Entra Connect 升級,將無法使用其他這些選項。
| 帳戶類型 | 安裝選項 | 描述 |
|---|---|---|
| 虛擬服務帳戶 | 快速和自訂,2017 年 4 月和更新版本 | 虛擬服務帳戶適用於所有快速安裝,但網域控制站上的安裝除外。 使用自訂安裝時,除非使用其他選項,否則這是預設選項。 |
| 受管理的服務帳戶 | 自訂,2017 年 4 月和更新版本 | 如果您使用遠端 SQL Server,則建議使用受群組管理的服務帳戶。 |
| 受管理的服務帳戶 | 快速和自訂,2021 年 3 月和更新版本 | 在網域控制站上安裝時,會在安裝期間建立開頭為 ADSyncMSA_ 的獨立受管理服務帳戶以進行快速安裝。 使用自訂安裝時,除非使用其他選項,否則這是預設選項。 |
| 使用者帳戶 | 快速和自訂,2017 年 4 月到 2021 年 3 月 | 在網域控制站上安裝時,會在安裝期間建立開頭為 AAD_ 的使用者帳戶以進行快速安裝。 使用自訂安裝時,除非使用其他選項,否則這是預設選項。 |
| 使用者帳戶 | 快速和自訂,2017 年 3 月和更早版本 | 會在安裝期間建立開頭為 AAD_ 的使用者帳戶以進行快速安裝。 而在使用自訂安裝時,您則可以指定另一個帳戶。 |
重要
如果您使用的 Connect 所具有的組建來自 2017 年 3 月或更早版本,由於 Windows 基於安全性理由會摧毀加密金鑰,您不應該重設服務帳戶的密碼。 只有重新安裝 Microsoft Entra Connect,才能將帳戶變更為其他任何帳戶。 如果您升級為來自 2017 年 4 月或更新版本的組建,則系統支援變更服務帳戶的密碼,但是您無法變更所使用的帳戶。
重要
您只能在第一次安裝時設定服務帳戶。 不支援在安裝完成之後變更服務帳戶。 如果您需要變更服務帳戶密碼,這是支援的功能,而且您可以在這裡找到指示。
下表列出同步處理服務帳戶的預設、建議和支援選項。
圖例:
| 電腦類型 | LocalDB 快速 |
LocalDB/LocalSQL 自訂 |
遠端 SQL 自訂 |
|---|---|---|---|
| 已加入網域的電腦 | VSA | VSA sMSA gMSA 本機帳戶網域帳戶 |
gMSA 網域帳戶 |
| 網域控制站 | sMSA | sMSA gMSA 網域帳戶 |
gMSA 網域帳戶 |
虛擬服務帳戶是特殊類型的受管理本機帳戶,這種帳戶沒有密碼,並且是由 Windows 自動管理。
虛擬服務帳戶適用於同步作業引擎和 SQL 位於相同伺服器的情況。 如果您使用遠端 SQL,建議改用受群組管理的服務帳戶。
因為 Windows 資料保護 API (DPAPI) 問題,所以無法在網域控制站上使用虛擬服務帳戶。
如果您使用遠端 SQL Server,建議使用受群組管理的服務帳戶。 如需如何準備 Active Directory 以供受群組管理的服務帳戶使用的詳細資訊,請參閱受群組管理的服務帳戶概觀。
若要使用此選項,請在 安裝必要元件 頁面上,依序選取 [使用現有的服務帳戶] 和 [受控服務帳戶]。
系統也支援使用獨立受管理的服務帳戶。 不過,這些帳戶只能在本機電腦上使用,所以對預設虛擬服務帳戶使用這些帳戶並沒有任何好處。
如果您在網域控制站上安裝 Microsoft Entra Connect,則安裝精靈會建立獨立受管理的服務帳戶 (除非您指定要使用自訂設定中的帳戶)。 此帳戶的前面會加上 ADSyncMSA_ 並用做實際同步處理服務的執行身分。
此帳戶是受控網域帳戶,這種帳戶沒有密碼,並且是由 Windows 自動管理。
此帳戶適用於同步作業引擎和 SQL 位於網域控制站的情況。
安裝精靈會建立本機服務帳戶 (除非您在自訂設定指定要使用的帳戶)。 此帳戶的開頭會加上「AAD_」,並用於作為實際同步處理服務的執行身分。 如果您在網域控制站上安裝 Microsoft Entra Connect,即會在網域中建立帳戶。 如果有下列情況,「AAD_」服務帳戶必須位於網域中:
帳戶是使用不會過期的長複雜密碼來建立。
這個帳戶是安全儲存其他帳戶密碼的方式。 這些其他帳戶的密碼會加密儲存在資料庫中。 加密金鑰的私密金鑰是使用 Windows 資料保護 API (DPAPI) 的密碼編譯服務祕密金鑰加密來保護。
如果您使用完整的 SQL Server,那麼服務帳戶會是為同步引擎所建立的資料庫 DBO。 如果使用其他任何權限,服務都將無法正常運作。 也會建立 SQL 登入。
此帳戶也會獲授與檔案、登錄機碼及與其他同步作業引擎相關的物件權限。
訓練
模組
Implement directory synchronization tools - Training
This module examines the Microsoft Entra Connect Sync and Microsoft Entra Cloud Sync installation requirements, the options for installing and configuring the tools, and how to monitor synchronization services using Microsoft Entra Connect Health.
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
Microsoft Entra Connect 同步服務的功能和設定 - Microsoft Entra ID
描述 Microsoft Entra Connect 同步服務的服務端功能。
Microsoft Entra Connect Sync:瞭解和自定義同步處理 - Microsoft Entra ID
說明 Microsoft Entra Connect Sync 的運作方式,以及如何自定義。
Microsoft Entra Connect 同步處理:了解架構 - Azure - Microsoft Entra ID
本主題描述 Microsoft Entra Connect 同步處理的架構並說明所用的詞彙。