Požadavky pro synchronizaci Microsoft Entra Cloud

Tento článek obsahuje pokyny k používání microsoft Entra Cloud Sync jako vašeho řešení identit.

Požadavky na agenta zřizování cloudu

Pokud chcete použít Microsoft Entra Cloud Sync, potřebujete následující:

• Přihlašovací údaje správce domény nebo podnikového správce pro vytvoření účtu gMSA cloudové synchronizace Microsoft Entra Connect (účet spravované služby skupiny) pro spuštění služby agenta.
• Účet správce hybridní identity pro vašeho tenanta Microsoft Entra, který není uživatelem typu host.
• Místní server pro agenta zřizování s Windows 2016 nebo novějším. Tento server by měl být server vrstvy 0 založený na modelu vrstvy správy služby Active Directory. Instalace agenta na řadič domény se podporuje. Další informace najdete v tématu Posílení zabezpečení serveru agenta zřizování Microsoft Entra
  • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
• Vysoká dostupnost odkazuje na schopnost Microsoft Entra Cloud Sync fungovat nepřetržitě bez selhání po dlouhou dobu. Díky tomu, že je nainstalovaných a spuštěných více aktivních agentů, může Microsoft Entra Cloud Sync dál fungovat i v případě, že by jeden agent měl selhat. Microsoft doporučuje mít 3 aktivní agenty nainstalované pro zajištění vysoké dostupnosti.
• Konfigurace lokální brány firewall

Posílení zabezpečení serveru agenta zřizování Microsoft Entra

Doporučujeme zpevnit hardwarovou bezpečnost serveru pro vytváření agenta Microsoft Entra, abyste snížili útočný prostor této kritické součásti vašeho IT prostředí. Následující doporučení pomáhají zmírnit některá rizika zabezpečení pro vaši organizaci.

• Doporučujeme zesílit ochranu serveru agenta pro zřizování Microsoft Entra jako aktiva roviny řízení (dříve Tier 0) podle pokynů uvedených v Zabezpečený privilegovaný přístup a Model vrstvy správy služby Active Directory.
• Omezte přístup správce k serveru agenta zřizování Microsoft Entra jenom na správce domény nebo jiné úzce řízené skupiny zabezpečení.
• Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správci by neměli procházet web, kontrolovat jejich e-maily a provádět každodenní úlohy produktivity s vysoce privilegovanými účty.
• Postupujte podle pokynů uvedených v zabezpečení privilegovaného přístupu.
• Zakázat použití NTLM autentizace na serveru agenta pro zřizování Microsoft Entra. Tady je několik způsobů, jak to provést: Omezení NTLM na serveru agenta zřizování Microsoft Entra a Omezení NTLM v doméně
• Ujistěte se, že každý počítač má jedinečné heslo místního správce. Další informace najdete v tématu Řešení hesel místního správce (Windows LAPS) může nakonfigurovat jedinečná náhodná hesla na každé pracovní stanici a na serveru je ukládat do služby Active Directory chráněné seznamem ACL. Pouze oprávnění uživatelé mohou číst nebo požadovat reset těchto hesel účtů místního správce. Další pokyny pro provoz prostředí s Windows LAPS a pracovními stanicemi s privilegovaným přístupem najdete v provozních standardech založených na principu čistého zdroje.
• Implementujte vyhrazené pracovní stanice s privilegovaným přístupem pro všechny pracovníky s privilegovaným přístupem k informačním systémům vaší organizace.
• Postupujte podle těchto dalších pokynů, abyste snížili prostor pro útoky na prostředí služby Active Directory.
• Postupujte podle pokynů v Sledujte změny konfigurace federace, abyste nastavili výstrahy pro sledování změn ve vztahu důvěry mezi vaším IdP a Microsoft Entra ID.
• Povolte vícefaktorové ověřování (MFA) pro všechny uživatele, kteří mají privilegovaný přístup v Microsoft Entra ID nebo v AD. Jedním z problémů se zabezpečením při používání zřizovacího agenta Microsoft Entra je, že pokud útočník může získat kontrolu nad serverem agenta zřizování Microsoft Entra, může manipulovat s uživateli v Microsoft Entra ID. Pokud chcete útočníkovi zabránit v používání těchto možností k převzetí účtů Microsoft Entra, nabízí vícefaktorové ověřování ochranu. I když se útočníkovi například podaří resetovat heslo uživatele pomocí zajišťovacího agenta Microsoft Entra, stále nemůže obejít druhý faktor.

Skupinově spravované servisní účty

Účet spravované služby je spravovaný účet domény, který poskytuje automatickou správu hesel a zjednodušenou správu hlavního názvu služby (SPN). Nabízí také možnost delegovat správu na jiné správce a rozšiřuje tuto funkci na více serverů. Microsoft Entra Cloud Sync podporuje a používá gMSA ke spuštění agenta. Během instalace se zobrazí výzva k zadání přihlašovacích údajů správce, abyste mohli tento účet vytvořit. Účet se zobrazí jako domain\provAgentgMSA$. Další informace o gMSA naleznete v tématu spravované účty služeb skupiny.

Požadavky pro gMSA

1. Schéma služby Active Directory v doménové struktuře domény gMSA je potřeba aktualizovat na Windows Server 2012 nebo novější.
2. moduly RSAT PowerShellu na řadiči domény.
3. Minimálně jeden řadič domény v doméně musí používat Windows Server 2012 nebo novější.
4. Server připojený k doméně, na kterém se agent instaluje, musí být Windows Server 2016 nebo novější.

Vlastní účet gMSA

Pokud vytváříte vlastní účet gMSA, musíte se ujistit, že účet má následující oprávnění.

Typ	Jméno	Přístup	Platí pro
Povolit	Účet gMSA	Přečíst všechny vlastnosti	Objekty zařízení potomků
Povolit	Účet gMSA	Přečtěte si všechny vlastnosti	Potomkové objekty InetOrgPerson
Povolit	Účet gMSA	Přečíst všechny vlastnosti	Objekty počítačových potomků
Povolit	Účet gMSA	Přečtěte si všechny vlastnosti	Potomkové objekty foreignSecurityPrincipal
Povolit	Účet gMSA	Úplné řízení	Objekty skupiny potomků
Povolit	Účet gMSA	Přečíst všechny vlastnosti	Objekty podřízených uživatele
Povolit	Účet gMSA	Přečtěte si všechny vlastnosti	Objekty potomku kontaktu
Povolit	Účet gMSA	Vytváření a odstraňování uživatelských objektů	Tento objekt a všechny potomkové objekty

Postup, jak upgradovat existujícího agenta na používání účtu gMSA, najdete ve skupině Spravované účty pro služby .

Další informace o tom, jak připravit Active Directory pro skupinový spravovaný účet služby, najdete v tématu Přehled skupinových spravovaných účtů služby a Skupinové spravované účty služby se synchronizací cloudu.

V Centru pro správu Microsoft Entra

1. Ve svém tenantovi Microsoft Entra vytvořte účet správce hybridní identity jen pro cloud. Tímto způsobem můžete spravovat konfiguraci tenanta, pokud místní služby selžou nebo nebudou dostupné. Přečtěte si, jak přidat účet správce hybridní identity jen pro cloud. Dokončení tohoto kroku je zásadní, abyste zabránili tomu, že se z nájemního prostoru nezamknete.
2. Přidejte jeden nebo více vlastních názvů domén do tenanta Microsoft Entra. Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.

Ve vašem adresáři ve službě Active Directory

Spuštěním nástroje IdFix připravte atributy adresáře pro synchronizaci.

V místním prostředí

1. Identifikujte hostitelský server připojený k doméně s Windows Serverem 2016 nebo novějším s minimálně 4 GB paměti RAM a modulem runtime .NET 4.7.1 nebo novějším.
2. Zásady spouštění PowerShellu na místním serveru musí být nastaveny na Undefined nebo RemoteSigned.
3. Pokud mezi vašimi servery a Microsoft Entra ID existuje brána firewall, přečtěte si o požadavcích na bránu firewall a proxy server .

Poznámka

Instalace agenta zřizování cloudu ve Windows Serveru Core se nepodporuje.

Zřízení ID Microsoft Entra pro Active Directory – požadavky

K implementaci provisioning skupin do služby Active Directory jsou vyžadovány následující podmínky.

Licenční požadavky

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcíMicrosoft Entra ID .

Obecné požadavky

• Účet Microsoft Entra s alespoň rolí správce hybridní identity .
• Místní prostředí služby Active Directory Domain Services s operačním systémem Windows Server 2016 nebo novějším.
  • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
• Zřizování agenta ve verzi sestavení 1.1.1370.0 nebo novější.

Poznámka

Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby byly oprávnění pro čtení, zápis, vytvoření a odstranění nastavena pro všechny podřízené skupiny a objekty uživatelů.

Tato oprávnění se ve výchozím nastavení nepoužívají na objekty AdminSDHolder rutiny gMSA PowerShellu pro zřizování Microsoft Entra

• Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
  • Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
• Microsoft Entra Connect Sync s verzí buildu 2.2.8.0 nebo novější
  • Nutné pro podporu synchronizace členství lokálních uživatelů pomocí Microsoft Entra Connect Sync
  • Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier

Podporované skupiny a omezení škálování

Podporuje se následující:

• Podporují se jenom skupiny zabezpečení vytvořené v cloudu
• Tyto skupiny mohou mít přiřazené nebo dynamické skupiny členství.
• Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
• Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
• Tyto skupiny jsou zapisovány zpět s univerzálním rozsahem skupin AD . Vaše místní prostředí musí podporovat univerzální obor skupiny.
• Skupiny, které jsou větší než 50 000 členů, se nepodporují.
• Tenanti, kteří mají více než 150 000 objektů, nejsou podporováni. To znamená, že pokud má tenant jakoukoli kombinaci uživatelů a skupin, které překračují 150 tisíc objektů, tenant se nepodporuje.
• Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
• Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.

Další informace

Následuje další informace o zřizování skupin ve službě Active Directory.

• Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
• Tito uživatelé musí mít atribut onPremisesObjectIdentifier nastavený na svém účtu.
• OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
• Atribut objectGUID u místních uživatelů lze synchronizovat s atributem onPremisesObjectIdentifier u cloudových uživatelů pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0).
• Pokud k synchronizaci uživatelů používáte Microsoft Entra Connect Sync (2.2.8.0) místo Microsoft Entra Cloud Sync a chcete používat zřizování pro AD, musíte mít verzi 2.2.8.0 nebo novější.
• Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Nájemníci, jako je B2C, nejsou podporováni.
• Úloha zřizování skupin se plánuje každých 20 minut.

Další požadavky

• Minimální rozhraní Microsoft .NET Framework 4.7.1

Požadavky protokolu TLS

Poznámka

Tls (Transport Layer Security) je protokol, který poskytuje zabezpečenou komunikaci. Změna nastavení protokolu TLS ovlivňuje celou doménovou strukturu. Další informace najdete v tématu Aktualizace, která povolují protokoly TLS 1.1 a TLS 1.2 jako výchozí zabezpečené protokoly v službě WinHTTP ve Windows.

Server Windows, který je hostitelem agenta zřizování cloudu Microsoft Entra Connect, musí mít před instalací povolený protokol TLS 1.2.

Pokud chcete povolit protokol TLS 1.2, postupujte takto.

1. Nastavte následující klíče registru zkopírováním obsahu do souboru .reg a spuštěním souboru (vyberte a zvolte Sloučit):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Restartujte server.

Požadavky na firewall a proxy server

Pokud mezi vašimi servery a ID Microsoft Entra existuje brána firewall, nakonfigurujte následující položky:

• Ujistěte se, že agenti můžou provádět odchozí dotazy na ID Microsoft Entra přes následující porty:

  Číslo portu	Popis
  80	Stáhne seznamy odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL.
  443	Zpracovává veškerou odchozí komunikaci se službou.
  8080 (volitelné)	Agenti hlásí svůj stav každých 10 minut přes port 8080, pokud port 443 není dostupný. Tento stav se zobrazí v Centru pro správu Microsoft Entra.

• Pokud brána firewall vynucuje pravidla podle identity původních uživatelů, otevřete tyto porty pro přenos dat ze služeb Windows, které fungují jako síťová služba.

• Ujistěte se, že váš proxy server podporuje alespoň protokol HTTP 1.1 a je povolené blokované kódování.

• Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení:

Adresa URL	Popis
*.msappproxy.net *.servicebus.windows.net	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agent používá tyto adresy URL k ověření certifikátů.
login.windows.net	Agent používá tyto adresy URL během procesu registrace.

cloud pro státní správu USA

Adresa URL	Popis
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agent používá tyto adresy URL ke komunikaci s cloudovou službou Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agent používá tyto adresy URL k ověření certifikátů.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agent používá tyto adresy URL během procesu registrace.

• Pokud nemůžete přidat připojení, udělte přístup k rozsahům IP adres datového centra Azure, které se aktualizují každý týden.

Požadavek NTLM

Na Windows Serveru, na kterém běží agent zřizování Microsoft Entra, byste neměli povolit protokol NTLM a pokud je povolený, měli byste se ujistit, že jste ho zakázali.

Známá omezení

Níže jsou známá omezení:

Delta synchronizace

• Filtrování rozsahu skupiny pro rozdílovou synchronizaci nepodporuje více než 50 000 členů.
• Když odstraníte skupinu, která je používána jako součást filtru rozsahu skupiny, uživatelé, kteří jsou členy skupiny, se neodstraní.
• Když přejmenujete organizační jednotku nebo skupinu v rozsahu, rozdílová synchronizace uživatele neodstraní.

Protokoly zajišťování

• Protokoly zřizování nerozlišují jasně mezi operacemi vytvoření a aktualizace. Můžete vidět operaci vytvoření při aktualizaci a operaci aktualizace při vytvoření.

Přejmenování skupiny nebo přejmenování organizační jednotky

• Pokud přejmenujete skupinu nebo organizační jednotky ve službě AD, která je v oboru dané konfigurace, úloha cloudové synchronizace nedokáže rozpoznat změnu názvu ve službě AD. Úloha se nedostane do karantény a zůstane zdravá.

Filtr oborů

Při použití filtru rozsahu OU (Organizační jednotky)

• Konfigurace rozsahu má omezení velikosti znakového souboru na 4 MB. Ve standardním otestovaném prostředí se to pro danou konfiguraci překládá na přibližně 50 samostatných organizačních jednotek nebo skupin zabezpečení, včetně požadovaných metadat.

• Vnořené organizační jednotky jsou podporované (to znamená, že můžete synchronizovat organizační jednotky, která má 130 vnořených organizačních jednotek, ale nemůžete synchronizovat 60 samostatných organizačních jednotek ve stejné konfiguraci).

Synchronizace hodnot hash hesel

• Použití synchronizace hodnot hash hesel s InetOrgPerson se nepodporuje.

Další kroky

• Co je zřizování?
• Co je Microsoft Entra Cloud Sync?