Microsoft Entra Connect:帳戶和權限
了解所使用和建立的帳戶,以及安裝與使用 Microsoft Entra Connect 所需的權限。
針對 Microsoft Entra Connect 使用的帳戶
Microsoft Entra Connect 會使用三個帳戶,從內部部署 Windows Server Active Directory (Windows Server AD) 到 Microsoft Entra ID「同步處理資訊」:
AD DS 連接器帳戶:用來使用 Active Directory Domain Services (AD DS) 讀取和寫入資訊到 Windows Server AD。
ADSync 服務帳戶:用來執行同步處理服務,以及存取 SQL Server 資料庫。
Microsoft Entra 連接器帳戶:用來將資訊寫入到 Microsoft Entra ID。
您也需要使用下列帳戶來「安裝」Microsoft Entra Connect:
本機系統管理員帳戶:安裝 Microsoft Entra Connect 及在該電腦上具有本機系統管理員權限的系統管理員。
AD DS 企業系統管理員帳戶:選擇性地用來建立所需的 AD DS 連接器帳戶。
Microsoft Entra 混合式身分識別系統管理員帳戶:用來建立 Microsoft Entra 連接器帳戶及設定 Microsoft Entra ID。 您可以在 Microsoft Entra 系統管理中心檢視混合式身分識別系統管理員。 請參閱列出 Microsoft Entra 角色指派。
SQL SA 帳戶 (選擇性):用來在您使用完整版 SQL Server 時建立 ADSync 資料庫。 SQL Server 的執行個體可以是 Microsoft Entra Connect 本機或遠端安裝的。 此帳戶可以是與企業系統管理員帳戶相同的帳戶。
現在,如果帳戶具有資料庫擁有者 (DBO) 權限,SQL Server 系統管理員就能以頻外方式執行資料庫佈建,然後由 Microsoft Entra Connect 系統管理員進行安裝。 如需詳細資訊,請參閱使用 SQL 委派的系統管理員權限安裝 Microsoft Entra Connect。
重要
從組建 1.4.###.# 開始,您無法再使用企業系統管理員帳戶或網域系統管理員帳戶作為 AD DS 連接器帳戶。 如果您嘗試輸入企業系統管理員或網域系統管理員的帳戶來使用現有帳戶,精靈就會顯示錯誤訊息,而且您將無法繼續。
注意
您可以使用「企業存取模型」來管理 Microsoft Entra Connect 中所使用的系統管理帳戶。 組織可以使用企業存取模型,在比實際執行環境具有更強安全性控制的環境中裝載系統管理帳戶、工作站和群組。 若要了解詳細資訊,請參閱<Enterprise 存取模型>。
初始設定之後就不需要混合式身分識別管理員角色。 安裝之後,唯一所需的帳戶是目錄同步處理帳戶角色帳戶。 建議您將該角色變更為具有較低層級權限的角色,而不是移除具有混合式身分識別系統管理員角色的帳戶。 如果您需要再次執行精靈,完全移除該帳戶可能會造成問題。 如果您需要再次使用 Microsoft Entra Connect 精靈,您可以新增權限。
Microsoft Entra Connect 安裝
Microsoft Entra Connect 安裝精靈提供兩個路徑:
- 快速設定:在 Microsoft Entra Connect 快速設定中,精靈需要更多權限,以便輕鬆設定您的安裝。 精靈會建立使用者並設定權限,如此您就不需要執行此動作。
- 自訂設定:在 Microsoft Entra Connect 自訂設定中,您在精靈中有更多選擇和選項。 不過,在某些情況下,請務必確定您自己擁有正確的權限。
快速設定
在快速設定中,您要在安裝精靈中輸入此資訊:
- AD DS 企業系統管理員認證
- 提供 Microsoft Entra 混合式身分識別系統管理員憑證。
AD DS 企業系統管理員認證
AD DS 企業系統管理員帳戶可用來設定 Windows Server AD。 這些認證只會在安裝期間使用。 企業系統管理員 (而不是網域系統管理員) 應該確定可在所有網域中設定 Windows Server AD 中的權限。
如果您從 DirSync 升級,即可使用 AD DS 企業系統管理員認證來重設 DirSync 所使用帳戶的密碼。 您也必須具備 Microsoft Entra 混合式身分識別系統管理員認證。
提供 Microsoft Entra 混合式身分識別系統管理員憑證。
Microsoft Entra 混合式身分識別系統管理員帳戶的認證只會在安裝期間使用。 此帳戶可用來建立 Microsoft Entra 連接器帳戶,以將變更同步處理到 Microsoft Entra ID。 此帳戶也會啟用同步處理作為 Microsoft Entra ID 中的功能。
若要了解詳細資訊,請參閱<什麼是混合式身分識別系統管理員?>(機器翻譯)。
AD DS 連接器帳戶針對快速設定所需的權限
建立 AD DS 連接器帳戶,以讀取和寫入 Windows Server AD。 此帳戶在快速設定安裝期間建立時具有下列權限:
權限 | 用於 |
---|---|
- 複寫目錄變更 - 複寫目錄變更 (全部) |
密碼雜湊同步處理 |
讀取/寫入所有屬性 (使用者) | 匯入和 Exchange 混合 |
讀取/寫入所有屬性 (iNetOrgPerson) | 匯入和 Exchange 混合 |
讀取/寫入所有屬性 (群組) | 匯入和 Exchange 混合 |
讀取/寫入所有屬性 (連絡人) | 匯入和 Exchange 混合 |
重設密碼 | 啟用密碼回寫的準備工作 |
快速設定精靈
在快速設定安裝中,精靈會為您建立一些帳戶和設定。
下表摘要列出快速設定精靈頁面、收集的認證,以及這些認證的用途:
精靈頁面 | 收集的認證 | 需要的權限 | 目的 |
---|---|---|---|
N/A | 正在執行安裝精靈的使用者。 | 本機伺服器的系統管理員。 | 用來建立 ADSync 服務帳戶以用於執行同步處理服務。 |
連線至 Microsoft Entra ID | Microsoft Entra 目錄認證。 | Microsoft Entra ID 中的混合式身分識別系統管理員角色。 | – 用來在 Microsoft Entra 目錄中啟用同步處理。 - 用來建立 Microsoft Entra 連接器帳戶,以針對 Microsoft Entra ID 中即將進行的同步處理作業使用。 |
連線到 AD DS | Windows Server AD 認證。 | Windows Server AD 中企業系統管理員群組的成員。 | 用來在 Windows Server AD 中建立 AD DS 連接器帳戶,並為其授與權限。 這個建立的帳戶會在同步處理期間,用來讀取和寫入目錄資訊。 |
自訂設定
在自訂設定安裝中,您在精靈中會有更多選擇和選項。
自訂設定精靈
下表摘要列出自訂設定精靈頁面、收集的認證,以及這些認證的用途:
精靈頁面 | 收集的認證 | 需要的權限 | 目的 |
---|---|---|---|
N/A | 正在執行安裝精靈的使用者。 | - 本機伺服器的系統管理員。 - 如果使用完整 SQL Server 的執行個體,使用者必須是 SQL Server 中的系統管理員 (sysadmin)。 |
預設會用來建立本機帳戶,以用於作為同步處理引擎服務帳戶。 只有在系統管理員未指定帳戶時,才會建立帳戶。 |
安裝同步處理服務,服務帳戶選項 | Windows Server AD 或本機使用者帳戶認證。 | 使用者和權限均由安裝精靈授與。 | 如果系統管理員指定帳戶,則此帳戶會做為同步處理服務帳戶。 |
連線至 Microsoft Entra ID | Microsoft Entra 目錄認證。 | Microsoft Entra ID 中的混合式身分識別系統管理員角色。 | – 用來在 Microsoft Entra 目錄中啟用同步處理。 - 用來建立 Microsoft Entra 連接器帳戶,以針對 Microsoft Entra ID 中即將進行的同步處理作業使用。 |
連接您的目錄 | 連線到 Microsoft Entra ID 之每個樹系的 Windows Server AD 認證。 | 權限取決於您啟用的功能,並且可在建立 AD DS 連接器帳戶中找到。 | 此帳戶是在同步處理期間,用來讀取和寫入目錄資訊。 |
AD FS 伺服器 | 如果執行精靈的使用者登入認證權限不足以用來連線,精靈就會針對清單中的每部伺服器收集認證。 | 網域系統管理員帳戶。 | 在安裝和設定 Active Directory 同盟服務 (AD FS) 伺服器角色期間使用。 |
Web 應用程式 Proxy 伺服器 | 如果執行精靈的使用者登入認證權限不足以用來連線,精靈就會針對清單中的每部伺服器收集認證。 | 目標電腦上的本機系統管理員。 | 在安裝和設定 Web 應用程式 Proxy (WAP) 伺服器角色期間使用。 |
Proxy 信任憑證 | 同盟服務信任認證 (Proxy 用來註冊同盟服務 (FS) 信任憑證的認證)。 | AD FS 伺服器本機系統管理員的網域帳戶。 | 首次註冊 FS-WAP 信任憑證。 |
AD FS 服務帳戶頁面 [使用網域使用者帳戶選項] | Windows Server AD 使用者帳戶認證。 | 網域使用者。 | Microsoft Entra 使用者帳戶所提供的認證將用來作為 AD FS 服務的登入帳戶。 |
建立 AD DS 連接器帳戶
重要
已推出名為 ADSyncConfig.psm1 且具有組建 1.1.880.0 的新 PowerShell 模組 (已於 2018 年 8 月發行)。 此模組包含一組 Cmdlet,可協助您為 Microsoft Entra Domain Services 連接器帳戶設定正確的 Windows Server AD 權限。
如需詳細資訊,請參閱 Microsoft Entra Connect:設定 AD DS 連接器帳戶權限。
您在 [連線您的目錄] 頁面上指定的帳戶,必須先在 Windows Server AD 中建立為一般使用者物件 (不支援 VSA、MSA 或 gMSA),然後才能安裝。 Microsoft Entra Connect 1.1.524.0 版和更新版本有選項可讓 Microsoft Entra Connect 精靈建立 AD DS 連接器帳戶,以用來連線到 Windows Server AD。
您指定的帳戶也必須具有所需的權限。 安裝精靈不會驗證權限,而且只能發現同步處理過程中的任何問題。
您需要的權限取決於您啟用的選用功能。 如果您有多個網域,則必須對樹系中的所有網域授與權限。 如果您未啟用這其中任一項功能,預設的網域使用者權限就已足夠。
功能 | 權限 |
---|---|
ms-DS-ConsistencyGuid 功能 | ms-DS-ConsistencyGuid 屬性 (記載於設計概念 - 使用 ms-DS-ConsistencyGuid 作為 sourceAnchor) 的寫入權限。 |
密碼雜湊同步處理 | - 複寫目錄變更 - 複寫目錄變更 (全部) |
Exchange 混合式部署 | Exchange 混合回寫中記載了使用者、群組和連絡人適用的屬性的寫入權限。 |
Exchange 郵件公用資料夾 | 公用資料夾屬性 (詳情記載於 Exchange 郵件公用資料夾) 的讀取權限。 |
密碼回寫 | 開始使用密碼管理中記載了使用者適用的屬性的寫入權限。 |
裝置回寫 | 使用 PowerShell 指令碼授與的權限,如裝置回寫中所述。 |
群組回寫 | 可讓您將 Microsoft 365 群組回寫至已安裝 Exchange 的樹系。 |
需要升級的權限
當您從某一個 Microsoft Entra Connect 版本升級到新版本時,需要下列權限:
主體 | 需要的權限 | 目的 |
---|---|---|
正在執行安裝精靈的使用者 | 本機伺服器的系統管理員 | 用來更新二進位檔。 |
正在執行安裝精靈的使用者 | ADSyncAdmins 的成員 | 用來對同步處理規則和其他設定進行變更。 |
正在執行安裝精靈的使用者 | 如果您使用 SQL Server 的完整執行個體:同步處理引擎資料庫的 DBO (或類似項目) | 用來進行資料庫層級變更,例如,更新含有新資料行的資料表。 |
重要
在組建 1.1.484,Microsoft Entra Connect 中引進了迴歸 Bug。 此 Bug 需要有 sysadmin 權限,才能升級 SQL Server 資料庫。 組建 1.1.647 中已更正此 Bug。 若要升級到此組建,您必須具有 sysadmin 權限。 在此案例中,DBO 權限並不足夠。 如果您嘗試在沒有 sysadmin 權限的情況下升級 Microsoft Entra Connect,升級就會失敗,且 Microsoft Entra Connect 將不再正常運作。
已建立的帳戶詳細資料
下列各節提供 Microsoft Entra Connect 中已建立帳戶的詳細資訊。
AD DS 連接器帳戶
如果您使用快速設定,即會在 Windows Server AD 中建立用於同步處理的帳戶。 已建立的帳戶位於使用者容器的樹系根網域中。 帳戶名稱前面會加上 MSOL_。 帳戶是使用不會過期的長複雜密碼來建立。 如果您的網域中有密碼原則,請確定允許此帳戶使用長而複雜的密碼。
如果您使用自訂設定,就必須負責在開始安裝之前建立帳戶。 請參閱建立 AD DS 連接器帳戶。
ADSync 服務帳戶
同步處理服務可以在不同帳戶下執行。 其可在虛擬服務帳戶 (VSA)、群組受管理的服務帳戶 (gMSA)、獨立受管理的服務 (sMSA) 或一般使用者帳戶底下執行。 當您執行全新安裝時,支援選項已隨 2017 年 4 月版的 Microsoft Entra Connect 變更。 如果您從舊版 Microsoft Entra Connect 升級,將無法使用其他這些選項。
帳戶類型 | 安裝選項 | 描述 |
---|---|---|
VSA | 快速和自訂,2017 年 4 月和更新版本 | 此選項適用於所有快速設定安裝,但網域控制站上的安裝除外。 針對自訂設定,其為預設選項。 |
gMSA | 自訂,2017 年 4 月和更新版本 | 如果您使用 SQL Server 的遠端執行個體,建議您使用 gMSA。 |
使用者帳戶 | 快速和自訂,2017 年 4 月和更新版本 | 只有在 Windows Server 2008 和網域控制站上安裝 Microsoft Entra Connect 時,才會在安裝期間建立前面加上 AAD_ 的使用者帳戶。 |
使用者帳戶 | 快速和自訂,2017 年 3 月和更早版本 | 在安裝期間,系統會建立本機帳戶,並於帳戶前面加上 AAD_ 。 在自訂安裝中,您可以指定不同的帳戶。 |
如果您使用 Microsoft Entra Connect 搭配 2017 年 3 月或更早版本的組建,請勿在服務帳戶上重設密碼。 Windows 會基於安全性因素終結加密金鑰。 只有重新安裝 Microsoft Entra Connect,才能將帳戶變更為其他任何帳戶。 如果您升級到來自 2017 年 4 月或更新版本的組建,則可在服務帳戶上變更密碼,但無法變更所使用的帳戶。
重要
您只能在第一次安裝時設定服務帳戶。 安裝完成之後,就無法變更服務帳戶。
下表描述同步處理服務帳戶的預設、建議和支援選項。
圖例:
- 粗體 = 預設選項,大部分情況下也是建議選項。
- 斜體 = 建議選項 (若其不是預設選項)。
- 2008 = 在 Windows Server 2008 上安裝時的預設選項
- 非粗體 = 支援選項
- 本機帳戶 = 伺服器上的本機使用者帳戶
- 網域帳戶 = 網域使用者帳戶
- sMSA = 獨立受管理的服務帳戶
- gMSA = 群組受管理的服務帳戶
本機資料庫 Express \(英文\) |
本機資料庫/本機 SQL Server 自訂 |
遠端 SQL Server 自訂 |
|
---|---|---|---|
已加入網域的電腦 | VSA 本機帳戶 (2008) |
VSA 本機帳戶 (2008) 本機帳戶 網域帳戶 sMSA、gMSA |
gMSA 網域帳戶 |
網域控制站 | 網域帳戶 | gMSA 網域帳戶 sMSA |
gMSA 網域帳戶 |
VSA
VSA 是特殊的帳戶類型,其不含密碼且由 Windows 進行管理。
VSA 適用於同步處理引擎和 SQL Server 位於相同伺服器的情況。 如果您使用遠端 SQL Server,建議您使用 gMSA (而非 VSA)。
VSA 功能需要 Windows Server 2008 R2 或更新版本。 如果您在 Windows Server 2008 上安裝 Microsoft Entra Connect,安裝即會回復為使用使用者帳戶 (而非 VSA)。
gMSA
如果您使用 SQL Server 的遠端執行個體,建議您使用 gMSA。 如需如何針對 gMSA 準備 Windows Server AD 的詳細資訊,請參閱群組受管理的服務帳戶概觀。
若要使用此選項,在 [安裝必要元件] 頁面上,依序選取 [使用現有的服務帳戶] 和 [受管理的服務帳戶]。
您也可以在此案例中使用 sMSA。 不過,您只能在本機電腦上使用 sMSA,而且使用 sMSA (而非預設 VSA) 並沒有任何好處。
sMSA 功能需要 Windows Server 2012 或更新版本。 如果您需要使用舊版作業系統並使用遠端 SQL Server,就必須使用使用者帳戶。
使用者帳戶
安裝精靈會建立本機服務帳戶 (除非您在自訂設定中指定要使用的帳戶)。 此帳戶名稱的前面會加上 AAD_,並用來作為實際同步處理服務的執行身分。 如果您在網域控制站上安裝 Microsoft Entra Connect,即會在網域中建立帳戶。 如果有下列情況,AAD_ 服務帳戶必須位於網域中:
- 您使用執行 SQL Server 的遠端伺服器。
- 您使用需要驗證的 Proxy。
AAD_ 服務帳戶是使用不會過期的長複雜密碼來建立。
此帳戶會用來安全儲存其他帳戶的密碼。 密碼會加密儲存在資料庫中。 加密金鑰的私密金鑰會使用 Windows 資料保護 API (DPAPI) 的密碼編譯服務祕密金鑰加密來保護。
如果您使用 SQL Server 的完整執行個體,服務帳戶就是針對同步處理引擎所建立資料庫的 DBO。 使用其他任何權限,服務都將無法如預期般運作。 系統也會建立 SQL Server 登入。
此帳戶也會獲授與檔案、登錄機碼及與其他同步處理引擎相關物件的權限。
Microsoft Entra 連接器帳戶
系統會在 Microsoft Entra ID 中建立帳戶,以供同步處理服務使用。 您可以透過帳戶的顯示名稱來識別此帳戶。
使用帳戶所在伺服器的名稱可以透過使用者名稱的第二個部分來識別。 在上圖中,伺服器名稱是 DC1。 如果您有預備伺服器,則每個伺服器會有自己的帳戶。
伺服器帳戶是使用不會過期的長複雜密碼來建立。 該帳戶會獲授與特殊目錄同步處理帳戶角色,其權限僅能執行目錄同步作業工作。 您無法透過 Microsoft Entra Connect 精靈以外的方式來授與這個特殊的內建角色。 Microsoft Entra 系統管理中心會以使用者角色顯示此帳戶。
Microsoft Entra ID 中有 20 個同步處理服務帳戶的限制。
若要取得 Microsoft Entra 執行個體中現有 Microsoft Entra 服務帳戶的清單,請執行下列命令:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
若要移除未使用的 Microsoft Entra 服務帳戶,請執行下列命令:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
注意
您必須先安裝 Microsoft Graph PowerShell 模組,並使用 Connect-MgGraph 連線到 Microsoft Entra ID 執行個體,才能使用這些 PowerShell 命令。
如需如何管理或重設 Microsoft Entra Connect 帳戶密碼的詳細資訊,請參閱管理 Microsoft Entra Connect 帳戶。
相關文章
如需 Microsoft Entra Connect 的詳細資訊,請參閱下列文章:
主題 | 連結 |
---|---|
下載 Microsoft Entra Connect | 下載 Microsoft Entra Connect |
使用快速設定進行安裝 | Microsoft Entra Connect 的快速安裝 |
使用自訂設定進行安裝 | Microsoft Entra Connect 的自訂安裝 |
從 DirSync 升級 | 從 Azure AD 同步工具 (DirSync) 升級 |
安裝之後 | 驗證安裝和指派授權 |
下一步
深入了解將內部部署身分識別與 Microsoft Entra ID 整合 (部分機器翻譯)。