Voraussetzungen für Microsoft Entra Cloud Sync

Dieser Artikel enthält Anleitungen zur Verwendung von Microsoft Entra Cloud Sync als Identitätslösung.

Anforderungen des Agents für die Cloudbereitstellung

Sie benötigen Folgendes, um Microsoft Entra Cloud Sync zu verwenden:

• Anmeldeinformationen von Domänenadministrator*innen oder Unternehmensadministrator*innen zum Erstellen des gMSA (group Managed Service Account, gruppenverwaltetes Dienstkonto) für die Microsoft Entra Connect-Cloudsynchronisierung zum Ausführen des Agent-Diensts.
• Ein Konto mit der Rolle „Hybrididentitätsadministrator*in“ für Ihren Microsoft Entra-Mandanten, das keinen Gastbenutzer*innen zugeordnet ist.
• Ein lokaler Server für den Bereitstellungs-Agent mit Windows 2016 oder höher. Dieser Server sollte ein Server der Ebene 0 sein, der auf dem Active Directory-Verwaltungsebenenmodellbasiert. Das Installieren des Agents auf einem Domänencontroller wird unterstützt. Weitere Informationen finden Sie unter Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers
  • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
• Hohe Verfügbarkeit bezieht sich auf die Fähigkeit von Microsoft Entra Cloud Sync, kontinuierlich ohne Fehler für lange Zeit zu arbeiten. Wenn mehrere aktive Agents installiert und ausgeführt werden, kann Microsoft Entra Cloud Sync auch dann weiterhin funktionieren, wenn ein Agent fehlschlagen sollte. Microsoft empfiehlt, 3 aktive Agents für hohe Verfügbarkeit installiert zu haben.
• Vor-Ort-Firewallkonfigurationen.

Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers

Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server zu schützen, um die Angriffsfläche für diese wichtige Komponente Ihrer IT-Umgebung zu verringern. Wenn Sie diese Empfehlungen befolgen, können Sie einige Sicherheitsrisiken für Ihre Organisation mindern.

• Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server als Ressource der Steuerungsebene (vormals Ebene 0) gemäß den unter Schützen des privilegierten Zugriffs und Mehrstufiges Active Directory-Verwaltungsmodell bereitgestellten Anleitungen zu schützen.
• Beschränken Sie den Administratorzugriff auf den Microsoft Entra-Bereitstellungs-Agent-Server nur auf Domänenadministratoren oder andere streng kontrollierte Sicherheitsgruppen.
• Erstellen Sie ein dediziertes Konto für alle Mitarbeitenden mit privilegiertem Zugriff. Administratoren sollten nicht im Internet surfen, ihre E-Mails überprüfen und tägliche Produktivitätsaufgaben mit besonders privilegierten Konten ausführen.
• Folgen Sie den Anweisungen unter Schützen des privilegierten Zugriffs.
• Verweigern Sie die Verwendung der NTLM-Authentifizierung mit dem Microsoft Entra-Bereitstellungs-Agent-Server. Dies sind einige Möglichkeiten, um dies zu tun: Einschränken von NTLM auf dem Microsoft Entra-Bereitstellungs-Agent-Server und Einschränken von NTLM in einer Domäne
• Stellen Sie sicher, dass jeder Computer über ein eindeutiges lokales Administratorkennwort verfügt. Weitere Informationen finden Sie unter Local Administrator Password Solution (Windows LAPS). Mit dieser Lösung können eindeutige zufällige Kennwörter auf jeder Arbeitsstation konfiguriert werden, und für den Server werden die Kennwörter in Active Directory gespeichert und durch eine ACL geschützt. Nur berechtigte autorisierte Benutzer*innen können diese lokalen Kennwörter für das Administratorkonto lesen oder eine Rücksetzung anfordern. Weitere Informationen zum Betreiben einer Umgebung mit Windows LAPS und Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) finden Sie unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards.
• Implementieren Sie dedizierte Arbeitsstationen mit privilegiertem Zugriff für alle Mitarbeitenden mit privilegiertem Zugriff auf die Informationssysteme Ihrer Organisation.
• Berücksichtigen Sie diese zusätzlichen Richtlinien, um die Angriffsfläche Ihrer Active Directory-Umgebung zu verringern.
• Folgen Sie dem Abschnitt Überwachen von Änderungen an der Verbundkonfiguration, um Warnungen einzurichten, die Änderungen an der Vertrauensstellung zwischen Ihrem Identitätsanbieter und Microsoft Entra ID überwachen.
• Aktivieren Sie die mehrstufige Authentifizierung (Multifactor Authentication, MFA) für alle Benutzer, die privilegierten Zugriff in Microsoft Entra ID oder in AD haben. Ein Sicherheitsproblem bei der Verwendung des Microsoft Entra-Bereitstellungs-Agents besteht darin, dass ein Angreifer, wenn er die Kontrolle über den Microsoft Entra-Bereitstellungs-Agent-Server erlangt, die Benutzer in Microsoft Entra ID manipulieren kann. Um zu verhindern, dass ein Angreifer diese Funktionen verwendet, um Microsoft Entra-Konten zu übernehmen, bietet MFA Schutzmaßnahmen. Selbst wenn es einem Angreifer gelingt, das Kennwort eines Benutzers mithilfe des Microsoft Entra-Bereitstellungs-Agents zurückzusetzen, kann er den zweiten Faktor dennoch nicht umgehen.

Gruppenverwaltete Dienstkonten

Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das die automatische Kennwortverwaltung und die vereinfachte Verwaltung von Dienstprinzipalnamen (SPN) bereitstellt. Sie bietet auch die Möglichkeit, die Verwaltung an andere Administratoren zu delegieren und diese Funktionalität über mehrere Server zu erweitern. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen. Das Konto wird als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.

Voraussetzungen für das gMSA

1. Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
2. PowerShell-RSAT-Module auf einem Domänencontroller.
3. Mindestens ein Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausführen.
4. Ein in die Domäne eingebundener Server, auf dem der Agent installiert wird, muss entweder Windows Server 2016 oder höher sein.

Benutzerdefiniertes gMSA-Konto

Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, müssen Sie sicherstellen, dass das Konto über die folgenden Berechtigungen verfügt.

Typ	Name	Zugang	Gilt für
Zulassen	gMSA-Konto	Alle Eigenschaften anzeigen	Nachfolger-Geräteobjekte
Zulassen	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-InetOrgPerson-Objekte
Zulassen	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Computerobjekte
Zulassen	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-foreignSecurityPrincipal-Objekte
Zulassen	gMSA-Konto	Volle Kontrolle	Nachfolger-Gruppenobjekte
Zulassen	gMSA-Konto	Alle Eigenschaften lesen	Nachfolger-Benutzerobjekte
Zulassen	gMSA-Konto	Alle Eigenschaften anzeigen	Nachfolger-Kontaktobjekte
Zulassen	gMSA-Konto	Erstellen/Löschen von Benutzerobjekten	Dieses Objekt und alle Nachfolgerobjekte

Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.

Weitere Informationen zum Vorbereiten Ihres Active Directory für gruppenverwaltete Dienstkonten finden Sie unter gruppenverwaltete Dienstkonten – Übersicht und gruppenverwaltete Dienstkonten mit Cloudsynchronisierung.

Im Microsoft Entra Admin Center

1. Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Hybrididentitätsadministrator*in“. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, wenn Ihre lokalen Dienste fehlschlagen oder nicht mehr verfügbar sind. Erfahren Sie, wie Sie ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Hybrididentitätsadministrator*in“ hinzufügen. Die Ausführung dieses Schritts ist äußerst wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
2. Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrem Verzeichnis in Active Directory

Führen Sie das IdFix-Tool aus, um die Verzeichnisattribute für die Synchronisierung vorzubereiten.

In Ihrer lokalen Umgebung

1. Identifizieren Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET 4.7.1+ Laufzeit.
2. Die PowerShell-Ausführungsrichtlinie auf dem lokalen Server muss auf "Undefiniert" oder "RemoteSigned" festgelegt sein.
3. Wenn eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist, finden Sie weitere Informationen unter Firewall- und Proxyanforderungen.

Anmerkung

Die Installation des Cloudbereitstellungs-Agents unter Windows Server Core wird nicht unterstützt.

Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Bereitstellungsgruppen in Active Directory zu implementieren.

Lizenzanforderungen

Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Finden Sie die richtige Lizenz für Ihre Anforderungen, indem Sie den Vergleich der allgemein verfügbaren Features von Microsoft Entra IDeinsehen.

Allgemeine Anforderungen

• Ein Microsoft Entra-Konto mit der Rolle Hybrididentitätsadministrator*in oder höher.
• Lokale Active Directory Domain Services-Umgebung mit Windows Server 2016-Betriebssystem oder höher.
  • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
• Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.

Anmerkung

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Berechtigungen manuell mithilfe des PowerShell-Cmdlets zugewiesen werden:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.

Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet

• Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an ports TCP/389 (LDAP) und TCP/3268 (Global Catalog) kommunizieren können.
  • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
• Microsoft Entra Connect Sync mit der Buildversion 2.2.8.0 oder höher
  • Erforderlich, um die lokale Benutzermitgliedschaft zu unterstützen, die mit Microsoft Entra Connect Sync synchronisiert wurde
  • Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier

Unterstützte Gruppen und Skalierungsgrenzwerte

Folgendes wird unterstützt:

• Es werden nur in der Cloud erstellte Sicherheitsgruppen unterstützt.
• Diese Gruppen können entweder zugewiesene oder dynamische Mitgliedschaftsgruppen haben.
• Diese Gruppen können nur lokale synchronisierte Benutzer und/oder zusätzliche cloudbasierte Sicherheitsgruppen enthalten.
• Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
• Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den Gruppenbereich „Universell“ unterstützen.
• Gruppen, die größer als 50.000 Mitglieder sind, werden nicht unterstützt.
• Mandanten mit mehr als 150.000 Objekten werden nicht unterstützt. Wenn ein Mandant eine Kombination aus Benutzern und Gruppen hat, die 150.000 Objekte überschreitet, wird der Mandant nicht unterstützt.
• Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe
• Die Abstimmung von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.

Zusatzinformation

Im Folgenden finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.

• Gruppen, die mithilfe der Cloudsynchronisierung für AD bereitgestellt werden, können nur lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
• Diese Benutzer müssen das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt haben.
• onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
• Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden.
• Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
• Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
• Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Weitere Anforderungen

• Mindestens Microsoft .NET Framework 4.7.1

TLS-Anforderungen

Anmerkung

Transport Layer Security (TLS) ist ein Protokoll, das sichere Kommunikation bereitstellt. Das Ändern der TLS-Einstellungen wirkt sich auf die Gesamtstruktur aus. Weitere Informationen finden Sie unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als Sichere Standardprotokolle in WinHTTP in Windows.

Der Windows-Server, auf dem der Cloudbereitstellungs-Agent von Microsoft Entra Connect gehostet wird, muss TLS 1.2 aktiviert sein, bevor Sie ihn installieren.

Führen Sie die folgenden Schritte aus, um TLS 1.2 zu aktivieren.

1. Legen Sie die folgenden Registrierungsschlüssel fest, indem Sie den Inhalt in eine .reg-Datei kopieren und dann die Datei öffnen (mit der rechten Maustaste klicken, und dann Zusammenführenwählen):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starten Sie den Server neu.

Firewall- und Proxyanforderungen

Wenn zwischen Ihren Servern und der Microsoft Entra-ID eine Firewall vorhanden ist, konfigurieren Sie die folgenden Elemente:

• Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:

  Portnummer	BESCHREIBUNG
  80	Lädt die Zertifikatsperrlisten (CRLs) herunter, während das TLS/SSL-Zertifikat überprüft wird.
  443	Verarbeitet die gesamten ausgehenden Kommunikation mit dem Dienst.
  8080 (wahlweise)	Agents melden ihren Status alle 10 Minuten über Port 8080, wenn Port 443 nicht verfügbar ist. Dieser Status wird im Microsoft Entra Admin Center angezeigt.

• Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzer*innen erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

• Stellen Sie sicher, dass Ihr Proxy mindestens das HTTP 1.1-Protokoll unterstützt und die Chunked-Encoding aktiviert ist.

• Wenn Ihre Firewall oder Ihr Proxy es Ihnen ermöglicht, sichere Suffixe anzugeben, fügen Sie Verbindungen hinzu:

Öffentliche Cloud

URL	BESCHREIBUNG
*.msappproxy.net *.servicebus.windows.net	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Der Agent verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.net	Der Agent verwendet diese URLs während des Registrierungsprozesses.

Cloud der US-Regierung

URL	BESCHREIBUNG
*.msappproxy.us *.servicebus.usgovcloudapi.net	Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Der Agent verwendet diese URLs, um Zertifikate zu überprüfen.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Der Agent verwendet diese URLs während des Registrierungsprozesses.

• Wenn Sie keine Verbindungen hinzufügen können, lassen Sie den Zugriff auf die IP-Bereiche des Azure-Rechenzentrums zu, die wöchentlich aktualisiert werden.

NTLM-Anforderung

Sie sollten NTLM nicht auf dem Windows Server aktivieren, auf dem der Microsoft Entra-Bereitstellungs-Agent ausgeführt wird, und wenn er aktiviert ist, sollten Sie sicherstellen, dass Sie ihn deaktivieren.

Bekannte Einschränkungen

Im Folgenden sind bekannte Einschränkungen aufgeführt:

Delta-Synchronisierung

• Die Gruppenbereichsfilterung für die Delta-Synchronisierung unterstützt nicht mehr als 50.000 Mitglieder.
• Wenn Sie eine Gruppe löschen, die als Teil eines Gruppendefinitionsfilters verwendet wird, werden Benutzer, die Mitglieder der Gruppe sind, nicht gelöscht.
• Wenn Sie die im Bereich befindliche Organisationseinheit oder Gruppe umbenennen, werden die Benutzer*innen bei der Deltasynchronisierung nicht entfernt.

Bereitstellungsprotokolle

• Bereitstellungsprotokolle unterscheiden nicht eindeutig zwischen Erstellungs- und Aktualisierungsvorgängen. Es kann sein, dass ein Erstellungsvorgang für eine Aktualisierung und ein Aktualisierungsvorgang für eine Erstellung angezeigt wird.

Umbenennung von Gruppen oder Organisationseinheiten

• Wenn Sie eine Gruppe oder OU in AD umbenennen, die im Geltungsbereich einer bestimmten Konfiguration liegt, kann der Cloudsynchronisierungsauftrag die Namensänderung in AD nicht erkennen. Der Auftrag wird nicht unter Quarantäne gestellt und bleibt im fehlerfreien Zustand.

Bereichsfilter

Bei Verwendung des Bereichsfilters für Organisationseinheiten

• Die Bereichskonfiguration weist eine Zeichenlängenbeschränkung von 4 MB auf. In einer standardmäßig getesteten Umgebung entspricht dies bei einer bestimmten Konfiguration etwa 50 separaten Organisationseinheiten oder Sicherheitsgruppen, einschließlich der erforderlichen Metadaten.

• Geschachtelte Organisationseinheiten werden unterstützt (d. h., Sie können eine Organisationseinheit mit 130 geschachtelten Organisationseinheiten synchronisieren, aber Sie können nicht 60 separate Organisationseinheiten in derselben Konfiguration synchronisieren).

Kennwort-Hash-Synchronisierung

• Die Verwendung der Kennwort-Hashsynchronisierung mit InetOrgPerson wird nicht unterstützt.

Nächste Schritte

• Worum handelt es sich bei der Bereitstellung?
• Was ist Microsoft Entra Cloud Sync?