Wymagania wstępne dotyczące usługi Microsoft Entra Cloud Sync

Ten artykuł zawiera wskazówki dotyczące korzystania z usługi Microsoft Entra Cloud Sync jako rozwiązania do obsługi tożsamości.

Wymagania dotyczące agenta aprowizacji w chmurze

Do korzystania z usługi Microsoft Entra Cloud Sync potrzebne są następujące elementy:

• Poświadczenia administratora domeny lub administratora przedsiębiorstwa do utworzenia konta usługi zarządzanego przez grupę gMSA do synchronizacji chmury w Microsoft Entra Connect, aby uruchomić usługę agenta.
• Konto administratora hybrydowej tożsamości dla dzierżawy Twojej firmy Microsoft Entra, które nie jest kontem użytkownika-gościa.
• Serwer lokalny dla agenta aprowizacji z systemem Windows 2016 lub nowszym. Ten serwer powinien być serwerem warstwy 0 na podstawie modelu warstwy administracyjnej usługi Active Directory. Instalowanie agenta na kontrolerze domeny jest obsługiwane. Aby uzyskać więcej informacji, zobacz Utwardzanie serwera agenta wdrażania Microsoft Entra
  • Wymagane dla atrybutu schematu usługi AD: msDS-ExternalDirectoryObjectId
• Wysoka dostępność odnosi się do możliwości ciągłego działania usługi Microsoft Entra Cloud Sync bez awarii przez długi czas. Po zainstalowaniu i uruchomieniu wielu aktywnych agentów usługa Microsoft Entra Cloud Sync może nadal działać, nawet jeśli jeden agent powinien zakończyć się niepowodzeniem. Firma Microsoft zaleca zainstalowanie 3 aktywnych agentów w celu zapewnienia wysokiej dostępności.
• Konfiguracje zapory lokalnej.

Wzmacnianie zabezpieczeń serwera agenta aprowizacji firmy Microsoft

Zalecamy wzmocnienie serwera agenta aprowizacji Microsoft Entra, aby zmniejszyć powierzchnię podatną na ataki tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń pomaga ograniczyć niektóre zagrożenia bezpieczeństwa dla organizacji.

• Zalecamy wzmocnienie zabezpieczeń serwera agenta aprowizacji Microsoft Entra jako zasobu Płaszczyzny sterowania (wcześniej warstwy 0), postępując zgodnie ze wskazówkami zawartymi w Zabezpieczenie dostępu uprzywilejowanego oraz modelu warstwy administracyjnej Active Directory.
• Ogranicz dostęp administracyjny do serwera agenta aprowizacji firmy Microsoft tylko do administratorów domeny lub innych ściśle kontrolowanych grup zabezpieczeń.
• Utwórz dedykowane konto dla wszystkich pracowników z uprzywilejowanym dostępem. Administratorzy nie powinni przeglądać internetu, sprawdzać swoje wiadomości e-mail i wykonywać codzienne zadania związane z produktywnością przy użyciu kont z wysokimi uprawnieniami.
• Postępuj zgodnie ze wskazówkami podanymi w Zabezpieczanie uprzywilejowanego dostępu.
• Odmów użycia uwierzytelniania NTLM na serwerze agenta aprowizacji Microsoft Entra. Poniżej przedstawiono kilka sposobów, aby to zrobić: ograniczanie protokołu NTLM na serwerze agenta aprowizacji firmy Microsoft Entra i ograniczanie protokołu NTLM na domenie
• Upewnij się, że każda maszyna ma unikatowe hasło administratora lokalnego. Aby uzyskać więcej informacji, zobacz rozwiązanie dla haseł lokalnego administratora (Windows LAPS), które umożliwia konfigurację unikatowych losowych haseł na każdej stacji roboczej i serwerze oraz ich przechowywanie w usłudze Active Directory, chronionej przez ACL. Tylko uprawnieni użytkownicy mogą odczytywać lub żądać zresetowania tych haseł konta administratora lokalnego. Dodatkowe wskazówki dotyczące obsługi środowiska z systemem Windows LAPS i uprzywilejowanych stacji roboczych (PAW) można znaleźć w Standardy operacyjne oparte na zasadzie czystego źródła.
• Zaimplementuj dedykowane stacje robocze z dostępem uprzywilejowanym dla wszystkich pracowników z uprzywilejowanym dostępem do systemów informacyjnych organizacji.
• Postępuj zgodnie z tymi dodatkowymi wytycznymi, aby zmniejszyć powierzchnię ataków w środowisku usługi Active Directory.
• Postępuj zgodnie z Monitoruj zmiany konfiguracji federacji, aby skonfigurować alerty do monitorowania zmian zaufania ustanowionych między dostawcą tożsamości a Microsoft Entra ID.
• Włącz uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich użytkowników, którzy mają uprzywilejowany dostęp w usłudze Microsoft Entra ID lub w usłudze AD. Jednym z problemów z zabezpieczeniami z użyciem agenta aprowizacji firmy Microsoft entra jest to, że jeśli osoba atakująca może uzyskać kontrolę nad serwerem agenta aprowizacji firmy Microsoft, może manipulować użytkownikami w identyfikatorze Entra firmy Microsoft. Aby zapobiec używaniu tych funkcji przez osobę atakującą do przejęcia kont microsoft Entra, uwierzytelnianie wieloskładnikowe zapewnia ochronę. Na przykład nawet jeśli osoba atakująca zarządza zresetowaniem hasła użytkownika przy użyciu agenta aprowizacji firmy Microsoft Entra, nadal nie może pominąć drugiego czynnika.

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami i uproszczone zarządzanie nazwą główną usługi (SPN). Oferuje również możliwość delegowania zarządzania do innych administratorów i rozszerzania tej funkcji na wielu serwerach. Usługa Microsoft Entra Cloud Sync obsługuje i używa gMSA do uruchamiania agenta. Podczas instalacji zostanie wyświetlony monit o podanie poświadczeń administracyjnych, aby utworzyć to konto. Konto jest wyświetlane jako domain\provAgentgMSA$. Aby uzyskać więcej informacji na temat grupowych zarządzanych kont usługowych, zobacz Group Managed Service Accounts.

Wymagania wstępne dotyczące usługi gMSA

1. Schemat usługi Active Directory w lesie domeny gMSA musi zostać zaktualizowany do systemu Windows Server 2012 lub nowszego.
2. moduły RSAT programu PowerShell na kontrolerze domeny.
3. Co najmniej jeden kontroler domeny w domenie musi mieć system Windows Server 2012 lub nowszy.
4. Serwer przyłączony do domeny, na którym jest instalowany agent, musi mieć system Windows Server 2016 lub nowszy.

Niestandardowe konto gMSA

Jeśli tworzysz niestandardowe konto gMSA, upewnij się, że konto ma następujące uprawnienia.

Typ	Nazwa	Dostęp	Dotyczy
Pozwól	konto gMSA	Przeczytaj wszystkie właściwości	Obiekty urządzenia podrzędnego
Pozwolić	konto gMSA	Odczytaj wszystkie właściwości	Obiekty potomne typu InetOrgPerson
Zezwól	konto gMSA	Odczytaj wszystkie właściwości	Obiekty komputera podrzędnego
Pozwolić	konto usługi gMSA	Odczytaj wszystkie właściwości	Obiekty podrzędne foreignSecurityPrincipal
Zezwól	konto gMSA	Pełna kontrola	Obiekty grupy podrzędnej
Zezwól	konto gMSA	Odczytaj wszystkie właściwości	Obiekty użytkownika podrzędnego
Pozwalać	konto gMSA	Przeczytaj wszystkie właściwości	Obiekty kontaktów potomnych
Zezwolić	konto gMSA	Tworzenie/usuwanie obiektów użytkownika	Ten obiekt i wszystkie obiekty podrzędne

Aby uzyskać instrukcje dotyczące uaktualniania istniejącego agenta do korzystania z konta zarządzanego przez grupę, zobacz zarządzane konta usług.

Aby uzyskać więcej informacji o przygotowaniu Active Directory do kont usługi zarządzanych przez grupę, zobacz Omówienie kont usługi zarządzanej przez grupę i Konta usługi zarządzane przez grupę z synchronizacją w chmurze.

W centrum administracyjnym Microsoft Entra

1. Utwórz w swoim dzierżawie Microsoft Entra konto administratora tożsamości hybrydowej działające wyłącznie w chmurze. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne ulegną awarii lub staną się niedostępne. Dowiedz się, jak dodać konto administratora tożsamości hybrydowej dostępne tylko w chmurze. Ukończenie tego kroku jest kluczowe, aby upewnić się, że nie zostaniesz zablokowany w swojej dzierżawie.
2. Dodaj jedną lub więcej nazw domen niestandardowych do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W twoim katalogu w Active Directory

Uruchom narzędzie IdFix, aby przygotować atrybuty katalogu do synchronizacji.

W lokalnym środowisku firmowym

1. Zidentyfikuj serwer hosta włączony do domeny, działający na systemie Windows Server 2016 lub nowszym, posiadający co najmniej 4 GB pamięci RAM i środowisko uruchomieniowe .NET 4.7.1 lub nowsze.
2. Zasady wykonywania programu PowerShell na serwerze lokalnym muszą być ustawione na wartość Niezdefiniowane lub RemoteSigned.
3. Jeśli między serwerami a Microsoft Entra ID istnieje zapora ogniowa, zobacz Wymagania dotyczące zapory ogniowej i serwera proxy.

Notatka

Instalowanie agenta aprowizacji w chmurze w systemie Windows Server Core nie jest obsługiwane.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla swoich wymagań, zobacz Porównaj ogólnie dostępne funkcje Microsoft Entra ID.

Wymagania ogólne

• Konto Microsoft Entra z co najmniej rolą administratora tożsamości hybrydowej .
• Lokalne środowisko usług Active Directory Domain Services z systemem operacyjnym Windows Server 2016 lub nowszym.
  • Wymagane dla atrybutu schematu AD - msDS-ExternalDirectoryObjectId
• Konfigurowanie agenta z wersją kompilacji 1.1.1370.0 lub nowszą.

Notatka

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Tworzenie, Zapis i Usuwanie są ustawione dla wszystkich obiektów grup i użytkowników potomnych.

Te uprawnienia nie są stosowane do obiektów AdminSDHolder domyślnie Microsoft Entra provisioning agent gMSA polecenia cmdlet programu PowerShell

• Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
  • Wymagane do przeszukiwania globalnego katalogu w celu odfiltrowania nieprawidłowych odwołań do członkostwa
• Microsoft Entra Connect Sync z wersją kompilacji 2.2.8.0 lub nowszą
  • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
  • Wymagane do zsynchronizowania identyfikatora AD:user:objectGUID z identyfikatorem AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy i limity skalowania

Obsługiwane są następujące elementy:

• Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
• Te grupy mogą mieć przypisane lub dynamiczne grupy członkostwa.
• Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
• Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
• Te grupy są ponownie zapisywane z zakresem uniwersalnym grup Active Directory . Twoja lokalna infrastruktura musi obsługiwać uniwersalny zakres grup.
• Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
• Tenanci, którzy mają więcej niż 150 000 obiektów, nie są obsługiwani. Oznacza to, że jeśli najemca posiada dowolną kombinację użytkowników i grup, których liczba przekracza 150 000 obiektów, najemca nie jest obsługiwany.
• Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
• Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

• Tylko lokalni synchronizowani użytkownicy i/lub dodatkowe grupy zabezpieczeń utworzone w chmurze mogą należeć do grup provisionowanych do AD za pomocą synchronizacji w chmurze.
• Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
• Element onPremisesObjectIdentifier musi być zgodny z odpowiadającym identyfikatorem objectGUID w docelowym środowisku AD.
• Atrybut objectGUID dla użytkowników lokalnych do atrybutu onPremisesObjectIdentifier użytkowników chmurowych można zsynchronizować przy użyciu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Connect Sync (2.2.8.0)
• Jeśli używasz Microsoft Entra Connect Sync (2.2.8.0) do synchronizowania użytkowników, zamiast Microsoft Entra Cloud Sync, i chcesz korzystać z aprowizacji w AD, wersja Microsoft Entra Connect Sync musi być 2.2.8.0 lub nowsza.
• Obsługiwane są tylko regularne dzierżawcy Microsoft Entra ID do aprowizacji z Microsoft Entra ID do usługi Active Directory. Najemcy, tacy jak B2C, nie są obsługiwani.
• Zadanie przydzielania grupy jest zaplanowane do uruchomienia co 20 minut.

Więcej wymagań

• Minimalny Microsoft .NET Framework 4.7.1

Wymagania dotyczące protokołu TLS

Notatka

Transport Layer Security (TLS) to protokół zapewniający bezpieczną komunikację. Zmiana ustawień protokołu TLS wpływa na cały las. Aby uzyskać więcej informacji, zobacz Aktualizacja w celu włączenia TLS 1.1 i TLS 1.2 jako domyślnych bezpiecznych protokołów w WinHTTP w Windows.

Przed zainstalowaniem serwera z systemem Windows, który hostuje agenta aprowizacji chmury Microsoft Entra Connect, musi być włączony protokół TLS 1.2.

Aby włączyć protokół TLS 1.2, wykonaj następujące kroki.

1. Ustaw następujące klucze rejestru, kopiując zawartość do pliku .reg, a następnie uruchamiając plik (wybierz prawym przyciskiem pozycję i wybierz pozycję Merge):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Uruchom ponownie serwer.

Wymagania dotyczące zapory i serwera proxy

Jeśli między Twoimi serwerami a Microsoft Entra ID istnieje zapora, skonfiguruj następujące elementy:

• Upewnij się, że agenci mogą wysyłać wychodzące żądania do Microsoft Entra ID przez następujące porty.

  Numer portu	Opis
  80	Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL.
  443	Obsługuje całą komunikację wychodzącą z serwisu.
  8080 (opcjonalnie)	Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w centrum administracyjnym firmy Microsoft Entra.

• Jeśli zapora wymusza reguły zgodnie z użytkownikami, od których pochodzą, otwórz te porty dla ruchu z usług systemu Windows, które działają jako usługi sieciowe.

• Upewnij się, że serwer proxy obsługuje co najmniej protokół HTTP 1.1, a kodowanie fragmentowane jest włączone.

• Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia:

chmura publiczna

Adres URL	Opis
*.msappproxy.net *.servicebus.windows.net	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agent używa tych adresów URL do weryfikowania certyfikatów.
login.windows.net	Agent używa tych adresów URL podczas procesu rejestracji.

chmura dla rządu Stanów Zjednoczonych

Adres URL	Opis
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agent używa tych adresów URL do komunikowania się z usługą firmy Microsoft Entra w chmurze.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agent używa tych adresów URL do weryfikowania certyfikatów.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agent używa tych adresów URL podczas procesu rejestracji.

• Jeśli nie możesz dodać połączeń, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

Wymaganie NTLM

Nie należy włączać protokołu NTLM w systemie Windows Server z uruchomionym agentem aprowizacji firmy Microsoft, a jeśli jest włączony, upewnij się, że został on wyłączony.

Znane ograniczenia

Poniżej przedstawiono znane ograniczenia:

Synchronizacja różnicowa

• Filtrowanie zakresu grup na potrzeby synchronizacji różnicowej nie obsługuje więcej niż 50 000 członków.
• Jeśli usuniesz grupę używaną jako część filtru określania zakresu grupy, użytkownicy, którzy są członkami grupy, nie zostaną usunięci.
• Po zmianie nazwy jednostki organizacyjnej lub grupy, która jest w zakresie synchronizacji, synchronizacja różnicowa nie usuwa użytkowników.

Dzienniki przydzielania

• Dzienniki aprowizacji nie rozróżniają wyraźnie operacji tworzenia i aktualizacji. Można zobaczyć operację tworzenia w przypadku aktualizacji i operację aktualizacji w przypadku tworzenia.

Zmiana nazwy grupy lub zmiana nazwy jednostki organizacyjnej

• Jeśli zmienisz nazwę grupy lub jednostki organizacyjnej w usłudze AD, która mieści się w zakresie danej konfiguracji, zadanie synchronizacji chmury nie jest w stanie rozpoznać zmiany nazwy w usłudze AD. Zadanie nie przechodzi do kwarantanny i pozostaje zdrowe.

Filtr określania zakresu

W przypadku korzystania z filtru określania zakresu jednostek organizacyjnych

• Konfiguracja określania zakresu ma ograniczenie długości 4 MB znaków. W standardowym środowisku testowym przekłada się to na około 50 oddzielnych jednostek organizacyjnych (OU) lub grup zabezpieczeń, w tym wymaganych metadanych dla danej konfiguracji.

• Obsługiwane są zagnieżdżone jednostki organizacyjne (czyli można zsynchronizować jednostkę organizacyjną z 130 zagnieżdżonymi jednostkami organizacyjnymi, ale nie można zsynchronizować 60 oddzielnych jednostek organizacyjnych w tej samej konfiguracji).

Synchronizacja skrótów haseł

• Korzystanie z synchronizacji skrótów haseł z inetOrgPerson nie jest obsługiwane.

Następne kroki

• Co to jest prowizjonowanie?
• Co to jest microsoft Entra Cloud Sync?