Microsoft Entra Connect: Konton och behörigheter
Lär dig mer om konton som används och skapas och vilka behörigheter som krävs för att installera och använda Microsoft Entra Connect.
Konton som används för Microsoft Entra Connect
Microsoft Entra Connect använder tre konton för att synkronisera information från lokal Windows Server Active Directory (Windows Server AD) till Microsoft Entra ID:
AD DS Connector-konto: Används för att läsa och skriva information till Windows Server AD med hjälp av Active Directory-domän Services (AD DS).
ADSync-tjänstkonto: Används för att köra synkroniseringstjänsten och komma åt SQL Server-databasen.
Microsoft Entra Connector-konto: Används för att skriva information till Microsoft Entra-ID.
Du behöver också följande konton för att installera Microsoft Entra Connect:
Lokalt administratörskonto: Administratören som installerar Microsoft Entra Connect och som har lokal administratörsbehörighet på datorn.
AD DS Enterprise-administratörskonto: Kan användas för att skapa det nödvändiga AD DS Connector-kontot.
Microsoft Entra Hybrid Identity Administrator-konto: Används för att skapa Microsoft Entra Connector-kontot och för att konfigurera Microsoft Entra-ID. Du kan visa hybrididentitetsadministratör i administrationscentret för Microsoft Entra. Se Lista rolltilldelningar för Microsoft Entra.
SQL SA-konto (valfritt): Används för att skapa ADSync-databasen när du använder den fullständiga versionen av SQL Server. Instansen av SQL Server kan vara lokal eller fjärransluten till Microsoft Entra Connect-installationen. Det här kontot kan vara samma konto som företagsadministratörskontot.
Etablering av databasen kan nu utföras out-of-band av SQL Server-administratören och sedan installeras av Microsoft Entra Connect-administratören om kontot har behörighet som databasägare (DBO). Mer information finns i Installera Microsoft Entra Connect med hjälp av SQL-delegerade administratörsbehörigheter.
Viktigt!
Från och med version 1.4.###.#, kan du inte längre använda ett företagsadministratörskonto eller ett domänadministratörskonto som AD DS Connector-konto. Om du försöker ange ett konto som är företagsadministratör eller domänadministratör för Använd befintligt konto visas ett felmeddelande i guiden och du kan inte fortsätta.
Kommentar
Du kan hantera de administrativa konton som används i Microsoft Entra Connect med hjälp av en företagsåtkomstmodell. En organisation kan använda en företagsåtkomstmodell som värd för administrativa konton, arbetsstationer och grupper i en miljö som har starkare säkerhetskontroller än en produktionsmiljö. Mer information finns i Företagsåtkomstmodell.
Rollen Hybrididentitetsadministratör krävs inte efter den första installationen. Efter installationen är det enda nödvändiga kontot rollkontot katalogsynkroniseringskonton. I stället för att ta bort det konto som har rollen Hybrididentitetsadministratör rekommenderar vi att du ändrar rollen till en roll som har en lägre behörighetsnivå. Om du tar bort kontot helt kan det uppstå problem om du behöver köra guiden igen. Du kan lägga till behörigheter om du behöver använda Guiden Microsoft Entra Connect igen.
Microsoft Entra Connect-installation
Installationsguiden för Microsoft Entra Connect erbjuder två sökvägar:
- Expressinställningar: I Express-inställningarna för Microsoft Entra Connect kräver guiden fler behörigheter så att du enkelt kan konfigurera installationen. Guiden skapar användare och konfigurerar behörigheter så att du inte behöver göra det.
- Anpassade inställningar: I anpassade Inställningar för Microsoft Entra Connect har du fler alternativ och alternativ i guiden. För vissa scenarier är det dock viktigt att se till att du har rätt behörigheter själv.
Standardinställningar
I Express-inställningar anger du den här informationen i installationsguiden:
- Autentiseringsuppgifter för AD DS Enterprise-administratör
- Microsoft Entra Hybrid Identity Administrator-autentiseringsuppgifter
Autentiseringsuppgifter för AD DS Enterprise-administratör
AD DS Enterprise-administratörskontot används för att konfigurera Windows Server AD. Dessa autentiseringsuppgifter används endast under installationen. Företagsadministratören, inte domänadministratören, bör se till att behörigheterna i Windows Server AD kan anges i alla domäner.
Om du uppgraderar från DirSync används autentiseringsuppgifterna för AD DS Enterprise-administratören för att återställa lösenordet för det konto som DirSync använde. Microsoft Entra Hybrid Identity Administrator-autentiseringsuppgifter krävs också.
Microsoft Entra Hybrid Identity Administrator-autentiseringsuppgifter
Autentiseringsuppgifter för Microsoft Entra Hybrid Identity Administrator-kontot används endast under installationen. Kontot används för att skapa det Microsoft Entra Connector-konto som synkroniserar ändringar i Microsoft Entra-ID. Kontot aktiverar även synkronisering som en funktion i Microsoft Entra-ID.
Mer information finns i Hybrididentitetsadministratör.
Ad DS Connector-konto som krävs behörigheter för expressinställningar
AD DS Connector-kontot skapas för att läsa och skriva till Windows Server AD. Kontot har följande behörigheter när det skapas under installationen av expressinställningar:
Behörighet | Används för |
---|---|
– Replikera katalogändringar – Replikera katalogändringar alla |
Hash-synkronisering för lösenord |
Läsa/skriva alla egenskaper för användare | Import och Exchange-hybrid |
Läsa/skriva alla egenskaper för iNetOrgPerson | Import och Exchange-hybrid |
Läsa/skriva alla egenskaper för grupp | Import och Exchange-hybrid |
Läsa/skriva alla egenskaper för kontakt | Import och Exchange-hybrid |
Återställa lösenord | Förberedelse för att aktivera tillbakaskrivning av lösenord |
Guiden Expressinställningar
I en installation av expressinställningar skapar guiden några konton och inställningar åt dig.
Följande tabell är en sammanfattning av guidesidorna för expressinställningar, de autentiseringsuppgifter som samlas in och vad de används för:
Sidan Guide | Insamlade autentiseringsuppgifter | Behörigheter som krävs | Syfte |
---|---|---|---|
Ej tillämpligt | Användaren som kör installationsguiden. | Administratör för den lokala servern. | Används för att skapa det ADSync-tjänstkonto som används för att köra synkroniseringstjänsten. |
Ansluta till Microsoft Entra-ID | Microsoft Entra-katalogautentiseringsuppgifter. | Rollen Hybrididentitetsadministratör i Microsoft Entra-ID. | – Används för att aktivera synkronisering i Microsoft Entra-katalogen. – Används för att skapa det Microsoft Entra Connector-konto som används för pågående synkroniseringsåtgärder i Microsoft Entra-ID. |
Anslut till AD DS | Autentiseringsuppgifter för Windows Server AD. | Medlem i gruppen Företagsadministratörer i Windows Server AD. | Används för att skapa AD DS Connector-kontot i Windows Server AD och bevilja behörigheter till det. Det här skapade kontot används för att läsa och skriva kataloginformation under synkroniseringen. |
Anpassade inställningar
I en installation av anpassade inställningar har du fler alternativ och alternativ i guiden.
Guiden Anpassade inställningar
Följande tabell är en sammanfattning av guidesidorna för anpassade inställningar, de insamlade autentiseringsuppgifterna och vad de används för:
Sidan Guide | Insamlade autentiseringsuppgifter | Behörigheter som krävs | Syfte |
---|---|---|---|
Ej tillämpligt | Användaren som kör installationsguiden. | – Administratör för den lokala servern. – Om du använder en instans av en fullständig SQL Server måste användaren vara systemadministratör (sysadmin) i SQL Server. |
Används som standard för att skapa det lokala konto som används som tjänstkonto för synkroniseringsmotorn. Kontot skapas bara när administratören inte anger något konto. |
Installera synkroniseringstjänster, tjänstkontoalternativ | Autentiseringsuppgifterna för Windows Server AD eller det lokala användarkontot. | Användare och behörigheter beviljas av installationsguiden. | Om administratören anger ett konto används det här kontot som tjänstkonto för synkroniseringstjänsten. |
Ansluta till Microsoft Entra-ID | Microsoft Entra-katalogautentiseringsuppgifter. | Rollen Hybrididentitetsadministratör i Microsoft Entra-ID. | – Används för att aktivera synkronisering i Microsoft Entra-katalogen. – Används för att skapa det Microsoft Entra Connector-konto som används för pågående synkroniseringsåtgärder i Microsoft Entra-ID. |
Anslut dina kataloger | Windows Server AD-autentiseringsuppgifter för varje skog som är ansluten till Microsoft Entra-ID. | Behörigheterna beror på vilka funktioner du aktiverar och finns i Skapa AD DS Connector-kontot. | Det här kontot används för att läsa och skriva kataloginformation under synkroniseringen. |
AD FS-servrar | För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för användaren som kör guiden inte är tillräckliga för att ansluta. | Domänadministratörskontot. | Används vid installation och konfiguration av serverrollen Active Directory Federation Services (AD FS) (AD FS). |
Proxyservrar för webbprogram | För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för användaren som kör guiden inte är tillräckliga för att ansluta. | Lokal administratör på måldatorn. | Används vid installation och konfiguration av wap-serverrollen (web application proxy). |
Autentiseringsuppgifter för proxyförtroende | Autentiseringsuppgifter för federationstjänstförtroende (de autentiseringsuppgifter som proxyn använder för att registrera för ett förtroendecertifikat från federationstjänsterna (FS)). | Domänkontot som är lokal administratör för AD FS-servern. | Inledande registrering av FS-WAP-förtroendecertifikatet. |
SIDAN AD FS-tjänstkonto Använd ett domänanvändarkontoalternativ | Autentiseringsuppgifterna för Windows Server AD-användarkontot. | En domänanvändare. | Det Microsoft Entra-användarkonto vars autentiseringsuppgifter anges används som inloggningskonto för AD FS-tjänsten. |
Skapa AD DS Connector-kontot
Viktigt!
En ny PowerShell-modul med namnet ADSyncConfig.psm1 introducerades med version 1.1.880.0 (släpptes i augusti 2018). Modulen innehåller en samling cmdletar som hjälper dig att konfigurera rätt Windows Server AD-behörigheter för Microsoft Entra Domain Services Connector-kontot.
Mer information finns i Microsoft Entra Connect: Konfigurera kontobehörighet för AD DS Connector.
Det konto som du anger på sidan Anslut dina kataloger måste skapas i Windows Server AD som ett vanligt användarobjekt (VSA, MSA eller gMSA stöds inte) före installationen. Microsoft Entra Connect version 1.1.524.0 och senare har möjlighet att låta Microsoft Entra Connect-guiden skapa det AD DS Connector-konto som används för att ansluta till Windows Server AD.
Det konto som du anger måste också ha de behörigheter som krävs. Installationsguiden verifierar inte behörigheterna och eventuella problem hittas endast under synkroniseringsprocessen.
Vilka behörigheter du behöver beror på vilka valfria funktioner du aktiverar. Om du har flera domäner måste behörigheterna beviljas för alla domäner i skogen. Om du inte aktiverar någon av dessa funktioner räcker standardbehörigheterna för domänanvändare.
Funktion | Behörigheter |
---|---|
ms-DS-ConsistencyGuid-funktion | Skrivbehörigheter till attributet ms-DS-ConsistencyGuid som dokumenteras i Designbegrepp – Använda ms-DS-ConsistencyGuid som sourceAnchor. |
Hash-synkronisering för lösenord | – Replikera katalogändringar – Replikera katalogändringar alla |
Exchange-hybridinstallation | Skrivbehörigheter till attributen, som beskrivs i Tillbakaskrivning av Exchange-hybrid, för användare, grupper och kontakter. |
Gemensam mapp för Exchange-e-post | Läsbehörigheter till attributen, som beskrivs i Gemensam mapp för Exchange-e-post, för gemensamma mappar. |
Tillbakaskrivning av lösenord | Skrivbehörigheter till attributen, som beskrivs i Komma igång med lösenordshantering, för användare. |
Tillbakaskrivning av enheter | Behörigheter som beviljas med ett PowerShell-skript enligt beskrivningen i Tillbakaskrivning av enhet. |
Tillbakaskrivning av grupp | Gör att du kan skriva tillbaka Microsoft 365-grupper till en skog som har Exchange installerat. |
Behörigheter som krävs för uppgradering
När du uppgraderar från en version av Microsoft Entra Connect till en ny version behöver du följande behörigheter:
Huvudkonto | Behörigheter som krävs | Syfte |
---|---|---|
Användaren som kör installationsguiden | Administratör för den lokala servern | Används för att uppdatera binärfiler. |
Användaren som kör installationsguiden | Medlem i ADSyncAdmins | Används för att göra ändringar i synkroniseringsregler och andra konfigurationer. |
Användaren som kör installationsguiden | Om du använder en fullständig instans av SQL Server: DBO (eller liknande) av synkroniseringsmotordatabasen | Används för att göra ändringar på databasnivå, till exempel uppdatering av tabeller med nya kolumner. |
Viktigt!
I version 1.1.484 introducerades en regressionsfel i Microsoft Entra Connect. Felet kräver sysadmin-behörigheter för att uppgradera SQL Server-databasen. Felet korrigeras i version 1.1.647. Om du vill uppgradera till den här versionen måste du ha sysadmin-behörigheter. I det här scenariot räcker inte DBO-behörigheter. Om du försöker uppgradera Microsoft Entra Connect utan sysadmin-behörigheter misslyckas uppgraderingen och Microsoft Entra Connect fungerar inte längre korrekt.
Information om skapade konton
I följande avsnitt får du mer information om skapade konton i Microsoft Entra Connect.
AD DS-anslutningskonto
Om du använder expressinställningar skapas ett konto som används för synkronisering i Windows Server AD. Det skapade kontot finns i skogens rotdomän i containern Användare. Kontonamnet är prefixet med MSOL_. Kontot skapas med ett långt, komplext lösenord som inte upphör att gälla. Om du har en lösenordsprincip i domänen kontrollerar du att långa och komplexa lösenord tillåts för det här kontot.
Om du använder anpassade inställningar ansvarar du för att skapa kontot innan du startar installationen. Se Skapa AD DS Connector-kontot.
ADSync-tjänstkonto
Synkroniseringstjänsten kan köras under olika konton. Den kan köras under ett virtuellt tjänstkonto (VSA), ett grupphanterat tjänstkonto (gMSA), en fristående hanterad tjänst (sMSA) eller ett vanligt användarkonto. Alternativen som stöds ändrades i aprilversionen av Microsoft Entra Connect 2017 när du gör en ny installation. Om du uppgraderar från en tidigare version av Microsoft Entra Connect är dessa andra alternativ inte tillgängliga.
Typ av konto | Installationsalternativ | beskrivning |
---|---|---|
VSA | Snabb och anpassad, april 2017 och senare | Det här alternativet används för alla installationer av expressinställningar, förutom för installationer på en domänkontrollant. För anpassade inställningar är det standardalternativet. |
gMSA | Anpassad, april 2017 och senare | Om du använder en fjärrinstans av SQL Server rekommenderar vi att du använder en gMSA. |
Användarkonto | Snabb och anpassad, april 2017 och senare | Ett användarkonto som är prefix med AAD_ skapas endast under installationen när Microsoft Entra Connect installeras på Windows Server 2008 och när det installeras på en domänkontrollant. |
Användarkonto | Snabb och anpassad, mars 2017 och tidigare | Ett lokalt konto med prefixet AAD_ skapas under installationen. I en anpassad installation kan du ange ett annat konto. |
Om du använder Microsoft Entra Connect med en version från 2017 mars eller tidigare ska du inte återställa lösenordet på tjänstkontot. Windows förstör krypteringsnycklarna av säkerhetsskäl. Du kan inte ändra kontot till något annat konto utan att installera om Microsoft Entra Connect. Om du uppgraderar till en version från april 2017 eller senare kan du ändra lösenordet för tjänstkontot, men du kan inte ändra det konto som används.
Viktigt!
Du kan bara ange tjänstkontot vid den första installationen. Du kan inte ändra tjänstkontot när installationen är klar.
I följande tabell beskrivs standardalternativ, rekommenderade alternativ och alternativ som stöds för synkroniseringstjänstkontot.
Förklaring:
- Fet= Standardalternativet och i de flesta fall det rekommenderade alternativet.
- Kursiv = Det rekommenderade alternativet när det inte är standardalternativet.
- 2008 = Standardalternativet när det installeras på Windows Server 2008
- Icke-fet = Ett alternativ som stöds
- Lokalt konto = Lokalt användarkonto på servern
- Domänkonto = Domänanvändarkonto
- sMSA = fristående hanterat tjänstkonto
- gMSA = grupphanterat tjänstkonto
Lokal databas Express |
Lokal databas/lokal SQL Server Anpassat |
Fjärr-SQL Server Anpassat |
|
---|---|---|---|
domänansluten dator | VSA Lokalt konto (2008) |
VSA Lokalt konto (2008) Lokalt konto Domänkonto sMSA, gMSA |
gMSA Domänkonto |
Domänkontrollant | Domänkonto | gMSA Domänkonto Smsa |
gMSA Domänkonto |
VSA
En VSA är en särskild typ av konto som inte har något lösenord och som hanteras av Windows.
VSA är avsedd att användas med scenarier där synkroniseringsmotorn och SQL Server finns på samma server. Om du använder fjärr-SQL Server rekommenderar vi att du använder en gMSA i stället för en VSA.
VSA-funktionen kräver Windows Server 2008 R2 eller senare. Om du installerar Microsoft Entra Connect på Windows Server 2008 återgår installationen till att använda ett användarkonto i stället för en VSA.
gMSA
Om du använder en fjärrinstans av SQL Server rekommenderar vi att du använder en gMSA. Mer information om hur du förbereder Windows Server AD för gMSA finns i Översikt över grupphanterade tjänstkonton.
Om du vill använda det här alternativet går du till sidan Installera nödvändiga komponenter , väljer Använd ett befintligt tjänstkonto och väljer sedan Hanterat tjänstkonto.
Du kan också använda en sMSA i det här scenariot. Du kan dock bara använda en sMSA på den lokala datorn och det finns ingen fördel med att använda en sMSA i stället för standard-VSA.
SMSA-funktionen kräver Windows Server 2012 eller senare. Om du behöver använda en tidigare version av ett operativsystem och använder fjärr-SQL Server måste du använda ett användarkonto.
Användarkonto
Ett lokalt tjänstkonto skapas av installationsguiden (såvida du inte i anpassade inställningar anger vilket konto som ska användas). Kontot är prefix med AAD_ och används för att den faktiska synkroniseringstjänsten ska köras som. Om du installerar Microsoft Entra Connect på en domänkontrollant skapas kontot i domänen. AAD_-tjänstkontot måste finnas i domänen om:
- Du använder en fjärrserver som kör SQL Server.
- Du använder en proxy som kräver autentisering.
Det AAD_ tjänstkontot skapas med ett långt, komplext lösenord som inte upphör att gälla.
Det här kontot används för att lagra lösenorden för de andra kontona på ett säkert sätt. Lösenorden lagras krypterade i databasen. De privata nycklarna för krypteringsnycklarna skyddas med krypteringen av krypteringstjänsternas hemliga nyckelkryptering med hjälp av Windows Data Protection API (DPAPI).
Om du använder en fullständig instans av SQL Server är tjänstkontot DBO för den skapade databasen för synkroniseringsmotorn. Tjänsten fungerar inte som den ska med andra behörigheter. En SQL Server-inloggning skapas också.
Kontot beviljas också behörigheter till filer, registernycklar och andra objekt som är relaterade till synkroniseringsmotorn.
Microsoft Entra Connector-konto
Ett konto i Microsoft Entra-ID skapas för synkroniseringstjänsten som ska användas. Du kan identifiera det här kontot med dess visningsnamn.
Namnet på servern som kontot används på kan identifieras i den andra delen av användarnamnet. I föregående bild är servernamnet DC1. Om du har mellanlagringsservrar har varje server ett eget konto.
Ett serverkonto skapas med ett långt, komplext lösenord som inte upphör att gälla. Kontot beviljas en särskild roll för katalogsynkroniseringskonton som endast har behörighet att utföra katalogsynkroniseringsuppgifter. Den här speciella inbyggda rollen kan inte beviljas utanför Microsoft Entra Connect-guiden. Administrationscentret för Microsoft Entra visar det här kontot med användarrollen.
Microsoft Entra-ID har en gräns på 20 synkroniseringstjänstkonton.
Kör följande kommando för att hämta listan över befintliga Microsoft Entra-tjänstkonton i din Microsoft Entra-instans:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
Kör följande kommando för att ta bort oanvända Microsoft Entra-tjänstkonton:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Kommentar
Innan du kan använda dessa PowerShell-kommandon måste du installera Microsoft Graph PowerShell-modulen och ansluta till din instans av Microsoft Entra ID med hjälp av Connect-MgGraph.
Mer information om hur du hanterar eller återställer lösenordet för Microsoft Entra Connect-kontot finns i Hantera Microsoft Entra Connect-kontot.
Relaterade artiklar
Mer information om Microsoft Entra Connect finns i följande artiklar:
Område | Länk |
---|---|
Ladda ned Microsoft Entra Connect | Ladda ned Microsoft Entra Connect |
Installera med hjälp av expressinställningar | Expressinstallation av Microsoft Entra Connect |
Installera med hjälp av anpassade inställningar | Anpassad installation av Microsoft Entra Connect |
Uppgradera från DirSync | Uppgradera från Azure AD Sync-verktyget (DirSync) |
Efter installationen | Verifiera installationen och tilldela licenser |
Nästa steg
Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.