Krav för Microsoft Entra molnsynkronisering

Den här artikeln innehåller vägledning om hur du använder Microsoft Entra Cloud Sync som identitetslösning.

Krav för molnetableringsagent

Du behöver följande för att använda Microsoft Entra Cloud Sync:

• Autentiseringsuppgifter för domänadministratör eller företagsadministratör för att skapa Microsoft Entra Connect Cloud Sync gMSA (grupphanterat tjänstkonto) för att köra agenttjänsten.
• Ett hybrididentitetsadministratörskonto för din Microsoft Entra-klientorganisation som inte är en gästanvändare.
• En lokal server för etableringsagenten med Windows 2016 eller senare. Den här servern ska vara en nivå 0-server baserat på active directory-modellen på administrationsnivå. Det finns stöd för att installera agenten på en domänkontrollant. Mer information finns i Harden your Microsoft Entra provisioning agent server
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Hög tillgänglighet avser Microsoft Entra Cloud Syncs möjlighet att arbeta kontinuerligt utan fel under en längre tid. Genom att ha flera aktiva agenter installerade och igång kan Microsoft Entra Cloud Sync fortsätta att fungera även om en agent skulle misslyckas. Microsoft rekommenderar att du har tre aktiva agenter installerade för hög tillgänglighet.
• Lokala brandväggskonfigurationer.

Härda microsoft entra-etableringsagentservern

Vi rekommenderar att du hårdnar din Microsoft Entra-etableringsagentserver för att minska säkerhetsangreppsytan för den här kritiska komponenten i DIN IT-miljö. Genom att följa dessa rekommendationer kan du minska vissa säkerhetsrisker för din organisation.

• Vi rekommenderar att du härdar Microsoft Entra-etableringsagentservern som en kontrollplanstillgång (tidigare nivå 0) genom att följa riktlinjerna i modellen för säker privilegierad åtkomst och Active Directory-administrationsnivå.
• Begränsa administrativ åtkomst till Microsoft Entra-etableringsagentservern till endast domänadministratörer eller andra strikt kontrollerade säkerhetsgrupper.
• Skapa ett dedikerat konto för all personal med privilegierad åtkomst. Administratörer bör inte surfa på webben, kontrollera sin e-post och utföra dagliga produktivitetsuppgifter med mycket privilegierade konton.
• Följ anvisningarna i Skydda privilegierad åtkomst.
• Neka användning av NTLM-autentisering med Microsoft Entra-etableringsagentservern. Här följer några sätt att göra detta: Begränsa NTLM på Microsoft Entra-etableringsagentservern och begränsa NTLM på en domän
• Se till att varje dator har ett unikt lokalt administratörslösenord. Mer information finns i Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL (Lokal administratörslösenordlösning (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL ( Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by a ACL ( Local Administrator Password Solution (Windows LAPS) can Endast behöriga behöriga användare kan läsa eller begära återställning av dessa lösenord för det lokala administratörskontot. Ytterligare vägledning för att använda en miljö med Windows LAPS och privilegierade åtkomstarbetsstationer (PAW) finns i Driftstandarder baserat på principen för ren källa.
• Implementera dedikerade arbetsstationer för privilegierad åtkomst för all personal med privilegierad åtkomst till organisationens informationssystem.
• Följ dessa ytterligare riktlinjer för att minska attackytan i din Active Directory-miljö.
• Följ övervakningsändringarna i federationskonfigurationen för att konfigurera aviseringar för att övervaka ändringar i det förtroende som upprättats mellan din Idp och Microsoft Entra-ID.
• Aktivera Multi Factor Authentication (MFA) för alla användare som har privilegierad åtkomst i Microsoft Entra-ID eller i AD. Ett säkerhetsproblem med att använda Microsoft Entra-etableringsagenten är att om en angripare kan få kontroll över Microsoft Entra-etableringsagentservern kan de manipulera användare i Microsoft Entra-ID. För att förhindra att en angripare använder dessa funktioner för att ta över Microsoft Entra-konton erbjuder MFA skydd så att även om en angripare lyckas, till exempel återställa en användares lösenord med microsoft entra-etableringsagent, kan de fortfarande inte kringgå den andra faktorn.

Grupphanterade tjänstkonton

Ett grupphanterat tjänstkonto är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad SPN-hantering (Service Principal Name), möjligheten att delegera hanteringen till andra administratörer och som även utökar den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och använder en gMSA för att köra agenten. Du uppmanas att ange administrativa autentiseringsuppgifter under installationen för att kunna skapa det här kontot. Kontot visas som domain\provAgentgMSA$. Mer information om en gMSA finns i gruppen Hanterade tjänstkonton.

Krav för gMSA

1. Active Directory-schemat i gMSA-domänens skog måste uppdateras till Windows Server 2012 eller senare.
2. PowerShell RSAT-moduler på en domänkontrollant.
3. Minst en domänkontrollant i domänen måste köra Windows Server 2012 eller senare.
4. En domänansluten server där agenten installeras måste vara antingen Windows Server 2016 eller senare.

Anpassat gMSA-konto

Om du skapar ett anpassat gMSA-konto måste du se till att kontot har följande behörigheter.

Typ	Name	Access	Gäller för
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade enhetsobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade InetOrgPerson-objekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade datorobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade foreignSecurityPrincipal-objekt
Tillåt	gMSA-konto	Fullständig kontroll	Underordnade gruppobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade användarobjekt
Tillåt	gMSA-konto	Läsa alla egenskaper	Underordnade kontaktobjekt
Tillåt	gMSA-konto	Skapa/ta bort användarobjekt	Det här objektet och alla underordnade objekt

Anvisningar om hur du uppgraderar en befintlig agent för att använda ett gMSA-konto finns i gruppen Hanterade tjänstkonton.

Mer information om hur du förbereder din Active Directory för grupphanterat tjänstkonto finns i översikt över grupphanterade tjänstkonton och Gruppera hanterade tjänstkonton med molnsynkronisering.

I administrationscentret för Microsoft Entra

1. Skapa ett molnbaserat hybrididentitetsadministratörskonto i din Microsoft Entra-klientorganisation. På så sätt kan du hantera konfigurationen av klientorganisationen om dina lokala tjänster misslyckas eller blir otillgängliga. Lär dig mer om hur du lägger till ett hybrididentitetsadministratörskonto endast i molnet. Att slutföra det här steget är viktigt för att säkerställa att du inte blir utelåst från din klientorganisation.
2. Lägg till ett eller flera anpassade domännamn i din Microsoft Entra-klientorganisation. Användarna kan logga in med något av dessa domännamn.

I din katalog i Active Directory

Kör IdFix-verktyget för att förbereda katalogattributen för synkronisering.

I din lokala miljö

1. Identifiera en domänansluten värdserver som kör Windows Server 2016 eller senare med minst 4 GB RAM-minne och .NET 4.7.1+-körning.
2. PowerShell-körningsprincipen på den lokala servern måste vara inställd på Odefinierad eller RemoteSigned.
3. Om det finns en brandvägg mellan dina servrar och Microsoft Entra-ID kan du läsa Brandväggs- och proxykrav.

Kommentar

Installation av molnetableringsagenten på Windows Server Core stöds inte.

Etablera Microsoft Entra-ID till Active Directory – krav

Följande krav krävs för att implementera etableringsgrupper i Active Directory.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Allmänna krav

• Microsoft Entra-konto med minst en hybrididentitetsadministratörsroll .
• Lokal Active Directory-domän Services-miljö med Windows Server 2016-operativsystem eller senare.
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Etableringsagent med version 1.1.1370.0 eller senare.

Kommentar

Behörigheterna till tjänstkontot tilldelas endast vid ren installation. Om du uppgraderar från den tidigare versionen måste behörigheter tilldelas manuellt med PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Om behörigheterna anges manuellt måste du se till att läs-, skriv-, skapa- och ta bort alla egenskaper för alla underordnade grupper och användarobjekt.

Dessa behörigheter tillämpas inte på AdminSDHolder-objekt som standard Microsoft Entra-etableringsagent gMSA PowerShell-cmdletar

• Etableringsagenten måste kunna kommunicera med en eller flera domänkontrollanter på portarna TCP/389 (LDAP) och TCP/3268 (global katalog).
  • Krävs för global katalogsökning för att filtrera bort ogiltiga medlemskapsreferenser
• Microsoft Entra Connect Sync med version 2.2.8.0 eller senare
  • Krävs för att stödja lokalt användarmedlemskap som synkroniserats med Microsoft Entra Connect Sync
  • Krävs för att synkronisera AD:user:objectGUID till AAD:user:onPremisesObjectIdentifier

Grupper som stöds och skalningsgränser

Följande stöds:

• Endast molnskapade säkerhetsgrupper stöds
• Dessa grupper kan ha tilldelade eller dynamiska medlemskapsgrupper.
• Dessa grupper kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• De lokala användarkonton som synkroniseras och är medlemmar i den här molnskapade säkerhetsgruppen kan komma från samma domän eller korsdomän, men alla måste komma från samma skog.
• Dessa grupper skrivs tillbaka med OMfånget FÖR AD-grupper för universella grupper. Din lokala miljö måste ha stöd för det universella gruppomfånget.
• Grupper som är större än 50 000 medlemmar stöds inte.
• Klienter som har fler än 150 000 objekt stöds inte. Om en klientorganisation har någon kombination av användare och grupper som överskrider 150 000 objekt stöds inte klientorganisationen.
• Varje direkt underordnad kapslad grupp räknas som en medlem i referensgruppen
• Avstämning av grupper mellan Microsoft Entra-ID och Active Directory stöds inte om gruppen uppdateras manuellt i Active Directory.

Ytterligare information

Följande är ytterligare information om etableringsgrupper till Active Directory.

• Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• Dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
• OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
• Ett objectGUID-attribut för lokala användare till molnanvändare påPremisesObjectIdentifier-attribut kan synkroniseras med antingen Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Connect Sync (2.2.8.0)
• Om du använder Microsoft Entra Connect Sync (2.2.8.0) för att synkronisera användare, i stället för Microsoft Entra Cloud Sync, och vill använda Etablering till AD, måste det vara 2.2.8.0 eller senare.
• Endast vanliga Microsoft Entra ID-klienter stöds för etablering från Microsoft Entra-ID till Active Directory. Klienter som B2C stöds inte.
• Gruppetableringsjobbet är schemalagt att köras var 20:e minut.

Fler krav

• Minsta Microsoft .NET Framework 4.7.1

TLS-krav

Kommentar

Transport Layer Security (TLS) är ett protokoll som tillhandahåller säker kommunikation. Om du ändrar TLS-inställningarna påverkas hela skogen. För mer information, se Uppdatera för att aktivera TLS 1.1 och TLS 1.2 som säkra standardprotokoll i WinHTTP i Windows.

Den Windows-server som är värd för Microsoft Entra Connect-molnetableringsagenten måste ha TLS 1.2 aktiverat innan du installerar det.

Följ dessa steg för att aktivera TLS 1.2.

1. Ange följande registernycklar genom att kopiera innehållet till en .reg fil och sedan köra filen (högerklicka och välj Slå samman):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Starta om servern.

Brandväggs- och proxykrav

Om det finns en brandvägg mellan dina servrar och Microsoft Entra ID konfigurerar du följande objekt:

• Se till att agenter kan göra utgående begäranden till Microsoft Entra-ID via följande portar:

  Portnummer	beskrivning
  80	Laddar ned listan över återkallade certifikat (CRL: er) när TLS/SSL-certifikatet verifieras.
  443	Hanterar all utgående kommunikation med tjänsten.
  8080 (valfritt)	Agenter rapporterar sin status var 10:e minut via port 8080, om port 443 inte är tillgänglig. Den här statusen visas i Microsoft Entra administrationscenter.

• Om brandväggen framtvingar regler baserat på de användare som genererar den öppnar du dessa portar för trafik från Windows-tjänster som körs som en nätverkstjänst.

• Se till att proxyn stöder minst HTTP 1.1-protokoll och att segmenterad kodning är aktiverad.

• Om brandväggen eller proxyn tillåter att du anger säkra suffix lägger du till anslutningar:

Offentligt moln

webbadress	beskrivning
*.msappproxy.net *.servicebus.windows.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.net	Agenten använder dessa URL:er under registreringsprocessen.

U.S. Government Cloud

webbadress	beskrivning
*.msappproxy.us *.servicebus.usgovcloudapi.net	Agenten använder dessa URL:er för att kommunicera med Microsoft Entra-molntjänsten.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	Agenten använder dessa URL:er för att verifiera certifikat.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	Agenten använder dessa URL:er under registreringsprocessen.

• Om du inte kan lägga till anslutningar tillåter du åtkomst till IP-intervallen för Azure-datacenter, som uppdateras varje vecka.

NTLM-krav

Du bör inte aktivera NTLM på Den Windows Server som kör Microsoft Entra-etableringsagenten och om den är aktiverad bör du se till att du inaktiverar den.

Kända begränsningar

Följande är kända begränsningar:

Deltasynkronisering

• Gruppomfattningsfiltrering för deltasynkronisering stöder inte fler än 50 000 medlemmar.
• När du tar bort en grupp som används som en del av ett gruppomfångsfilter tas inte användare som är medlemmar i gruppen bort.
• När du byter namn på organisationsenheten eller gruppen som finns i omfånget tar deltasynkroniseringen inte bort användarna.

Etableringsloggar

• Etableringsloggar skiljer inte tydligt mellan skapande- och uppdateringsåtgärder. Du kan se en create-åtgärd för en uppdatering och en uppdateringsåtgärd för en skapande.

Namnbyte eller organisationsenhetsbyte

• Om du byter namn på en grupp eller organisationsenhet i AD som finns i omfånget för en viss konfiguration kan molnsynkroniseringsjobbet inte identifiera namnändringen i AD. Jobbet hamnar inte i karantän och förblir felfritt.

Omfångsfilter

När du använder OU-omfångsfilter

• Omfångskonfigurationen har en begränsning på 4 MB i teckenlängd. I en standardtestad miljö översätts detta till cirka 50 separata organisationsenheter eller säkerhetsgrupper, inklusive nödvändiga metadata, för en viss konfiguration.

• Kapslade organisationsenheter stöds (d.v.s. du kan synkronisera en organisationsenhet som har 130 kapslade organisationsenheter, men du kan inte synkronisera 60 separata organisationsenheter i samma konfiguration).

Hash-synkronisering av lösenord

• Användning av synkronisering av lösenordshash med InetOrgPerson stöds inte.

Nästa steg

• Vad är etablering?
• Vad är Microsoft Entra molnsynkronisering?