Предварительные требования для Microsoft Entra Cloud Sync

В этой статье приводятся рекомендации по использованию Microsoft Entra Cloud Sync в качестве решения для удостоверений.

Требования к агенту подготовки облака

Для использования Microsoft Entra Cloud Sync вам потребуется следующее:

• Учетные данные администратора домена или администратора предприятия для создания облачной синхронизации Microsoft Entra Connect gMSA (учетная запись управляемой группы службы) для запуска службы агента.
• Учетная запись администратора гибридной идентификации для клиента Microsoft Entra, который не является пользователем-гостем.
• Локальный сервер для агента предоставления с Windows 2016 или более поздней версии. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory. Поддерживается установка агента на контроллере домена. Дополнительные сведения см. в статье Защита сервера агента подготовки Microsoft Entra
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
• Высокий уровень доступности относится к способности Microsoft Entra Cloud Sync непрерывно работать без сбоя в течение длительного времени. При наличии нескольких активных агентов, установленных и запущенных, Microsoft Entra Cloud Sync может продолжать функционировать, даже если один из агентов выйдет из строя. Корпорация Майкрософт рекомендует установить 3 активных агентов для обеспечения высокой доступности.
• Локальные конфигурации брандмауэра.

Укрепление безопасности сервера агента настройки Microsoft Entra

Рекомендуется ужесточить сервер агента подготовки Microsoft Entra, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя этим рекомендациям, вы можете снизить некоторые риски безопасности для вашей организации.

• Мы рекомендуем защитить сервер агента подготовки Microsoft Entra как ключевой компонент управления (ранее уровень 0), следуя рекомендациям, изложенным в "Обеспечение безопасного привилегированного доступа" и в "Модель административного уровня Active Directory".
• Ограничить административный доступ к серверу агента подготовки Microsoft Entra только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать Интернет, проверять электронную почту и выполнять повседневные задачи повышения производительности с высоко привилегированными учетными записями.
• Следуйте указаниям, приведенным в Защита привилегированного доступа.
• Запретить использование проверки подлинности NTLM с сервером агента подготовки Microsoft Entra. Ниже приведены некоторые способы: ограничение использования NTLM на сервере агента развертывания Microsoft Entra и ограничение использования NTLM на домене
• Убедитесь, что у каждого компьютера есть уникальный пароль локального администратора. Дополнительные сведения см. в решения для паролей локального администратора (Windows LAPS) можно настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые авторизованные пользователи могут считывать или запрашивать сброс паролей учетных записей локального администратора. Дополнительные рекомендации по работе со средой с Windows LAPS и привилегированными рабочими станциями (PAWs) можно найти в операционных стандартах на основе принципа чистого источника.
• Реализуйте выделенные рабочие станции для привилегированного доступа для всех сотрудников с привилегированным доступом к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям, чтобы уменьшить область атаки среды Active Directory.
• Следуйте изменениям в конфигурации федерации до, чтобы настроить оповещения для отслеживания изменений в доверительных отношениях, установленных между вашим поставщиком удостоверений (IdP) и Microsoft Entra ID.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности при использовании агента подготовки Microsoft Entra заключается в том, что если злоумышленник получит контроль над сервером этого агента, он сможет манипулировать пользователями в Microsoft Entra ID. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту. Например, даже если злоумышленнику удается сбросить пароль пользователя посредством агента предоставления Microsoft Entra, он по-прежнему не может обойти двухфакторную аутентификацию.

Групповые управляемые сервисные учетные записи

Управляемая учетная запись службы группы — это управляемая учетная запись домена, которая обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы. Кроме того, она предоставляет возможность делегировать управление другим администраторам и расширить эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Во время установки вам будет предложено указать учетные данные администратора, чтобы создать эту учетную запись. Учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см. в разделе «Управляемые учетные записи служб».

Предварительные требования для gMSA

1. Схема Active Directory в лесу домена gMSA должна быть обновлена до Windows Server 2012 или более поздней версии.
2. модули PowerShell RSAT на контроллере домена.
3. Хотя бы один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
4. Присоединенный к домену сервер, на котором установлен агент, должен быть Windows Server 2016 или более поздней версии.

Пользовательская учетная запись gMSA

Если вы создаете пользовательскую учетную запись gMSA, необходимо убедиться, что у учетной записи есть следующие разрешения.

Тип	Имя	Доступ	Применимо к
Разрешать	Учетная запись gMSA	Прочитать все свойства	Объекты устройства-потомка
Разрешать	Учетная запись gMSA	Прочитать все свойства	Объекты-потомки InetOrgPerson
Разрешать	Учетная запись gMSA	Прочитать все свойства	Объекты компьютеров-потомков
Разрешать	Учетная запись gMSA	Прочитайте все свойства	Дочерние объекты foreignSecurityPrincipal
Разрешить	Учетная запись gMSA	Полный контроль	Объекты группы потомков
Разрешить	Учетная запись gMSA	Прочитать все свойства	Объекты нисходящих пользователей
Разрешать	Учетная запись gMSA	Прочитать все свойства	Объекты-потомки контактов
Разрешать	Учетная запись gMSA	Создание и удаление объектов user	Этот объект и все объекты-потомки

Инструкции по обновлению существующего агента для использования учетной записи gMSA см. в разделе "Управляемые учетные записи служб".

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в Общий обзор групповых управляемых учетных записей служб и Групповые управляемые учетные записи служб с облачной синхронизацией.

В Центре администрирования Microsoft Entra

1. Создайте облачную учетную запись администратора Гибридной идентификации в клиенте Microsoft Entra. Таким образом вы можете управлять конфигурацией арендатора, если локальные службы отказывают или становятся недоступными. Узнайте, как добавить учетную запись администратора гибридных удостоверений только для облака. Завершив этот шаг, обязательно убедитесь, что вы не заблокировались из вашей учетной записи.
2. Добавьте одно или несколько пользовательских доменных имен в арендатора Microsoft Entra. Пользователи могут войти с помощью одного из этих доменных имен.

В вашем каталоге в Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

1. Определите присоединенный к домену сервер узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+ .
2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.
3. Если между вашими серверами и Microsoft Entra ID есть брандмауэр, см. требования к брандмауэру и прокси-серверам .

Заметка

Установка агента подготовки облака в Windows Server Core не поддерживается.

Подключение Microsoft Entra ID к Active Directory — предварительные требования

Для реализации групп предоставления ресурсов в Active Directory требуются следующие предварительные условия.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, см. раздел о сравнении общедоступных функций Microsoft Entra ID.

Общие требования

• Учетная запись Microsoft Entra как минимум с ролью администратора удостоверения гибридной идентичности .
• Локальная среда доменных служб Active Directory с операционной системой Windows Server 2016 или более поздней версии.
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
• Агент развертывания с версией сборки 1.1.1370.0 или более поздней.

Заметка

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы переходите на новую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что чтение, запись, создание и удаление разрешены для всех групп-потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию командлеты gMSA PowerShell Microsoft Entra

• Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
  • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
• Синхронизация Microsoft Entra Connect с версией сборки 2.2.8.0 или более поздней
  • Требуется для поддержки членства пользователей в локальной среде, синхронизированного с помощью Microsoft Entra Connect Sync.
  • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

• Поддерживаются только созданные в облаке группы безопасности
• Эти группы могут иметь назначенное или динамическое членство.
• Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Локальные учетные записи пользователей, которые синхронизированы и являются участниками этой созданной в облаке группы безопасности, могут находиться как в одном домене, так и в разных, но все должны принадлежать одному лесу.
• Эти группы записываются обратно в универсальной области групп AD . Ваша локальная среда должна поддерживать универсальную область действия групп.
• Группы, превышающие 50 000 членов, не поддерживаются.
• Арендаторы, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
• Каждая прямая дочерняя вложенная группа подсчитывается как один член в ссылающейся группе.
• Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительные сведения

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

• Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
• Идентификатор onPremisesObjectIdentifier должен совпадать с соответствующим objectGUID в целевой среде AD.
• Атрибут objectGUID локального пользователя можно синхронизировать с облачным атрибутом onPremisesObjectIdentifier с помощью Microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0).
• Если вы используете Microsoft Entra Connect Sync (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать развертывание в AD, версия должна быть 2.2.8.0 или новее.
• Поддерживаются только обычные арендаторы Microsoft Entra ID для предоставления из Microsoft Entra ID в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
• Задание подготовки группы планируется выполнять каждые 20 минут.

Дополнительные требования

• Минимальная Microsoft .NET Framework 4.7.1

Требования TLS

Заметка

Протокол TLS — это протокол, обеспечивающий безопасный обмен данными. Изменение параметров TLS влияет на весь лес. Дополнительные сведения см. в разделе Update, чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Перед установкой сервера Windows, на котором размещен агент подготовки облака Microsoft Entra Connect, должен быть включен TLS 1.2.

Чтобы включить TLS 1.2, выполните следующие действия.

1. Задайте следующие ключи реестра, скопируйте содержимое в файл .reg, а затем запустите файл (щелкните правой кнопкой мыши и выберите Объединить):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и идентификатором Microsoft Entra есть брандмауэр, настройте следующие элементы:

• Убедитесь, что агенты могут выполнять исходящие запросы к Microsoft Entra ID через следующие порты:

  Номер порта	Описание
  80	Загружает списки отзыва сертификатов (CRLS) при проверке TLS/SSL-сертификата.
  443	Обрабатывает все исходящие связи со службой.
  8080 (необязательно)	Агенты сообщают о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra.

• Если брандмауэр применяет правила в соответствии с исходными пользователями, откройте эти порты для трафика из служб Windows, которые выполняются от имени сетевой службы.

• Убедитесь, что прокси-сервер поддерживает по крайней мере протокол HTTP 1.1 и включена блокированная кодировка.

• Если брандмауэр или прокси-сервер позволяют указать безопасные суффиксы, добавьте подключения:

публичное облако

URL-адрес	Описание
*.msappproxy.net *.servicebus.windows.net	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Агент использует эти URL-адреса для проверки сертификатов.
login.windows.net	Агент использует эти URL-адреса во время регистрации.

облако для государственных органов США

URL-адрес	Описание
*.msappproxy.us *.servicebus.usgovcloudapi.net	Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Агент использует эти URL-адреса для проверки сертификатов.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Агент использует эти URL-адреса во время регистрации.

• Если вы не можете добавить подключения, разрешите доступ к диапазонов IP-адресов центра обработки данных Azure, которые обновляются еженедельно.

Требование NTLM

Вы не должны включить NTLM на Windows Server, на котором запущен агент подготовки Microsoft Entra, и если он включен, убедитесь, что он отключен.

Известные ограничения

Ниже перечислены известные ограничения.

Разностная синхронизация

• Фильтрация области группы для дельта-синхронизации не поддерживает более 50 000 участников.
• При удалении группы, которая используется в составе фильтра охвата группы, пользователи, являющиеся членами группы, не удаляются.
• При переименовании организационной единицы или группы, которая находится в охвате, дельта-синхронизация не удаляет пользователей.

Журналы настройки

• Журналы предоставления не четко различают операции создания и обновления. Вы можете заметить, что операция создания используется для обновления, а операция обновления — для создания.

Переименование групп или переименование организационных единиц

• Если вы переименовываете группу или организационную единицу в AD, которые находятся в рамках заданной конфигурации, задание облачной синхронизации не может распознать переименование в AD. Работа не переходит в карантин и остается здоровой.

Фильтр области

При использовании OU (организационная единица) фильтра области

• Конфигурация области имеет ограничение в 4 МБ по количеству символов. В стандартной тестовой среде это приводит к примерно 50 отдельным подразделениям или группам безопасности, включая необходимые метаданные для заданной конфигурации.

• Вложенные подразделения поддерживаются (то есть вы можете синхронизировать подразделение с 130 вложенными подразделениями, но нельзя синхронизировать 60 отдельных подразделений в той же конфигурации).

Синхронизация хэша паролей

• Синхронизация хэша паролей с InetOrgPerson не поддерживается.

Дальнейшие действия

• Что такое обеспечение?
• Что такое Microsoft Entra Cloud Sync?