Предварительные требования для Microsoft Entra Cloud Sync

В этой статье приводятся рекомендации по использованию Microsoft Entra Cloud Sync в качестве решения для удостоверений.

Требования к агенту подготовки облака

Для использования Microsoft Entra Cloud Sync вам потребуется следующее:

  • Учетные данные администратора домена или администратора предприятия для создания облачной синхронизации Microsoft Entra Connect gMSA (учетная запись управляемой группы службы) для запуска службы агента.
  • Учетная запись администратора гибридного удостоверения для клиента Microsoft Entra, который не является гостевым пользователем.
  • Локальный сервер для агента подготовки с Windows 2016 или более поздней версии. Этот сервер должен быть сервером уровня 0 на основе модели административного уровня Active Directory. Поддерживается установка агента на контроллере домена. Дополнительные сведения см. в статье "Защита сервера агента подготовки Microsoft Entra"
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Высокий уровень доступности относится к способности Microsoft Entra Cloud Sync непрерывно работать без сбоя в течение длительного времени. При наличии нескольких активных агентов, установленных и запущенных, Microsoft Entra Cloud Sync может продолжать функционировать, даже если один агент должен завершиться ошибкой. Корпорация Майкрософт рекомендует установить 3 активных агентов для обеспечения высокой доступности.
  • Локальные конфигурации брандмауэра.

Обеспечение защиты сервера агента подготовки Microsoft Entra

Рекомендуется ужесточить сервер агента подготовки Microsoft Entra, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя этим рекомендациям, вы сможете устранить некоторые риски безопасности для вашей организации.

  • Мы рекомендуем защитить сервер агента подготовки Microsoft Entra в качестве ресурса уровня управления (ранее уровень 0), следуя инструкциям, приведенным в модели уровня "Безопасный привилегированный доступ" и "Административный уровень Active Directory".
  • Ограничить административный доступ к серверу агента подготовки Microsoft Entra только администраторам домена или другим строго контролируемым группам безопасности.
  • Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать Интернет, проверять электронную почту и выполнять повседневные задачи повышения производительности с высоко привилегированными учетными записями.
  • Следуйте инструкциям, приведенным в статье "Защита привилегированного доступа".
  • Запрет использования проверки подлинности NTLM с сервером агента подготовки Microsoft Entra. Ниже приведены некоторые способы : ограничение NTLM на сервере агента подготовки Microsoft Entra и ограничение NTLM в домене
  • Убедитесь, что у каждого компьютера есть уникальный пароль локального администратора. Дополнительные сведения см. в разделе "Решение для паролей локального администратора" (Windows LAPS) позволяет настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory, защищенном ACL. Только допустимые авторизованные пользователи могут считывать или запрашивать сброс паролей учетных записей локального администратора. Дополнительные рекомендации по работе с средой с windows LAPS и привилегированным доступом рабочих станций (PAW) можно найти в операционных стандартах на основе принципа чистого источника.
  • Реализуйте выделенные рабочие станции привилегированного доступа для всех сотрудников с привилегированным доступом к информационным системам вашей организации.
  • Следуйте этим дополнительным рекомендациям , чтобы уменьшить область атаки среды Active Directory.
  • Следуйте изменениям в конфигурации федерации монитора, чтобы настроить оповещения для отслеживания изменений доверия, установленных между поставщиком удостоверений и идентификатором Microsoft Entra.
  • Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в идентификаторе Microsoft Entra или в AD. Одна из проблем безопасности с использованием агента подготовки Microsoft Entra заключается в том, что если злоумышленник может контролировать сервер агента подготовки Microsoft Entra, который может управлять пользователями в идентификаторе Microsoft Entra. Чтобы предотвратить использование этих возможностей злоумышленником для получения учетных записей Microsoft Entra, MFA предлагает защиту, чтобы даже если злоумышленнику удалось сбросить пароль пользователя с помощью агента подготовки Microsoft Entra, они по-прежнему не могут обойти второй фактор.

Групповые управляемые учетные записи служб

Управляемая учетная запись службы — это учетная запись управляемого домена, которая обеспечивает автоматическое управление паролями, упрощенное управление именем субъекта-службы, возможность делегировать управление другим администраторам, а также расширяет эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Во время установки вам будет предложено указать учетные данные администратора, чтобы создать эту учетную запись. Учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см . в разделе "Групповые управляемые учетные записи служб".

Предварительные требования для gMSA

  1. Схема Active Directory в лесу домена gMSA должна быть обновлена до Windows Server 2012 или более поздней версии.
  2. Модули RSAT PowerShell на контроллере домена.
  3. Хотя бы один контроллер домена в домене должен работать под управлением Windows Server 2012 или более поздней версии.
  4. Присоединенный к домену сервер, на котором установлен агент, должен быть Windows Server 2016 или более поздней версии.

Пользовательская учетная запись gMSA

Если вы создаете пользовательскую учетную запись gMSA, необходимо убедиться, что у учетной записи есть следующие разрешения.

Тип Имя Доступ Применимо к
Разрешать Учетная запись gMSA Чтение всех свойств Объекты устройства-потомка
Разрешать Учетная запись gMSA Чтение всех свойств Объекты Потомка InetOrgPerson
Разрешать Учетная запись gMSA Чтение всех свойств Объекты нисходящих компьютеров
Разрешать Учетная запись gMSA Чтение всех свойств Дочерние объекты foreignSecurityPrincipal
Разрешать Учетная запись gMSA Полный контроль Объекты группы потомков
Разрешать Учетная запись gMSA Чтение всех свойств Объекты нисходящих пользователей
Разрешать Учетная запись gMSA Чтение всех свойств Объекты-потомки контактов
Разрешать Учетная запись gMSA Создание и удаление объектов user Этот объект и все объекты-потомки

Инструкции по обновлению существующего агента для использования учетной записи gMSA см . в группе управляемых учетных записей служб.

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в разделе "Общие сведения об управляемых учетных записях служб группы" и "Группа управляемых учетных записей служб" с помощью облачной синхронизации.

В Центре администрирования Microsoft Entra

  1. Создайте учетную запись администратора гибридного удостоверения только в облаке в клиенте Microsoft Entra. Таким образом вы можете управлять конфигурацией клиента, если локальные службы завершаются ошибкой или становятся недоступными. Узнайте, как добавить учетную запись администратора гибридных удостоверений только в облаке. Завершив этот шаг, важно убедиться, что вы не заблокировались из вашего клиента.
  2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут войти с помощью одного из этих доменных имен.

В каталоге в Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

  1. Определите присоединенный к домену сервер узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+ .
  2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.
  3. Если между серверами и идентификатором Microsoft Entra есть брандмауэр, см . требования к брандмауэру и прокси-серверу.

Заметка

Установка агента подготовки облака в Windows Server Core не поддерживается.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Заметка

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью microsoft Entra Connect Sync
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут быть назначены или динамические группы членства.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительные сведения

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Дополнительные требования

Требования TLS

Заметка

Протокол TLS — это протокол, обеспечивающий безопасный обмен данными. Изменение параметров TLS влияет на весь лес. Дополнительные сведения см. в разделе "Обновление", чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows.

Перед установкой сервера Windows, на котором размещен агент подготовки облака Microsoft Entra Connect, должен быть включен TLS 1.2.

Чтобы включить TLS 1.2, выполните следующие действия.

  1. Задайте следующие разделы реестра, скопируйте содержимое в файл .reg , а затем запустите файл (щелкните правой кнопкой мыши и нажмите кнопку "Объединить").

    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
    "DisabledByDefault"=dword:00000000
    "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
    "SchUseStrongCrypto"=dword:00000001
    
  2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и идентификатором Microsoft Entra есть брандмауэр, настройте следующие элементы:

  • Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

    Номер порта Описание
    80 Загружает списки отзыва сертификатов (CRLS) при проверке TLS/SSL-сертификата.
    443 Обрабатывает все исходящие связи со службой.
    8080 (необязательно) Агенты сообщают о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается в Центре администрирования Microsoft Entra.
  • Если брандмауэр применяет правила в соответствии с исходящими пользователями, откройте эти порты для трафика из служб Windows, которые выполняются в качестве сетевой службы.

  • Убедитесь, что прокси-сервер поддерживает по крайней мере протокол HTTP 1.1 и включена блокированная кодировка.

  • Если брандмауэр или прокси-сервер позволяют указать безопасные суффиксы, добавьте подключения:

URL-адрес Описание
*.msappproxy.net
*.servicebus.windows.net
Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com
Агент использует эти URL-адреса для взаимодействия с облачной службой Microsoft Entra.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
Агент использует эти URL-адреса для проверки сертификатов.
login.windows.net Агент использует эти URL-адреса во время регистрации.

Требование NTLM

Вы не должны включить NTLM на Windows Server, на котором запущен агент подготовки Microsoft Entra, и если он включен, убедитесь, что он отключен.

Известные ограничения

Ниже перечислены известные ограничения.

Разностная синхронизация

  • Фильтрация области группы для разностной синхронизации не поддерживает более 50 000 членов.
  • При удалении группы, которая используется в составе фильтра области группы, пользователи, являющиеся членами группы, не удаляются.
  • При переименовании подразделения или группы, которая находится в области, разностная синхронизация не удаляет пользователей.

Журналы подготовки

  • Журналы подготовки не четко различаются между операциями создания и обновления. Вы можете увидеть операцию создания для обновления и операции обновления для создания.

Переименование групп или переименование подразделения

  • Если вы переименовываете группу или подразделение в AD, которая находится в области заданной конфигурации, задание облачной синхронизации не сможет распознать изменение имени в AD. Работа не перейдет в карантин и остается здоровой.

Фильтр области

При использовании фильтра области подразделения

  • Конфигурация области имеет ограничение 4 МБ в длину символов. В стандартной тестовой среде это приводит к примерно 50 отдельным подразделениям или группам безопасности, включая необходимые метаданные для заданной конфигурации.

  • Вложенные подразделения поддерживаются (т. е. можно синхронизировать подразделение с 130 вложенными подразделениями, но не удается синхронизировать 60 отдельных подразделений в той же конфигурации).

Синхронизация хэша паролей

  • Синхронизация хэша паролей с InetOrgPerson не поддерживается.

Дальнейшие действия