Предварительные требования для облачной синхронизации Microsoft Entra

  • Статья

В этой статье приводятся рекомендации по использованию Microsoft Entra Cloud Sync в качестве решения для удостоверений.

Требования к агенту облачной подготовки

Для использования Microsoft Entra Cloud Sync вам потребуется следующее:

  • Учетные данные администратора домена или администратора предприятия для создания облачной синхронизации Microsoft Entra Connect gMSA (учетная запись управляемой группы службы) для запуска службы агента.
  • Учетная запись администратора гибридного удостоверения для клиента Microsoft Entra, который не является гостевым пользователем.
  • Локальный сервер для агента подготовки с Windows 2016 или более поздней версии. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory. Поддерживается установка агента на контроллере домена. Дополнительные сведения см. в статье "Защита сервера агента подготовки Microsoft Entra"
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Высокий уровень доступности относится к способности Microsoft Entra Cloud Sync непрерывно работать без сбоя в течение длительного времени. При наличии нескольких активных агентов, установленных и запущенных, Microsoft Entra Cloud Sync может продолжать функционировать, даже если один агент должен завершиться ошибкой. Для обеспечения высокой доступности корпорация Майкрософт рекомендует установить 3 активных агента.
  • Конфигурации для локального брандмауэра.

Обеспечение защиты сервера агента подготовки Microsoft Entra

Рекомендуется ужесточить сервер агента подготовки Microsoft Entra, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуйте этим рекомендациям, чтобы устранить некоторые угрозы безопасности в организации.

  • Мы рекомендуем защитить сервер агента подготовки Microsoft Entra в качестве ресурса уровня управления (ранее уровень 0), следуя инструкциям, приведенным в модели уровня "Безопасный привилегированный доступ" и "Административный уровень Active Directory".
  • Ограничить административный доступ к серверу агента подготовки Microsoft Entra только администраторам домена или другим строго контролируемым группам безопасности.
  • Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять обычную работу, используя учетные записи с высоким уровнем привилегий.
  • Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
  • Запрет использования проверки подлинности NTLM с сервером агента подготовки Microsoft Entra. Ниже приведены некоторые способы : ограничение NTLM на сервере агента подготовки Microsoft Entra и ограничение NTLM в домене
  • Убедитесь, что на каждом компьютере установлен уникальный пароль локального администратора. Дополнительные сведения см. в разделе "Решение для паролей локального администратора" (Windows LAPS) позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые, авторизованные пользователи могут читать или запрашивать сброс паролей учетной записи локального администратора. Дополнительные рекомендации по работе с средой с windows LAPS и привилегированным доступом рабочих станций (PAW) можно найти в операционных стандартах на основе принципа чистого источника.
  • Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
  • Следуйте этим дополнительным рекомендациям, чтобы сократить направления атак на среду Active Directory.
  • Следуйте изменениям в конфигурации федерации монитора, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и идентификатором Microsoft Entra.
  • Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием агента подготовки Microsoft Entra заключается в том, что если злоумышленник может контролировать сервер агента подготовки Microsoft Entra, который может управлять пользователями в идентификаторе Microsoft Entra. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось сбросить пароль пользователя с помощью агента подготовки Microsoft Entra, они по-прежнему не могут обойти второй фактор.

Групповые управляемые учетные записи служб

Управляемая учетная запись службы — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы, возможность делегировать управление другим администраторам, а также расширяет эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Во время установки вам будет предложено указать учетные данные администратора, чтобы создать эту учетную запись. Учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см . в разделе "Групповые управляемые учетные записи служб".

Предварительные требования для gMSA

  1. Необходимо обновить схему Active Directory в лесу домена gMSA до Windows Server 2012 или более поздней версии.
  2. Модули RSAT PowerShell на контроллере домена.
  3. По крайней мере один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
  4. Сервер, присоединенный к домену, на котором устанавливается агент, должен работать под Windows Server 2016 или ОС более поздней версии.

Настраиваемая учетная запись gMSA

Если вы создаете пользовательскую учетную запись gMSA, необходимо убедиться, что у учетной записи есть следующие разрешения.

Тип Имя. Открыть Применяется к
Разрешить Учетная запись gMSA Чтение всех свойств Дочерние объекты устройств
Разрешить Учетная запись gMSA Чтение всех свойств Дочерние объекты InetOrgPerson
Разрешить Учетная запись gMSA Чтение всех свойств Дочерние объекты компьютера
Разрешить Учетная запись gMSA Чтение всех свойств Дочерние объекты foreignSecurityPrincipal
Разрешить Учетная запись gMSA Полный контроль Дочерние объекты группы
Разрешить Учетная запись gMSA Чтение всех свойств Потомки объектов-пользователей
Разрешить Учетная запись gMSA Чтение всех свойств Дочерние объекты контакта
Разрешить Учетная запись gMSA Создание и удаление объектов-пользователей Этот объект и все дочерние объекты

Инструкции по обновлению существующего агента для использования учетной записи gMSA см . в группе управляемых учетных записей служб.

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в разделе "Общие сведения об управляемых учетных записях служб группы" и "Группа управляемых учетных записей служб" с помощью облачной синхронизации.

В Центре администрирования Microsoft Entra

  1. Создайте учетную запись администратора гибридного удостоверения только в облаке в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте, как добавить учетную запись администратора гибридных удостоверений только в облаке. Выполнение этого шага очень важно, чтобы не потерять доступ к клиенту.
  2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В каталоге Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

  1. Выберите присоединенный к домену сервер узла под управлением Windows Server 2016 или более поздней версии, на котором есть не менее 4 ГБ ОЗУ и среда выполнения .NET 4.7.1 или более поздней версии.
  2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.
  3. Если между серверами и идентификатором Microsoft Entra есть брандмауэр, см . требования к брандмауэру и прокси-серверу.

Примечание.

Установка агента подготовки облака в Windows Server Core не поддерживается.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы

Поддерживается только следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут назначить или динамическую членство.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Все эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Дополнительные требования

Требования к TLS

Примечание.

Протокол TLS обеспечивает безопасность обмена данными. Изменение параметров TLS влияет на весь лес. Дополнительные сведения см. в статье Обновление, предусматривающее использование TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Перед установкой сервера Windows, на котором размещен агент подготовки облака Microsoft Entra Connect, должен быть включен TLS 1.2.

Чтобы включить TLS 1.2, сделайте следующее:

  1. Задайте следующие разделы реестра, скопируйте содержимое в файл .reg , а затем запустите файл (щелкните правой кнопкой мыши и нажмите кнопку "Объединить").

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.

  • Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

    Номер порта Description
    80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
    443 Обработка всего исходящего трафика для службы.
    8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra.

  • Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

  • Убедитесь, что прокси-сервер поддерживает по крайней мере протокол HTTP 1.1 и включена блокированная кодировка.

  • Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, добавьте следующие подключения:

URL Description
*.msappproxy.net
*.servicebus.windows.net		 Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com		 Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80		 Агент использует эти URL-адреса для проверки сертификатов.
login.windows.net Агент использует эти URL-адреса в процессе регистрации.

Требование NTLM

Вы не должны включить NTLM на Windows Server, на котором запущен агент подготовки Microsoft Entra, и если он включен, убедитесь, что он отключен.

Известные ограничения

Ниже известные ограничения:

синхронизация изменений;

  • Фильтрация области группы для разностной синхронизации не поддерживает более 50 000 членов.
  • При удалении группы, которая используется как часть фильтра групповой области, пользователи, входящие в эту группу, не удаляются.
  • При переименовании подразделения или группы, которая находится в области, разностная синхронизация не удаляет пользователей.

Подготовка журналов

  • Журналы подготовки не четко различаются между операциями создания и обновления. Вы можете увидеть операцию создания для обновления и операцию обновления для создания.

Переименование групп или переименование подразделения

  • Если вы переименовываете группу или подразделение в AD, которая находится в области заданной конфигурации, задание облачной синхронизации не сможет распознать изменение имени в AD. Работа не перейдет в карантин и остается здоровой.

Область действия фильтра

При использовании фильтра подразделений

  • Для данной конфигурации можно синхронизировать только до 59 отдельных подразделений или групп безопасности.
  • Поддерживаются вложенные подразделения (то есть в одной конфигурации можно синхронизировать подразделение с 130 вложенными подразделениями, но нельзя синхронизировать 60 отдельных подразделений).

Синхронизация хэша паролей

  • Синхронизация хэша паролей с InetOrgPerson не поддерживается.

Следующие шаги