Delen via


Vereisten voor Microsoft Entra Cloud Sync

Dit artikel bevat richtlijnen voor het gebruik van Microsoft Entra Cloud Sync als uw identiteitsoplossing.

Vereisten voor cloudvoorzieningsagent

U hebt het volgende nodig om Microsoft Entra Cloud Sync te gebruiken:

  • Domeinbeheerder- of ondernemingsbeheerdersreferenties voor het maken van de Microsoft Entra Connect-cloudsynchronisatie gMSA (groepsbeheerserviceaccount) om de agentservice uit te voeren.
  • Een beheerdersaccount voor hybride identiteit voor uw Microsoft Entra-tenant die geen gastgebruiker is.
  • Een lokale server voor de inrichtingsagent met Windows 2016 of hoger. Deze server moet een laag 0-server zijn op basis van het Active Directory-beheerlaagmodel. Het installeren van de agent op een domeincontroller wordt ondersteund. Raadpleeg Versterk uw Microsoft Entra-inrichtingsagentserver voor meer informatie.
    • Vereist voor AD-Schema kenmerk - msDS-ExternalDirectoryObjectId
  • Hoge beschikbaarheid verwijst naar de mogelijkheid van Microsoft Entra Cloud Sync om continu zonder fouten gedurende lange tijd te werken. Door meerdere actieve agents te installeren en uit te voeren, kan Microsoft Entra Cloud Sync blijven functioneren, zelfs als één agent zou moeten mislukken. Microsoft raadt aan drie actieve agents te installeren voor hoge beschikbaarheid.
  • Lokale firewallconfiguraties.

Beveilig uw Microsoft Entra-voorzieningsagentserver

U wordt aangeraden uw Microsoft Entra-inrichtingsagentserver te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.

  • We raden u aan om de Microsoft Entra-inrichtingsagentserver te beveiligen als een Beheervlakasset (voorheen Laag 0) door de richtlijnen te volgen in Secure Privileged Access en Active Directory-beheerlaagmodel.
  • Beperk beheerderstoegang tot de Microsoft Entra-inrichtingsagentserver tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
  • Maak een toegewezen account voor alle medewerkers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
  • Volg de richtlijnen in Beveiligde toegang.
  • Gebruik van NTLM-verificatie weigeren met Microsoft Entra-provisioning-agentserver. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra-inrichtingsagent-server en NTLM beperken op een domein
  • Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) voor meer informatie unieke willekeurige wachtwoorden op elk werkstation kunt configureren en op de server opslaan in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in Operationele standaarden op basis van schone bronprincipes.
  • Implementeer toegewezen bevoegde toegangswerkstations voor alle medewerkers met uitgebreide toegang tot de informatiesystemen van uw organisatie.
  • Volg deze aanvullende richtlijnen om de kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
  • Volg de Monitor-wijzigingen in de federatieconfiguratie om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw Idp en Microsoft Entra-id.
  • Meervoudige verificatie (MFA) inschakelen voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van de Microsoft Entra-inrichtingsagent is dat als een aanvaller controle kan krijgen over de Microsoft Entra-inrichtingsagentserver, gebruikers in Microsoft Entra-id kunnen manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA bescherming. Zelfs als een aanvaller het wachtwoord van een gebruiker opnieuw kan instellen met behulp van de Microsoft Entra-inrichtingsagent, kunnen ze de tweede factor nog steeds niet omzeilen.

Beheerde serviceaccounts groeperen

Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer (Service Principal Name) biedt. Het biedt ook de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit over meerdere servers uit te breiden. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. Tijdens de installatie wordt u gevraagd om beheerdersgegevens in te voeren om dit account aan te maken. Het account wordt weergegeven als domain\provAgentgMSA$. Voor meer informatie over een gMSA, zie beheerde serviceaccounts.

Vereisten voor gMSA

  1. Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
  2. PowerShell RSAT-modules op een domeincontroller.
  3. Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
  4. Een server die lid is van een domein waarop de agent wordt geïnstalleerd, moet Windows Server 2016 of hoger zijn.

Aangepast gMSA-account

Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.

Type Naam Toegang Van toepassing op
Toestaan gMSA-account Alle eigenschappen lezen Afgeleide apparaatobjecten
Toestaan gMSA-account Alle eigenschappen lezen Onderliggende InetOrgPerson-objecten
Toestaan gMSA-account Alle eigenschappen lezen Onderliggende computerobjecten
Toestaan gMSA-account Alle eigenschappen lezen Afstammelingen foreignSecurityPrincipal-objecten
Toestaan gMSA-account Volledig beheer Afstammende groepsobjecten
Toestaan gMSA-account Alle eigenschappen lezen Afgeleide gebruikersobjecten
Toestaan gMSA-account Alle eigenschappen lezen Onderliggende contactobjecten
Toestaan gMSA-account Gebruikersobjecten maken/verwijderen Dit object en alle onderliggende objecten

Zie beheerde serviceaccounts voor groepenvoor stappen om een bestaande agent te upgraden naar het gebruik van een gMSA-account.

Zie overzicht van beheerde serviceaccounts voor groepen en beheerde serviceaccounts met cloudsynchronisatievoor meer informatie over het voorbereiden van uw Active Directory voor beheerde serviceaccounts voor groepen.

In het Microsoft Entra-beheercentrum

  1. Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet beschikbaar zijn. Meer informatie over het een hybride identiteitsbeheerderaccount in de cloudtoevoegen. Het voltooien van deze stap is essentieel om te voorkomen dat u uzelf buitensluit van uw tenant.
  2. Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw directory in Active Directory

Voer het hulpprogramma IdFix uit om de adreslijstkenmerken voor te bereiden voor synchronisatie.

In uw lokale omgeving

  1. Identificeer een hostserver die lid is van een domein waarop Windows Server 2016 of hoger wordt uitgevoerd, met minimaal 4 GB RAM en .NET 4.7.1+ runtime.
  2. Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.
  3. Als er een firewall is tussen uw servers en Microsoft Entra ID, raadpleegt u firewall- en proxyvereisten.

Notitie

Het installeren van de agent voor cloudinrichting in Windows Server Core wordt niet ondersteund.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.

Algemene vereisten

  • Microsoft Entra-account met ten minste de rol van Hybride Identiteitsbeheerder.
  • On-premises Active Directory Domain Services-omgeving met windows Server 2016-besturingssysteem of hoger.
    • Vereist voor AD schema kenmerk - msDS-ExternalDirectoryObjectId
  • Provsioneringsagent met buildversie 1.1.1370.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens een schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat de eigenschappen Lezen, Schrijven, Maken, en Verwijderen voor alle onderliggende groepen en gebruikersobjecten zijn ingesteld.

Deze machtigingen worden standaard niet toegepast op AdminSDHolder-objecten Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

  • De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
    • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
  • Microsoft Entra Connect Sync met buildversie 2.2.8.0 of hoger
    • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
    • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen en schaallimieten

Het volgende wordt ondersteund:

  • Alleen in de cloud gemaakte beveiligingsgroepen worden ondersteund
  • Deze groepen kunnen toegewezen of dynamische lidmaatschapsgroepen hebben.
  • Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
  • Deze groepen worden teruggeschreven met het universele AD-groepenbereik van . Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
  • Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
  • Tenants met meer dan 150.000 objecten worden niet ondersteund. Wat betekent dat als een tenant een combinatie van gebruikers en groepen heeft die groter zijn dan 150.000 objecten, de tenant niet wordt ondersteund.
  • Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
  • Afstemming van groepen tussen Microsoft Entra-id en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

  • Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
  • De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
  • Het objectGUID-kenmerk van een on-premises gebruiker kan naar het onPremisesObjectIdentifier-kenmerk van een cloudgebruiker worden gesynchroniseerd met behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Connect Sync (2.2.8.0)
  • Als u Microsoft Entra Connect Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync, en inrichting voor AD wilt gebruiken, moet deze 2.2.8.0 of hoger zijn.
  • Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor voorziening vanuit Microsoft Entra ID naar Active Directory. Tenants zoals B2C worden niet ondersteund.
  • De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.

Meer vereisten

TLS-vereisten

Notitie

Transport Layer Security (TLS) is een protocol dat veilige communicatie biedt. Het wijzigen van de TLS-instellingen is van invloed op het hele forest. Zie Update voor het inschakelen van TLS 1.1 en TLS 1.2 als standaard beveiligde protocollen in WinHTTP in Windowsvoor meer informatie.

Voor de Windows-server waarop de Microsoft Entra Connect-cloudinrichtingsagent wordt gehost, moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.

Volg deze stappen om TLS 1.2 in te schakelen.

  1. Stel de volgende registersleutels in door de inhoud te kopiëren naar een .reg bestand en voer het bestand uit (selecteer en kies Samenvoegen):

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Start de server opnieuw op.

Firewall- en proxyvereisten

Als er een firewall is tussen uw servers en Microsoft Entra ID, configureert u de volgende items:

  • Zorg ervoor dat agents uitgaande aanvragen voor Microsoft Entra-id kunnen indienen via de volgende poorten:

    Poortnummer Beschrijving
    80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat.
    443 Verwerkt alle uitgaande communicatie met de dienst.
    8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in het Microsoft Entra-beheercentrum.
  • Als uw firewall regels afdwingt op basis van de oorspronkelijke gebruikers, opent u deze poorten voor verkeer van Windows-services die als netwerkservice worden uitgevoerd.

  • Zorg ervoor dat uw proxy ten minste HTTP 1.1-protocol ondersteunt en gesegmenteerde codering is ingeschakeld.

  • Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe:

URL Beschrijving
*.msappproxy.net
*.servicebus.windows.net
De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
De agent gebruikt deze URL's om te communiceren met de Microsoft Entra-cloudservice.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
De agent gebruikt deze URL's om certificaten te verifiëren.
login.windows.net De agent gebruikt deze URL's tijdens het registratieproces.

NTLM-vereiste

Schakel NTLM niet in op de Windows Server waarop de Microsoft Entra-inrichtingsagent wordt uitgevoerd. Als deze is ingeschakeld, moet u ervoor zorgen dat u deze uitschakelt.

Bekende beperkingen

Hier volgen bekende beperkingen:

Deltasynchronisatie

  • Het filteren van groepsbereiken voor deltasynchronisatie biedt geen ondersteuning voor meer dan 50.000 leden.
  • Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
  • Wanneer u de naam van de organisatie-eenheid of groep wijzigt die binnen het bereik valt, worden de gebruikers niet verwijderd door Delta Sync.

Voorzieningslogboeken

  • Het inrichten van logboeken maakt niet duidelijk onderscheid tussen het maken en bijwerken van bewerkingen. U kunt een bewerking om een update te maken en een bewerking om een creatie bij te werken zien.

Naam van groep wijzigen of organisatie-eenheid wijzigen

  • Als u de naam van een groep of organisatie-eenheid in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatietaak de naamwijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft gezond.

Bereikfilter

Bij het gebruik van OU-bereikfilter

  • De bereikconfiguratie heeft een beperking van 4 MB in tekenlengte. In een standaard geteste omgeving wordt dit omgezet in ongeveer 50 afzonderlijke organisatie-eenheden (OE's) of beveiligingsgroepen, inclusief de vereiste metagegevens, voor een bepaalde configuratie.

  • Geneste OE's worden ondersteund (u kunt een organisatie-eenheid met 130 geneste OE's synchroniseren, maar u geen 60 afzonderlijke organisatie-eenheden in dezelfde configuratie kunt synchroniseren).

Wachtwoord-hashsynchronisatie

  • Het gebruik van wachtwoord-hashsynchronisatie met InetOrgPerson wordt niet ondersteund.

Volgende stappen