Conditions préalables pour Microsoft Entra Cloud Sync

Cet article fournit des conseils sur l’utilisation de Microsoft Entra Cloud Sync comme solution d’identité.

Configuration requise de l’agent de provisionnement cloud

Vous avez besoin des éléments suivants pour utiliser Microsoft Entra Cloud Sync :

• Informations d’identification d’administrateur de domaine ou d’administrateur d’entreprise pour créer le compte gMSA de synchronisation cloud Microsoft Entra Connect (compte de service géré par groupe) pour exécuter le service d’agent.
• Un compte Administrateur d’identité hybride pour votre client Microsoft Entra qui n’est pas un utilisateur invité.
• Un serveur local pour l’agent d’approvisionnement avec Windows 2016 ou version ultérieure. Ce serveur doit être un serveur de niveau 0 basé sur le modèle de niveau administratif Active Directory . L’installation de l’agent sur un contrôleur de domaine est prise en charge. Pour plus d’informations, consultez Renforcer votre serveur d’agent d’approvisionnement Microsoft Entra
  • Obligatoire pour l’attribut du schéma Active Directory (AD) - msDS-ExternalDirectoryObjectId
• La haute disponibilité fait référence à la capacité de Microsoft Entra Cloud Sync à fonctionner en continu sans défaillance pendant longtemps. En ayant plusieurs agents actifs installés et en cours d’exécution, Microsoft Entra Cloud Sync peut continuer à fonctionner même si un agent doit échouer. Microsoft recommande d’avoir 3 agents actifs installés pour la haute disponibilité.
• Configurations de pare-feu locales.

Renforcer votre serveur d’agent d’approvisionnement Microsoft Entra

Nous vous recommandons de renforcer votre serveur d’agent d’approvisionnement Microsoft Entra afin de réduire la surface d’attaque de sécurité pour ce composant critique de votre environnement informatique. La suite de ces recommandations permet d’atténuer certains risques de sécurité pour votre organisation.

• Nous vous recommandons de renforcer le serveur de l’agent de provisionnement Microsoft Entra en tant que ressource du plan de contrôle (anciennement niveau 0) en suivant les instructions fournies dans Sécuriser l'accès privilégié et Modèle de niveau administratif Active Directory.
• Limitez l’accès administratif au serveur de l’agent d’approvisionnement Microsoft Entraing uniquement aux administrateurs de domaine ou à d’autres groupes de sécurité étroitement contrôlés.
• Créez un compte dédié pour tous les membres du personnel disposant d’un accès privilégié. Les administrateurs ne doivent pas parcourir le web, vérifier leur courrier électronique et effectuer des tâches de productivité quotidiennes avec des comptes hautement privilégiés.
• Suivez les instructions fournies dans Sécurisation de l’accès privilégié.
• Refuser l’utilisation de l’authentification NTLM avec le serveur de l’agent d’approvisionnement Microsoft Entra. Voici quelques façons de procéder : Restriction de NTLM sur le serveur de l’agent d’approvisionnement Microsoft Entra et Restriction de NTLM sur un domaine
• Vérifiez que chaque ordinateur a un mot de passe d’administrateur local unique. Pour plus d’informations, consultez Solution de mot de passe pour administrateur local (Windows LAPS). Vous pouvez configurer des mots de passe aléatoires uniques sur chaque station de travail et serveur, et les stocker dans Active Directory, protégé par une liste de contrôle d'accès (ACL). Seuls les utilisateurs autorisés éligibles peuvent lire ou demander la réinitialisation de ces mots de passe de compte d’administrateur local. Vous trouverez des conseils supplémentaires pour l’exploitation d’un environnement avec des stations de travail Windows LAPS et des stations de travail à accès privilégié (PAW) dans normes opérationnelles basées sur le principe de source propre.
• Implémentez des stations de travail dédiées accès privilégié pour tous les membres du personnel disposant d’un accès privilégié aux systèmes d’information de votre organisation.
• Suivez ces instructions supplémentaires pour réduire la surface d’attaque de votre environnement Active Directory.
• Pour configurer des alertes permettant de surveiller les modifications de la configuration de fédération, suivez les instructions pour observer les changements dans la relation de confiance établie entre votre fournisseur d'identité et Microsoft Entra ID.
• Activez l’authentification multifacteur (MFA) pour tous les utilisateurs disposant d’un accès privilégié dans Microsoft Entra ID ou dans AD. Un problème de sécurité lié à l’utilisation de l’agent d’approvisionnement Microsoft Entra est que si un attaquant peut contrôler le serveur de l’agent d’approvisionnement Microsoft Entra, il peut manipuler les utilisateurs dans l’ID Microsoft Entra. Pour empêcher un attaquant d’utiliser ces fonctionnalités pour prendre en charge les comptes Microsoft Entra, l’authentification multifacteur offre des protections. Par exemple, même si un attaquant parvient à réinitialiser le mot de passe d’un utilisateur à l’aide de l’agent d’approvisionnement Microsoft Entra, il ne peut toujours pas contourner le deuxième facteur.

Comptes de service géré de groupe

Un compte de service géré de groupe est un compte de domaine managé qui fournit la gestion automatique des mots de passe et une gestion simplifiée du nom de principal de service (SPN). Il offre également la possibilité de déléguer la gestion à d’autres administrateurs et étend cette fonctionnalité sur plusieurs serveurs. Microsoft Entra Cloud Sync prend en charge et utilise un gMSA pour exécuter l’agent. Vous serez invité à entrer les informations d’identification d’administration lors de l’installation, afin de créer ce compte. Le compte apparaît en tant que domain\provAgentgMSA$. Pour plus d’informations sur un gMSA, consultez Comptes de service géré de groupe.

Conditions préalables pour gMSA

1. Le schéma Active Directory dans la forêt du domaine gMSA doit être mis à jour vers Windows Server 2012 ou version ultérieure.
2. Les modules RSAT PowerShell sur un contrôleur de domaine.
3. Au moins un contrôleur de domaine dans le domaine doit exécuter Windows Server 2012 ou version ultérieure.
4. Un serveur joint à un domaine sur lequel l’agent est installé doit être Windows Server 2016 ou version ultérieure.

Compte gMSA personnalisé

Si vous créez un compte gMSA personnalisé, vous devez vous assurer que le compte dispose des autorisations suivantes.

Type	Nom	Accès	S’applique à
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets appareil descendants
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets InetOrgPerson descendants
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets ordinateur descendants
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets foreignSecurityPrincipal descendants
Autoriser	Compte gMSA	Contrôle total	Objets groupe descendants
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets utilisateur descendants
Autoriser	Compte gMSA	Lire toutes les propriétés	Objets contact descendants
Autoriser	Compte gMSA	Créer/supprimer des objets utilisateur	Cet objet et tous les objets descendants

Pour savoir comment mettre à niveau un agent existant pour utiliser un compte gMSA, consultez comptes de service gérés de groupe.

Pour plus d'informations sur la préparation de votre annuaire Active Directory pour un compte de service géré de groupe, consultez Vue d’ensemble des comptes de service gérés de groupe et Comptes de service gérés de groupe avec la synchronisation avec le cloud.

Dans le Centre d’administration Microsoft Entra

1. Créez un compte d’administrateur de l'identité hybride uniquement cloud dans votre instance Microsoft Entra. De cette façon, vous pouvez gérer la configuration de votre locataire si vos services locaux échouent ou deviennent indisponibles. Découvrez comment ajouter un compte d’administrateur d’identité hybride de type cloud uniquement. Cette étape est essentielle si vous voulez éviter de vous retrouver en dehors de votre locataire.
2. Ajoutez un ou plusieurs noms de domaine personnalisés à votre locataire Microsoft Entra. Vos utilisateurs peuvent se connecter avec l’un de ces noms de domaine.

Dans votre annuaire dans Active Directory

Exécutez l’outil IdFix pour préparer les attributs d’annuaire pour la synchronisation.

Dans votre environnement local

1. Identifiez un serveur hôte joint à un domaine exécutant Windows Server 2016 ou version ultérieure avec un minimum de 4 Go de RAM et le runtime .NET 4.7.1+.
2. La stratégie d’exécution PowerShell sur le serveur local doit être définie sur Undefined ou RemoteSigned.
3. S'il existe un pare-feu entre vos serveurs et Microsoft Entra ID, consultez exigences pour le pare-feu et le proxy.

Remarque

L’installation de l’agent de provisionnement cloud sur Windows Server Core n’est pas prise en charge.

Provisionner l’ID Microsoft Entra dans Active Directory - Conditions préalables

Les conditions préalables suivantes sont requises pour implémenter des groupes d’approvisionnement dans Active Directory.

Conditions requises pour la licence

Cette fonctionnalité nécessite des licences Microsoft Entra ID P1. Pour trouver la licence appropriée pour vos besoins, consultez Comparer les fonctionnalités généralement disponibles de Microsoft Entra ID.

Conditions générales

• Compte Microsoft Entra avec au moins un rôle d'Administrateur d’identité hybride .
• Environnement des services de domaine Active Directory local avec le système d’exploitation Windows Server 2016 ou version ultérieure.
  • Obligatoire pour l’attribut de schéma AD – msDS-ExternalDirectoryObjectId
• Agent d’approvisionnement avec la version de build 1.1.1370.0 ou version ultérieure.

Remarque

Les autorisations pour le compte de service sont attribuées uniquement lors d'une installation complète. Si vous effectuez une mise à niveau à partir de la version précédente, les autorisations doivent être affectées manuellement à l’aide de l’applet de commande PowerShell :

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Si les autorisations sont définies manuellement, vous devez vous assurer que les propriétés Lecture, Écriture, Création et Suppression sont appliquées à tous les groupes et objets utilisateur descendants.

Ces autorisations ne sont pas appliquées aux objets AdminSDHolder par les cmdlets gMSA PowerShell de l’agent d'approvisionnement Microsoft Entra par défaut

• L’agent d’approvisionnement doit pouvoir communiquer avec un ou plusieurs contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (catalogue global).
  • Obligatoire pour que la recherche de catalogue global filtre les références d’appartenance non valides
• Microsoft Entra Connect avec la version de build 2.2.8.0 ou ultérieure
  • Obligatoire pour prendre en charge la synchronisation de l’appartenance des utilisateurs locaux à l’aide de Microsoft Entra Connect Sync
  • Requis pour synchroniser AD :user :objectGUID avec AAD :user :onPremisesObjectIdentifier

Groupes et limites d’échelle pris en charge

Les éléments suivants sont pris en charge :

• Seuls les groupes de sécurité créés dans le cloud sont pris en charge
• Ces groupes peuvent avoir des groupes d’appartenance attribuée ou dynamique.
• Ces groupes peuvent contenir uniquement des utilisateurs synchronisés locaux et/ ou des groupes de sécurité créés dans le cloud supplémentaires.
• Les comptes d’utilisateur locaux synchronisés et membres de ce groupe de sécurité créé dans le cloud peuvent provenir du même domaine ou inter-domaines, mais ils doivent tous provenir de la même forêt.
• Ces groupes sont réécrits avec l’étendue des groupes AD universelle. Votre environnement local doit prendre en charge l’étendue du groupe universel.
• Les groupes dont la taille est supérieure à 50 000 membres ne sont pas pris en charge.
• Les locataires qui ont plus de 150 000 objets ne sont pas pris en charge. Cela signifie que si un locataire a une combinaison d’utilisateurs et de groupes qui dépassent 150 000 objets, le locataire n’est pas pris en charge.
• Chaque groupe imbriqué enfant direct compte en tant que membre du groupe de référencement
• Le rapprochement des groupes entre l’ID Microsoft Entra et Active Directory n’est pas pris en charge si le groupe est mis à jour manuellement dans Active Directory.

Informations supplémentaires

Voici des informations supplémentaires sur l’approvisionnement de groupes dans Active Directory.

• Les groupes provisionnés sur AD à l’aide de la synchronisation cloud peuvent contenir uniquement des utilisateurs synchronisés locaux et/ ou des groupes de sécurité créés par le cloud supplémentaires.
• Ces utilisateurs doivent avoir l’attribut onPremisesObjectIdentifier défini sur leur compte.
• OnPremisesObjectIdentifier doit correspondre à un objetGUID correspondant dans l’environnement AD cible.
• Un attribut objectGUID d'un utilisateur local peut être synchronisé avec l'attribut onPremisesObjectIdentifier d'un utilisateur cloud en utilisant Microsoft Entra Cloud Sync (1.1.1370.0) ou Microsoft Entra Connect Sync (2.2.8.0)
• Si vous utilisez Microsoft Entra Connect Sync (2.2.8.0) pour synchroniser les utilisateurs, au lieu de Microsoft Entra Cloud Sync et que vous souhaitez utiliser l’approvisionnement vers AD, il doit être 2.2.8.0 ou version ultérieure.
• Seuls les tenants Microsoft Entra ID standard sont pris en charge pour l’approvisionnement de Microsoft Entra ID dans Active Directory. Les locataires tels que B2C ne sont pas pris en charge.
• Le travail d’approvisionnement de groupe est planifié pour s’exécuter toutes les 20 minutes.

Plus d’exigences

• Minimum Microsoft .NET Framework 4.7.1

Configuration requise pour TLS

Remarque

Tls (Transport Layer Security) est un protocole qui fournit des communications sécurisées. La modification des paramètres TLS affecte toute la forêt. Pour plus d’informations, consultez Mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows.

Le serveur Windows qui héberge l’agent de provisionnement cloud Microsoft Entra Connect doit avoir TLS 1.2 activé avant de l’installer.

Pour activer TLS 1.2, procédez comme suit.

1. Définissez les clés de Registre suivantes en copiant le contenu dans un fichier .reg, puis exécutez le fichier (sélectionnez avec le bouton droit et choisissez Fusionner) :

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Redémarrez le serveur.

Configuration requise pour le pare-feu et le proxy

S’il existe un pare-feu entre vos serveurs et l’ID Microsoft Entra, configurez les éléments suivants :

• Assurez-vous que les agents peuvent envoyer des demandes sortantes à Microsoft Entra ID par le biais des ports suivants :

  Numéro de port	Description
  80	Télécharge les listes de révocation de certificats (CRL) lors de la validation du certificat TLS/SSL.
  443	Gère toutes les communications sortantes avec le service.
  8080 (facultatif)	Les agents signalent leur état toutes les 10 minutes sur le port 8080, si le port 443 n’est pas disponible. Cet état s’affiche dans le Centre d’administration Microsoft Entra.

• Si votre pare-feu applique des règles en fonction des utilisateurs d’origine, ouvrez ces ports pour le trafic à partir des services Windows qui s’exécutent en tant que service réseau.

• Vérifiez que votre proxy prend en charge au moins le protocole HTTP 1.1 et l’encodage segmenté est activé.

• Si votre pare-feu ou votre proxy vous permet de spécifier des suffixes sécurisés, ajoutez des connexions :

Cloud public

URL	Description
*.msappproxy.net *.servicebus.windows.net	L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	L’agent utilise ces URL pour vérifier les certificats.
login.windows.net	L’agent utilise ces URL pendant le processus d’inscription.

Cloud du Gouvernement des États-Unis

URL	Description
*.msappproxy.us *.servicebus.usgovcloudapi.net	L’agent utilise ces URL pour communiquer avec le service cloud Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	L’agent utilise ces URL pour vérifier les certificats.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	L’agent utilise ces URL pendant le processus d’inscription.

• Si vous ne parvenez pas à ajouter de connexions, autorisez l’accès aux plages d’adresses IP du centre de données Azure , qui sont mises à jour toutes les semaines.

Spécification NTLM

Vous ne devez pas activer NTLM sur windows Server qui exécute l’agent d’approvisionnement Microsoft Entra et s’il est activé, veillez à le désactiver.

Limitations connues

Voici les limitations connues :

Synchronisation delta

• Le filtrage d’étendue du groupe pour la synchronisation delta ne prend pas en charge plus de 50 000 membres.
• Lorsque vous supprimez un groupe utilisé dans le cadre d’un filtre d’étendue de groupe, les utilisateurs membres du groupe ne sont pas supprimés.
• Lorsque vous renommez l’unité d’organisation ou le groupe concerné, la synchronisation delta ne supprime pas les utilisateurs.

Journaux de provisionnement

• Les journaux d’approvisionnement ne différencient pas clairement les opérations de création et de mise à jour. Vous pouvez voir une opération de création pour une mise à jour et une opération de mise à jour pour une création.

Changement de nom de groupe ou changement de nom d’unité d’organisation

• Si vous renommez un groupe ou une unité d'organisation dans AD relevant à une configuration donnée, le travail de synchronisation cloud n'est pas en mesure de reconnaître la modification du nom dans AD. Le travail n’entre pas en quarantaine et reste sain.

Filtre d’étendue

Quand vous utilisez le filtre d’étendue des unités d’organisation

• La configuration d’étendue a une limitation de 4 Mo de longueur de caractères. Dans un environnement testé standard, cela se traduit par environ 50 unités organisationnelles distinctes ou groupes de sécurité, y compris ses métadonnées requises, pour une configuration donnée.

• Les unités d’organisation imbriquées sont prises en charge (autrement dit, vous pouvez synchroniser une unité d’organisation avec 130 unités d’organisation imbriquées, mais vous ne pouvez pas synchroniser 60 unités d’organisation distinctes dans la même configuration).

Synchronisation de hachage de mot de passe

• L’utilisation de la synchronisation de hachage de mot de passe avec InetOrgPerson n’est pas prise en charge.

Étapes suivantes

• Qu’est-ce que l’approvisionnement ?
• Qu’est-ce que Microsoft Entra Cloud Sync ?