Udostępnij za pośrednictwem


Wymagania wstępne dotyczące usługi Microsoft Entra Cloud Sync

Ten artykuł zawiera wskazówki dotyczące korzystania z usługi Microsoft Entra Cloud Sync jako rozwiązania do obsługi tożsamości.

Wymagania dotyczące agenta aprowizacji w chmurze

Do korzystania z usługi Microsoft Entra Cloud Sync potrzebne są następujące elementy:

  • Poświadczenia administratora domeny lub administratora przedsiębiorstwa służące do tworzenia konta usługi zarządzanej przez grupę gMSA synchronizacji chmury programu Microsoft Entra Connect w celu uruchomienia usługi agenta.
  • Konto administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra, które nie jest użytkownikiem-gościem.
  • Serwer lokalny dla agenta aprowizacji z systemem Windows 2016 lub nowszym. Ten serwer powinien być serwerem warstwy 0 na podstawie modelu warstwy administracyjnej usługi Active Directory. Instalowanie agenta na kontrolerze domeny jest obsługiwane. Aby uzyskać więcej informacji, zobacz Harden your Microsoft Entra provisioning agent server (Wzmacnianie zabezpieczeń serwera agenta aprowizacji firmy Microsoft)
    • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
  • Wysoka dostępność odnosi się do możliwości ciągłego działania usługi Microsoft Entra Cloud Sync bez awarii przez długi czas. Po zainstalowaniu i uruchomieniu wielu aktywnych agentów usługa Microsoft Entra Cloud Sync może nadal działać, nawet jeśli jeden agent powinien zakończyć się niepowodzeniem. Firma Microsoft zaleca zainstalowanie 3 aktywnych agentów w celu zapewnienia wysokiej dostępności.
  • Konfiguracje zapory lokalnej.

Wzmacnianie zabezpieczeń serwera agenta aprowizacji firmy Microsoft

Zalecamy wzmocnienie zabezpieczeń serwera agenta aprowizacji firmy Microsoft w celu zmniejszenia obszaru ataków na zabezpieczenia dla tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń pomoże ograniczyć niektóre zagrożenia bezpieczeństwa dla organizacji.

  • Zalecamy wzmocnienie zabezpieczeń serwera agenta aprowizacji firmy Microsoft jako elementu zawartości Płaszczyzna sterowania (wcześniej warstwa 0), postępując zgodnie ze wskazówkami podanymi w modelu warstwy administracyjnej Bezpieczny dostęp uprzywilejowany i Usługa Active Directory.
  • Ogranicz dostęp administracyjny do serwera agenta aprowizacji firmy Microsoft tylko do administratorów domeny lub innych ściśle kontrolowanych grup zabezpieczeń.
  • Utwórz dedykowane konto dla wszystkich pracowników z uprzywilejowanym dostępem. Administratorzy nie powinni przeglądać internetu, sprawdzać swoje wiadomości e-mail i wykonywać codzienne zadania związane z produktywnością przy użyciu kont z wysokimi uprawnieniami.
  • Postępuj zgodnie ze wskazówkami podanymi w artykule Zabezpieczanie uprzywilejowanego dostępu.
  • Odmów użycia uwierzytelniania NTLM z serwerem agenta aprowizacji firmy Microsoft. Poniżej przedstawiono kilka sposobów, aby to zrobić: ograniczanie protokołu NTLM na serwerze agenta aprowizacji firmy Microsoft i ograniczanie protokołu NTLM w domenie
  • Upewnij się, że każda maszyna ma unikatowe hasło administratora lokalnego. Aby uzyskać więcej informacji, zobacz Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by an ACL (Rozwiązanie do lokalnych haseł administratora lokalnego (Windows LAPS) może skonfigurować unikatowe losowe hasła na każdej stacji roboczej i serwerze przechowywać je w usłudze Active Directory chronionej przez listę ACL. Tylko uprawnieni użytkownicy mogą odczytywać lub żądać zresetowania tych haseł konta administratora lokalnego. Dodatkowe wskazówki dotyczące obsługi środowiska z systemem Windows LAPS i stacji roboczych z uprzywilejowanym dostępem (PAW) można znaleźć w standardach operacyjnych opartych na zasadzie czystego źródła.
  • Zaimplementuj dedykowane stacje robocze uprzywilejowanego dostępu dla wszystkich pracowników z uprzywilejowanym dostępem do systemów informacyjnych organizacji.
  • Postępuj zgodnie z tymi dodatkowymi wskazówkami, aby zmniejszyć obszar ataków środowiska usługi Active Directory.
  • Postępuj zgodnie z instrukcjami Monitorowanie zmian konfiguracji federacji, aby skonfigurować alerty w celu monitorowania zmian zaufania ustanowionych między dostawcą tożsamości a identyfikatorem Entra firmy Microsoft.
  • Włącz usługę Multi Factor Authentication (MFA) dla wszystkich użytkowników, którzy mają uprzywilejowany dostęp w usłudze Microsoft Entra ID lub w usłudze AD. Jednym z problemów z zabezpieczeniami z użyciem agenta aprowizacji firmy Microsoft entra jest to, że jeśli osoba atakująca może uzyskać kontrolę nad serwerem agenta aprowizacji firmy Microsoft, może manipulować użytkownikami w identyfikatorze Entra firmy Microsoft. Aby zapobiec korzystaniu z tych funkcji do przejęcia kont Microsoft Entra, uwierzytelnianie wieloskładnikowe zapewnia ochronę, aby nawet jeśli osoba atakująca zarządza, na przykład zresetować hasło użytkownika przy użyciu agenta aprowizacji firmy Microsoft, nadal nie może pominąć drugiego czynnika.

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN), możliwość delegowania zarządzania do innych administratorów, a także rozszerza tę funkcję na wiele serwerów. Usługa Microsoft Entra Cloud Sync obsługuje i używa zarządzanego konta zarządzanego do uruchamiania agenta. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto. Konto jest wyświetlane jako domain\provAgentgMSA$. Aby uzyskać więcej informacji o gMSA, zobacz konta usług zarządzane przez grupę.

Wymagania wstępne dotyczące usługi gMSA

  1. Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
  2. Moduły RSAT programu PowerShell na kontrolerze domeny.
  3. Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
  4. Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.

Niestandardowe konto gMSA

Jeśli tworzysz niestandardowe konto gMSA, upewnij się, że konto ma następujące uprawnienia.

Type Nazwisko Access Dotyczy
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty urządzenia podrzędnego
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty InetOrgPerson obiektów potomnych
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty komputera podrzędnego
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty podrzędne foreignSecurityPrincipal
Zezwalaj konto gMSA Pełna kontrola Obiekty grupy podrzędnej
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty użytkownika podrzędnego
Zezwalaj konto gMSA Odczytywanie wszystkich właściwości Obiekty kontaktów potomnych
Zezwalaj konto gMSA Tworzenie/usuwanie obiektów użytkownika Ten obiekt i wszystkie obiekty podrzędne

Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta do korzystania z konta zarządzanego przez grupę, zobacz konta usługi zarządzane przez grupę.

Aby uzyskać więcej informacji na temat przygotowywania usługi Active Directory na potrzeby konta usługi zarządzanej przez grupę, zobacz Omówienie zarządzanych kont usług grupy i konta usług zarządzanych przez grupę z synchronizacją w chmurze.

W centrum administracyjnym firmy Microsoft Entra

  1. Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej tylko w chmurze. Ukończenie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W katalogu w usłudze Active Directory

Uruchom narzędzie IdFix, aby przygotować atrybuty katalogu do synchronizacji.

W środowisku lokalnym

  1. Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2016 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego platformy .NET 4.7.1 lub nowszej.
  2. Zasady wykonywania programu PowerShell na serwerze lokalnym muszą być ustawione na wartość Niezdefiniowane lub RemoteSigned.
  3. Jeśli między serwerami a identyfikatorem Firmy Microsoft istnieje zapora, zobacz Wymagania zapory i serwera proxy.

Uwaga

Instalowanie agenta aprowizacji w chmurze w systemie Windows Server Core nie jest obsługiwane.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Wymagania ogólne

  • Konto Microsoft Entra z co najmniej rolą administratora tożsamości hybrydowej.
  • Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
  • Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są stosowane do obiektów AdminSDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji firmy Microsoft Entra

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
  • Microsoft Entra Connect Sync z kompilacją w wersji 2.2.8.0 lub nowszej
    • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
    • Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy i limity skalowania

Obsługiwane są następujące elementy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Te grupy mogą mieć przypisane lub dynamiczne grupy członkostwa.
  • Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
  • Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Dzierżawy, które mają więcej niż 150 000 obiektów, nie są obsługiwane. Oznacza to, że jeśli dzierżawa ma dowolną kombinację użytkowników i grup, które przekraczają 150 000 obiektów, dzierżawa nie jest obsługiwana.
  • Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
  • Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
  • Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Connect Sync (2.2.8.0)
  • Jeśli używasz usługi Microsoft Entra Connect Sync (2.2.8.0) do synchronizowania użytkowników, zamiast usługi Microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
  • Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
  • Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.

Więcej wymagań

Wymagania protokołu TLS

Uwaga

Transport Layer Security (TLS) to protokół zapewniający bezpieczną komunikację. Zmiana ustawień protokołu TLS wpływa na cały las. Aby uzyskać więcej informacji, zobacz Aktualizacja, aby włączyć protokół TLS 1.1 i TLS 1.2 jako domyślne protokoły zabezpieczeń w WinHTTP w systemie Windows.

Przed zainstalowaniem serwera z systemem Windows, który hostuje agenta aprowizacji chmury Microsoft Entra Connect, musi być włączony protokół TLS 1.2.

Aby włączyć protokół TLS 1.2, wykonaj następujące kroki.

  1. Ustaw następujące klucze rejestru, kopiując zawartość do pliku .reg , a następnie uruchamiając plik (kliknij prawym przyciskiem myszy i wybierz polecenie Scal):

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Uruchom ponownie serwer.

Wymagania dotyczące zapory i serwera proxy

Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

  • Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

    Numer portu opis
    80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL.
    443 Obsługuje całą komunikację wychodzącą z usługą.
    8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym Microsoft Entra.
  • Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

  • Upewnij się, że serwer proxy obsługuje co najmniej protokół HTTP 1.1, a kodowanie fragmentowane jest włączone.

  • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia:

URL opis
*.msappproxy.net
*.servicebus.windows.net
Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Agent używa tych adresów URL do weryfikowania certyfikatów.
login.windows.net Agent używa tych adresów URL podczas procesu rejestracji.

Wymaganie NTLM

Nie należy włączać protokołu NTLM w systemie Windows Server z uruchomionym agentem aprowizacji firmy Microsoft, a jeśli jest włączony, upewnij się, że został on wyłączony.

Znane ograniczenia

Poniżej przedstawiono znane ograniczenia:

Synchronizacja zmian

  • Filtrowanie zakresu grup na potrzeby synchronizacji różnicowej nie obsługuje więcej niż 50 000 członków.
  • Jeśli usuniesz grupę używaną jako część filtru określania zakresu grupy, użytkownicy, którzy są członkami grupy, nie zostaną usunięci.
  • Po zmianie nazwy jednostki organizacyjnej lub grupy, która jest w zakresie, synchronizacja różnicowa nie usunie użytkowników.

Dzienniki aprowizacji

  • Dzienniki aprowizacji nie rozróżniają wyraźnie operacji tworzenia i aktualizacji. Może zostać wyświetlona operacja tworzenia dla aktualizacji i operacja aktualizacji dla utworzenia.

Zmiana nazwy grupy lub zmiana nazwy jednostki organizacyjnej

  • Jeśli zmienisz nazwę grupy lub jednostki organizacyjnej w usłudze AD, która jest w zakresie dla danej konfiguracji, zadanie synchronizacji w chmurze nie będzie mogło rozpoznać zmiany nazwy w usłudze AD. Zadanie nie przejdzie do kwarantanny i pozostanie w dobrej kondycji.

Filtr określania zakresu

W przypadku korzystania z filtru określania zakresu jednostek organizacyjnych

  • Konfiguracja określania zakresu ma ograniczenie długości znaków 4 MB. W standardowym środowisku testowym przekłada się to na około 50 oddzielnych jednostek organizacyjnych (OU) lub grup zabezpieczeń, w tym wymaganych metadanych dla danej konfiguracji.

  • Zagnieżdżone jednostki organizacyjne są obsługiwane (czyli można zsynchronizować jednostkę organizacyjną z 130 zagnieżdżonymi jednostkami organizacyjnymi, ale nie można zsynchronizować 60 oddzielnych jednostek organizacyjnych w tej samej konfiguracji).

Synchronizacja skrótów haseł

  • Korzystanie z synchronizacji skrótów haseł z inetOrgPerson nie jest obsługiwane.

Następne kroki