Microsoft Entra Connect:版本发布历史记录
Microsoft Entra 团队会定期更新 Microsoft Entra Connect 的新特性和功能。 并非所有新增内容都适用于所有受众。
本文旨在帮助你跟踪已发布的版本,并了解最新版本中的具体变化。
正在查找最新版本?
重要
版本 2.3.20.0 是一个安全更新。 在此更新中,Microsoft Entra Connect 需要 TLS 1.2。 在更新到此版本之前,请确保已启用 TLS 1.2。
Windows Server 的所有版本都支持 TLS 1.2。 如果服务器上未启用 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2.0。
有关用于检查 TLS 1.2 是否已启用的 PowerShell 脚本,请参阅 用于检查 TLS 的 PowerShell 脚本
有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。 有关启用 TLS 1.2 的详细信息,请参阅如何启用 TLS 1.2。
可以从 Microsoft Entra Connect 服务器的所有受支持版本升级到最新版本:
可以从 Microsoft 下载中心下载最新版本的 Microsoft Entra Connect 2.x。 请参阅最新版本的发行说明。
通过复制此 URL (https://aka.ms/aadconnectrss
) 并粘贴到 订阅源阅读器中,获取有关何时重新访问此页以获得更新的通知。
下表列出了相关主题:
主题 | 详细信息 |
---|---|
从 Microsoft Entra Connect 升级的步骤 | 从旧版本升级到最新版 Microsoft Entra Connect 的不同方法。 |
所需的权限 | 有关应用更新时所需的权限,请参阅 Microsoft Entra Connect:帐户和权限。 |
Microsoft Entra Connect 1.x 版本无法正常运行
重要
所有 Microsoft Entra Connect Sync 1.x 版本不受支持并且同步无法正常运行。 使用云同步或受支持版本的 Microsoft Entra Connect 2.x 的客户仍可完全正常运行。 有关停用所有 1.x 版本的详细信息,请参阅停用 Azure AD Connect V1。
停用 Microsoft Entra Connect 2.x 版本
重要
Microsoft Entra Connect Sync 2.x 版本从比它更新的版本的发布日期起停用 12 个月。 这项政策已于 2023 年3 月 15 日生效。
对于新安装,请始终安装最新版本。 对于升级,请确保在停用当前版本之前升级到最新版本。
版本 | 支持结束日期 |
---|---|
2.2.1.0 | 2024 年 10 月 11 日(2.2.8.0 发布后的 12 个月) |
2.2.8.0 | 2024 年 12 月 12 日(2.3.2.0 发布后的 12 个月) |
2.3.2.0 | 2025 年 2 月 21 日(2.3.6.0 发布后的 12 个月) |
2.3.6.0 | 2025 年 4 月 1 日(2.3.8.0 发布后的 12 个月) |
2.3.8.0 | 2025 年 7 月 25 日(2.3.20.0 发布后的 12 个月) |
2.3.20.0 | 2025 年 10 月 7 日(2.4.18.0 发布后的 12 个月) |
2.4.18.0 | 2025 年 10 月 9 日(2.4.21.0 发布后的 12 个月) |
2.4.21.0 | 2025 年 11 月 15 日(2.4.27.0 发布后的 12 个月) |
2.4.27.0 | TBD |
不支持所有其他版本
如果运行已停用的 Microsoft Entra Connect 版本,它可能会意外停止工作。 你还可能没有最新的安全修补程序、性能改进、故障排除以及诊断工具和服务增强功能。 如果你需要支持,我们可能无法为你提供组织所需的服务级别。
若要详细了解 2.x 版本中发生的更改以及这些更改对你产生的影响,请参阅 Microsoft Entra Connect v2。
若要详细了解如何将 Microsoft Entra Connect 升级到最新版本,请参阅 Microsoft Entra Connect:从旧版升级到最新版本。
有关已停用版本的版本历史记录信息,请参阅 Microsoft Entra Connect:版本发行历史记录存档。
注意
发布新版本的 Microsoft Entra Connect 需要几个质量控制步骤以确保服务的操作功能。 在完成此过程时,新版本的版本号和版本状态将更新,以反映最新状态。
并非所有版本的 Microsoft Entra Connect 都可用于自动升级。 版本状态将指示版本是否可用于自动升级或仅供下载。 如果在 Microsoft Entra Connect 服务器上启用了自动升级,那么该服务器将自动升级到针对自动升级发布的最新版 Microsoft Entra Connect。 并非所有 Microsoft Entra Connect 配置都有资格进行自动升级。
自动升级是指推送所有重要的更新和关键修复程序。 这不一定是最新版本,因为并非所有版本都要求或包括对严重安全问题的修复。 (此示例只是众多示例中的一个。)关键问题通常可通过自动升级所提供的新版本来解决。 如果没有此类问题,则不会通过使用自动升级来推送更新。 通常,使用最新的自动升级版本应该不会有问题。
如果需要所有最新功能和更新,请查看此页并安装所需的版本。
若要了解有关自动升级的详细信息,请参阅 Microsoft Entra Connect:自动升级。
2.4.27.0
版本状态
2024/11/14:发布以供下载
更新后的功能
- Microsoft Entra Connect 随附的 SQL 相关驱动程序已更新至 OLE DB 18.7.4 版本。
Bug 修复
- 修复了 Privileged Identity Management (PIM)、Microsoft Entra 角色以及适用于组的 PIM 的相关问题,以验证 PIM 已启用以及用户已启用了混合标识管理员角色。
- 修复了在非 ADFS 服务器上安装 Connect Sync 时 AD FS 命令失败的问题。
2.4.21.0
版本状态
2024/10/09:已发布供下载
Bug 修复
- 修复了非商业云的问题。
2.4.18.0
版本状态
2024/10/7:已发布,可供下载
更新后的功能
- 连接同步向导中的“连接到 Microsoft Entra ID”步骤在将你重定向到登录页面之前不需要密码。
- 更新的默认规则:将“onPremisesObjectIdentifier”属性添加到“来自 AD - 已启用用户帐户”同步规则。
- 在应用场景中:
- 同一用户的用户信息分布在不同的森林中
- 如果用户在其中一个林中被禁用,则添加此规则将允许同步从已启用的用户那里选择 onPremisesObjectIdentifier 属性。
- 在应用场景中:
- 如果需要,此注册表项更改现在允许将自定义规则的优先级数设置为超过 100。 可以使用键 HLKM:\SOFTWARE\Microsoft\Azure AD Connect\FirstStandardRulePrecedence 设置第一个标准规则的优先级,以允许更多自定义规则。 如果没有设置值,则默认值为 100。
- ADSync PowerShell 模块中修改 Microsoft Entra ID 设置的 Cmdlet 现在需要 Microsoft Entra ID 登录。
已弃用的功能
- 用于根据架构验证对象的功能已弃用,并且不再在 Synchronization Service Manager 中可用。
- “enableldap”命令行(预览版)功能已弃用,运行向导时不再可用。
杂项
- 最低 .NET 运行时要求已增加到 4.7.2。
- 品牌更新以匹配 Microsoft Entra ID 品牌。
缺陷修复
- 改进了向导体验,确保在进入向导的下一步之前必须完成域验证。
- 改进了提取林中的域列表时的错误消息
- 修复了导致使用现有数据库进行安装与启用“密码写回”不兼容的错误。
- 修复了将 NTLM 设置为“全部拒绝”时可能出现的 ADConnectivityTool 模块凭据问题。
- 修复了有关提示企业管理员时可能发生的本地化字符串错误。
- 修复了重新运行向导时显示初始 OU 配置而不是正确配置的问题。
- 修复了由于特殊 Unicode 字符导致字符串比预期长时同步期间可能发生的错误。
- 修复了由于 AD FS 配置设置中的空证书而导致向导安装挂起的错误。
- 修复了尝试获取服务帐户时自动升级可能失败的问题。
- 修复了当联接规则包含带连字符的属性名称时可能发生的错误。
- 改进了当 TLS 设置不满足先决条件时向导中的错误消息。
- 修复了更改 SMART CARD REQUIRED 位标志时密码哈希不同步的错误。 此修复现在将允许 Microsoft Entra ID 和 Active Directory 中的密码在使用智能卡作为身份验证方法的情况下同步。 了解详细信息
- 修复了某些云的自动升级终结点配置不正确的错误。
- 修复了尝试获取服务帐户时自动升级可能失败的问题。
2.3.20.0
重要
版本 2.3.20.0 是一个安全更新。 在此更新中,Microsoft Entra Connect 需要 TLS 1.2。 在更新到此版本之前,请确保已启用 TLS 1.2。
Windows Server 的所有版本都支持 TLS 1.2。 如果服务器上未启用 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2.0。
有关用于检查 TLS 1.2 是否已启用的 PowerShell 脚本,请参阅 用于检查 TLS 的 PowerShell 脚本
有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。 有关启用 TLS 1.2 的详细信息,请参阅如何启用 TLS 1.2。
版本状态
2024/7/15:发布以供下载
功能性更改
- Microsoft Entra Connect 需要 TLS 1.2 或更高版本。 请参阅指南的先决条件:Microsoft Entra Connect:先决条件和硬件 - Microsoft Entra ID | Microsoft Learn
- Microsoft Entra Connect 支持 TLS 1.3。 正在为 Microsoft Entra ID 服务推出对 TLS 1.3 的支持,但在此过程完成之前,不建议强制实施 TLS 1.3。
其他更改
- Microsoft Entra Connect 随附的 SQL 相关驱动程序已更新。 ODBC 到 17.10.6,OLE DB 到 18.7.2。
- 更改了 SSPR 处理以减少同步周期中的 SQL 死锁。
- 更改了讲述人将阅读向导中的哪些元素,以改进辅助功能。
- Microsoft Entra Connect 图标品牌打造
2.3.8.0
版本状态
2024 年 4 月 1 日:已发布,可供下载
缺陷修复
- Microsoft Entra Connect Health 已更新为 4.5.2466.0,以解决某些云中可能发生的终结点发现问题。
2.3.6.0
版本状态
2024 年 2 月 21 日:已发布,可供下载和自动升级。
Bug 修复:
- 改进了自动升级检测。 如果检测到计算机不满足 OS 或 .NET 运行时要求,则自动升级将不再重试。
2.3.2.0
版本状态
2023/12/12:已发布,可供下载
功能性更改
- 已添加具有 Windows 辅助功能字体大小设置的应用程序缩放。
- 无法再启用组写回 V2,因为该功能即将停用。 请参阅本文中关于组写回的通知。
其他更改
- Microsoft Entra Connect 随附的 SQL 相关驱动程序已更新。 ODBC 至 17.10.5,OLE DB 至 18.6.7。
- Microsoft Entra Connect 随附的 Microsoft Entra Connect Health 已更新至 4.5.2428.0。
- 修复了中国区 Azure 的 DSSO 错误
2.2.8.0
发布状态
2023/10/11:已发布,可供下载
功能性更改
- 属性 onPremisesObjectIdentifier 已添加到默认同步规则。 Microsoft Entra Cloud Sync 的组预配到 AD 功能需要此属性。
- 最低 .NET 运行时要求已增加到 4.7.1。
缺陷修复
- 对升级和自动升级组件的改进。
- 修复了在同一同步周期中处理删除属于不同域的组和成员时阻止取消预配组的问题。
2.2.1.0
版本状态
2023/6/19:已发布供下载。
功能性更改
- 我们使用自定义同步规则为租户启用了自动升级。 请注意,已删除(未禁用)的默认规则将在自动升级后重新创建并启用。
- 我们在安装中添加了 Microsoft Entra Connect 代理更新程序服务。 此新服务将用于将来的自动升级。
- 我们从安装中删除了 Synchronization Service WebService Connector Config 程序。
- 默认同步规则“In from AD – User Common”已更新为流动 employeeType 属性。
缺陷修复
- 我们对辅助功能进行了改进。
- 我们让用户可在更多位置访问 Microsoft 隐私声明。
2.1.20.0
版本状态:
2022/11/9:已发布,可供下载
Bug 修复
- 我们修复了新的 employeeLeaveDateTime 属性在版本 2.1.19.0 中未正确同步的 bug。 请注意,如果规则中已使用了不正确的属性,则必须使用新属性更新规则,并且必须使用“Remove-ADSyncCSObject”cmdlet 删除 Microsoft Entra 连接器空间中具有不正确属性的任何对象,然后必须运行完全同步周期。
2.1.19.0
版本状态:
2022/11/2:已发布,可供下载
功能性更改
- 我们添加了一个新属性“employeeLeaveDateTime”,用于同步到 Microsoft Entra ID。 若要详细了解如何使用此属性来管理用户的生命周期,请参阅此文
缺陷修复
- 我们修复了以下 bug:Microsoft Entra Connect 密码写回停止,错误代码为“SSPR_0029 ERROR_ACCESS_DENIED”
2.1.18.0
版本状态:
2022/10/5/:已发布,可供下载
Bug 修复
- 修复了 IsMemberOfLocalGroup 枚举导致的从版本 1.6 升级到版本 2.1 时卡在循环中的 bug。
- 修复了 Microsoft Entra Connect 配置向导在验证企业管理员时发送不正确的凭据(用户名格式)的 bug。
2.1.16.0
版本状态
2022 年 8 月 2 日:已发布,可供下载并进行自动升级。
Bug 修复
- 修复了服务帐户采用“UPN”格式时自动升级失败的 bug。
2.1.15.0
版本状态
2022 年 7 月 6 日:已发布,可供下载,即将可用于自动升级。
重要
我们在 Microsoft Entra Connect 管理员代理中发现了一个安全漏洞。 如果之前安装了管理员代理,请务必将 Microsoft Entra Connect 服务器更新到此版本以缓解漏洞。
功能性更改
- 已从 Microsoft Entra Connect 中删除了管理员代理的公共预览版功能。 以后将不再提供此功能。
- 添加了对两个新属性的支持:employeeOrgDataCostCenter 和employeeOrgDataDivision。
- 向 Microsoft Entra 连接器静态架构添加了 CertificateUserIds 属性。
- 如果缺少写入事件日志权限,Microsoft Entra Connect 向导现在将中止。
- 更新了 Microsoft Entra Connect 运行状况终结点以支持美国政府云。
- 添加了新的 cmdlet“Get-ADSyncToolsDuplicateUsersSourceAnchor 和 Set-ADSyncToolsDuplicateUsersSourceAnchor”来修复批量“源定位点已更改”错误。 将具有重复用户对象的新林添加到 Microsoft Entra Connect 时,这些对象会遇到批量“源定位点已更改”错误。 这是由于 msDsConsistencyGuid 和 ImmutableId 不匹配而发生的。 有关此模块和新 cmdlet 的详细信息,请参阅本文。
Bug 修复
- 修复了在某些区域设置中阻止 localDB 升级的 bug。
- 修复了一个 bug,以防止在使用 localDB 时损坏数据库。
- 在连接日志中添加了超时和大小限制错误。
- 修复了一个 bug,即如果子域中一个与父域用户同名的用户恰好是企业管理员,则组成员身份失败。
- 更新了“In from Microsoft Entra ID - Group SOAInAAD”规则中使用的表达式,将描述属性限制为 448 个字符。
- 进行了一项更改,为密码重置的“未过期密码”设置了扩展权限。
- 修改了 AD 连接器升级以刷新架构 - 升级期间不再在向导中显示已构造和非复制的属性。
- 修复了 ADSyncConfig 函数 ConvertFQDNtoDN 和 ConvertDNtoFQDN 中的一个 bug - 如果用户决定设置名为“$dn”或“$fqdn”的变量,这些变量将不再在脚本范围内使用。
- 我们修复了以下辅助功能:
- 修复了一个 bug,即在“域和 OU 筛选”页面上的键盘导航期间焦点丢失。
- 更新了“清除运行”下拉菜单的可访问名称。
- 我们修复了一个 bug,即如果使用箭头键导航,则无法通过键盘访问“帮助”按钮的工具提示。
- 修复了一个 bug,即向导的欢迎页上缺少超链接下划线。
- 我们修复了 Sync Service Manager “关于”对话框中的一个 bug,即屏幕阅读器没有公布“关于”对话框下显示的数据的相关信息。
- 我们修复了一个 bug,即如果在验证 MA 名称时发生错误,日志中未提及管理代理名称。
- 修复了键盘导航和自定义控件类型修补程序的几个可访问性问题。 “帮助”按钮的工具提示不会因按“Esc”键折叠。 “用户登录”单选按钮上有一个不合逻辑的键盘焦点,帮助弹出窗口上有一个无效的控件类型。
- 修复了一个 bug,即空标签导致出现可访问性错误。
2.1.1.0
版本状态
2022/3/24:已发布,仅供下载,不可用于自动升级
Bug 修复
- 修复了某些同步规则函数未正确分析代理项对的问题。
- 修复了在某些情况下,同步模型由于模型 db 损坏而无法启动的问题。 可以在本文中了解有关模型 db 损坏问题的详细信息
2.0.91.0
版本状态
2022/1/19:已发布,仅供下载,不可用于自动升级
功能性更改
- 我们已将此版本中的 Microsoft Entra Connect Health 组件从版本 3.1.110.0 更新到版本 3.2.1823.12。 此新版本使 Microsoft Entra Connect Health 组件符合美国联邦信息处理标准 (FIPS) 要求。
2.0.89.0
版本状态
2021/12/22:已发布,仅供下载,不可用于自动升级
Bug 修复
- 修复了版本 2.0.88.0 中的一个 bug,即在某些情况下,已禁用的用户的链接邮箱和某些资源对象的邮箱被删除。
- 解决了在将 SQL localdb 和 VSA 服务帐户与 ADSync 一起使用时,将导致无法升级到 Microsoft Entra Connect 版本 2. x 的问题。
2.0.88.0
注意
此版本需要 Windows Server 2016 或更高版本。 它修复了 Microsoft Entra Connect 版本 2.0 中出现的漏洞以及其他 bug 修复和次要功能更新。
发布状态
2021 年 12 月 15 日:已发布,仅供下载,不可用于自动升级
Bug 修复
- 我们已将 Microsoft.Data.OData 的版本从 5.8.1 升级到 5.8.4 来修复漏洞。
- 辅助功能修复:
- 对 Microsoft Entra Connect 向导进行了大小调整,以适应不同的缩放级别和屏幕分辨率。
- 对元素进行了命名,以满足辅助功能要求。
- 修复了 miisserver 因空引用而失败的 bug。
- 修复了一个 bug,现可确保在将 Microsoft Entra Connect 升级到较新版本之后,桌面 SSO 值仍然存在。
- 修改了 inetorgperson 同步规则来解决帐户/资源林的问题。
- 修复了单选按钮测试,现可显示“链接更多”链接。
功能性更改
- 组写回 DN 经过更改现可使用同步组的显示名称进行配置。
- 删除了启用组写回时 exchange 架构的硬性要求。
- Microsoft Entra Kerberos 更改:
- 扩展了 PowerShell 命令,创建可信对象时支持自定义顶级名称。
- 进行了一项更改,现可设置 Microsoft Entra Kerberos 功能的官方品牌名称。
1.6.16.0
注意
这是 Microsoft Entra Connect 的更新版本。 此版本旨在供运行较旧版本的 Windows Server,并且目前无法将其服务器升级到 Windows Server 2016 或更高版本的客户使用。 不能使用此版本更新 Microsoft Entra Connect V2.0 服务器。
请勿在 Windows Server 2016 或更高版本上安装此版本。 此版本包括 SQL Server 2012 组件,将于 2022 年 8 月 31 日停用。 需要在该日期之前升级服务器 OS 和 Microsoft Entra Connect 版本。
升级到此 V1.6 内部版本或任何较新的内部版本时,组成员身份限制将重置为 50,000。 将服务器升级到此内部版本或任何较新的 1.6 内部版本时,请在启用服务器同步之前,重新应用你在最初将组成员限制增加到 250,000 时应用的规则更改。
版本状态
2021 年 10 月 13 日:已发布,可供下载并进行自动升级
Bug 修复
- 修复了以下 bug:自动升级过程在尝试升级运行较旧 Windows OS 版本 2008 或 2008 R2 的 Microsoft Entra Connect 服务器时失败。 不再支持这些 Windows Server 版本。 在此版本中,我们仅尝试在运行 Windows Server 2012 或更高版本的计算机上自动升级。
- 修复了在某些情况下 miisserver 会因访问权限冲突异常而崩溃的问题。
已知问题
升级到此 V1.6 内部版本或任何较新的内部版本时,组成员身份限制将重置为 50,000。 将服务器升级到此内部版本或任何较新的 1.6 内部版本时,请在启用服务器同步之前,重新应用你在最初将组成员限制增加到 250,000 时应用的规则更改。
2.0.28.0
注意
这是 Microsoft Entra Connect 的维护更新版本。 需要 Windows Server 2016 或更高版本。
版本状态
2021 年 9 月 30 日:已发布,仅供下载,不可用于自动升级
Bug 修复
在向导的“组写回权限”页上删除了 PowerShell 脚本的下载按钮。 还更改了向导页面上的文本,现在包括一个“了解详细信息”链接,该链接指向的在线文章包含 PowerShell 脚本。
修复了以下 Bug:当服务器上的 .NET 版本高于 4.6 时,由于缺少注册表项,向导会错误地阻止安装。 这些注册表项不是必需的,并且应仅在有意设置为 false 时阻止安装。
修复了在同步步骤初始化过程中发现虚拟对象时会引发错误的 bug。 此 bug 阻止了同步步骤或删除了暂时性对象。 现在将忽略虚拟对象。
虚拟对象是不存在或尚未看到的对象的占位符。 例如,如果源对象具有对不存在的目标对象的引用,则可将目标对象创建为虚拟对象。
功能性更改
进行了一项更改,允许用户从包含列表中取消选择对象和属性,即使这些对象和属性正在使用中。 我们现在会提供警告,而不是阻止此操作。
1.6.14.2
注意
这是 Microsoft Entra Connect 的更新版本。 此版本旨在供运行较旧版本的 Windows Server,并且目前无法将其服务器升级到 Windows Server 2016 或更高版本的客户使用。 不能使用此版本更新 Microsoft Entra Connect V2.0 服务器。
当此版本可供下载时,我们将开始自动升级符合条件的租户。 自动升级需要几周才能完成。
升级到此 V1.6 内部版本或任何较新的内部版本时,组成员身份限制将重置为 50,000。 将服务器升级到此内部版本或任何较新的 1.6 内部版本时,请在启用服务器同步之前,重新应用你在最初将组成员限制增加到 250,000 时应用的规则更改。
版本状态
2021 年 9 月 21 日:已发布,可供下载并进行自动升级
功能性更改
- 添加了最新版本的 Microsoft Identity Manager (MIM) 连接器 (1.1.1610.0)。 有关详细信息,请参阅 MIM 连接器的“发布历史记录”页。
- 我们添加了一个配置选项来禁用 Microsoft Entra Connect 中的软匹配功能。 建议禁用软匹配,除非需要它接管仅云帐户。 若要禁用软匹配,请参阅此参考文章。
Bug 修复
- 修复了从以前的版本升级之后未保留桌面单一登录设置的 bug。
- 修复了导致 Set-ADSync*Permission 失败的 bug。
2.0.25.1
注意
这是 Microsoft Entra Connect 的修补程序更新版本。 此版本需要 Windows Server 2016 或更高版本。 它修复了 Microsoft Entra Connect 版本 2.0 中的安全问题,并包括其他 bug 修补程序。
发布状态
2021 年 9 月 14 日:已发布,仅供下载,不可用于自动升级
缺陷修复
- 修复了使用未加引号的路径指向 Microsoft Entra Connect 服务的安全问题。 此路径现在为带引号的路径。
- 修复了使用现有的 Microsoft Entra 连接器帐户时启用写回的导入配置问题。
- 修复了由于继承类型无效而从 V1.6 中断的 Set-ADSyncExchangeHybridPermissions 和其他相关 cmdlet 中的问题。
- 修复了在以前版本中发布的 cmdlet(用于设置 TLS 版本)的问题。 Cmdlet 会重写键,这将销毁其中的任何值。 现在,只有在不存在键时,才会创建一个新键。 添加了一条警告,让用户了解 TLS 注册表更改不是 Microsoft Entra Connect 专用的,它可能会影响同一服务器上的其他应用程序。
- 添加了一项检查来强制要求 V2.0 升级以要求 Windows Server 2016 或更高版本的自动升级。
- 在 Set-ADSyncBasicReadPermissions cmdlet 中添加了“复制目录更改”权限。
- 我们进行了更改,以阻止将 UseExistingDatabase 和导入的配置一起使用,因为它们可能包含冲突的配置设置。
- 我们进行了更改,从而允许具有应用程序管理员角色的用户更改应用程序代理服务配置。
- 删除了“导入/导出”设置标签中的标签。 此功能已正式发布。
- 更改了一些仍称为“公司管理员”的标签。 现在使用角色名称“全局管理员”。
- 创建了新的 Microsoft Entra Kerberos PowerShell cmdlet (*-AADKerberosServer),以将声明转换规则添加到 Microsoft Entra 服务主体。
功能性更改
- 添加了最新版本的 MIM 连接器 (1.1.1610.0)。 有关详细信息,请参阅 MIM 连接器的“发布历史记录”页。
- 我们添加了一个配置选项来禁用 Microsoft Entra Connect 中的软匹配功能。 建议禁用软匹配,除非需要它接管仅云帐户。 若要禁用软匹配,请参阅此参考文章。
2.0.10.0
版本状态
2021 年 8 月 19 日:已发布,仅供下载,不可用于自动升级
注意
这是 Microsoft Entra Connect 的修补程序更新版本。 此版本需要 Windows Server 2016 或更高版本。 此修补程序解决了同时存在于 Microsoft Entra Connect 2.0 和 1.6 版本中的一个问题。 如果要在较旧的 Windows Server 上运行 Microsoft Entra Connect,应改为安装 1.6.13.0 版本。
发布状态
2021 年 8 月 19 日:已发布,仅供下载,不可用于自动升级
已知问题
在某些情况下,此版本的安装程序会显示一个错误,指出 TLS 1.2 未启用并停止安装。 这是因为代码中的错误会验证 TLS 1.2 的注册表设置。 我们会在将来的版本中改正此问题。 如果看到此问题,请按照强制 Microsoft Entra Connect 执行 TLS 1.2 中的说明启用 TLS 1.2。
Bug 修复
我们修复了以下 bug:在对域进行重命名时,密码哈希同步将失败,并且事件日志中的错误指示“指定的强制转换无效”。 这是来自早期版本的一个回归。
1.6.13.0
注意
这是 Microsoft Entra Connect 的修补程序更新版本。 此版本适用于在使用 Windows Server 2012 或 2012 R2 的服务器上运行 Microsoft Entra Connect 的客户。
2021 年 8 月 19 日:已发布,仅供下载,不可用于自动升级
Bug 修复
我们修复了以下 bug:在对域进行重命名时,密码哈希同步将失败,并且事件日志中的错误指示“指定的强制转换无效”。 这是来自早期版本的一个回归。
功能性更改
该版本中没有功能性更改。
2.0.9.0
版本状态
2021 年 8 月 17 日:已发布,仅供下载,不可用于自动升级
Bug 修复
注意
这是 Microsoft Entra Connect 的修补程序更新版本。 此版本需要 Windows Server 2016 或更高版本。 它解决了版本 2.0.8.0 中存在的问题。 Microsoft Entra Connect 版本1.6 中不存在此问题。
我们修复了一个 bug,即在同步大量密码哈希同步事务时,事件日志条目长度会超出密码哈希同步事件条目允许的最大长度。 现在我们将较长的日志条目拆分为多个条目。
2.0.8.0
注意
这是 Microsoft Entra Connect 的安全更新程序版本。 此版本需要 Windows Server 2016 或更高版本。 如果使用较旧版本的 Windows Server,请使用版本 1.6.11.3。
此版本解决了此 CVE 中所述的漏洞。 有关此漏洞的详细信息,请参阅 CVE。
若要下载最新版本的 Microsoft Entra Connect 2.0,请参阅 Microsoft 下载中心。
发布状态
2021 年 8 月 10 日:已发布,仅供下载,不可用于自动升级
功能性更改
该版本中没有功能性更改。
1.6.11.3
注意
这是 Microsoft Entra Connect 的安全更新程序版本。 此版本旨在供运行较旧版本的 Windows Server,并且目前无法将其服务器升级到 Windows Server 2016 或更高版本的客户使用。 不能使用此版本更新 Microsoft Entra Connect V2.0 服务器。
此版本解决了此 CVE 中所述的漏洞。 有关此漏洞的详细信息,请参阅 CVE。
版本状态
2021 年 8 月 10 日:已发布,仅供下载,不可用于自动升级
功能性更改
该版本中没有功能性更改。
2.0.3.0
注意
这是 Microsoft Entra Connect 的主要版本。 有关详细信息,请参阅 Microsoft Entra Connect V2.0 简介。
发布状态
2021 年 7 月 20 日:已发布,仅供下载,不可用于自动升级
功能性更改
- 我们已将 SQL Server 的 LocalDB 组件升级到 SQL 2019。
- 此版本需要 Windows Server 2016 或更高版本,这是 SQL Server 2019 的要求。 不支持在 Microsoft Entra Connect 服务器上就地升级 Windows Server。 出于此原因,可能需要使用交叉迁移。
- 此版本强制使用 TLS 1.2。 如果对 Windows Server 启用了 TLS 1.2,则 Microsoft Entra Connect 会使用此协议。 如果在服务器上未启用 TLS 1.2,则当你尝试安装 Microsoft Entra Connect 时,你将看到一条错误消息。 只有启用了 TLS 1.2,才能继续安装。 可使用新的“Set-ADSyncToolsTls12”cmdlet 在服务器上启用 TLS 1.2。
- 我们在此版本中进行了一项更改,现在可在安装 Microsoft Entra Connect 时使用混合标识管理员角色进行身份验证。 不再需要使用全局管理员角色。
- 我们已将 Visual C++ 运行时库升级到版本 14(这是 SQL Server 2019 的先决条件)。
- 我们更新了此版本以使用 Microsoft 身份验证库进行身份验证。 删除了旧的 Azure AD 身份验证库,该库将于 2022 年停用。
- 按照 Windows 安全指南,我们不再对 AdminSDHolders 应用权限。 在 ADSyncConfig.psm1 模块中,我们已将参数“SkipAdminSdHolders”更改为“IncludeAdminSdHolders”。
- 我们进行了更改,现在即使密码未过期也可重新进行评估,而不管密码本身是否发生了更改。 如果用户的密码设置为“下次登录时必须更改密码”,并且清除了此标志(“未过期”密码),则未过期状态和密码哈希将同步到 Microsoft Entra ID。 在 Microsoft Entra ID 中,当用户尝试登录时,他们可以使用未过期的密码。 若要将过期密码从 Active Directory 同步到 Microsoft Entra ID,请使用 Microsoft Entra Connect 中的同步临时密码功能。 需要启用密码写回才能使用此功能,因此,用户更新的密码也会写回到 Active Directory。
- 我们在 ADSyncTools 模块添加了两个新 cmdlet,以便从 Windows Server 启用或检索 TLS 1.2 设置:
- Get-ADSyncToolsTls12
- Set-ADSyncToolsTls12
可以使用这些 cmdlet 检索 TLS 1.2 启用状态,或根据需要进行设置。 必须在服务器上启用 TLS 1.2,Microsoft Entra Connect 的安装才能成功。
我们通过几个新的和改进的 cmdlet 改造了 ADSyncTools。 ADSyncTools 一文包含有关这些 cmdlet 的更多详细信息。 新增或更新了以下 cmdlet:
- Clear-ADSyncToolsMsDsConsistencyGuid
- ConvertFrom-ADSyncToolsAadDistinguishedName
- ConvertFrom-ADSyncToolsImmutableID
- ConvertTo-ADSyncToolsAadDistinguishedName
- ConvertTo-ADSyncToolsCloudAnchor
- ConvertTo-ADSyncToolsImmutableID
- Export-ADSyncToolsAadDisconnectors
- Export-ADSyncToolsObjects
- Export-ADSyncToolsRunHistory
- Get-ADSyncToolsAadObject
- Get-ADSyncToolsMsDsConsistencyGuid
- Import-ADSyncToolsObjects
- Import-ADSyncToolsRunHistory
- Remove-ADSyncToolsAadObject
- Search-ADSyncToolsADobject
- Set-ADSyncToolsMsDsConsistencyGuid
- Trace-ADSyncToolsADImport
- Trace-ADSyncToolsLdapQuery
现在可使用 V2 终结点进行导入和导出。 修复了 Get-ADSyncAADConnectorExportApiVersion cmdlet 中的问题。 有关 V2 终结点的详细信息,请参阅 Microsoft Entra Connect 同步 V2 终结点。
我们添加了以下新用户属性,以从本地 Active Directory 同步到 Microsoft Entra ID:
- employeeType
- employeeHireDate
注意
Active Directory 中没有对应的 EmployeeHireDate 或 EmployeeLeaveDateTime 特性。 如果要从本地 AD 导入,则需要标识 AD 中可以使用的特性。 此特性必须是字符串。 有关详细信息,请参阅同步生命周期工作流属性
此版本需要在 Windows Server 上安装 PowerShell 版本 5.0 或更高版本。 此版本是 Windows Server 2016 和更高版本的一部分。
我们通过新 V2 终结点将组同步成员身份限制增加到了 250,000。
我们将泛型 LDAP 连接器和泛型 SQL 连接器更新到了最新版本。 如需了解有关这些连接器的详细信息,请参阅以下内容的参考文档:
在 Microsoft 365 管理中心,每当对 Microsoft Entra ID 进行导出活动时,我们现在都会报告 Microsoft Entra Connect 客户端版本。 此报告可确保 Microsoft 365 管理中心始终具有最新 Microsoft Entra Connect 客户端版本,并且在使用过时版本时可以检测到。
缺陷修复
- 我们修复了一个辅助功能 bug,其中屏幕阅读器宣布“了解详细信息”链接的角色不正确。
- 我们修复了一个 bug,其中具有大优先级值(例如 387163089)的同步规则会导致升级失败。 我们更新了存储过程“mms_UpdateSyncRulePrecedence”,以便在递增值之前将优先级数字强制转换为整数。
- 我们修复了一个 bug,其中如果导入组写回配置,则不会在同步帐户上设置组写回权限。 如果对导入的配置启用了组写回,我们现在会设置组写回权限。
- 我们将 Microsoft Entra Connect Health 代理版本更新到 3.1.110.0 以修复安装失败。
- 在配置目录扩展属性的导出配置中,我们遇到了非默认属性的问题。 在将这些配置导入到新服务器或安装的过程中,目录扩展配置步骤会重写属性包含列表。 因此,导入之后,同步服务管理器中将仅选择默认属性和目录扩展属性。 安装中不包括非默认属性,因此如果用户想要导入的同步规则运行,则必须从同步服务管理器中手动重新启用它们。 现在,我们会在配置目录扩展之前刷新 Microsoft Entra 连接器,以保留属性包含列表中的现有属性。
- 我们修复了一个辅助功能问题,其中页眉的字体粗细设置为“细”。 对于页面标题,字体粗细现在设置为“粗体”,这适用于所有页面的页眉。
- 我们已将 ADSyncSingleObjectSync.ps1 中的 Get-AdObject 函数重命名为 Get-AdDirectoryObject,以防止 Active Directory cmdlet 出现歧义。
- 我们删除了允许存在重复规则优先级的条件。 SQL 函数“mms_CheckSynchronizationRuleHasUniquePrecedence”允许不同连接器上的出站同步规则具有重复的优先顺序。
- 我们修复了以下 bug:如果属性流数据为 null,则单对象同步 cmdlet 会失败。 例如,导出删除操作。
- 我们修复了一个 bug,其中因为无法启动 ADSync 启动服务,安装会失败。 现在,我们先将同步服务帐户添加到本地内置用户组,然后再开始启动服务。
- 我们修复了一个辅助功能问题,即 Microsoft Entra Connect 向导上的活动选项卡在高对比度主题中未显示正确的颜色。 由于常规颜色代码配置中缺少条件,因此覆盖了选定颜色代码。
- 我们解决了一个问题,其中允许用户使用 UI 和 PowerShell 取消选择同步规则中使用的对象和属性。 如果尝试取消选择任何同步规则中使用的任何属性或对象,我们现在会显示友好的错误消息。
- 我们对“迁移设置代码”进行了一些更新,以便在较旧版本的 Microsoft Entra Connect 上运行脚本时检查并修复后向兼容性问题。
- 修复了 PHS 尝试查找不完整的对象时出现的 bug。 它不使用相同的算法来解析 DC,因为它最初用于提取密码。 具体而言,它会忽略关联 DC 信息。 不完整的对象查找应使用相同逻辑来查找两个实例中的 DC。
- 我们修复了一个 bug,即基于 Microsoft Entra Connect 客户端标识符直接调用 Microsoft Graph 时存在权限问题,导致 Microsoft Entra Connect 无法使用 Microsoft Graph 读取应用程序代理项。 为解决此问题,我们删除了 Microsoft Graph 的依赖项,改为使用 Azure AD PowerShell 来处理应用程序代理应用程序对象。
- 我们从“Out to AD - Group SOAInAAD Exchange”同步规则中删除了写回成员限制。
- 修复了更改连接器帐户权限时出现的 Bug。 如果某个对象所在的范围自上次增量导入后尚未发生更改,则增量导入不会导入该对象。 现在会显示一条警告,提醒了此问题。
- 我们修复了屏幕阅读器未阅读单选钮位置的辅助功能问题。 我们将位置文本添加到了单选按钮辅助功能文本字段。
- 我们更新了直通身份验证代理捆绑包。 在 US Gov 中,较旧的捆绑包没有适用于 HIP 第一方应用程序的正确答复 URL。
- 我们修复了一个 bug,即在使用现有数据库全新安装 Microsoft Entra Connect 版本 1.6.X.X(默认为使用 DirSyncWebServices API V2)后,Microsoft Entra 连接器导出上会出现“stopped-extension-dll-exception”错误。 以前,仅针对升级操作才将导出版本设置为 V2。 我们现在已将其改为在全新安装时设置。
- 我们从安装中删除了不再使用的 ADSyncPrep.psm1 模块。
已知问题
- Microsoft Entra Connect 向导将“导入同步设置”选项显示为“预览版”,而此功能已正式发布。
- 使用迁移设置脚本的输出安装产品时,某些 Active Directory 连接器可能会按不同顺序进行安装。
- Microsoft Entra Connect 向导中的“用户登录”选项页提到“公司管理员”。 此术语不再使用,需要替换为“全局管理员”。
- 当“登录”选项已配置为使用 PingFederate 时,“导出设置”选项会受损。
- 尽管 Microsoft Entra Connect 现在可以使用混合标识管理员角色进行部署,但配置自助服务密码重置、Passthru 身份验证或单一登录仍需要具有全局管理员角色的用户。
- 在部署期间导入 Microsoft Entra Connect 配置以便与原始 Microsoft Entra Connect 配置之外的不同租户进行连接时,目录扩展属性配置不正确。
1.6.4.0
注意
Microsoft Entra Connect 同步 V2 终结点 API 目前适用于以下 Azure 环境:
- Azure 商业版
- 由世纪互联运营的 Microsoft Azure
- Azure 美国政府云
此版本在 Azure 德国云中将不可用。
版本状态
2021 年 3 月 31 日:已发布,仅供下载,不可用于自动升级
Bug 修复
此版本修复了版本 1.6.2.4 中出现的 Bug。 升级到该版本后,Microsoft Entra Connect Health 功能未正确注册,无法正常运行。 如果部署了版本 1.6.2.4,请将 Microsoft Entra Connect 服务器与此版本一起更新,以正确注册 Health 功能。
1.6.2.4
重要
2021 年 3 月 30 日更新:我们在此版本中发现一个问题。 安装此版本后,未注册 Health 服务。 建议不要安装此版本。 我们很快就会发布修补程序。 如果已安装此版本,则可使用 Microsoft Entra Connect Health 代理安装中所示的 cmdlet 手动注册 Health 服务。
- 此版本仅可供下载。
- 升级到此版本将需要完全同步,因为同步规则发生了更改。
- 此版本将 Microsoft Entra Connect 服务器默认设置为新的 V2 终结点。
发布状态
2021 年 3 月 19 日:已发布,可供下载,不可用于自动升级
功能性更改
更新了默认同步规则,以将写回组中的成员身份限制为 50,000 个成员。
- 添加了新的默认同步规则,用于限制组写回(Out to AD - 组写回成员限制)和组同步到 Microsoft Entra ID(Out to Microsoft Entra ID - 组补写成员限制)组中的成员身份计数。
- 将成员属性添加到了“Out to AD - Group SOAInAAD - Exchange”规则,以将写回组中的成员限制为 50,000。
更新了同步规则以支持组写回 V2:
- 如果克隆“In from Microsoft Entra ID - Group SOAInAAD”规则并升级 Microsoft Entra Connect:
- 默认情况下,会禁用更新的规则,因此 targetWritebackType 将为 null。
- Microsoft Entra Connect 将写回所有云组(包括为写回启用的 Microsoft Entra 安全组)作为通讯组。
- 如果克隆“Out to AD - Group SOAInAAD”规则并升级 Microsoft Entra Connect:
- 默认情况下,将禁用更新的规则。 会启用添加的新同步规则“Out to AD - Group SOAInAAD - Exchange”。
- 根据克隆的自定义同步规则的优先级,Microsoft Entra Connect 将遵循 Mail 和 Exchange 属性。
- 如果克隆的自定义同步规则不遵循某些 Mail 和 Exchange 属性,则“新建 Exchange 同步规则”将添加这些属性。
- 如果克隆“In from Microsoft Entra ID - Group SOAInAAD”规则并升级 Microsoft Entra Connect:
添加了对选择性密码哈希同步的支持。
添加了新的单对象同步 cmdlet。 使用此 cmdlet 对 Microsoft Entra Connect 同步配置进行故障排除。
Microsoft Entra Connect 现在支持用于配置服务的混合标识管理员角色。
我们已将 Microsoft Entra Connect Health 代理更新为 3.1.83.0。
引入了新版本的 ADSyncTools PowerShell 模块,其中包含多个新的或改进的 cmdlet:
- Clear-ADSyncToolsMsDsConsistencyGuid
- ConvertFrom-ADSyncToolsAadDistinguishedName
- ConvertFrom-ADSyncToolsImmutableID
- ConvertTo-ADSyncToolsAadDistinguishedName
- ConvertTo-ADSyncToolsCloudAnchor
- ConvertTo-ADSyncToolsImmutableID
- Export-ADSyncToolsAadDisconnectors
- Export-ADSyncToolsObjects
- Export-ADSyncToolsRunHistory
- Get-ADSyncToolsAadObject
- Get-ADSyncToolsMsDsConsistencyGuid
- Import-ADSyncToolsObjects
- Import-ADSyncToolsRunHistory
- Remove-ADSyncToolsAadObject
- Search-ADSyncToolsADobject
- Set-ADSyncToolsMsDsConsistencyGuid
- Trace-ADSyncToolsADImport
- Trace-ADSyncToolsLdapQuery
更新了令牌获取失败的错误日志记录。
更新了配置页上的“了解更多”链接,以便更详细地了解链接的信息。
已从旧的同步 UI 的 CS 搜索页删除显式列。
已向组写回流中添加了 UI,以提示用户输入凭据,或者在前面的步骤中未提供凭据的情况下使用 ADSyncConfig 模块配置自己的权限。
现在可以在 DC 上为 ADSync 服务帐户自动创建托管服务帐户。
现在可以在现有 cmdlet 中设置和获取 Microsoft Entra DirSync 功能组写回 V2:
- Set-ADSyncAADCompanyFeature
- Get-ADSyncAADCompanyFeature
添加了两个 cmdlet 来读取 AWS API 版本:
- Get-ADSyncAADConnectorImportApiVersion:用于获取导入 AWS API 版本
- Get-ADSyncAADConnectorExportApiVersion:用于获取导出 AWS API 版本
更新了更改跟踪,现在可跟踪对同步规则所做的更改,以帮助对服务中的更改进行故障排除。 Cmdlet Get-ADSyncRuleAudit 将检索跟踪的更改。
更新了 ADSyncConfig PowerShell 模块中的 Add-ADSyncADDSConnectorAccount cmdlet,以允许 ADSyncAdmin 组中的用户更改 Active Directory 域服务连接器帐户。
Bug 修复
- 更新了禁用的前景色,以满足对白色背景的发光度要求。 为满足亮度要求而选择了禁用的页时,在导航树中添加了用于将前景文本颜色设置为白色的其他条件。
- 增加了 Set-ADSyncPasswordHashSyncPermissions cmdlet 的粒度。
- 更新了 PHS 权限脚本 (Set-ADSyncPasswordHashSyncPermissions) 以包括可选 ADobjectDN 参数。
- 我们进行了辅助功能 bug 修复。 屏幕阅读器现在会将包含林列表的 UX 元素描述为“林列表”,而不是“Forest List 列表”。
- 在 Microsoft Entra Connect 向导中更新了某些项的屏幕阅读器输出。 更新了按钮悬停颜色以满足对比度要求。 更新了 Synchronization Service Manager 标题颜色以满足对比度要求。
- 修复了从具有自定义扩展属性的导出配置安装 Microsoft Entra Connect 时出现的问题。
- 添加了一个条件,允许在应用同步规则时,跳过在目标模式中检查扩展属性。
- 如果启用了组写回功能,则会在安装时添加适当的权限。
- 修复了导入时默认同步规则优先顺序重复问题。
- 修复了在冲突对象的 V2 API 增量导入过程中导致暂存错误的问题,该冲突对象是通过运行健康状况门户修复的。
- 修复了同步引擎中导致 Connector Spaces 对象链接状态不一致的问题。
- 已将导入计数器添加到 Get-ADSyncConnectorStatistics 输出。
- 修复了 pass2 向导期间某些极端情况中不可达域取消选择(先前已选择)的问题。
- 修改了策略导入和导出,使其在自定义规则具有重复优先顺序时失败。
- 修复了域选择逻辑中的 bug。
- 修复了版本 1.5.18.0 中使用 mS-DS-ConsistencyGuid 作为源定位点并克隆“In from AD - Group Join”规则时出现的问题。
- 新的 Microsoft Entra Connect 安装将使用存储在云中的导出删除阈值(如果有一个可用并且没有传入其他的阈值)。
- 修复了 Microsoft Entra Connect 无法读取混合连接设备的 Active Directory displayName 更改的问题。
1.5.45.0
版本状态
2020/7/29:已发布供下载
功能性更改
这是 bug 修复版本。 该版本中没有功能性更改。
已修复的问题
- 修复了在 Active Directory 中已经存在 AZUREADSSOACC 计算机帐号的情况下管理员无法启用“无缝单一登录”的问题。
- 修复了在冲突对象的 V2 API 增量导入过程中导致暂存错误的问题,该冲突对象是通过运行健康状况门户修复的。
- 修复了导入/导出配置中将禁用的自定义规则导入为启用的问题。
后续步骤
了解有关如何将本地标识与 Microsoft Entra ID 集成的详细信息。