Voraussetzungen für die Microsoft Entra-Cloudsynchronisierung

Dieser Artikel enthält Anleitungen zur Verwendung der Microsoft Entra-Cloudsynchronisierung als Identitätslösung.

Anforderungen des Agents für die Cloudbereitstellung

Für die Verwendung der Microsoft Entra-Cloudsynchronisierung benötigen Sie Folgendes:

  • Anmeldeinformationen eines Domänenadministrators oder Unternehmensadministrators zum Erstellen des gMSA (group Managed Service Account, gruppenverwaltetes Dienstkonto) für die Microsoft Entra Connect-Cloudsynchronisierung zum Ausführen des Agent-Diensts.
  • Ein Konto mit der Rolle „Administrator für hybride Identität“ für Ihren Microsoft Entra-Mandanten, das keinem Gastbenutzer zugeordnet ist.
  • Einen lokalen Server für den Bereitstellungs-Agent mit Windows 2016 oder höher. Bei diesem Server sollte es sich um einen Server der Ebene 0 im Active Directory-Verwaltungsebenenmodell handeln. Die Installation des Agents auf einem Domänencontroller wird unterstützt. Weitere Informationen finden Sie unter Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers
    • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
  • Hohe Verfügbarkeit bezieht sich auf die Fähigkeit der Microsoft Entra-Cloudsynchronisierung, über einen längeren Zeitraum kontinuierlich ohne Fehler zu arbeiten. Durch die Installation und Ausführung mehrerer aktiver Agents kann die Microsoft Entra-Cloudsynchronisierung auch dann weiterhin funktionieren, wenn ein Agent ausfallen sollte. Microsoft empfiehlt, für hohe Verfügbarkeit drei aktive Agents zu installieren.
  • lokale Firewallkonfigurationen.

Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers

Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server zuverlässig zu schützen, um die Angriffsfläche für Sicherheitsangriffe für diese wichtige Komponente Ihrer IT-Umgebung zu verringern. Wenn Sie die folgenden Empfehlungen befolgen, können Sie einige Sicherheitsrisiken für Ihre Organisation minimieren.

  • Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server als Ressource der Steuerungsebene (vormals Ebene 0) gemäß den unter Schützen des privilegierten Zugriffs und Mehrstufiges Active Directory-Verwaltungsmodell bereitgestellten Anleitungen zu schützen.
  • Beschränken Sie den administrativen Zugriff auf den Microsoft Entra-Bereitstellungs-Agent-Server ausschließlich auf Domänenadministratoren oder andere streng kontrollierte Sicherheitsgruppen.
  • Erstellen Sie ein dediziertes Konto für alle Mitarbeiter mit privilegiertem Zugriff. Administratoren sollten in Konten mit hohen Berechtigungen nicht im Internet surfen, ihre E-Mails abfragen oder alltägliche Produktivitätsaufgaben ausführen.
  • Folgen Sie den Anweisungen unter Schützen des privilegierten Zugriffs.
  • Verweigern Sie die Verwendung der NTLM-Authentifizierung mit dem Microsoft Entra-Bereitstellungs-Agent-Server. Dies sind einige Möglichkeiten, um dies zu tun: Einschränken von NTLM auf dem Microsoft Entra-Bereitstellungs-Agent-Server und Einschränken von NTLM in einer Domäne
  • Stellen Sie sicher, dass für jeden Computer ein eindeutiges lokales Administratorkennwort vorhanden ist. Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung: Local Administrator Password Solution (Windows LAPS). Mit dieser Lösung können eindeutige zufällige Kennwörter auf jeder Arbeitsstation konfiguriert werden, und für den Server werden die Kennwörter in Active Directory gespeichert und durch eine ACL geschützt. Nur berechtigte autorisierte Benutzer können diese lokalen Kennwörter für das Administratorkonto lesen oder eine Rücksetzung anfordern. Weitere Informationen zum Betreiben einer Umgebung mit Windows LAPS und Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) finden Sie unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards.
  • Implementieren Sie dedizierte Arbeitsstationen mit privilegiertem Zugriff für alle Mitarbeiter mit privilegiertem Zugriff auf die Informationssysteme Ihrer Organisation.
  • Berücksichtigen Sie diese zusätzlichen Richtlinien, um die Angriffsfläche Ihrer Active Directory-Umgebung zu verringern.
  • Folgen Sie dem Abschnitt Änderungen an der Verbundkonfiguration überwachen, um Alarme einzurichten, die Änderungen an der Vertrauensstellung zwischen Ihrem Identitätsanbieter und Microsoft Entra ID überwachen.
  • Aktivieren Sie Multi-Factor Authentication (MFA) für alle Benutzer, die über privilegierten Zugriff in Microsoft Entra ID oder in AD verfügen. Ein Sicherheitsproblem bei der Verwendung von Microsoft Entra-Bereitstellungs-Agent besteht darin, dass ein Angreifer, wenn er die Kontrolle über den Microsoft Entra-Bereitstellungs-Agent-Server erhalten kann, Benutzer in Microsoft Entra ID manipulieren kann. Um zu verhindern, dass ein Angreifer diese Funktionen zum Übernehmen von Microsoft Entra-Konten verwendet, bietet MFA Schutz, sodass Angreifer den zweiten Faktor auch dann nicht umgehen können, wenn sie z. B. das Kennwort eines Benutzers mithilfe von Microsoft Entra-Bereitstellungs-Agent zurücksetzen können.

Gruppenverwaltete Dienstkonten

Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren, wobei diese Funktionalität auch auf mehrere Server erweitert werden kann. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen. Das Konto wird als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.

Voraussetzungen für das gMSA

  1. Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
  2. PowerShell-RSAT-Module auf einem Domänencontroller.
  3. Auf mindestens einem Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausgeführt werden.
  4. Ein in eine Domäne eingebundener Server, auf dem der Agent installiert ist, muss Windows Server 2016 oder höher aufweisen.

Benutzerdefiniertes gMSA-Konto

Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, müssen Sie sicherstellen, dass das Konto über die folgenden Berechtigungen verfügt:

Typ Name Access Gilt für
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-Geräteobjekte
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-InetOrgPerson-Objekte
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-Computerobjekte
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-foreignSecurityPrincipal-Objekte
Zulassen gMSA-Konto Vollzugriff Nachfolger-Gruppenobjekte
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-Benutzerobjekte
Zulassen gMSA-Konto Alle Eigenschaften lesen Nachfolger-Kontaktobjekte
Zulassen gMSA-Konto Benutzerobjekte erstellen/löschen Dieses Objekt und alle Nachfolgerobjekte

Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.

Weitere Informationen zum Vorbereiten Ihres Active Directory für gruppenverwaltete Dienstkonten finden Sie unter Übersicht über gruppenverwaltete Dienstkonten und Gruppenverwaltete Dienstkonten mit Cloudsynchronisierung.

Im Microsoft Entra Admin Center

  1. Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Administrator für hybride Identität“. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, wenn Ihre lokalen Dienste ausfallen oder nicht verfügbar sind. Erfahren Sie, wie Sie ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Administrator für hybride Identität“ hinzufügen. Die Ausführung dieses Schritts ist äußerst wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
  2. Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrem Verzeichnis in Active Directory

Führen Sie das IdFix-Tool aus, um die Verzeichnisattribute für die Synchronisierung vorzubereiten.

In Ihrer lokalen Umgebung

  1. Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET-Runtime (ab 4.7.1) an.
  2. Die PowerShell-Ausführungsrichtlinie auf dem lokalen Server muss auf „Nicht definiert“ oder „RemoteSigned“ festgelegt werden.
  3. Wenn eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist, finden Sie weitere Informationen unter Firewall- und Proxyanforderungen.

Hinweis

Die Installation des Agents für die Cloudbereitstellung unter Windows Server Core wird nicht unterstützt.

Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen

Zum Implementieren von Bereitstellungsgruppen in Active Directory müssen die folgenden Voraussetzungen erfüllt sein.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Allgemeine Anforderungen

  • Ein Microsoft Entra-Konto mit der Rolle Hybrididentitätsadministrator oder höher.
  • Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher.
    • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
  • Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.

Hinweis

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Sie die Berechtigungen manuell mithilfe des PowerShell-Cmdlets zuweisen:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.

Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet

  • Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
    • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
  • Microsoft Entra Connect Sync mit der Buildversion 2.2.8.0 oder höher
    • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect Sync synchronisiert wird
    • Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier

Unterstützte Gruppen und Skalierungsgrenzwerte

Folgendes wird unterstützt:

  • Lediglich in der Cloud erstellte Sicherheitsgruppen werden unterstützt
  • Diese Gruppen können zugewiesene Gruppen oder Gruppen mit dynamischer Mitgliedschaft enthalten.
  • Diese Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
  • Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den universellen Gruppenbereich unterstützen.
  • Gruppen mit mehr als 50.000 Mitgliedern werden nicht unterstützt.
  • Mandanten mit mehr als 150.000 Objekten werden nicht unterstützt. Wenn ein Mandant eine Kombination aus Benutzern und Gruppen aufweist, die 150K-Objekte überschreiten, wird der Mandant nicht unterstützt.
  • Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe
  • Die Abstimmung von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.

Weitere Informationen

Im Anschluss finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.

  • Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Für diese Benutzer muss das Attribut onPremisesObjectIdentifier in ihrem Konto festgelegt sein.
  • onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
  • Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden
  • Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
  • Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
  • Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Weitere Anforderungen

TLS-Anforderungen

Hinweis

Transport Layer Security (TLS) ist ein Protokoll, das für eine sichere Kommunikation sorgt. Das Ändern der TLS-Einstellungen wirkt sich auf die Gesamtstruktur aus. Weitere Informationen finden Sie unter Update zur Aktivierung von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.

Auf dem Windows-Server, auf dem der Agent für die Microsoft Entra Connect-Cloudbereitstellung gehostet wird, muss TLS 1.2 aktiviert sein, bevor Sie den Agent installieren.

Führen Sie diese Schritte aus, um TLS 1.2 zu aktivieren.

  1. Legen Sie die folgenden Registrierungsschlüssel fest, indem Sie den Inhalt in eine .reg-Datei kopieren und dann die Datei ausführen (klicken Sie mit der rechten Maustaste, und wählen Sie Zusammenführen aus):

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Starten Sie den Server neu.

Firewall- und Proxyanforderungen

Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

  • Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:

    Portnummer Beschreibung
    80 Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) bei der Überprüfung des TLS/SSL-Zertifikats.
    443 Verarbeitung der gesamten ausgehende Kommunikation mit dem Dienst.
    8080 (optional) Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Microsoft Entra Admin Center angezeigt.
  • Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

  • Stellen Sie sicher, dass Ihr Proxy mindestens das HTTP 1.1-Protokoll unterstützt und dass die aufgeteilte Codierung aktiviert ist.

  • Wenn Ihre Firewall oder Ihr Proxy das Angeben sicherer Suffixe zulässt, fügen Sie Verbindungen bei Folgenden hinzu:

URL Beschreibung
*.msappproxy.net
*.servicebus.windows.net
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Der Agent verwendet diese URLs zum Überprüfen von Zertifikaten.
login.windows.net Der Agent verwendet diese URLs während der Registrierung.

NTLM-Anforderung

Sie sollten die integrierte Windows-Authentifizierung (NTLM) nicht auf dem Windows-Server aktivieren, auf dem der Microsoft Entra-Bereitstellungs-Agent ausgeführt wird. Wenn sie aktiviert ist, müssen Sie diese deaktivieren.

Bekannte Einschränkungen

Es gelten die folgenden bekannten Einschränkungen:

Deltasynchronisierung

  • Bei der Gruppenbereichsfilterung für die Deltasynchronisierung werden nicht mehr als 50.000 Mitglieder unterstützt.
  • Wenn Sie eine Gruppe löschen, die für einen Gruppenbereichsfilter verwendet wird, werden Benutzer, die Mitglieder der Gruppe sind, nicht gelöscht.
  • Wenn Sie die im Bereich befindliche Organisationseinheit oder Gruppe umbenennen, werden die Benutzer bei der Deltasynchronisierung nicht entfernt.

Bereitstellungsprotokolle

  • In den Bereitstellungsprotokollen wird nicht eindeutig zwischen Erstellungs- und Aktualisierungsvorgängen unterschieden. Es kann sein, dass ein Erstellungsvorgang für eine Aktualisierung und ein Aktualisierungsvorgang für eine Erstellung angezeigt wird.

Umbenennung von Gruppen oder Organisationseinheiten

  • Wenn Sie eine Gruppe oder Organisationseinheit in AD umbenennen, die sich im Bereich einer bestimmten Konfiguration befindet, wird die Namensänderung in AD vom Cloudsynchronisierungsauftrag nicht erkannt. Der Auftrag wird nicht unter Quarantäne gestellt und bleibt im fehlerfreien Zustand.

Bereichsfilter

Bei Verwendung des Bereichsfilters für Organisationseinheiten

  • Die Bereichskonfiguration weist eine Beschränkung von 4 MB in Zeichenlänge auf. In einer standardmäßig getesteten Umgebung bedeutet dies für eine bestimmte Konfiguration in etwa 50 separate Organisationseinheiten (OUs) oder Sicherheitsgruppen (einschließlich der erforderlichen Metadaten).

  • Geschachtelte Organisationseinheiten werden unterstützt (d. h., Sie können eine Organisationseinheit mit 130 geschachtelten Organisationseinheiten synchronisieren, aber Sie können nicht 60 separate Organisationseinheiten in derselben Konfiguration synchronisieren).

Kennworthashsynchronisierung

  • Die Verwendung der Kennworthashsynchronisierung mit InetOrgPerson wird nicht unterstützt.

Nächste Schritte