Microsoft Entra Connect: Účty a oprávnění

Přečtěte si o účtech, které se používají a vytvářejí, a oprávnění, která jsou nutná k instalaci a používání služby Microsoft Entra Connect.

Diagram znázorňující přehled požadovaných účtů Microsoft Entra Connect

Účty používané pro Microsoft Entra Connect

Microsoft Entra Connect používá tři účty k synchronizaci informací z místní služby Windows Server Active Directory (Windows Server AD) do Microsoft Entra ID:

  • Účet konektoru služby AD DS: Slouží ke čtení a zápisu informací do služby Windows Server AD pomocí Doména služby Active Directory Services (AD DS).

  • Účet služby ADSync: Používá se ke spuštění synchronizační služby a přístupu k databázi SQL Serveru.

  • Účet konektoru Microsoft Entra: Používá se k zápisu informací do ID Microsoft Entra.

K instalaci nástroje Microsoft Entra Connect potřebujete také následující účty:

  • Účet místního správce: Správce, který instaluje microsoft Entra Connect a kdo má v počítači oprávnění místního správce.

  • Účet podnikového správce služby AD DS: Volitelně se používá k vytvoření požadovaného účtu konektoru služby AD DS.

  • Účet správce hybridní identity Microsoft Entra: Slouží k vytvoření účtu konektoru Microsoft Entra a ke konfiguraci ID Microsoft Entra. Správce hybridní identity můžete zobrazit v Centru pro správu Microsoft Entra. Viz Seznam přiřazení rolí Microsoft Entra.

  • Účet SQL SA (volitelné):: Používá se k vytvoření databáze ADSync při použití úplné verze SQL Serveru. Instance SQL Serveru může být místní nebo vzdálená pro instalaci microsoft Entra Connect. Tento účet může být stejný jako účet podnikového správce.

    Zřízení databáze je nyní možné provést mimo pásmo správcem SQL Serveru a pak nainstalovat správcem služby Microsoft Entra Connect, pokud má účet oprávnění vlastníka databáze (DBO). Další informace naleznete v tématu Instalace nástroje Microsoft Entra Connect pomocí oprávnění delegovaného správce SQL.

Důležitý

Počínaje buildem 1.4.###.#.# už nemůžete jako účet konektoru služby AD DS používat účet podnikového správce ani účet správce domény. Pokud se pokusíte zadat účet, který je podnikovým správcem nebo správcem domény pro použití existujícího účtu, průvodce zobrazí chybovou zprávu a nemůžete pokračovat.

Poznámka

Účty pro správu, které se používají v Microsoft Entra Connect, můžete spravovat pomocí modelu podnikového přístupu. Organizace může použít model podnikového přístupu k hostování účtů pro správu, pracovních stanic a skupin v prostředí, které má silnější kontrolní mechanismy zabezpečení než produkční prostředí. Další informace najdete v tématu Model podnikového přístupu.

Po počátečním nastavení není vyžadována role správce hybridní identity. Po nastavení je jediným požadovaným účtem účet role Účty synchronizace adresářů. Místo odebrání účtu, který má roli Správce hybridní identity, doporučujeme změnit roli na roli, která má nižší úroveň oprávnění. Úplné odebrání účtu může představovat problémy, pokud budete někdy potřebovat spustit průvodce znovu. Pokud potřebujete znovu použít průvodce Microsoft Entra Connect, můžete přidat oprávnění.

Instalace microsoft Entra Connect

Průvodce instalací Microsoft Entra Connect nabízí dvě cesty:

  • Expresní nastavení: V nastavení Microsoft Entra Connect Express průvodce vyžaduje více oprávnění, aby bylo možné snadno nakonfigurovat instalaci. Průvodce vytvoří uživatele a nastaví oprávnění, abyste je nemuseli používat.
  • Vlastní nastavení: Ve vlastním nastavení Microsoft Entra Connect máte v průvodci více možností a možností. V některých scénářích je ale důležité zajistit, abyste měli správná oprávnění sami.

Expresní nastavení

V expresním nastavení zadáte tyto informace v průvodci instalací:

  • Přihlašovací údaje podnikového správce služby AD DS
  • Přihlašovací údaje správce hybridní identity Microsoft Entra

Přihlašovací údaje podnikového správce služby AD DS

Účet podnikového správce služby AD DS slouží ke konfiguraci služby Windows Server AD. Tyto přihlašovací údaje se používají pouze během instalace. Podnikový správce, ne správce domény, by se měl ujistit, že oprávnění ve službě Windows Server AD je možné nastavit ve všech doménách.

Pokud provádíte upgrade z nástroje DirSync, přihlašovací údaje podnikového správce služby AD DS slouží k resetování hesla pro účet, který použil nástroj DirSync. Vyžadují se také přihlašovací údaje správce hybridní identity microsoftu Entra.

Přihlašovací údaje správce hybridní identity Microsoft Entra

Přihlašovací údaje pro účet microsoft Entra Hybrid Identity Administrator se používají pouze během instalace. Účet se používá k vytvoření účtu Microsoft Entra Connector, který synchronizuje změny s ID Microsoft Entra. Účet také umožňuje synchronizaci jako funkci v ID Microsoft Entra.

Další informace naleznete v tématu Správce hybridní identity.

Účet konektoru SLUŽBY AD DS vyžaduje oprávnění pro expresní nastavení

Účet konektoru služby AD DS se vytvoří pro čtení a zápis do služby Windows Server AD. Účet má při vytváření během instalace expresního nastavení následující oprávnění:

Povolení Používá se pro
– Replikace změn adresáře
– Replikovat všechny změny adresáře
Synchronizace hodnot hash hesel
Čtení/zápis všech vlastností Uživatel Import a hybridní Exchange
Čtení/zápis všech vlastností iNetOrgPerson Import a hybridní Exchange
Skupina pro čtení a zápis všech vlastností Import a hybridní Exchange
Čtení a zápis všech vlastností – Kontakt Import a hybridní Exchange
Resetování hesla Příprava na povolení zpětného zápisu hesla

Průvodce expresním nastavením

V instalaci expresního nastavení průvodce vytvoří některé účty a nastavení za vás.

Snímek obrazovky se stránkou Expresní nastavení v Microsoft Entra Connect

Následující tabulka obsahuje souhrn stránek průvodce expresním nastavením, shromážděných přihlašovacích údajů a jejich použití:

Stránka Průvodce Shromažďované přihlašovací údaje Požadovaná oprávnění Účel
Není k dispozici Uživatel, který spouští průvodce instalací. Správce místního serveru. Slouží k vytvoření účtu služby ADSync, který se používá ke spuštění synchronizační služby.
Připojení k MICROSOFT Entra ID Přihlašovací údaje adresáře Microsoft Entra. Role Správce hybridní identity v Microsoft Entra ID. - Slouží k povolení synchronizace v adresáři Microsoft Entra.
– Slouží k vytvoření účtu Microsoft Entra Connector, který se používá pro probíhající operace synchronizace v ID Microsoft Entra.
Připojení ke službě AD DS Přihlašovací údaje windows serveru AD. Člen skupiny Enterprise Admins ve Windows Serveru AD. Slouží k vytvoření účtu konektoru služby AD DS ve službě Windows Server AD a udělení oprávnění k němu. Tento vytvořený účet slouží ke čtení a zápisu informací o adresáři během synchronizace.

Vlastní nastavení

V instalaci vlastního nastavení máte v průvodci více možností a možností.

Snímek obrazovky znázorňující stránku Expresní nastavení v Microsoft Entra Connect se zvýrazněným tlačítkem Přizpůsobit

Průvodce vlastním nastavením

Následující tabulka obsahuje souhrn stránek průvodce vlastním nastavením, shromážděných přihlašovacích údajů a toho, k čemu se používají:

Stránka Průvodce Shromažďované přihlašovací údaje Požadovaná oprávnění Účel
Není k dispozici Uživatel, který spouští průvodce instalací. - Správce místního serveru.
– Pokud používáte instanci úplného SQL Serveru, musí být uživatel správcem systému (sysadmin) na SQL Serveru.
Ve výchozím nastavení se používá k vytvoření místního účtu, který se používá jako účet služby synchronizačního stroje. Účet se vytvoří jenom v případech, kdy správce nezadá účet.
Instalace synchronizačních služeb, možnost účtu služby Přihlašovací údaje k windows serveru AD nebo místnímu uživatelskému účtu. Průvodce instalací uděluje uživateli a oprávněním. Pokud správce určí účet, použije se tento účet jako účet služby pro synchronizační službu.
Připojení k MICROSOFT Entra ID Přihlašovací údaje adresáře Microsoft Entra. Role Správce hybridní identity v Microsoft Entra ID. - Slouží k povolení synchronizace v adresáři Microsoft Entra.
– Slouží k vytvoření účtu Microsoft Entra Connector, který se používá pro probíhající operace synchronizace v ID Microsoft Entra.
Připojení adresářů Přihlašovací údaje služby AD windows Serveru pro každou doménovou strukturu připojenou k ID Microsoft Entra. Oprávnění závisí na tom, které funkce povolíte a které najdete v části Vytvoření účtu konektoru služby AD DS. Tento účet slouží ke čtení a zápisu informací o adresáři během synchronizace.
Servery SLUŽBY AD FS Pro každý server v seznamu průvodce shromažďuje přihlašovací údaje, když přihlašovací údaje uživatele, který spustí průvodce, není dostatečná pro připojení. Účet správce domény. Používá se při instalaci a konfiguraci role serveru Active Directory Federation Services (AD FS) (AD FS).
Proxy servery webových aplikací Pro každý server v seznamu průvodce shromažďuje přihlašovací údaje, když přihlašovací údaje uživatele, který spustí průvodce, není dostatečná pro připojení. Místní správce na cílovém počítači. Používá se při instalaci a konfiguraci role serveru proxy webových aplikací (WAP).
Přihlašovací údaje důvěryhodnosti proxy serveru Přihlašovací údaje důvěryhodnosti federační služby (přihlašovací údaje, které proxy server používá k registraci certifikátu důvěryhodnosti z federačních služeb (FS) Účet domény, který je místním správcem serveru SLUŽBY AD FS. Počáteční registrace certifikátu důvěryhodnosti FS-WAP
Stránka Účet služby AD FS – Možnost Použít uživatelský účet domény Přihlašovací údaje uživatelského účtu služby Windows Server AD. Uživatel domény. Uživatelský účet Microsoft Entra, jehož přihlašovací údaje jsou zadané, se používá jako přihlašovací účet služby AD FS.

Vytvoření účtu konektoru služby AD DS

Důležitý

Byl zaveden nový modul PowerShellu s názvem ADSyncConfig.psm1 s buildem 1.1.880.0 (vydáno v srpnu 2018). Tento modul obsahuje kolekci rutin, které vám pomůžou nakonfigurovat správná oprávnění služby AD systému Windows Server pro účet konektoru služby Microsoft Entra Domain Services.

Další informace najdete v tématu Microsoft Entra Connect: Konfigurace oprávnění účtu konektoru služby AD DS.

Účet, který zadáte na stránce Připojení adresářů , musí být vytvořen ve Službě Windows Server AD jako běžný uživatelský objekt (VSA, MSA nebo gMSA nejsou podporovány) před instalací. Microsoft Entra Connect verze 1.1.524.0 a novější má možnost umožnit průvodci Microsoft Entra Connect vytvořit účet konektoru služby AD DS, který se používá pro připojení k Windows Serveru AD AD.

Zadaný účet musí mít také požadovaná oprávnění. Průvodce instalací neověře oprávnění a všechny problémy se nacházejí pouze během procesu synchronizace.

Která oprávnění potřebujete, závisí na volitelných funkcích, které povolíte. Pokud máte více domén, musí být oprávnění udělena pro všechny domény v doménové struktuře. Pokud žádnou z těchto funkcí nepovolíte, jsou dostatečná výchozí oprávnění uživatele domény.

Rys Dovolení
Funkce ms-DS-ConsistencyGuid Oprávnění k zápisu k atributu popsanému ms-DS-ConsistencyGuid v konceptech návrhu – Použití ms-DS-ConsistencyGuid jako sourceAnchor
Synchronizace hodnot hash hesel – Replikace změn adresáře
– Replikovat všechny změny adresáře
Hybridní nasazení Exchange Oprávnění k zápisu k atributům zdokumentovaným v hybridní zpětném zápisu Exchange pro uživatele, skupiny a kontakty
Veřejná složka pošty Exchange Oprávnění ke čtení atributů zdokumentovaných ve veřejné složce pošty exchange pro veřejné složky
Zpětný zápis hesla Oprávnění k zápisu k atributům zdokumentovaným v části Začínáme se správou hesel pro uživatele
Zpětný zápis zařízení Oprávnění udělená pomocí skriptu PowerShellu, jak je popsáno v zpětném zápisu zařízení.
Zpětný zápis skupiny Umožňuje zpětný zápis Skupiny Microsoft 365 do doménové struktury, která má nainstalovaný Exchange.

Oprávnění potřebná k upgradu

Při upgradu z jedné verze microsoft Entra Connect na novou verzi potřebujete následující oprávnění:

Hlavní Požadovaná oprávnění Účel
Uživatel, který spouští průvodce instalací Správce místního serveru Slouží k aktualizaci binárních souborů.
Uživatel, který spouští průvodce instalací Člen adSyncAdmins Používá se k provádění změn pravidel synchronizace a dalších konfigurací.
Uživatel, který spouští průvodce instalací Pokud používáte úplnou instanci SQL Serveru: DBO (nebo podobné) databáze synchronizačního stroje Používá se k provádění změn na úrovni databáze, jako je například aktualizace tabulek s novými sloupci.

Důležitý

V buildu 1.1.484 byla v Microsoft Entra Connect zavedena regresní chyba. Tato chyba vyžaduje oprávnění správce systému k upgradu databáze SQL Serveru. Chyba je opravena v buildu 1.1.647. Pokud chcete upgradovat na tento build, musíte mít oprávnění správce systému. V tomto scénáři nejsou dostatečná oprávnění DBO. Pokud se pokusíte upgradovat Microsoft Entra Connect bez oprávnění správce systému, upgrade selže a Microsoft Entra Connect už nebude fungovat správně.

Podrobnosti o vytvořených účtech

V následujících částech najdete další informace o vytvořených účtech v Microsoft Entra Connect.

Účet konektoru služby AD DS

Pokud používáte expresní nastavení, vytvoří se ve službě Windows Server AD účet, který se používá k synchronizaci. Vytvořený účet se nachází v kořenové doméně doménové struktury v kontejneru Users. Název účtu má předponu MSOL_. Účet se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší. Pokud máte ve své doméně zásady hesel, ujistěte se, že pro tento účet jsou povolená dlouhá a složitá hesla.

Snímek obrazovky znázorňující účet konektoru SLUŽBY AD DS s předponou MSOL v Microsoft Entra Connect

Pokud používáte vlastní nastavení, zodpovídáte za vytvoření účtu před zahájením instalace. Viz Vytvoření účtu konektoru služby AD DS.

Účet služby ADSync

Synchronizační služba může běžet pod různými účty. Může běžet pod účtem virtuální služby (VSA), účtem spravované služby skupiny (gMSA), samostatnou spravovanou službou (sMSA) nebo běžným uživatelským účtem. Podporované možnosti byly změněny ve verzi Microsoft Entra Connect z dubna 2017, když provedete novou instalaci. Pokud upgradujete z dřívější verze nástroje Microsoft Entra Connect, tyto další možnosti nejsou k dispozici.

Typ účtu Možnost instalace Popis
VSA Express a custom, 2017 April and later Tato možnost se používá pro všechny instalace expresního nastavení s výjimkou instalací na řadiči domény. Pro vlastní nastavení je to výchozí možnost.
gMSA Vlastní, 2017 Duben a novější Pokud používáte vzdálenou instanci SQL Serveru, doporučujeme použít gMSA.
Uživatelský účet Express a custom, 2017 April and later Uživatelský účet s předponou AAD_ se vytvoří během instalace pouze v případech, kdy je v systému Windows Server 2008 nainstalována služba Microsoft Entra Connect a kdy je nainstalovaná na řadiči domény.
Uživatelský účet Express a custom, 2017 March and earlier Během instalace se vytvoří místní účet s předponou AAD_ . Ve vlastní instalaci můžete zadat jiný účet.

Pokud používáte Microsoft Entra Connect s buildem z března 2017 nebo starším, resetujte heslo k účtu služby. Systém Windows z bezpečnostních důvodů zničí šifrovací klíče. Účet nemůžete změnit na žádný jiný účet bez přeinstalace microsoft Entra Connect. Pokud upgradujete na build z dubna 2017 nebo novějšího, můžete změnit heslo k účtu služby, ale nemůžete změnit použitý účet.

Důležitý

Účet služby můžete nastavit pouze při první instalaci. Po dokončení instalace nemůžete změnit účet služby.

Následující tabulka popisuje výchozí, doporučené a podporované možnosti pro účet synchronizační služby.

Legenda:

  • Bold= Výchozí možnost a ve většině případů doporučená možnost.
  • Kurzíva = Doporučená možnost, pokud není výchozí možností.
  • 2008 = Výchozí možnost při instalaci v systému Windows Server 2008
  • Ne tučné = podporovaná možnost
  • Místní účet = místní uživatelský účet na serveru
  • Účet domény = uživatelský účet domény
  • sMSA = samostatný účet spravované služby
  • gMSA = účet spravované služby skupiny
Místní databáze
Vyjádřit
Místní databáze / Místní SQL Server
Zvyk
Vzdálený SQL Server
Zvyk
Počítač připojený k doméně VSA
Místní účet (2008)
VSA
Místní účet (2008)
Místní účet
Účet domény
sMSA, gMSA
gMSA
Účet domény
Řadič domény Účet domény gMSA
Účet domény
sMSA
gMSA
Účet domény

VSA

A VSA je speciální typ účtu, který nemá heslo a spravuje ho Windows.

Snímek obrazovky znázorňující účet virtuální služby

Sada VSA je určená k použití se scénáři, ve kterých je synchronizační modul a SQL Server na stejném serveru. Pokud používáte vzdálený SQL Server, doporučujeme místo VSA použít gMSA.

Funkce VSA vyžaduje Windows Server 2008 R2 nebo novější. Pokud nainstalujete Microsoft Entra Connect na Windows Server 2008, instalace se vrátí zpět na použití uživatelského účtu místo VSA.

gMSA

Pokud používáte vzdálenou instanci SQL Serveru, doporučujeme použít gMSA. Další informace o tom, jak připravit službu Ad systému Windows Server pro gMSA, najdete v tématu Přehled účtů spravované služby skupiny.

Pokud chcete tuto možnost použít, na stránce Instalace požadovaných součástí vyberte Použít existující účet služby a pak vyberte Účet spravované služby.

Snímek obrazovky znázorňující výběr účtu spravované služby ve Windows Serveru

V tomto scénáři můžete použít také sMSA. Můžete ale použít sMSA jenom na místním počítači a není možné místo výchozí sady VSA použít sMSA žádnou výhodu.

Funkce sMSA vyžaduje Windows Server 2012 nebo novější. Pokud potřebujete použít starší verzi operačního systému a používáte vzdálený SQL Server, musíte použít uživatelský účet.

Uživatelský účet

Průvodce instalací vytvoří účet místní služby (pokud nezadáte vlastní nastavení, které má účet použít). Účet má předponu AAD_ a používá se k tomu, aby se skutečná synchronizační služba spustila jako. Pokud nainstalujete Microsoft Entra Connect na řadič domény, účet se vytvoří v doméně. Účet služby AAD_ musí být umístěn v doméně, pokud:

  • Používáte vzdálený server se systémem SQL Server.
  • Používáte proxy server, který vyžaduje ověření.

Snímek obrazovky znázorňující uživatelský účet synchronizační služby ve Windows Serveru

Účet služby AAD_ se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší.

Tento účet slouží k bezpečnému ukládání hesel pro ostatní účty. Hesla se ukládají zašifrovaná v databázi. Privátní klíče šifrovacích klíčů jsou chráněné pomocí šifrování tajných klíčů kryptografických služeb pomocí rozhraní API služby Windows Data Protection (DPAPI).

Pokud používáte úplnou instanci SQL Serveru, účet služby je DBO vytvořené databáze pro synchronizační modul. Služba nebude fungovat podle očekávání s jinými oprávněními. Vytvoří se také přihlášení k SQL Serveru.

Účet má také udělená oprávnění k souborům, klíčům registru a dalším objektům souvisejícím se synchronizačním modulem.

Účet konektoru Microsoft Entra

Účet v ID Microsoft Entra se vytvoří pro synchronizační službu, která se má použít. Tento účet můžete identifikovat podle jeho zobrazovaného názvu.

Snímek obrazovky znázorňující účet Microsoft Entra s předponou DC1

Název serveru, na který se účet používá, lze identifikovat v druhé části uživatelského jména. Na předchozím obrázku je název serveru DC1. Pokud máte přípravné servery, každý server má svůj vlastní účet.

Účet serveru se vytvoří s dlouhým složitým heslem, jehož platnost nevyprší. Účtu je udělena zvláštní role účty synchronizace adresářů, která má oprávnění provádět pouze úlohy synchronizace adresářů. Tuto speciální předdefinované roli nelze udělit mimo průvodce Microsoft Entra Connect. Centrum pro správu Microsoft Entra zobrazuje tento účet s rolí uživatele.

Microsoft Entra ID má limit 20 účtů synchronizační služby.

  • Pokud chcete získat seznam existujících účtů služby Microsoft Entra v instanci Microsoft Entra, spusťte následující příkaz:

    $directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"}
    Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
    
  • Pokud chcete odebrat nepoužívané účty služby Microsoft Entra, spusťte následující příkaz:

    Remove-MgUser -UserId <Id-of-the-account-to-remove>
    

Poznámka

Než budete moct tyto příkazy PowerShellu použít, musíte nainstalovat modul Microsoft Graph PowerShellu a připojit se k instanci ID Microsoft Entra pomocí Connect-MgGraph.

Další informace o správě nebo resetování hesla pro účet Microsoft Entra Connect naleznete v tématu Správa účtu Microsoft Entra Connect.

Další informace o službě Microsoft Entra Connect najdete v těchto článcích:

Námět Propojit
Stáhnout Microsoft Entra Connect Stáhnout Microsoft Entra Connect
Instalace pomocí expresního nastavení Expresní instalace microsoft Entra Connect
Instalace pomocí přizpůsobených nastavení Vlastní instalace nástroje Microsoft Entra Connect
Upgrade z nástroje DirSync Upgrade z nástroje Azure AD Sync (DirSync)
Po instalaci Ověření instalace a přiřazení licencí

Další kroky

Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.