Prerequisiti per la sincronizzazione cloud di Microsoft Entra

  • Articolo

Questo articolo fornisce indicazioni sull'uso di Microsoft Entra Cloud Sync come soluzione di gestione delle identità.

Requisiti dell'agente di provisioning cloud

Per usare Microsoft Entra Cloud Sync, è necessario quanto segue:

  • Credenziali di amministratore di dominio o amministratore dell'organizzazione per creare l'account del servizio gestito del servizio gestito del cloud Microsoft Entra Connect per eseguire il servizio agente.
  • Un account di amministratore delle identità ibride per il tenant di Microsoft Entra che non è un utente guest.
  • Un server locale per l'agente di provisioning con Windows 2016 o versione successiva. Questo server deve essere un server di livello 0 basato sul modello di livello amministrativo di Active Directory. L'installazione dell'agente in un controller di dominio è supportata. Per altre informazioni, vedere Protezione avanzata del server agente di provisioning di Microsoft Entra
    • Necessario per l'attributo dello schema di Active Directory: msDS-ExternalDirectoryObjectId
  • La disponibilità elevata si riferisce alla capacità di Microsoft Entra Cloud Sync di operare in modo continuo senza errori per molto tempo. Se sono installati ed eseguiti più agenti attivi, Microsoft Entra Cloud Sync può continuare a funzionare anche se un agente non riesce. Microsoft consiglia di installare 3 agenti attivi per la disponibilità elevata.
  • Configurazione del firewall locale.

Rafforzare la protezione avanzata del server dell'agente di provisioning di Microsoft Entra

È consigliabile rafforzare il server dell'agente di provisioning di Microsoft Entra per ridurre la superficie di attacco di sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni, è possibile attenuare alcuni rischi per la sicurezza dell'organizzazione.

  • È consigliabile rafforzare la protezione avanzata del server dell'agente di provisioning di Microsoft Entra come asset del piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite in Secure Privileged Access e nel modello di livello amministrativo di Active Directory.
  • Limitare l'accesso amministrativo al server agente di provisioning di Microsoft Entra solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
  • Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica personale e svolgere attività di produttività quotidiane con account con privilegi elevati.
  • Seguire le indicazioni in Protezione dell'accesso con privilegi.
  • Negare l'uso dell'autenticazione NTLM con il server dell'agente di provisioning Di Microsoft Entra. Ecco alcuni modi per eseguire questa operazione: Limitazione di NTLM nel server dell'agente di provisioning di Microsoft Entra e Limitazione di NTLM in un dominio
  • Assicurarsi che a ogni computer sia assegnata una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password dell'amministratore locale (Windows LAPS), che può configurare password casuali univoche in ogni workstation e server e archiviarle in Active Directory protette da un elenco di controllo di accesso. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. Per altre indicazioni sull'utilizzo di un ambiente con Windows LAPS e workstation dotate di accesso con privilegi (PAW), vedere Standard operativi basati sul principio dell'origine pulita.
  • Implementare workstation dotate di accesso con privilegi dedicate per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
  • Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
  • Seguire la procedura Monitorare le modifiche alla configurazione della federazione per configurare gli avvisi per monitorare le modifiche apportate al trust stabilito tra il proprio provider di identità e Microsoft Entra ID.
  • Abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o in Active Directory. Un problema di sicurezza relativo all'uso dell'agente di provisioning di Microsoft Entra è che se un utente malintenzionato può ottenere il controllo sul server dell'agente di provisioning di Microsoft Entra, può modificare gli utenti in Microsoft Entra ID. Per impedire a un utente malintenzionato di usare queste funzionalità per assumere gli account Microsoft Entra, MFA offre protezioni in modo che, anche se un utente malintenzionato riesce a reimpostare la password di un utente usando l'agente di provisioning Di Microsoft Entra, non può comunque ignorare il secondo fattore.

Account del servizio gestito di gruppo

Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori ed estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e usa un account del servizio gestito del gruppo per l'esecuzione dell'agente. Durante l'installazione verranno richieste credenziali amministrative per creare l'account. L'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un account del servizio gestito del gruppo, vedere Group Managed Service Accounts.For more information on a gMSA, see group Managed Service Accounts.

Prerequisiti per l'account del servizio gestito del gruppo

  1. Lo schema di Active Directory nella foresta del dominio del servizio gestito del gruppo deve essere aggiornato a Windows Server 2012 o versione successiva.
  2. Moduli di Strumenti di amministrazione remota del server powerShell in un controller di dominio.
  3. Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
  4. Un server aggiunto a un dominio in cui è installato l'agente deve essere Windows Server 2016 o versione successiva.

Account del servizio gestito del gruppo personalizzato

Se si sta creando un account del servizio gestito del gruppo personalizzato, è necessario assicurarsi che l'account disponga delle autorizzazioni seguenti.

Type Nome Accesso Si applica a
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti dispositivo discendenti
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti InetOrgPerson discendenti
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti Computer discendenti
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti foreignSecurityPrincipal discendenti
Consenti Account del servizio gestito del gruppo Controllo completo Oggetti Group discendenti
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti User discendenti
Consenti Account del servizio gestito del gruppo Leggi tutte le proprietà Oggetti Contact discendenti
Consenti Account del servizio gestito del gruppo Crea/elimina oggetti Utenti Questo oggetto e tutti gli oggetti discendenti

Per informazioni su come aggiornare un agente esistente per l'uso di un account del servizio gestito del gruppo, vedere Raggruppare gli account del servizio gestito.

Per altre informazioni su come preparare Active Directory per l'account del servizio gestito di gruppo, vedere Panoramica degli account del servizio gestito del gruppo e Account del servizio gestito di gruppo con sincronizzazione cloud.

Nell'interfaccia di amministrazione di Microsoft Entra

  1. Creare un account amministratore delle identità ibride solo cloud nel tenant di Microsoft Entra. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali. Informazioni su come aggiungere un account amministratore delle identità ibride solo cloud. Il completamento di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.
  2. Aggiungere uno o più nomi di dominio personalizzati al tenant di Microsoft Entra. Gli utenti possono accedere usando uno di questi nomi di dominio.

Nella directory personale di Active Directory

Eseguire lo strumento IdFix per preparare gli attributi di directory per la sincronizzazione.

Nell'ambiente locale

  1. Identificare un server host aggiunto a un dominio che esegue Windows Server 2016 o versione successiva con almeno 4 GB di RAM e runtime .NET 4.7.1+.
  2. I criteri di esecuzione di PowerShell nel server locale devono essere impostati su Undefined o RemoteSigned.
  3. Se è presente un firewall tra i server e Microsoft Entra ID, vedere Requisiti del firewall e del proxy.

Nota

L'installazione dell'agente di provisioning cloud in Windows Server Core non è supportata.

Effettuare il provisioning di Microsoft Entra ID in Active Directory - Prerequisiti

Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Requisiti generali

  • Account Microsoft Entra con almeno un ruolo di amministratore delle identità ibride.
  • Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versioni successive.
    • Necessario per l'attributo dello schema di Active Directory: msDS-ExternalDirectoryObjectId
  • Agente di provisioning con versione build 1.1.1370.0 o versioni successive.

Nota

Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che lettura, scrittura, creazione ed eliminazione di tutte le proprietà per tutti i gruppi e gli oggetti utente discendenti.

Queste autorizzazioni non vengono applicate agli oggetti AdminSDHolder per impostazione predefinita cmdlet di PowerShell gMSA dell'agente di provisioning Microsoft Entra

  • L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
    • Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide
  • Microsoft Entra Connect con la versione build 2.2.8.0 o versioni successive
    • Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connect
    • Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier

Gruppi supportati

Sono supportati solo gli elementi seguenti:

  • Sono supportati solo i gruppi di sicurezza creati nel cloud
  • Questi gruppi possono avere un'appartenenza dinamica o assegnata.
  • Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
  • Questi gruppi vengono sottoposti a writeback con l'ambito dei gruppi universale di Active Directory. L'ambiente locale deve supportare l'ambito del gruppo universale.
  • I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
  • Ogni gruppo annidato figlio diretto viene conteggiato come un membro nel gruppo di riferimento
  • La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.

Informazioni aggiuntive

Di seguito sono riportate informazioni aggiuntive sui gruppi di provisioning in Active Directory.

  • I gruppi di cui è stato effettuato il provisioning in Active Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul relativo account.
  • L'attributo onPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente di Active Directory di destinazione.
  • Un attributo objectGUID degli utenti locali può essere sincronizzato con un attributo onPremisesObjectIdentifier degli utenti cloud con la sincronizzazione cloud di Microsoft Entra (1.1.1370.0) o la sincronizzazione cloud di Microsoft Entra (2.2.8.0)
  • Se si usa la sincronizzazione cloud di Microsoft Entra (2.2.8.0) per sincronizzare gli utenti, invece della sincronizzazione cloud di Microsoft Entra, e si vuole usare il provisioning in Active Directory, deve essere 2.2.8.0 o versione successiva.
  • Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant, ad esempio B2C, non sono supportati.
  • Il processo di provisioning del gruppo è pianificato per l'esecuzione ogni 20 minuti.

Altri requisiti

  • Microsoft .NET Framework 4.7.1 minimo

Requisiti TLS

Nota

Transport Layer Security (TLS) è un protocollo che garantisce comunicazioni sicure. Eventuali modifiche alle impostazioni TLS influiscono sull'intera foresta. Per altre informazioni, vedere Aggiornare per abilitare TLS 1.1 e TLS 1.2 come protocolli di protezione predefiniti in WinHTTP in Windows.

Il server Windows che ospita l'agente di provisioning cloud Microsoft Entra Connect deve avere TLS 1.2 abilitato prima di installarlo.

Per abilitare il protocollo TLS 1.2, seguire questa procedura.

  1. Impostare le chiavi del Registro di sistema seguenti copiando il contenuto in un file .reg e quindi eseguendo il file (fare clic con il pulsante destro del mouse e scegliere Unisci):

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Riavviare il server.

Requisiti del firewall e del proxy

Se è presente un firewall tra i server e Microsoft Entra ID, configurare gli elementi seguenti:

  • Assicurarsi che gli agenti possano effettuare richieste in uscita in Microsoft Entra ID sulle porte seguenti:

    Numero di porta Descrizione
    80 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL.
    443 Gestisce tutte le comunicazioni in uscita con il servizio.
    8080 (facoltativo) Se la porta 443 non è disponibile, gli agenti di autenticazione segnalano il proprio stato ogni dieci minuti attraverso la porta 8080. Questo stato viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra.

  • Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.

  • Assicurarsi che il proxy supporti almeno il protocollo HTTP 1.1 e che la codifica in blocchi sia abilitata.

  • Se il firewall o il proxy consente di specificare suffissi sicuri, aggiungere connessioni:

URL Descrizione
*.msappproxy.net
*.servicebus.windows.net		 L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com		 L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80		 L'agente usa questi URL per verificare i certificati.
login.windows.net L'agente usa questi URL durante il processo di registrazione.

Requisito NTLM

Non è consigliabile abilitare NTLM in Windows Server che esegue l'agente di provisioning di Microsoft Entra e, se è abilitato, assicurarsi di disabilitarlo.

Limitazioni note

Di seguito sono riportate le limitazioni note:

Sincronizzazione delta

  • Il filtro dell'ambito del gruppo per la sincronizzazione differenziale non supporta più di 50.000 membri.
  • Quando si elimina un gruppo usato come parte di un filtro di ambito del gruppo, gli utenti membri del gruppo non vengono eliminati.
  • Quando si rinomina l'unità organizzativa o il gruppo incluso nell'ambito, la sincronizzazione differenziale non rimuoverà gli utenti.

Log di provisioning

  • I log di provisioning non distinguono chiaramente le operazioni di creazione e aggiornamento. È possibile che venga visualizzata un'operazione di creazione per un aggiornamento e un'operazione di aggiornamento per una creazione.

Ridenominazione dei gruppi o ridenominazione dell'unità organizzativa

  • Se si rinomina un gruppo o un'unità organizzativa in Active Directory nell'ambito di una determinata configurazione, il processo di sincronizzazione cloud non sarà in grado di riconoscere la modifica del nome in ACTIVE Directory. Il processo non entra in quarantena e rimane integro.

Filtro per la definizione dell'ambito

Quando si usa il filtro di ambito dell'unità organizzativa

  • È possibile sincronizzare fino a 59 unità organizzative separate o gruppi di sicurezza per una determinata configurazione.
  • Sono supportate unità organizzative annidate, ovvero è possibile sincronizzare un'unità organizzativa con 130 unità organizzative nidificate, ma non è possibile sincronizzare 60 unità organizzative separate nella stessa configurazione.

Sincronizzazione dell'hash delle password

  • L'uso della sincronizzazione dell'hash delle password con InetOrgPerson non è supportato.

Passaggi successivi