Предварительные требования для Microsoft Entra Connect

В этой статье описываются предварительные требования и требования к оборудованию для Microsoft Entra Connect.

Перед установкой Microsoft Entra Connect

Перед установкой Microsoft Entra Connect необходимо выполнить несколько действий.

Microsoft Entra ID

• Вам нужен клиент Microsoft Entra. Вы получите его с бесплатной пробной версией Azure. Для управления Microsoft Entra Connect можно использовать один из следующих порталов:
  • Центр администрирования Microsoft Entra.
  • Портал Office.
• Добавьте и проверьте домен , который вы планируете использовать в идентификаторе Microsoft Entra. Например, если вы планируете использовать домен contoso.com для своих пользователей, убедитесь, что этот домен был подтвержден, и вы используете не только домен по умолчанию contoso.onmicrosoft.com.
• Клиент Microsoft Entra по умолчанию разрешает 50 000 объектов. После подтверждения домена этот предел увеличивается до 300 000 объектов. Если вам нужно еще больше объектов в идентификаторе Microsoft Entra, откройте вариант поддержки, чтобы увеличить ограничение еще больше. Если вам требуется более 500 000 объектов, вам нужна лицензия, например Microsoft 365, Microsoft Entra ID P1 или P2 или Enterprise Mobility + Security.

Подготовка локальных данных

• Используйте IdFix для выявления ошибок, таких как дубликаты и проблемы форматирования в каталоге перед синхронизацией с идентификатором Microsoft Entra и Microsoft 365.
• Просмотрите необязательные функции синхронизации, которые можно включить в идентификаторе Microsoft Entra и оценить, какие функции следует включить.

Локальный каталог Active Directory

• Версия схемы и режим работы леса Active Directory должны предполагать использование ОС Windows Server, начиная с версии 2003. Контроллеры домена могут работать под управлением любой версии, если выполняются требования к версии схемы и уровню леса. Если требуется поддержка контроллеров домена под управлением Windows Server 2016 или более ранних версий, может потребоваться платная программа поддержки.
• Контроллер домена, используемый в Microsoft Entra ID, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается, и Microsoft Entra Connect не следует перенаправления записи.
• Локальные леса и домены, использующие имена NetBIOS с точками (в имени содержится знак ".") не поддерживаются.
• Рекомендуем активировать корзину Active Directory.

Политика выполнения PowerShell

Microsoft Entra Connect запускает подписанные скрипты PowerShell в процессе установки. Убедитесь, что политика выполнения PowerShell позволяет выполнение сценариев.

Рекомендуемая политика выполнения в процессе установки — "RemoteSigned".

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Microsoft Entra Connect

Сервер Microsoft Entra Connect содержит критически важные данные удостоверения. Необходимо обеспечить надлежащую безопасность административного доступа к этому серверу. Следуйте рекомендациям статьи Защита привилегированного доступа.

Сервер Microsoft Entra Connect должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления, следуя инструкциям, приведенным в secure Privileged Access

Дополнительные сведения о защите среды Active Directory см. в статье Рекомендации по обеспечению безопасности Active Directory.

Предварительные требования для установки

• Microsoft Entra Connect должен быть установлен на присоединенном к домену Windows Server 2016 или более поздней версии. Рекомендуется использовать присоединенный к домену Windows Server 2022. Вы можете развернуть Microsoft Entra Connect в Windows Server 2016, но так как Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации.
• Минимальная версия платформа .NET Framework требуется 4.6.2, а более новые версии .NET также поддерживаются. .NET версии 4.8 и больше обеспечивает оптимальное соответствие специальных возможностей.
• Microsoft Entra Connect не может быть установлен в Small Business Server или Windows Server Essentials до 2019 г. (Windows Server Essentials 2019 поддерживается). Сервер должен использовать Windows Server Standard или более поздней версии.
• Сервер Microsoft Entra Connect должен иметь полный графический интерфейс. Установка Microsoft Entra Connect в Windows Server Core не поддерживается.
• Сервер Microsoft Entra Connect не должен включать групповую политику транскрибирования PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией службы федерации Active Directory (AD FS) (AD FS). Вы можете включить транскрибирование PowerShell, если вы используете мастер Microsoft Entra Connect для управления конфигурацией синхронизации.
• Убедитесь, что MS Online PowerShell (MSOL) не блокируется на уровне клиента.
• Если ad FS развертывается:
  • Серверами, на которых установлены AD FS или прокси веб-приложения, должны быть серверы Windows Server 2012 R2 или более поздней версии. удаленное управление Windows . Вам может потребоваться платная программа поддержки, чтобы получить поддержку для Windows Server 2016 и более ранних версий.
  • Необходимо настроить сертификаты TLS/SSL. Дополнительные сведения см. в статьях Управление протоколами SSL/TLS и наборами шифров для AD FS и Управление SSL-сертификатами в AD FS.
  • Необходимо настроить разрешение имен.
• Он не поддерживается для разрыва и анализа трафика между Microsoft Entra Connect и идентификатором Microsoft Entra. Это может нарушить работу службы.
• Если у администраторов гибридных удостоверений включена MFA, URL-адрес https://secure.aadcdn.microsoftonline-p.com должен находиться в списке надежных сайтов. Если он не добавлен, вам будет предложено добавить этот сайт в список надежных сайтов перед появлением запроса MFA. Добавить его в список надежных сайтов можно в Internet Explorer.
• Если вы планируете использовать Microsoft Entra Connect Health для синхронизации, убедитесь, что необходимые условия для Microsoft Entra Connect Health также выполнены. Дополнительные сведения см. в статье об установке агента Microsoft Entra Connect Health.

Усиление защиты сервера Microsoft Entra Connect

Рекомендуется ужесточить сервер Microsoft Entra Connect, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуйте этим рекомендациям, чтобы устранить некоторые угрозы безопасности в организации.

• Мы рекомендуем защитить сервер Microsoft Entra Connect в качестве ресурса уровня управления (ранее уровень 0), следуя инструкциям, приведенным в модели уровня "Безопасный привилегированный доступ" и "Административный уровень Active Directory".
• Ограничить административный доступ к серверу Microsoft Entra Connect только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять обычную работу, используя учетные записи с высоким уровнем привилегий.
• Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
• Запрет использования проверки подлинности NTLM с сервером Microsoft Entra Connect. Ниже приведены некоторые способы: ограничение NTLM на сервере Microsoft Entra Connect и ограничение NTLM в домене
• Убедитесь, что на каждом компьютере установлен уникальный пароль локального администратора. Дополнительные сведения см. в разделе "Решение для паролей локального администратора" (Windows LAPS) позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые, авторизованные пользователи могут читать или запрашивать сброс паролей учетной записи локального администратора. Дополнительные рекомендации по работе с средой с windows LAPS и привилегированным доступом рабочих станций (PAW) можно найти в операционных стандартах на основе принципа чистого источника.
• Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям, чтобы сократить направления атак на среду Active Directory.
• Следуйте изменениям в конфигурации федерации монитора, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и идентификатором Microsoft Entra.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием Microsoft Entra Connect заключается в том, что если злоумышленник может контролировать сервер Microsoft Entra Connect, который может управлять пользователями в идентификаторе Microsoft Entra ID. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось сбросить пароль пользователя с помощью Microsoft Entra Connect, они по-прежнему не могут обойти второй фактор.
• Отключение нестрогого сопоставления в клиенте. Soft Matching — это отличная функция, помогающая передавать источник полномочий для существующих облачных управляемых объектов в Microsoft Entra Connect, но она связана с определенными рисками безопасности. Если этого не требуется, следует отключить обратимое сопоставление.
• Отключите отработку жесткого совпадения. Переключение на жесткое соответствие позволяет Microsoft Entra Connect контролировать управляемый облачный объект и изменять источник центра для объекта в Active Directory. После того как источник центра объекта берется Microsoft Entra Connect, изменения, внесенные в объект Active Directory, связанный с объектом Microsoft Entra, перезаписывают исходные данные Microsoft Entra, включая хэш паролей, если включена синхронизация хэша паролей. Злоумышленник может использовать эту возможность для контроля над облачными управляемыми объектами. Чтобы устранить этот риск, отключите отработку жесткого соответствия.

SQL Server, используемый Microsoft Entra Connect

• Microsoft Entra Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). Размер SQL Server Express ограничивается 10 ГБ, что обеспечивает управление примерно 100 000 объектов. Если необходимо управлять большим количеством объектов каталога, в мастере установки укажите другую установку SQL Server. Тип установки SQL Server может повлиять на производительность Microsoft Entra Connect.
• Если вы используете другую установку SQL Server, эти требования применяются:
  • Microsoft Entra Connect поддерживает все основные поддерживаемые версии SQL Server до SQL Server 2022, работающих в Windows. Ознакомьтесь со статьей жизненного цикла SQL Server, чтобы проверить состояние поддержки версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных. Это относится как к Базе данных SQL Azure, так и к Управляемому экземпляру SQL Azure.
  • Необходимо использовать параметры сортировки SQL без учета регистра. Их можно определить по суффиксу _CI_ в имени. Параметры сортировки с учетом регистра, имена которых содержат суффикс _CS_ не поддерживаются.
  • Для каждого экземпляра SQL предусмотрен только один модуль синхронизации. Совместное использование экземпляра SQL с помощью службы "Синхронизация MIM", "DirSync" или "Синхронизация Azure AD" не поддерживается.

Организация

• У вас должна быть учетная запись глобального администратора Microsoft Entra или учетная запись администратора гибридного удостоверения для клиента Microsoft Entra, с которым вы хотите интегрироваться. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.
• Если используются стандартные параметры или обновление DirSync, необходимо иметь учетную запись администратора предприятия для локальной службы Active Directory.
• Если используется путь установки настраиваемых параметров, имеются дополнительные параметры. Дополнительные сведения см. в статье Параметры выборочной установки.

Подключение

• Для сервера Microsoft Entra Connect требуется разрешение DNS для интрасети и Интернета. DNS-сервер должен иметь возможность разрешать имена как в локальная служба Active Directory, так и в конечных точках Microsoft Entra.
• Microsoft Entra Connect требует сетевого подключения ко всем настроенным доменам
• Microsoft Entra Connect требует сетевого подключения к корневому домену всех настроенных лесов.
• Если у вас есть брандмауэры в интрасети и вам нужно открыть порты между серверами Microsoft Entra Connect и контроллерами домена, см . дополнительные сведения о портах Microsoft Entra Connect.
• Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365. Также см . список URL-адресов Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере.
  • Если вы используете облако Майкрософт в Германии или в облаке Microsoft Azure для государственных организаций, ознакомьтесь с рекомендациями по использованию экземпляров службы синхронизации Microsoft Entra Connect для URL-адресов.
• Microsoft Entra Connect (версия 1.1.614.0 и после) по умолчанию использует TLS 1.2 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Если протокол TLS 1.2 недоступен в базовой операционной системе, Microsoft Entra Connect постепенно возвращается к старым протоколам (TLS 1.1 и TLS 1.0). Начиная с Microsoft Entra Connect версии 2.0. Протоколы TLS 1.0 и 1.1 больше не поддерживаются, и установка завершится сбоем, если не включен протокол TLS 1.2.
• До версии 1.1.614.0 Microsoft Entra Connect по умолчанию использует TLS 1.0 для шифрования связи между подсистемой синхронизации и идентификатором Microsoft Entra. Чтобы изменить протокол TLS 1.2, выполните действия, описанные в разделе "Включить TLS 1.2 для Microsoft Entra Connect".

• Если вы используете исходящий прокси-сервер для подключения к Интернету, необходимо добавить следующий параметр в файле C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config , чтобы мастер установки и Microsoft Entra Connect Sync могли подключаться к Интернету и идентификатору Microsoft Entra Entra ID. Этот текст необходимо добавить в конец указанного файла. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если для прокси-сервера требуется проверка подлинности, учетная запись службы должна размещаться в домене. Используйте путь установки настраиваемых параметров, чтобы определить настраиваемую учетную запись службы. Также требуется другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации отвечают на запросы аутентификации от прокси-сервера. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть следующим образом.

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Если конфигурация прокси-сервера выполняется в существующей настройке, служба синхронизации идентификаторов Microsoft Entra ID должна быть перезапущена один раз, чтобы Microsoft Entra Connect считывала конфигурацию прокси-сервера и обновляла поведение.

• Когда Microsoft Entra Connect отправляет веб-запрос в идентификатор Microsoft Entra ID в рамках синхронизации каталогов, идентификатор Microsoft Entra может занять до 5 минут, чтобы ответить. Как правило, для прокси-серверов обычно настраивается тайм-аут простоя подключения. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.

Дополнительную информацию об элементе "прокси-сервер по умолчанию" см. на сайте MSDN. В случае проблем с подключением изучите статью Устранение неполадок подключения в Azure AD Connect.

Другие

Необязательно: используйте тестовую учетную запись пользователя для проверки синхронизации.

Предварительные требования к компонентам

PowerShell и .NET Framework

Microsoft Entra Connect зависит от Microsoft PowerShell 5.0 и платформа .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.

Включение TLS 1.2 для Microsoft Entra Connect

До версии 1.1.614.0 Microsoft Entra Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером подсистемы синхронизации и идентификатором Microsoft Entra. Можно настроить приложения .NET таким образом, чтобы на сервере по умолчанию использовался протокол TLS 1.2. Дополнительные сведения о TLS 1.2 см. в статье Советы по безопасности корпорации Майкрософт (2960358).

1. Убедитесь, что для операционной системы установлено исправление по .NET 4.5.1. Дополнительные сведения см. в статье Советы по безопасности корпорации Майкрософт (2960358). Это исправление или его более поздняя версия может быть уже установлена на вашем сервере.

2. Для любой операционной системы задайте этот ключ реестра и перезагрузите сервер.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Если также требуется включить протокол TLS 1.2 между сервером с модулем синхронизации и удаленным экземпляром SQL Server, установите версии, необходимые для поддержки протокола TLS 1.2 для Microsoft SQL Server.

Дополнительные сведения см . в статье о включении TLS 1.2

Необходимые компоненты DCOM на сервере синхронизации

Во время установки службы синхронизации Microsoft Entra Connect проверяет наличие следующего раздела реестра:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Microsoft Entra Connect проверяет наличие и неподвержден ли следующие значения:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Предварительные требования для установки и настройки федерации

Служба удаленного управления Windows

При использовании Microsoft Entra Connect для развертывания AD FS или прокси веб-приложения (WAP) проверьте следующие требования:

• Если целевой сервер присоединен к домену, включите удаленное управление Windows.
  • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
• Если целевой сервер является компьютером WAP, не присоединенным к домену, существует несколько дополнительных требований:
  • На целевом компьютере (КОМПЬЮТЕР WAP):
    • Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку "Службы".
    • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
  • На компьютере, на котором работает мастер (если целевой компьютер не присоединен к домену или является ненадежным доменом):
    • В командном окне PowerShell с повышенными привилегиями выполните команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • В диспетчере серверов:
      • Добавьте узел WAP DMZ в пул компьютеров. В диспетчере сервера последовательно выберите Управление>Добавить серверы, затем используйте вкладку DNS.
      • На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
      • Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.

Требования к TLS- и SSL-сертификатам

• Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
• Это должен быть сертификат X509.
• На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
  • Если используется сертификат, который не является общедоступным и доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).
• Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
  • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
  • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
  • Если вы планируете использовать Workplace Join, вам потребуется дополнительное имя SAN со значением enterpriseregistration, после которого следует суффикс имени субъекта-пользователя (UPN) вашей организации (например, enterpriseregistration.contoso.com).
• Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
• Поддерживаются групповые сертификаты.

Разрешение имен для серверов федерации

• Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
• Если выполняется развертывание нескольких серверов AD FS или прокси-сервер веб-приложения, убедитесь, что настроен балансировщик нагрузки, и на него указывают записи DNS для имени AD FS (например, sts.contoso.com).
• Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Microsoft Entra Connect

Microsoft Entra Connect устанавливает следующие компоненты на сервере, на котором установлен Microsoft Entra Connect. Этот список предназначен для базовой установки Express. Если на странице Установка служб синхронизации выбран другой SQL Server, то SQL Express LocalDB не устанавливается локально.

• Microsoft Entra Connect Health
• Служебные программы командной строки Microsoft SQL Server 2022
• Microsoft SQL Server 2022 Express LocalDB
• Собственный клиент Microsoft SQL Server 2022
• Распространяемый пакет Microsoft Visual C++ 14

Требования к оборудованию для Microsoft Entra Connect

В следующей таблице показаны минимальные требования к компьютеру синхронизации Microsoft Entra Connect.

Для компьютеров, где выполняются AD FS или прокси-серверы веб-приложений, предъявляются следующие минимальные требования:

• процессор: двухъядерный с тактовой частотой 1,6 ГГц или выше;
• память: 2 ГБ или более;
• виртуальная машина Azure: конфигурация A2 или выше.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.