Microsoft Entra 云同步的先决条件

本文指导如何使用 Microsoft Entra 云同步作为标识解决方案。

云预配代理要求

需要以下内容才能使用 Microsoft Entra 云同步:

  • 域管理员或企业管理员凭据,用于创建 Microsoft Entra Connect 云同步 gMSA(组托管服务帐户)以运行代理服务。
  • 不是来宾用户的 Microsoft Entra 租户的混合标识管理员帐户。
  • 使用 Windows 2016 或更高版本的预配代理的本地服务器。 此服务器应该是基于 Active Directory 管理层模型的第 0 层服务器。 支持在域控制器上安装代理。 有关详细信息,请参阅强化 Microsoft Entra 预配代理服务器
    • AD 架构属性所需 - msDS-ExternalDirectoryObjectId
  • 高可用性是指 Microsoft Entra 云同步可长期连续运行而不出现故障的能力。 通过安装和运行多个活动代理,即使有一个代理出现故障,Microsoft Entra 云同步也能继续运作。 为了实现高可用性,Microsoft 建议安装 3 个活动代理。
  • 本地防火墙配置。

强化 Microsoft Entra 预配代理服务器

建议强化 Microsoft Entra 预配代理服务器来减小 IT 环境中的此关键组件的安全攻击面。 遵循这些建议有助于降低组织的部分安全风险。

  • 建议遵循保护特权访问Active Directory 管理层模型中提供的指导,将 Microsoft Entra 预配代理服务器作为控制平面(以前称为第 0 层)资产进行强化。
  • 将 Microsoft Entra 预配代理服务器的管理访问限制仅限于域管理员或其他受到严格控制的安全组。
  • 为所有具有特权访问权限的人员创建专用帐户。 管理员不应该使用高特权帐户浏览网页、查看电子邮件和执行日常工作效率任务。
  • 遵循保护特权访问中提供的指南进行操作。
  • 拒绝对 Microsoft Entra 预配代理服务器使用 NTLM 身份验证。 下面是执行此操作的一些方法:在 Microsoft Entra 预配代理服务器上限制 NTLM在域上限制 NTLM
  • 确保每台计算机都有唯一的本地管理员密码。 有关详细信息,请参阅本地管理员密码解决方案 (Windows LAPS),该解决方案可在每个工作站上配置唯一的随机密码,并将其存储在受 ACL 保护的 Active Directory 中。 只有符合条件的授权用户才可以读取或请求重置这些本地管理员帐户密码。 有关使用 Windows LAPS 和特权访问工作站 (PAW) 操作环境的附加指导,请参阅基于干净源原则的操作标准
  • 为具有组织信息系统的特权访问权限的所有人员实现专用的特权访问工作站
  • 按照以下附加指南操作,以减少 Active Directory 环境的攻击面。
  • 按照监视联合身份验证配置的更改中的要求设置警报,以监视对在 Idp 与 Microsoft Entra 之间建立的信任的更改。
  • 为在 Microsoft Entra ID 或 AD 中具有特权访问权限的所有用户启用多重身份验证 (MFA)。 使用 Microsoft Entra 预配代理的一个安全问题是,如果攻击者可以控制 Microsoft Entra 预配代理服务器,那么就可以在 Microsoft Entra ID 中操纵用户。 为了防止攻击者使用这些功能来接管 Microsoft Entra 帐户,MFA 提供了保护,以便即使攻击者设法,例如使用 Microsoft Entra 预配代理重置用户密码,他们仍然无法绕过第二个因素。

Group Managed Service Accounts

组托管服务帐户是一种托管的域帐户,它提供自动密码管理、简化的服务主体名称 (SPN) 管理、将管理委派给其他管理员的功能以及在多个服务器上扩展此功能。 Microsoft Entra 云同步支持并使用 gMSA 运行代理。 在安装过程中,系统会提示你输入管理凭据,以便创建此帐户。 帐户显示为 domain\provAgentgMSA$。 有关 gMSA 的详细信息,请参阅组托管服务帐户

gMSA 的先决条件

  1. gMSA 域的林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
  2. 域控制器上的 PowerShell RSAT 模块
  3. 域中必须至少有一个域控制器运行 Windows Server 2012 或更高版本。
  4. 要安装代理的已加入域的服务器必须是 Windows Server 2016 或更高版本。

自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户,需要确保该帐户具有以下权限。

类型 名称 访问 应用于
Allow gMSA 帐户 读取所有属性 后代设备对象
Allow gMSA 帐户 读取所有属性 后代 InetOrgPerson 对象
Allow gMSA 帐户 读取所有属性 后代计算机对象
Allow gMSA 帐户 读取所有属性 后代 foreignSecurityPrincipal 对象
Allow gMSA 帐户 完全控制 后代组对象
Allow gMSA 帐户 读取所有属性 后代用户对象
Allow gMSA 帐户 读取所有属性 后代联系人对象
Allow gMSA 帐户 创建/删除用户对象 此对象和所有后代对象

有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅组托管服务帐户

若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述使用云同步对托管服务帐户进行分组

在 Microsoft Entra 管理中心中

  1. 在 Microsoft Entra 租户中创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
  2. 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。

在 Active Directory 的目录中

运行 IdFix 工具,为同步准备目录属性。

在本地环境中

  1. 指定一台已加入域的、运行 Windows Server 2016 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器。
  2. 本地服务器上的 PowerShell 执行策略必须设置为 Undefined 或 RemoteSigned。
  3. 如果服务器和 Microsoft Entra ID 之间存在防火墙,请参阅防火墙和代理要求

注意

不支持在 Windows Server Core 上安装云预配代理。

将 Microsoft Entra ID 预配到 Active Directory - 先决条件

实现将组预配到 Active Directory 需要满足以下先决条件。

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

一般要求

  • 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
  • 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
    • AD 架构属性所需 - msDS-ExternalDirectoryObjectId
  • 使用内部版本 1.1.1370.0 或更高版本预配代理。

注意

仅在干净安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。

默认情况下,这些权限不会应用于 AdminSDHolder 对象,请参阅 Microsoft Entra 预配代理 gMSA PowerShell cmdlet

  • 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局目录)上的一个或多个域控制器通信。
    • 全局编录查找需要筛选出无效的成员身份引用
  • 包含内部版本 2.2.8.0 或更高版本的 Microsoft Entra Connect
    • 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
    • 将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier 所需

支持的组和缩放限制

支持以下操作:

  • 仅支持云创建的安全组
  • 这些组可以有分配的组或动态成员资格组。
  • 这些组只能包含本地同步的用户和/或其他云创建的安全组。
  • 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
  • 这些组以通用 AD 组范围写回。 本地环境必须支持通用组范围。
  • 不支持超过 50,000 个成员的组。
  • 不支持超过 150,000 个对象的租户。 这意味着,如果租户具有超过 15 万个对象的用户和组的任意组合,则不支持该租户。
  • 每个直接子嵌套组计数为引用组中的一个成员
  • 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。

其他信息

下面是有关将组预配到 Active Directory 的其他信息。

  • 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
  • 这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
  • onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
  • 可以使用 Microsoft Entra 云同步 (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
  • 如果使用 Microsoft Entra Connect Sync (2.2.8.0) 同步用户,而不是使用 Microsoft Entra 云同步,并且想要使用“预配到 AD”,则必须是 2.2.8.0 或更高版本。
  • 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
  • 组预配作业计划为每 20 分钟运行一次。

更多要求

TLS 要求

注意

传输层安全性 (TLS) 是为进行安全通信提供的协议。 更改 TLS 设置会影响整个林。 有关详细信息,请参阅启用 TLS 1.1 和 TLS 1.2 作为 Windows 的 WinHTTP 中的默认安全协议的更新

托管 Microsoft Entra Connect 云预配代理的 Windows 服务器必须先启用 TLS 1.2,然后才能安装它。

若要启用 TLS 1.2,请执行下列步骤。

  1. 通过将内容复制到 .reg 文件中,然后运行该文件(右键单击并选择合并),设置以下注册表项:

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. 重新启动服务器。

防火墙和代理要求

如果服务器和 Microsoft Entra ID 之间存在防火墙,请配置以下项:

  • 确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:

    端口号 说明
    80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书。
    443 处理与服务的所有出站通信。
    8080(可选) 如果端口 443 不可用,代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态显示在 Microsoft Entra 管理中心。
  • 如果防火墙根据原始用户强制实施规则,请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。

  • 确保代理至少支持 HTTP 1.1 协议且分块编码已启用。

  • 如果防火墙或代理允许指定安全后缀,请添加连接:

URL 说明
*.msappproxy.net
*.servicebus.windows.net
代理使用这些 URL 与 Microsoft Entra 云服务通信。
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
代理使用这些 URL 与 Microsoft Entra 云服务通信。
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
代理使用这些 URL 来验证证书。
login.windows.net 在注册过程中,代理使用这些 URL。

NTLM 要求

不应在运行 Microsoft Entra 预配代理的 Windows Server 上启用 NTLM,如果已启用,应确保将其禁用。

已知限制

以下是已知的限制:

增量同步

  • 增量同步的组范围筛选不支持超过 50,000 个成员的情况。
  • 删除用作组范围筛选器一部分的组时,不会删除作为组成员的用户。
  • 重命名范围内的 OU 或组时,增量同步不会移除用户。

“预配”日志

  • 预配日志并没有清楚地区分创建和更新操作。 你可能会看到用于更新的创建操作和用于创建的更新操作。

组重命名或 OU 重命名

  • 如果重命名 AD 中某个给定配置范围内的组或 OU,云同步作业将无法识别 AD 中的名称更改。 该作业不会进入隔离状态,并且保持正常运行。

范围筛选器

使用 OU 范围筛选器时

  • 范围配置的字符长度限制为 4MB。 在标准测试的环境中,这将转换为大约 50 个单独的组织单元 (OU) 或安全组,包括给定配置的所需元数据。

  • 支持嵌套 OU(即,可以同步具有 130 个嵌套 OU 的 OU,但不能同步相同配置的 60 个单独的 OU)。

密码哈希同步

  • 不支持将密码哈希同步与 InetOrgPerson 一起使用。

后续步骤