Microsoft Entra Cloud Sync 的必要條件
本文提供使用 Microsoft Entra Cloud Sync 作為身分識別解決方案的指引。
雲端布建代理程式需求
您需要下列條件才能使用 Microsoft Entra Cloud Sync:
- 網域系統管理員或企業系統管理員的憑證,用於建立 Microsoft Entra Connect 雲端同步的 gMSA(群組管理服務帳戶)以運行代理服務。
- 請為您的 Microsoft Entra 租戶提供不是來賓使用者的混合式身分識別系統管理員帳戶。
- 適用於 Windows 2016 或更高版本的布建代理程式的內部部署伺服器。 此伺服器應該是以 Active Directory 系統管理層模型為基礎的第 0 層伺服器,。 支援在域控制器上安裝代理程式。 如需詳細資訊,請參閱 強化您的 Microsoft Entra 布建代理程式伺服器
- AD 架構的必要屬性 - msDS-ExternalDirectoryObjectId
- 高可用性是指 Microsoft Entra Cloud Sync 能夠長時間持續不間斷地運行而不出現故障的能力。 藉由安裝並執行多個作用中代理程式,Microsoft Entra Cloud Sync 仍可繼續運作,即使一個代理程式應該失敗也一樣。 Microsoft建議安裝 3 個作用中代理程式以達到高可用性。
- 本地端防火牆組態。
強化您的Microsoft Entra 配置代理程式伺服器
建議您強化 Microsoft Entra 布建代理程式伺服器,以減少 IT 環境這個重要元件的安全性攻擊面。 遵循這些建議有助於減輕貴組織的某些安全性風險。
- 建議您遵循 安全特殊許可權存取 和 Active Directory 系統管理層模型中提供的指引,將 Microsoft Entra 布建代理程式伺服器強化為控制平面(先前稱為第 0 層)資產。
- 將系統管理存取限制為只有網域系統管理員或其他嚴格控制的安全組,才能存取 Microsoft Entra 布建代理程式伺服器。
- 為具有特殊存取權的所有人員建立
專用帳戶。 系統管理員不應該流覽網頁、檢查其電子郵件,以及使用高許可權帳戶執行日常生產力工作。 - 請遵循 保護特殊許可權存取中提供的指引。
- 禁止在 Microsoft Entra 布建代理伺服器上使用 NTLM 驗證。 以下是一些執行此動作的方法:在 Microsoft Entra 布建代理程式伺服器上限制 NTLM,並 限制網域上的 NTLM
- 請確定每部計算機都有唯一的本機系統管理員密碼。 如需詳細資訊,請參閱 本機系統管理員密碼解決方案 (Windows LAPS) 可以在每個工作站上設定唯一的隨機密碼,並將密碼儲存在受 ACL 保護的 Active Directory 中。 只有合格的授權使用者可以讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊許可權存取工作站 (PAW) 操作環境的其他指引,請參閱以乾淨來源原則為基礎的 作業標準。
- 針對具有組織資訊系統特殊許可權存取權的所有人員,實作專用 特殊許可權存取工作站。
- 請遵循這些 其他指導方針,以減少Active Directory 環境的受攻擊面。
- 請遵循 監視同盟設定變更 來設定警示,以監視Idp與 Microsoft Entra 識別符之間建立的信任變更。
- 針對在 Microsoft Entra ID 或 AD 中具有特權存取權的所有使用者啟用多重要素驗證。 使用 Microsoft Entra 布建代理程式的安全性問題之一是,如果攻擊者可以控制 Microsoft Entra 布建代理程式伺服器,他們可以在 Microsoft Entra 識別符中操作使用者。 為了防止攻擊者使用這些功能接管Microsoft Entra 帳戶,MFA 提供保護。 例如,即使攻擊者設法使用 Microsoft Entra 布建代理程式重設使用者的密碼,他們仍然無法略過第二個因素。
群組受管理的服務帳戶
群組受控服務帳戶是一個受控網域帳戶,可提供自動密碼管理和簡化的服務主體名稱 (SPN) 管理。 它也可讓您將管理委派給其他系統管理員,並將這項功能延伸至多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 系統會提示您在安裝期間提供系統管理認證,以便建立此帳戶。 帳號會顯示為 domain\provAgentgMSA$。 如需 gMSA 的詳細資訊,請參閱 群組受控服務帳戶。
gMSA 的必要條件
- gMSA 網域樹系中的 Active Directory 架構必須更新為 Windows Server 2012 或更新版本。
- 域控制器上的PowerShell RSAT模組。
- 網域中至少有一個域控制器必須執行 Windows Server 2012 或更新版本。
- 安裝代理程式的已加入網域伺服器必須是 Windows Server 2016 或更新版本。
自定義 gMSA 帳戶
如果您要建立自定義 gMSA 帳戶,您必須確定帳戶具有下列許可權。
| 類型 | 名字 | 存取 | 適用於 |
|---|---|---|---|
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 子系裝置物件 |
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 後代 InetOrgPerson 物件 |
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 子代電腦物件 |
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 後代外部安全主體物件 |
| 允許 | gMSA 帳戶 | 完全控制 | 子系群組物件 |
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 衍生使用者物件 |
| 允許 | gMSA 帳戶 | 讀取所有屬性 | 子代聯繫對象 |
| 允許 | gMSA 帳戶 | 建立/刪除用戶物件 | 這個物件和所有子代物件 |
如需如何升級現有代理程式以使用 gMSA 帳戶的步驟,請參閱 群組受管理的服務帳戶。
如需了解如何為受管理的群組服務帳戶準備 Active Directory 的詳細資訊,請參閱 受管理的群組服務帳戶概觀 和 透過雲端同步的受管理群組服務帳戶。
在 Microsoft Entra 系統管理中心
- 在您的 Microsoft Entra 租戶上建立僅限於雲端的混合式身分識別管理員帳戶。 如此一來,如果您的內部部署服務失敗或無法使用,您可以管理租用戶的設定。 了解如何新增雲端專用的混合式身分識別系統管理員帳戶。 完成這個步驟對於確保您不會被鎖出您的租戶至關重要。
- 將一或多個 自訂網域名稱 新增至您的 Microsoft Entra 租戶。 您的使用者可以使用下列其中一個網域名稱登入。
在 Active Directory 的目錄中
執行 IdFix 工具 來準備目錄屬性以進行同步處理。
在您的內部部署環境中
- 請識別一台已加入網域且運行 Windows Server 2016 或更新版本的主機伺服器,該伺服器需至少具備 4 GB RAM 和 .NET 4.7.1+ 執行階段。
- 本機伺服器上的PowerShell執行原則必須設定為 [未定義] 或 [遠端簽署]。
- 如果您的伺服器與 Microsoft Entra ID 之間有防火牆,請參閱 防火牆和 Proxy 要求。
注意
不支援在 Windows Server Core 上安裝雲端布建代理程式。
將 Microsoft Entra ID 佈建至 Active Directory - 先決條件
若要將布建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權,請參閱 比較 Microsoft Entra ID的一般可用功能。
一般需求
- 至少具有 混合式身分識別系統管理員 角色的 Microsoft Entra 帳戶。
- 使用 Windows Server 2016 或更新版本操作系統的內部部署 Active Directory Domain Services 環境。
- AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
- 布建代理程式的版本號應為 1.1.1370.0 或更高版本。
注意
服務帳戶的許可權只會在淨安裝期間指派。 如果您要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派許可權:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手動設定許可權,您必須確定所有子系群組和用戶對象的讀取、寫入、建立和刪除所有屬性。
根據預設,這些許可權不會套用至 AdminSDHolder 物件,Microsoft Entra 布建代理程式 gMSA PowerShell cmdlet
- 布建代理程式必須能夠與通訊埠 TCP/389 (LDAP) 和 TCP/3268 (全域編錄) 上的一或多個域控制器通訊。
- 全球目錄查詢中,必須篩選掉無效的成員引用。
- Microsoft Entra Connect Sync 組建版本 2.2.8.0 或更高版本
- 必須支援透過 Microsoft Entra Connect 同步的本地部署用戶成員資格
- 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支援的群組和限額限制
支援下列專案:
- 僅支援雲端建立的安全群組
- 這些群組可以是指派成員或動態成員的群組。
- 這些群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
- 屬於此雲端創建的安全性群組成員的內部部署用戶帳戶可以同步,這些帳戶可以來自相同的網域或跨網域,但全都必須來自相同的樹系。
- 這些群組會以 Active Directory (AD) 群組的通用範疇寫回 。 您的內部部署環境必須支援通用群組範圍。
- 不支援大於 50,000 個成員的群組。
- 不支援擁有超過150,000個物件的租戶。 這表示,如果租戶具有任何使用者和群組的組合,且其總數超過150,000個物件,則不支援該租戶。
- 每個直接子巢狀群組都會計算為參考群組中的一個成員
- 如果在 Active Directory 中手動更新群組,則不支援 Microsoft Entra ID 與 Active Directory 之間的群組同步。
其他資訊
以下是將群組布建至 Active Directory 的其他資訊。
- 使用雲端同步布建至AD的群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
- 這些用戶必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 Active Directory (AD) 環境中的對應 objectGUID。
- 內部部署使用者的 objectGUID 屬性可同步到雲端使用者的 onPremisesObjectIdentifier 屬性,並可以使用 Microsoft Entra Cloud Sync (1.1.1370.0)或 Microsoft Entra Connect Sync (2.2.8.0)進行同步。
- 如果您使用 Microsoft Entra Connect Sync(2.2.8.0)來同步處理使用者,而非 Microsoft Entra Cloud Sync,並希望使用同步至 AD 的布建功能,則必須使用 2.2.8.0 或更高版本。
- 僅支援從 Microsoft Entra ID 布建至 Active Directory 的一般Microsoft Entra ID 租使用者。 不支援 B2C 之類的租戶。
- 群組配置工作被排定每 20 分鐘執行一次。
更多需求
TLS 需求
注意
傳輸層安全性 (TLS) 是一種通訊協定,可提供安全的通訊。 變更 TLS 設定會影響整個樹系。 如需詳細資訊,請參閱 Update 以在 Windows中啟用 TLS 1.1 和 TLS 1.2 作為預設安全通訊協定。
裝載 Microsoft Entra Connect 雲端布建代理程式的 Windows 伺服器必須先啟用 TLS 1.2,才能進行安裝。
若要啟用 TLS 1.2,請遵循下列步驟。
將下列登錄機碼設定為:先將內容複製到 .reg 檔案,然後執行該檔案(以滑鼠右鍵選擇 [合併 ])。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001重新啟動伺服器。
防火牆和 Proxy 需求
如果您的伺服器與Microsoft Entra ID 之間有防火牆,請設定下列專案:
請確定代理程式可以透過下列埠對Microsoft Entra 識別碼進行 輸出 要求:
埠號碼 描述 80 在驗證 TLS/SSL 憑證時下載證書吊銷清單(CRL)。 443 處理所有與服務相關的對外通訊。 8080 (選用) 如果埠 443 無法使用,代理程式會在埠 8080 上每隔 10 分鐘報告其狀態。 此狀態會顯示在 Microsoft Entra 系統管理中心。 如果您的防火牆會根據原始使用者強制執行規則,請針對以網路服務身分執行的 Windows 服務流量開啟這些埠。
請確定 Proxy 至少支援 HTTP 1.1 通訊協定,並啟用區塊編碼。
如果您的防火牆或 Proxy 可讓您指定安全後綴,請新增連線:
| URL | 描述 |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
代理程式會使用這些 URL 與 Microsoft Entra 雲端服務通訊。 |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
代理程式會使用這些 URL 與 Microsoft Entra 雲端服務通訊。 |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
代理程式會使用這些 URL 來驗證憑證。 |
login.windows.net |
代理程式會在註冊程序期間使用這些 URL。 |
NTLM 要求
您不應該在執行 Microsoft Entra 布建代理程式的 Windows Server 上啟用 NTLM,如果已啟用,您應該確定停用它。
已知限制
以下是已知的限制:
差異同步處理
- 差異同步的群組範圍篩選不支持超過 50,000 個成員。
- 當您刪除做為群組範圍篩選一部分的群組時,屬於群組成員的使用者不會遭到刪除。
- 當您對範圍內的 OU 或群組重新命名時,增量同步不會移除使用者。
佈署日誌
- 布建記錄不會清楚區分建立和更新作業。 您可能會看到用於更新的創建操作,或用於創建的更新操作。
群組重新命名或 OU 重新命名
- 如果您在 AD 中重新命名位於指定組態範圍的群組或 OU,雲端同步作業就無法辨識 AD 中的名稱變更。 工作不會進入隔離區,而且狀況良好。
範圍篩選
使用 OU 範圍篩選時
範圍設定的字元長度限制為4 MB。 在標準測試的環境中,這會轉譯為大約50個不同的組織單位(OU)或安全組,包括其指定組態的必要元數據。
支援巢狀 OU(也就是說,您可以 同步處理具有 130 個巢狀 OU 的 OU,但 無法在相同設定中 同步 60 個不同的 OU)。
密碼哈希同步
- 不支援搭配 InetOrgPerson 使用密碼哈希同步處理。