Požadavky pro Microsoft Entra Connect

Tento článek popisuje požadavky a požadavky na hardware pro Microsoft Entra Connect.

Před instalací nástroje Microsoft Entra Connect

Před instalací nástroje Microsoft Entra Connect potřebujete několik věcí.

Microsoft Entra ID

• Potřebujete tenanta Microsoft Entra. Získáte ji s bezplatnou zkušební verzí Azure. Ke správě služby Microsoft Entra Connect můžete použít jeden z následujících portálů:
  • Centrum pro správu Microsoft Entra.
  • Portál Office.
• Přidejte a ověřte doménu , kterou chcete použít v ID Microsoft Entra. Pokud například plánujete používat contoso.com pro uživatele, ujistěte se, že je tato doména ověřená a nepoužíváte jenom contoso.onmicrosoft.com výchozí doménu.
• Tenant Microsoft Entra ve výchozím nastavení umožňuje 50 000 objektů. Když ověříte svoji doménu, limit se zvýší na 300 000 objektů. Pokud potřebujete ještě více objektů v Microsoft Entra ID, otevřete případ podpory, abyste limit ještě zvýšili. Pokud potřebujete více než 500 000 objektů, potřebujete licenci, například Microsoft 365, Microsoft Entra ID P1 nebo P2 nebo Enterprise Mobility + Security.

Příprava místních dat

• Před synchronizací s Microsoft Entra ID a Microsoft 365 použijte IdFix k identifikaci chyb, jako jsou duplicity a problémy s formátováním v adresáři.
• Zkontrolujte volitelné synchronizační funkce, které můžete povolit v MICROSOFT Entra ID, a vyhodnoťte, které funkce byste měli povolit.

Místní služby Active Directory

• Verze schématu Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější. Řadiče domény mohou používat libovolnou verzi. Stačí vyhovět požadavkům na verzi schématu a úroveň doménové struktury. Pokud potřebujete podporu řadičů domény se systémem Windows Server 2016 nebo starší, můžete vyžadovat placený program podpory.
• Řadič domény používaný Microsoft Entra ID musí být zapisovatelný. Použití řadiče domény jen pro čtení (RODC) není podporováno a Microsoft Entra Connect nesleduje žádné přesměrování zápisu.
• Použití místních doménových struktur nebo domén pomocí tečkovaného názvu (název obsahuje tečku).) Názvy rozhraní NetBIOS se nepodporují.
• Doporučujeme povolit koš služby Active Directory.

Zásady spouštění PowerShellu

Microsoft Entra Connect spouští podepsané skripty PowerShellu v rámci instalace. Ujistěte se, že zásady spouštění PowerShellu umožňují spouštění skriptů.

Doporučená zásada spuštění během instalace je RemoteSigned.

Další informace o nastavení zásad spouštění PowerShellu najdete v tématu Set-ExecutionPolicy.

Server Microsoft Entra Connect

Server Microsoft Entra Connect obsahuje důležitá data identity. Je důležité, aby byl správně zabezpečený přístup správce k tomuto serveru. Postupujte podle pokynů v části Zabezpečení privilegovaného přístupu.

Server Microsoft Entra Connect musí být považován za součást vrstvy 0, jak je uvedeno v modelu vrstvy správy služby Active Directory. Doporučujeme posílit zabezpečení serveru Microsoft Entra Connect jako prostředku řídicí roviny podle pokynů uvedených v části Zabezpečený privilegovaný přístup.

Další informace o zabezpečení prostředí Active Directory najdete v tématu Osvědčené postupy pro zabezpečení služby Active Directory.

Požadavky na instalaci

• Microsoft Entra Connect musí být nainstalovaný ve Windows Serveru 2016 nebo novějším připojeném k doméně. Doporučujeme používat Windows Server 2022 připojený k doméně. Microsoft Entra Connect můžete nasadit ve Windows Serveru 2016. Protože je ale Windows Server 2016 v rozšířené podpoře, možná budete potřebovat placený program podpory, pokud potřebujete podporu pro tuto konfiguraci.
• Minimální požadovaná verze rozhraní .NET Framework je 4.6.2 a podporují se také novější verze rozhraní .NET. .NET verze 4.8 a vyšší nabízí nejlepší dodržování předpisů v oblasti přístupnosti.
• Microsoft Entra Connect nejde nainstalovat na Small Business Server nebo Windows Server Essentials před 2019 (Windows Server Essentials 2019 je podporován). Server musí používat Windows Server standard nebo lepší.
• Server Microsoft Entra Connect musí mít nainstalované celé grafické uživatelské rozhraní. Instalace nástroje Microsoft Entra Connect na jádro Windows Serveru není podporovaná.
• Pokud ke správě konfigurace Active Directory Federation Services (AD FS) (AD FS) použijete průvodce Microsoft Entra Connect, server Microsoft Entra Connect nesmí mít povolené zásady skupiny přepisu PowerShellu. Přepis PowerShellu můžete povolit, pokud ke správě konfigurace synchronizace použijete průvodce Microsoft Entra Connect.
• Ujistěte se, že msOnline PowerShell (MSOL) není blokovaný na úrovni tenanta.
• Pokud se služba AD FS nasazuje:
  • Servery, na kterých je nainstalovaná služba AD FS nebo webová proxy aplikací, musí být Windows Server 2012 R2 nebo novější. Pro vzdálenou instalaci musí být na těchto serverech povolená vzdálená správa systému Windows. Pokud potřebujete podporu pro Windows Server 2016 a starší, možná budete potřebovat placený program podpory.
  • Musíte nakonfigurovat certifikáty TLS/SSL. Další informace najdete v tématu Správa protokolů SSL/TLS a šifrovacích sad pro službu AD FS a správu certifikátů SSL ve službě AD FS.
  • Musíte nakonfigurovat překlad ip adres.
• Není podporováno přerušení a analýza provozu mezi Microsoft Entra Connect a ID Microsoft Entra. Tím by mohlo dojít k narušení služby.
• Pokud mají správci hybridní identity povolené vícefaktorové ověřování, adresa URL https://secure.aadcdn.microsoftonline-p.commusí být v seznamu důvěryhodných webů. Pokud jste vyzváni k zadání výzvy vícefaktorového ověřování a tento web ještě není přidaný, měli byste jej přidat do seznamu důvěryhodných webů. Internet Explorer můžete použít k jeho přidání na důvěryhodné weby.
• Pokud plánujete používat Microsoft Entra Connect Health pro synchronizaci, musíte k instalaci Microsoft Entra Connect Sync použít účet globálního správce. Pokud používáte účet hybridního správce, agent se nainstaluje, ale v zakázaném stavu. Další informace naleznete v tématu Instalace agenta Microsoft Entra Connect Health.

Posílení zabezpečení serveru Microsoft Entra Connect

Doporučujeme posílit zabezpečení serveru Microsoft Entra Connect, abyste snížili prostor pro útoky na zabezpečení pro tuto kritickou komponentu vašeho IT prostředí. Následující doporučení pomáhají zmírnit některá rizika zabezpečení pro vaši organizaci.

• Doporučujeme posílit zabezpečení serveru Microsoft Entra Connect jako prostředku řídicí roviny (dříve vrstvy 0) podle pokynů uvedených v modelu zabezpečení privilegovaného přístupu a vrstvy správy služby Active Directory.
• Omezte přístup správce k serveru Microsoft Entra Connect jenom na správce domény nebo jiné úzce řízené skupiny zabezpečení.
• Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správci by neměli procházet web, kontrolovat jejich e-maily a provádět každodenní úlohy produktivity s vysoce privilegovanými účty.
• Postupujte podle pokynů uvedených v části Zabezpečení privilegovaného přístupu.
• Odepřít použití ověřování NTLM na serveru Microsoft Entra Connect. Tady je několik způsobů, jak to provést: Omezení protokolu NTLM na serveru Microsoft Entra Connect a omezení ntLM v doméně
• Ujistěte se, že každý počítač má jedinečné heslo místního správce. Další informace najdete v tématu Řešení hesel místního správce (Windows LAPS) umožňuje konfigurovat jedinečná náhodná hesla na každé pracovní stanici a server je ukládat do služby Active Directory chráněné seznamem ACL. Resetování těchto hesel účtů místního správce můžou číst nebo požadovat pouze oprávnění oprávnění uživatelé. Další pokyny pro provoz prostředí s windows LAPS a pracovními stanicemi s privilegovaným přístupem najdete v provozních standardech založených na principu čistého zdroje.
• Implementujte vyhrazené pracovní stanice s privilegovaným přístupem pro všechny pracovníky s privilegovaným přístupem k informačním systémům vaší organizace.
• Postupujte podle těchto dalších pokynů , abyste snížili prostor pro útoky na vaše prostředí Služby Active Directory.
• Postupujte podle změn monitorování konfigurace federace a nastavte výstrahy pro monitorování změn důvěryhodnosti vytvořené mezi vaším id Idp a Microsoft Entra ID.
• Povolte vícefaktorové ověřování (MFA) pro všechny uživatele, kteří mají privilegovaný přístup v Microsoft Entra ID nebo v AD. Jedním z bezpečnostních problémů s používáním služby Microsoft Entra Connect je, že pokud útočník může získat kontrolu nad serverem Microsoft Entra Connect, může manipulovat s uživateli v Microsoft Entra ID. Pokud chcete útočníkovi zabránit v používání těchto možností k převzetí účtů Microsoft Entra, MFA nabízí ochranu, aby i když se útočník řídil, například resetování hesla uživatele pomocí služby Microsoft Entra Connect, nemůže obejít druhý faktor.
• Zakažte v tenantovi obnovitelné porovnávání. Soft Matching je skvělá funkce, která pomáhá přenášet zdroj autority pro existující cloudové spravované objekty do služby Microsoft Entra Connect, ale přináší určitá bezpečnostní rizika. Pokud ho nepotřebujete, měli byste zakázat obnovitelné párování.
• Zakažte převzetí pevné shody. Převzetí pevné shody umožňuje službě Microsoft Entra Connect převzít kontrolu nad cloudovým spravovaným objektem a změnou zdroje autority objektu na Active Directory. Jakmile zdroj autority objektu převezme Microsoft Entra Connect, změny provedené v objektu Active Directory propojeném s objektem Microsoft Entra přepíší původní data Microsoft Entra, včetně hodnoty hash hesla, pokud je povolena synchronizace hodnot hash hesel. Útočník by mohl tuto funkci použít k převzetí kontroly nad cloudovými spravovanými objekty. Pokud chcete toto riziko zmírnit, zakažte převzetí pevné shody.

SQL Server používaný službou Microsoft Entra Connect

• Microsoft Entra Connect vyžaduje k ukládání dat identity databázi SQL Serveru. Ve výchozím nastavení se nainstaluje SQL Server 2019 Express LocalDB (light verze SQL Serveru Express). SQL Server Express má limit velikosti 10 GB, který umožňuje spravovat přibližně 100 000 objektů. Pokud potřebujete spravovat větší objem objektů adresáře, nasměrujte průvodce instalací na jinou instalaci SYSTÉMU SQL Server. Typ instalace SQL Serveru může mít vliv na výkon nástroje Microsoft Entra Connect.
• Pokud používáte jinou instalaci SQL Serveru, platí tyto požadavky:
  • Microsoft Entra Connect podporuje všechny hlavní podporované verze SQL Serveru až SQL Server 2022 spuštěné ve Windows. Informace o stavu podpory vaší verze SQL Serveru najdete v článku o životním cyklu SQL Serveru. SQL Server 2012 se už nepodporuje. Azure SQL Database se nepodporuje jako databáze. To zahrnuje Azure SQL Database i spravovanou instanci Azure SQL.
  • Musíte použít kolaci SQL bez rozlišování malých a velkých písmen. Tyto kolace jsou identifikovány s _CI_ v jejich názvu. Použití kolace s rozlišováním velkých a malých písmen identifikovaných _CS_ v názvu není podporováno.
  • Pro každou instanci SQL můžete mít pouze jeden synchronizační modul. Sdílení instance SQL pomocí MIM Sync, DirSync nebo Azure AD Sync se nepodporuje.
  • Udržujte ovladač ODBC pro SQL Server verze 17 a ovladač OLE DB pro SQL Server verze 18, které jsou součástí Microsoft Entra Connect. Upgrade hlavních nebo podverzí ovladačů ODBC/OLE DB se nepodporuje. Tým produktové skupiny Microsoft Entra Connect obsahuje nové ovladače ODBC/OLE DB, protože jsou k dispozici a mají požadavek na aktualizaci.

Poznámka

Pokud instalujete SQL na stejný server jako Microsoft Entra Connect, doporučujeme nakonfigurovat SQL tak, aby omezil maximální paměť, kterou může používat v systému. Pro konfiguraci paměti postupujte podle osvědčených postupů SQL.

Účty

• Pro tenanta Microsoft Entra, se kterým chcete provést integraci, musíte mít účet globálního správce Microsoft Entra nebo účet správce hybridní identity. Tento účet musí být školní nebo organizační účet a nemůže být účtem Microsoft.
• Pokud používáte expresní nastavení nebo upgradujete z nástroje DirSync, musíte mít pro místní Active Directory účet podnikového správce.
• Pokud používáte instalační cestu vlastního nastavení, máte další možnosti. Další informace naleznete v tématu Vlastní nastavení instalace.

Připojení

• Server Microsoft Entra Connect potřebuje překlad DNS pro intranet i internet. Server DNS musí být schopný přeložit názvy jak na váš místní Active Directory, tak na koncové body Microsoft Entra.
• Microsoft Entra Connect vyžaduje síťové připojení ke všem nakonfigurovaným doménám.
• Microsoft Entra Connect vyžaduje síťové připojení ke kořenové doméně všech nakonfigurovaných doménových struktur.
• Pokud máte v intranetu brány firewall a potřebujete otevřít porty mezi servery Microsoft Entra Connect a řadiči domény, další informace najdete v tématu Porty Microsoft Entra Connect.
• Pokud váš proxy server nebo brána firewall omezují, ke kterým adresám URL se dá přistupovat, musí se otevřít adresy URL zdokumentované v adresách URL a rozsahech IP adres Office 365. Podívejte se také na seznam bezpečných adres URL centra pro správu Microsoft Entra na vašem firewallu nebo proxy serveru.
  • Pokud používáte cloud Microsoftu v Německu nebo v cloudu Microsoft Azure Government, podívejte se na důležité informace o instancích služby Microsoft Entra Connect Sync pro adresy URL.
• Microsoft Entra Connect (verze 1.1.614.0 a novější) ve výchozím nastavení používá protokol TLS 1.2 k šifrování komunikace mezi synchronizačním modulem a Id Microsoft Entra. Pokud protokol TLS 1.2 není v základním operačním systému dostupný, microsoft Entra Connect postupně přejde zpět na starší protokoly (TLS 1.1 a TLS 1.0). Od Microsoft Entra Connect verze 2.0 dále. Protokoly TLS 1.0 a 1.1 se už nepodporují a instalace selže, pokud není povolený protokol TLS 1.2.
• Před verzí 1.1.614.0 používá Microsoft Entra Connect ve výchozím nastavení protokol TLS 1.0 k šifrování komunikace mezi synchronizačním modulem a ID Microsoft Entra. Pokud chcete změnit na protokol TLS 1.2, postupujte podle pokynů v tématu Povolení protokolu TLS 1.2 pro Microsoft Entra Connect.

Důležité

Verze 2.3.20.0 je aktualizace zabezpečení. V této aktualizaci vyžaduje Microsoft Entra Connect protokol TLS 1.2. Před aktualizací na tuto verzi se ujistěte, že máte povolený protokol TLS 1.2.

Všechny verze Windows Serveru podporují protokol TLS 1.2. Pokud na serveru není povolený protokol TLS 1.2, musíte ho povolit, abyste mohli nasadit Microsoft Entra Connect verze 2.0.

Skript PowerShellu pro kontrolu, jestli je povolený protokol TLS 1.2, najdete v tématu PowerShellový skript pro kontrolu protokolu TLS.

Další informace o protokolu TLS 1.2 naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358. Další informace o povolení protokolu TLS 1.2 najdete v tématu povolení protokolu TLS 1.2.

• Pokud pro připojení k internetu používáte odchozí proxy server, musí být pro průvodce instalací přidáno následující nastavení v souboru C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config a nástroj Microsoft Entra Connect Sync, aby se mohl připojit k internetu a id Microsoft Entra Connect. Tento text musí být zadán v dolní části souboru. V tomto kódu <představuje PROXYADDRESS> skutečnou IP adresu proxy serveru nebo název hostitele.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud proxy server vyžaduje ověření, musí se účet služby nacházet v doméně. K zadání vlastního účtu služby použijte instalační cestu vlastního nastavení. Potřebujete také jinou změnu na machine.config. Při této změně v souboru machine.config odpoví průvodce instalací a synchronizační modul na žádosti o ověření z proxy serveru. Na všech stránkách průvodce instalací s výjimkou stránky Konfigurovat se použijí přihlašovací údaje přihlášeného uživatele. Na stránce Konfigurovat na konci průvodce instalací se kontext přepne na účet služby, který jste vytvořili. Část machine.config by měla vypadat takto:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud se konfigurace proxy serveru provádí v existujícím nastavení, musí se služba Synchronizace ID Microsoftu restartovat jednou, aby služba Microsoft Entra Connect přečetla konfiguraci proxy serveru a aktualizovala chování.

• Když Microsoft Entra Connect odešle webový požadavek na ID Microsoft Entra v rámci synchronizace adresářů, může odpověď microsoft Entra ID trvat až 5 minut. Proxy servery mají běžnou konfiguraci časového limitu nečinnosti připojení. Ujistěte se, že je konfigurace nastavená alespoň na 6 minut.

Další informace najdete na webu MSDN o výchozím elementu proxy serveru. Další informace o problémech s připojením najdete v tématu Řešení potíží s připojením.

Jiný důvod

Volitelné: K ověření synchronizace použijte testovací uživatelský účet.

Požadavky komponent

PowerShell a .NET Framework

Microsoft Entra Connect závisí na prostředí Microsoft PowerShell 5.0 a .NET Framework 4.5.1. Tuto verzi nebo novější verzi potřebujete nainstalovanou na serveru.

Povolení protokolu TLS 1.2 pro Microsoft Entra Connect

Důležité

Verze 2.3.20.0 je aktualizace zabezpečení. V této aktualizaci vyžaduje Microsoft Entra Connect protokol TLS 1.2. Před aktualizací na tuto verzi se ujistěte, že máte povolený protokol TLS 1.2.

Všechny verze Windows Serveru podporují protokol TLS 1.2. Pokud na serveru není povolený protokol TLS 1.2, musíte ho povolit, abyste mohli nasadit Microsoft Entra Connect verze 2.0.

Skript PowerShellu pro kontrolu, jestli je povolený protokol TLS 1.2, najdete v tématu PowerShellový skript pro kontrolu protokolu TLS.

Další informace o protokolu TLS 1.2 naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358. Další informace o povolení protokolu TLS 1.2 najdete v tématu povolení protokolu TLS 1.2.

Před verzí 1.1.614.0 používá Microsoft Entra Connect ve výchozím nastavení protokol TLS 1.0 k šifrování komunikace mezi serverem synchronizačního stroje a Microsoft Entra ID. Aplikace .NET můžete nakonfigurovat tak, aby ve výchozím nastavení používaly protokol TLS 1.2 na serveru. Další informace o protokolu TLS 1.2 naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358.

1. Ujistěte se, že máte pro operační systém nainstalovanou opravu hotfix .NET 4.5.1. Další informace naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358. Možná máte tuto opravu hotfix nebo novější verzi nainstalovanou na serveru.

2. Pro všechny operační systémy nastavte tento klíč registru a restartujte server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Pokud chcete také povolit protokol TLS 1.2 mezi serverem synchronizačního stroje a vzdáleným SQL Serverem, ujistěte se, že máte nainstalované požadované verze pro podporu protokolu TLS 1.2 pro Microsoft SQL Server.

Další informace najdete v tématu povolení protokolu TLS 1.2.

Požadavky modelu DCOM na synchronizačním serveru

Během instalace synchronizační služby microsoft Entra Connect zkontroluje přítomnost následujícího klíče registru:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

V rámci tohoto klíče registru Microsoft Entra Connect zkontroluje, jestli jsou přítomné a neopravené následující hodnoty:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Požadavky na instalaci a konfiguraci federace

Vzdálená správa systému Windows

Pokud k nasazení služby AD FS nebo webového proxy aplikací (WAP) používáte Microsoft Entra Connect, zkontrolujte tyto požadavky:

• Pokud je cílový server připojený k doméně, ujistěte se, že je povolená vzdálená správa systému Windows.
  • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
• Pokud je cílovým serverem počítač WAP, který není připojený k doméně, existuje několik dalších požadavků:
  • Na cílovém počítači (počítač WAP):
    • Ujistěte se, že služba Vzdálená správa systému Windows nebo SLUŽBA WS-Management (WinRM) běží prostřednictvím modulu snap-in Služby.
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
  • Na počítači, na kterém je průvodce spuštěný (pokud cílový počítač není připojený k doméně nebo je nedůvěryhodná doména):
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • Ve správci serveru:
      • Přidejte hostitele WAP DMZ do fondu počítačů. Ve Správci serveru vyberte Spravovat>přidat servery a pak použijte kartu DNS.
      • Na kartě Správce serveru Všechny servery klikněte pravým tlačítkem na server WAP a vyberte Spravovat jako. Zadejte místní (nikoli doménová) pověření pro počítač WAP.
      • Pokud chcete ověřit vzdálené připojení PowerShellu, klikněte na kartě Správce serveru Všechny servery pravým tlačítkem myši na server WAP a vyberte Windows PowerShell. Měla by se otevřít vzdálená relace PowerShellu, aby bylo možné navázat vzdálené relace PowerShellu.

Požadavky na certifikát TLS/SSL

• Doporučujeme používat stejný certifikát TLS/SSL ve všech uzlech farmy služby AD FS a všech serverech webových proxy aplikací.
• Certifikát musí být certifikát X509.
• Certifikát podepsaný svým držitelem můžete použít na federačních serverech v testovacím prostředí. V produkčním prostředí doporučujeme získat certifikát od veřejné certifikační autority.
  • Pokud používáte certifikát, který není veřejně důvěryhodný, ujistěte se, že certifikát nainstalovaný na každém serveru webové proxy aplikací je důvěryhodný na místním serveru i na všech federačních serverech.
• Identita certifikátu se musí shodovat s názvem federační služby (například sts.contoso.com).
  • Identita je buď rozšíření alternativního názvu subjektu (SAN) typu dNSName, nebo pokud neexistují žádné položky sítě SAN, název subjektu se zadává jako běžný název.
  • V certifikátu může být k dispozici více položek v síti SAN, pokud jeden z nich odpovídá názvu federační služby.
  • Pokud plánujete používat připojení k síti Workplace Join, vyžaduje se další síť SAN s hodnotou enterpriseregistration. Za ní následuje přípona hlavního názvu uživatele (UPN) vaší organizace, například enterpriseregistration.contoso.com.
• Certifikáty založené na klíčích CNG (Next Generation) CryptoAPI a poskytovatelích úložiště klíčů se nepodporují. V důsledku toho musíte použít certifikát založený na poskytovateli kryptografických služeb (CSP) a ne na poskytovateli KSP.
• Podporují se certifikáty se zástupnými kartami.

Překlad názvů pro federační servery

• Nastavte záznamy DNS pro název služby AD FS (například sts.contoso.com) pro intranet (váš interní server DNS) i pro extranet (veřejný DNS prostřednictvím vašeho doménového registrátora). V případě intranetového záznamu DNS se ujistěte, že používáte záznamy A, a ne záznamy CNAME. Použití záznamů A vyžaduje, aby ověřování systému Windows fungovalo správně z počítače připojeného k doméně.
• Pokud nasazujete více než jeden server služby AD FS nebo webový proxy aplikací server, ujistěte se, že jste nakonfigurovali nástroj pro vyrovnávání zatížení a že záznamy DNS pro název služby AD FS (například sts.contoso.com) odkazují na nástroj pro vyrovnávání zatížení.
• Aby integrované ověřování systému Windows fungovalo pro aplikace prohlížeče pomocí Internet Exploreru v intranetu, ujistěte se, že je do zóny intranetu v Internet Exploreru přidaný název služby AD FS (například sts.contoso.com). Tento požadavek je možné řídit pomocí zásad skupiny a nasadit je do všech počítačů připojených k doméně.

Podpůrné komponenty microsoft Entra Connect

Microsoft Entra Connect nainstaluje na server, na kterém je nainstalována aplikace Microsoft Entra Connect, následující součásti. Tento seznam je určený pro základní instalaci Expressu. Pokud se rozhodnete použít jiný SQL Server na stránce Instalovat synchronizační služby , sql Express LocalDB se nenainstaluje místně.

• Stav služby Microsoft Entra Connect
• Nástroje příkazového řádku Microsoft SQL Serveru 2022
• Microsoft SQL Server 2022 Express LocalDB
• Nativní klient Microsoft SQL Serveru 2022
• Microsoft Visual C++ 14 Redistribution Package

Požadavky na hardware pro Microsoft Entra Connect

Následující tabulka uvádí minimální požadavky na počítač Microsoft Entra Connect Sync.

Počet objektů ve službě Active Directory	Procesor	Memory (Paměť)	Velikost pevného disku
Méně než 10 000	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
Pro 100 000 nebo více objektů se vyžaduje úplná verze SQL Serveru. Z důvodů výkonu je instalace místně upřednostňovaná. Následující hodnoty jsou platné pouze pro instalaci microsoft Entra Connect. Pokud je SQL Server nainstalovaný na stejném serveru, je vyžadována další paměť, jednotka a procesor.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
Více než 600 000	1,6 GHz	32 GB	500 GB

Minimální požadavky na počítače se službou AD FS nebo servery webových proxy aplikací jsou:

• CPU: Duální jádro 1,6 GHz nebo vyšší
• Paměť: 2 GB nebo vyšší
• Virtuální počítač Azure: Konfigurace A2 nebo vyšší

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.