Предварительные требования для Microsoft Entra Connect

В этой статье описываются предварительные требования и требования к оборудованию для Microsoft Entra Connect.

Перед установкой Microsoft Entra Connect

Перед установкой Microsoft Entra Connect необходимо выполнить несколько действий.

Microsoft Entra ID

• Вам нужен клиент Microsoft Entra. Вы получите его с бесплатной пробной версией Azure. Для управления Microsoft Entra Connect можно использовать один из следующих порталов:
  • Центр администрирования Microsoft Entra.
  • Портал Office.
• Добавьте и проверьте домен , который вы планируете использовать в идентификаторе Microsoft Entra. Например, если вы планируете использовать contoso.com для пользователей, убедитесь, что этот домен проверен, и вы не используете только домен contoso.onmicrosoft.com по умолчанию.
• Клиент Microsoft Entra по умолчанию разрешает 50 000 объектов. После подтверждения домена этот предел увеличивается до 300 000 объектов. Если вам нужно больше объектов в Microsoft Entra ID, обратитесь в службу поддержки, чтобы еще больше увеличить лимит. Если вам требуется более 500 000 объектов, вам нужна лицензия, например Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Подготовка локальных данных

• Используйте IdFix для выявления ошибок, таких как дубликаты и проблемы форматирования в каталоге перед синхронизацией с идентификатором Microsoft Entra и Microsoft 365.
• Просмотрите необязательные функции синхронизации, которые можно включить в идентификаторе Microsoft Entra и оценить, какие функции следует включить.

Локальный каталог Active Directory

• Версия схемы Active Directory и функциональный уровень леса должны быть Windows Server 2003 или выше. Контроллеры домена могут использовать любую версию при условии выполнения требований к версии схемы и уровню леса. Если требуется поддержка контроллеров домена под управлением Windows Server 2016 или более ранних версий, может потребоваться платная программа поддержки.
• Контроллер домена, используемый в Microsoft Entra ID, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается, и Microsoft Entra Connect не использует перенаправления записи.
• Использование локальных лесов и доменов с именами NetBIOS с точкой (в имени содержится знак ".") не поддерживается.
• Рекомендуем активировать корзину Active Directory.

Политика выполнения PowerShell

Microsoft Entra Connect запускает подписанные скрипты PowerShell в процессе установки. Убедитесь, что политика выполнения PowerShell позволяет выполнять скрипты.

Рекомендуемая политика выполнения в процессе установки — "RemoteSigned".

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Microsoft Entra Connect

Сервер Microsoft Entra Connect содержит важные идентификационные данные. Необходимо обеспечить надлежащую безопасность административного доступа к этому серверу. Следуйте рекомендациям статьи Защита привилегированного доступа.

Сервер Microsoft Entra Connect должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления, следуя инструкциям, приведенным в secure Privileged Access

Дополнительные сведения о защите среды Active Directory см. в статье Рекомендации по обеспечению безопасности Active Directory.

Предварительные требования для установки

• Microsoft Entra Connect должен быть установлен на присоединенном к домену Windows Server 2016 или более поздней версии. Рекомендуется использовать присоединенный к домену Windows Server 2022. Вы можете развернуть Microsoft Entra Connect на Windows Server 2016. Однако, так как Windows Server 2016 находится в расширенной поддержке, может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации.
• Требуемая минимальная версия .NET Framework — 4.6.2, а более новые версии .NET Framework также поддерживаются. .NET версии 4.8 и выше обеспечивает наилучшее соответствие требованиям доступности.
• Microsoft Entra Connect не может быть установлен в Small Business Server или Windows Server Essentials до 2019 г. (Windows Server Essentials 2019 поддерживается). Сервер должен использовать Windows Server Standard или более поздней версии.
• Сервер Microsoft Entra Connect должен иметь полный графический интерфейс. Установка Microsoft Entra Connect в Windows Server Core не поддерживается.
• Сервер Microsoft Entra Connect не должен включать групповую политику транскрибирования PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией службы федерации Active Directory (AD FS) (AD FS). Вы можете включить транскрибирование PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией синхронизации.
• Если AD FS развертывается:
  • Серверами, на которых установлены AD FS или прокси веб-приложения, должны быть серверы Windows Server 2012 R2 или более поздней версии. Windows удалённое управление должно быть включено на этих серверах для удалённой установки. Возможно, вам потребуется платная программа поддержки, если вам нужна поддержка Windows Server 2016 и более ранних версий.
  • Необходимо настроить сертификаты TLS/SSL. Дополнительные сведения см. в статьях Управление протоколами SSL/TLS и наборами шифров для AD FS и Управление SSL-сертификатами в AD FS.
  • Необходимо настроить разрешение имен.
  • Вам потребуется учетная запись с ролью глобального администратора или учетная запись, имеющая роли администратора гибридных удостоверений и администратора доменных имен . Конфигурации, связанные с федерацией, требуют разрешений, которых администратор гибридных удостоверений в настоящее время не имеет, но которые есть у роли администратора доменных имен .
• Не поддерживается разрыв и анализ трафика между Microsoft Entra Connect и Microsoft Entra ID. Это может нарушить работу службы.
• Если у администраторов гибридных удостоверений включена многофакторная аутентификация (MFA), URL-адрес https://secure.aadcdn.microsoftonline-p.comдолжен находиться в списке надежных сайтов. Вам предложат добавить этот сайт в список надежных сайтов, когда вам предстоит пройти процедуру многофакторной аутентификации, и этот сайт еще не добавлен в список. Добавить его в список надежных сайтов можно в Internet Explorer.
• Если вы планируете использовать Microsoft Entra Connect Health для синхронизации, необходимо использовать учетную запись глобального администратора для установки Microsoft Entra Connect Sync. Если вы используете учетную запись администратора гибридной идентификации, агент будет установлен, но останется в отключенном состоянии. Дополнительные сведения см. в статье об установке агента Microsoft Entra Connect Health.

Усиление защиты сервера Microsoft Entra Connect

Рекомендуется ужесточить сервер Microsoft Entra Connect, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя этим рекомендациям, вы можете снизить некоторые риски безопасности для вашей организации.

• Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления (ранее уровень 0), следуя инструкциям, приведенным в модели уровня "Безопасный привилегированный доступ" и "Административный уровень Active Directory".
• Ограничить административный доступ к серверу Microsoft Entra Connect только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять обычную работу, используя учетные записи с высоким уровнем привилегий.
• Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
• Запретить использование проверки подлинности NTLM с сервером Microsoft Entra Connect. Ниже приведены некоторые способы: ограничение NTLM на сервере Microsoft Entra Connect и ограничение NTLM в домене
• Убедитесь, что на каждом компьютере установлен уникальный пароль локального администратора. Дополнительные сведения см. в разделе "Решение для паролей локального администратора" (Windows LAPS) позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые, авторизованные пользователи могут читать или запрашивать сброс паролей учетной записи локального администратора. Дополнительные рекомендации по работе со средой с Windows LAPS и привилегированными рабочими станциями (PAW) можно найти в стандартах эксплуатации на основе принципа чистого источника.
• Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям, чтобы сократить направления атак на среду Active Directory.
• Следуйте инструкции Мониторинг изменений в конфигурации федерации, чтобы настроить оповещения для отслеживания изменений в доверительных отношениях, установленных между вашим поставщиком удостоверений и Microsoft Entra ID.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием Microsoft Entra Connect заключается в том, что если злоумышленник может контролировать сервер Microsoft Entra Connect, который может управлять пользователями в идентификаторе Microsoft Entra ID. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось выполнить сброс пароля пользователя с помощью Microsoft Entra Connect, они по-прежнему не могут обойти второй фактор.
• Отключите нестрогое сопоставление в арендаторе. Soft Matching — это отличная функция, помогающая передавать источник полномочий для существующих облачных управляемых объектов в Microsoft Entra Connect, но она связана с определенными рисками безопасности. Если в этом нет необходимости, следует отключить мягкое сопоставление.
• Отключите отработку жесткого совпадения. Включение жёсткой привязки позволяет Microsoft Entra Connect контролировать управляемый облачный объект и изменять источник полномочий для этого объекта в Active Directory. После того как источник полномочий объекта перенимается Microsoft Entra Connect, изменения, внесенные в объект Active Directory, связанный с объектом Microsoft Entra, перезаписывают данные Microsoft Entra, включая хэш паролей, если включена синхронизация хэша паролей. Злоумышленник может использовать эту возможность для контроля над облачными управляемыми объектами. Чтобы устранить этот риск, отключите отработку жесткого соответствия.

SQL Server, используемый Microsoft Entra Connect

• Microsoft Entra Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). Размер SQL Server Express ограничивается 10 ГБ, что обеспечивает управление примерно 100 000 объектов. Если необходимо управлять большим количеством объектов каталога, в мастере установки укажите другую установку SQL Server. Тип установки SQL Server может повлиять на производительность Microsoft Entra Connect.
• Если вы используете другую установку SQL Server, эти требования применяются:

  • Microsoft Entra Connect поддерживает все основные поддерживаемые версии SQL Server до SQL Server 2022, работающих в Windows. Ознакомьтесь со статьей о жизненном цикле SQL Server , чтобы проверить состояние поддержки версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных. Это относится как к Базе данных SQL Azure, так и к Управляемому экземпляру SQL Azure.

  • Необходимо использовать схему сортировки SQL без учета регистра. Идентифицировать их можно по суффиксу _CI_ в названии. Параметры сортировки, чувствительные к регистру и содержащие в своем названии _CS_, не поддерживаются.

  • Для каждого экземпляра SQL предусмотрен только один модуль синхронизации. Совместное использование экземпляра SQL с "Синхронизацией MIM", "DirSync" или "Синхронизацией Azure AD" не поддерживается.

  • Поддерживайте драйвер ODBC для SQL Server версии 17 и драйвер OLE DB для SQL Server версии 18, которые включены в Microsoft Entra Connect. Обновление основных или дополнительных версий драйверов ODBC/OLE DB не поддерживается. Группа групп продуктов Microsoft Entra Connect включает новые драйверы ODBC/OLE DB, так как они становятся доступными и должны быть обновлены.

  • Microsoft Entra Connect не поддерживает протокол именованных каналов SQL.

Заметка

Если вы устанавливаете SQL на том же сервере, что и Microsoft Entra Connect, рекомендуется настроить SQL, чтобы ограничить максимальный объем памяти, который он может использовать из системы. Следуйте наилучшим практикам SQL для настройки памяти.

Учетные записи

• У вас должна быть учетная запись глобального администратора Microsoft Entra или учетная запись администратора гибридной идентичности для клиента Microsoft Entra, который вы хотите интегрировать. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.
• Если вы настраиваете федерацию с AD FS или PingFederate, вам потребуется учетная запись с ролью глобального администратора или учетная запись с ролями администратора гибридных удостоверений и администратора доменных имен . Конфигурации, связанные с федерацией, требуют разрешений, которых администратор гибридных удостоверений в настоящее время не имеет, но которые есть у роли администратора доменных имен .
• Если вы используете экспресс-настройки или выполняете обновление с DirSync, необходимо иметь учетную запись администратора предприятия для локальной службы Active Directory.
• Если вы используете путь установки с настраиваемыми параметрами, у вас будет больше возможностей. Для получения дополнительных сведений см. Параметры выборочной установки.

Подключение

• Для сервера Microsoft Entra Connect требуется разрешение DNS для интрасети и Интернета. DNS-сервер должен иметь возможность разрешать имена как в локальной службе Active Directory, так и через конечные точки Microsoft Entra.

• Microsoft Entra Connect требует сетевого подключения ко всем настроенным доменам

• Microsoft Entra Connect требует сетевого подключения к корневому домену всех настроенных лесов.

• Если в вашей интрасети установлены брандмауэры и вам нужно открыть порты между серверами Microsoft Entra Connect и контроллерами домена, см. раздел Порты Microsoft Entra Connect для получения дополнительной информации.

• Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365. Также см . список URL-адресов Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере.

  • Если вы используете облако Microsoft в Германии или облачное решение Microsoft Azure Government, см. рекомендации по использованию экземпляров службы синхронизации Microsoft Entra Connect для URL-адресов.

• Microsoft Entra Connect (версия 1.1.614.0 и после) по умолчанию использует TLS 1.2 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Если протокол TLS 1.2 недоступен в базовой операционной системе, Microsoft Entra Connect постепенно возвращается к старым протоколам (TLS 1.1 и TLS 1.0). Начиная с Microsoft Entra Connect версии 2.0. TLS 1.0 и 1.1 больше не поддерживаются и установка завершается ошибкой, если протокол TLS 1.2 не включен.

• Если вы используете исходящий прокси-сервер для подключения к Интернету, необходимо добавить следующий параметр в файле C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config , чтобы мастер установки и Microsoft Entra Connect Sync могли подключаться к Интернету и идентификатору Microsoft Entra Entra ID. Этот текст необходимо добавить в конец указанного файла. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если для прокси-сервера требуется проверка подлинности, учетная запись службы должна размещаться в домене. Используйте путь установки настраиваемых параметров, чтобы определить настраиваемую учетную запись службы. Также требуется другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации отвечают на запросы аутентификации от прокси-сервера. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть следующим образом.

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если конфигурация прокси-сервера выполняется в существующей настройке, служба синхронизации идентификаторов Microsoft Entra ID должна быть перезапущена один раз, чтобы Microsoft Entra Connect считывала конфигурацию прокси-сервера и обновляла поведение.

• Когда Microsoft Entra Connect отправляет веб-запрос в идентификатор Microsoft Entra ID в рамках синхронизации каталогов, идентификатор Microsoft Entra может занять до 5 минут, чтобы ответить. Обычно прокси-серверы имеют конфигурацию времени ожидания простоя подключения. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.

Дополнительную информацию об элементе "прокси-сервер по умолчанию" см. на сайте MSDN. В случае проблем с подключением см. статью Устранение неполадок подключения.

Другие

Необязательно: используйте тестовую учетную запись пользователя для проверки синхронизации.

Предварительные требования к компонентам

PowerShell и .NET Framework

Microsoft Entra Connect зависит от Microsoft PowerShell 5.0 и .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.

Включение TLS 1.2 для Microsoft Entra Connect

1. Если вы хотите включить TLS 1.2 между сервером движка синхронизации и удаленным сервером SQL Server, убедитесь, что установлены необходимые версии для поддержки TLS 1.2 для Microsoft SQL Server.

Дополнительные сведения см . в статье о включении TLS 1.2

Необходимые компоненты DCOM на сервере синхронизации

Во время установки службы синхронизации Microsoft Entra Connect проверяет наличие следующего раздела реестра:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Microsoft Entra Connect проверяет, что следующие значения присутствуют и не повреждены:

• MachineAccessRestriction
• ОграничениеЗапускаМашины
• DefaultLaunchPermission

Предварительные требования для установки и настройки федеративной системы

Внимание

Обратите внимание, что если вы настраиваете федерацию с AD FS или PingFederate, вам потребуется учетная запись с ролью глобального администратора или учетная запись, которая имеет роли администратора гибридных удостоверений и администратора доменных имен. Конфигурации, связанные с федерацией, требуют разрешений, которых администратор гибридных удостоверений в настоящее время не имеет, но которые есть у роли администратора доменных имен .

Служба удаленного управления Windows

При использовании Microsoft Entra Connect для развертывания AD FS или прокси веб-приложения (WAP) проверьте следующие требования:

• Если целевой сервер присоединен к домену, включите удаленное управление Windows.
  • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
• Если целевой сервер является компьютером WAP, не присоединенным к домену, существует несколько дополнительных требований:
  • На целевом компьютере (КОМПЬЮТЕР WAP):
    • Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку "Службы".
    • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
  • На компьютере, на котором работает мастер (если целевой компьютер не присоединен к домену или является ненадежным доменом):
    • В командном окне PowerShell с повышенными привилегиями выполните команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • В диспетчере серверов:
      • Добавьте сервер WAP в демилитаризованной зоне в пул компьютеров. В диспетчере сервера последовательно выберите Управление>Добавить серверы, затем используйте вкладку DNS.
      • На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
      • Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.

Требования к TLS- и SSL-сертификатам

• Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
• Это должен быть сертификат X509.
• На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
  • Если используется сертификат, который не является общедоступным и доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).
• Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
  • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
  • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
  • Если вы планируете использовать Workplace Join, вам потребуется дополнительное имя SAN со значением enterpriseregistration, после которого следует суффикс имени субъекта-пользователя (UPN) вашей организации (например, enterpriseregistration.contoso.com).
• Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
• Поддерживаются сертификаты с подстановочными знаками.

Разрешение имен для серверов федерации

• Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
• Если вы развертываете более одного сервера AD FS или сервера прокси веб-приложения, убедитесь, что ваш балансировщик нагрузки настроен и записи DNS для имени AD FS (например, sts.contoso.com) указывают на балансировщик нагрузки.
• Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Microsoft Entra Connect

Microsoft Entra Connect устанавливает следующие компоненты на сервере, на котором установлен Microsoft Entra Connect. Этот список предназначен для базовой установки Express. Если на странице Установка служб синхронизации выбран другой SQL Server, то SQL Express LocalDB не устанавливается локально.

• Microsoft Entra Connect Health
• Служебные программы командной строки Microsoft SQL Server 2022
• Microsoft SQL Server 2022 Express LocalDB
• Собственный клиент Microsoft SQL Server 2022
• Распространяемый пакет Microsoft Visual C++ 14

Требования к оборудованию для Microsoft Entra Connect

В следующей таблице показаны минимальные требования к компьютеру синхронизации Microsoft Entra Connect.

Количество объектов в Active Directory	ЦП	Память	Размер жесткого диска
Менее 10 000	1,6 ГГц	6 ГБ	70 ГБ
10 000–50 000	1,6 ГГц	6 ГБ	70 ГБ
50 000–100 000	1,6 ГГц	16 ГБ	100 ГБ
При наличии 100 000 или более объектов необходима полная версия SQL Server. По соображениям производительности предпочтительнее локальная установка. Следующие значения допустимы только для установки Microsoft Entra Connect. Если SQL Server установлен на том же сервере, требуется дополнительная память, диск и ЦП.
100 000–300 000	1,6 ГГц	32 Гб	300 ГБ
300 000–600 000	1,6 ГГц	32 Гб	450 ГБ
Более 600 000	1,6 ГГц	32 Гб	500 ГБ

Для компьютеров, где выполняются AD FS или прокси-серверы веб-приложений, предъявляются следующие минимальные требования:

• процессор: двухъядерный с тактовой частотой 1,6 ГГц или выше;
• память: 2 ГБ или более;
• виртуальная машина Azure: конфигурация A2 или выше.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.