Microsoft Entra Connect:帐户和权限

了解使用和创建的帐户,以及安装和使用 Microsoft Entra Connect 所需的权限。

该图表显示 Microsoft Entra Connect 所需帐户概述。

用于 Microsoft Entra Connect 的帐户

Microsoft Entra Connect 使用三个帐户,将信息从本地 Windows Server Active Directory (Windows Server AD) 同步到 Microsoft Entra ID:

  • AD DS 连接器帐户:用于通过 Active Directory 域服务 (AD DS) 在 Windows Server AD 中读取和写入信息。

  • ADSync 服务帐户:用于运行同步服务和访问 SQL Server 数据库。

  • Microsoft Entra 连接器帐户:用于将信息写入 Microsoft Entra ID。

还需以下帐户才能安装 Microsoft Entra Connect:

  • 本地管理员帐户:安装 Microsoft Entra Connect 并且在计算机上具有本地管理员权限的管理员。

  • AD DS 企业管理员帐户:可以用于创建所需的 AD DS 连接器帐户。

  • Microsoft Entra 混合标识管理员帐户:用于创建 Microsoft Entra 连接器帐户和配置 Microsoft Entra ID。 可以在 Microsoft Entra 管理中心中查看全局管理员和混合标识管理员。 请参阅列出 Microsoft Entra 角色分配

  • SQL SA 帐户(可选):用于在使用完整版 SQL Server 时创建 ADSync 数据库。 SQL Server 的实例对于 Microsoft Entra Connect 安装可以是本地或远程的。 此帐户可以是与企业管理员帐户相同的帐户。

    如果帐户具有数据库所有者 (DBO) 权限,现在可以由 SQL Server 管理员带外执行数据库预配,然后由 Microsoft Entra Connect 管理员完成安装。 有关详细信息,请参阅使用 SQL 委派的管理员权限安装 Microsoft Entra Connect

重要

从内部版本 1.4.###.# 开始,不再可以使用企业管理员帐户或域管理员帐户作为 AD DS 连接器帐户。 如果尝试对“使用现有帐户”输入企业管理员帐户或域管理员帐户,向导会显示一条错误消息,你无法继续操作。

注意

可以使用企业访问模型管理 Microsoft Entra Connect 中使用的管理帐户。 组织可以使用企业访问模型在安全控制比生产环境更强的环境中托管管理帐户、工作站和组。 有关详细信息,请参阅企业访问模型

进行初始设置后,不需要混合标识管理员角色。 设置完成后,唯一需要的帐户是目录同步帐户角色帐户。 建议将角色更改为具有较低权限级别的角色,而不是删除具有混合标识管理员角色的帐户。 如果需要再次运行向导,则完全删除帐户可能会造成问题。 如果需要再次使用 Microsoft Entra Connect 向导,可以添加权限。

Microsoft Entra Connect 安装

Microsoft Entra Connect 安装向导提供两种路径:

  • 快速设置:在 Microsoft Entra Connect 快速设置中,向导需要更多权限,以便轻松配置安装。 向导会创建用户并设置权限,你无需自己执行此操作。
  • 自定义设置:在 Microsoft Entra Connect 自定义设置中,向导中有更多选择和选项。 但是,在某些情况下,请务必确保自己拥有正确的权限。

快速设置

在快速设置中,在安装向导中输入此信息:

  • AD DS 企业管理员凭据
  • Microsoft Entra 混合标识管理员凭据。

AD DS 企业管理员凭据

AD DS 企业管理员帐户用于配置 Windows Server AD。 这些凭据仅在安装期间使用。 企业管理员(而不是域管理员)应确保可以在所有域中设置 Windows Server AD 中的权限。

如果从 DirSync 升级,AD DS 企业管理员凭据可用于重置 DirSync 所用帐户的密码。 此外,还需要 Microsoft Entra 混合标识管理员凭据。

Microsoft Entra 混合标识管理员凭据。

Microsoft Entra 混合标识管理员帐户的凭据仅在安装过程中使用。 该帐户用于创建 Microsoft Entra 连接器帐户,以便将更改同步到 Microsoft Entra ID。 该帐户还会在 Microsoft Entra ID 中启用同步作为功能。

了解更多信息,请参阅什么是混合标识管理员?

AD DS 连接器帐户需要快速设置权限

创建 AD DS 连接器帐户以在 Windows Server AD 中读取和写入。 在快速设置安装过程中创建帐户时,该帐户具有以下权限:

权限 用途
- 复制目录更改
- 复制所有目录更改
密码哈希同步
读取/写入所有用户属性 导入和执行 Exchange 混合部署
读取/写入所有 iNetOrgPerson 属性 导入和执行 Exchange 混合部署
读取/写入所有组属性 导入和执行 Exchange 混合部署
读取/写入所有联系人属性 导入和执行 Exchange 混合部署
重置密码 准备启用密码写回

快速设置向导

在快速设置安装过程中,向导会为你创建一些帐户和设置。

屏幕截图显示 Microsoft Entra Connect 中的“快速设置”页。

下表汇总了快速设置向导页面、收集的凭据,以及它们的用途:

向导页 收集的凭据 所需的权限 用途
空值 运行安装向导的用户。 本地服务器的管理员。 用于创建运行同步服务所用的 ADSync 服务帐户。
连接到 Microsoft Entra ID Microsoft Entra 目录凭据。 Microsoft Entra ID 中的混合标识管理员角色。 - 用于在 Microsoft Entra 目录中启用同步。
- 用于创建在 Microsoft Entra ID 中用于持续同步操作的 Microsoft Entra 连接器帐户。
连接到 AD DS Windows Server AD 凭据。 Windows Server AD 中的“企业管理员”组的成员。 用于在 Windows Server AD 中创建 AD DS 连接器帐户并向其授予权限。 同步期间,所创建的该帐户用于读取和写入目录信息。

自定义设置

在自定义设置安装过程中,向导中有更多选择和选项。

屏幕截图显示 Microsoft Entra Connect 中的“快速设置”页,其中突出显示了“自定义”按钮。

自定义设置向导

下表汇总了自定义设置向导页面、收集的凭据,以及它们的用途:

向导页 收集的凭据 所需的权限 用途
空值 运行安装向导的用户。 - 本地服务器的管理员。
- 如果使用完整 SQL Server 实例,则用户必须是 SQL Server 中的系统管理员 (sysadmin)。
默认情况下,用于创建充当同步引擎服务帐户的本地帐户。 只有在管理员未指定帐户时才创建该帐户。
安装同步服务,服务帐户选项 Windows Server AD 或本地用户帐户凭据。 用户和权限由安装向导授予。 如果管理员指定了帐户,则此帐户将用作同步服务的服务帐户。
连接到 Microsoft Entra ID Microsoft Entra 目录凭据。 Microsoft Entra ID 中的混合标识管理员角色。 - 用于在 Microsoft Entra 目录中启用同步。
- 用于创建在 Microsoft Entra ID 中用于持续同步操作的 Microsoft Entra 连接器帐户。
连接目录 连接到 Microsoft Entra ID 的每个林的 Windows Server AD 凭据。 权限随所启用的功能而定,可在创建 AD DS 连接器帐户中查找。 在同步期间,将使用此帐户读取和写入目录信息。
AD FS 服务器 对于列表中的每个服务器,如果运行向导的用户没有足够的登录凭据权限来建立连接,则向导会收集凭据。 域管理员帐户。 在安装和配置 Active Directory 联合身份验证服务 (AD FS) 服务器角色期间使用。
Web 应用程序代理服务器 对于列表中的每个服务器,如果运行向导的用户没有足够的登录凭据权限来建立连接,则向导会收集凭据。 目标计算机上的本地管理员。 在安装和配置 Web 应用程序代理 (WAP) 服务器角色期间使用。
代理信任凭据 联合身份验证服务信任凭据(代理用来注册联合身份验证服务 (FS) 信任证书的凭据)。 作为 AD FS 服务器本地管理员的域帐户。 初始注册 FS-WAP 信任证书。
“AD FS 服务帐户”页上的“使用域用户帐户选项 Windows Server AD 用户帐户凭据。 域用户。 提供了其凭据的 Microsoft Entra 用户帐户将用作 AD FS 服务的登录帐户。

创建 AD DS 连接器帐户

重要

名为 ADSyncConfig.psm1 的新 PowerShell 模块已随版本 1.1.880.0(2018 年 8 月发布)引入。 该模块包含一系列 cmdlet,可帮助你为 Microsoft Entra 域服务连接器帐户配置正确的 Windows Server AD 权限。

有关详细信息,请参阅 Microsoft Entra Connect:配置 AD DS 连接器帐户权限

安装之前,必须以正常用户对象身份(不支持 VSA、MSA 或 gMSA)在 Windows Server AD 中创建“连接目录”页面上指定的账户。 Microsoft Entra Connect 版本 1.1.524.0 及更高版本提供了相应选项,让 Microsoft Entra Connect 向导创建用于连接 Windows Server AD 的 AD DS 连接器帐户。

指定的帐户还必须具有所需的权限。 安装向导不会验证权限,任何问题都只会在同步过程中发现。

需要哪些权限取决于启用的可选功能。 如果有多个域,则必须对林中的所有域授予权限。 如果某项功能未启动,则默认的域用户权限已足够。

功能 权限
ms DS ConsistencyGuid 功能 设计概念 - 使用 ms-DS-ConsistencyGuid 作为 sourceAnchor 中所述的 ms-DS-ConsistencyGuid 属性的写入权限。
密码哈希同步 - 复制目录更改
- 复制所有目录更改
Exchange 混合部署 针对用户、组和联系人的属性的写入权限,详见Exchange 混合写回
Exchange 邮件公共文件夹 Exchange 邮件公用文件夹中所述的公用文件夹属性的读取权限。
密码写回 针对用户的属性的写入权限,详见密码管理入门
设备写回 通过 PowerShell 脚本授予的权限,详见设备写回
组写回 允许你将 Microsoft 365 组写回到已安装 Exchange 的林中。

升级所需的权限

从 Microsoft Entra Connect 的一个版本升级到新版本时,需要拥有以下权限:

主体 所需的权限 用途
运行安装向导的用户 本地服务器的管理员 用于更新二进制文件。
运行安装向导的用户 ADSyncAdmins 的成员 用于对同步规则和其他配置进行更改。
运行安装向导的用户 如果使用 SQL Server 的完整实例:需有同步引擎数据库的 DBO 权限(或类似权限) 用于进行数据库级别更改,例如使用新列更新表。

重要

在版本 1.1.484 中,Microsoft Entra Connect 中出现了回归 bug。 该 bug 需要 sysadmin 权限才能升级 SQL Server 数据库。 版本 1.1.647 中解决了该 bug。 要升级到此版本,必须具有 sysadmin 权限。 在此方案中,DBO 权限不足。 如果尝试在没有 sysadmin 权限的情况下升级 Microsoft Entra Connect,升级会失败,之后 Microsoft Entra Connect 不再正常工作。

所创建帐户的详细信息

以下部分提供有关在 Microsoft Entra Connect 中创建的帐户的详细信息。

AD DS 连接器帐户

如果使用快速设置,则会在 Windows Server AD 中创建用于同步的帐户。 创建的帐户位于用户容器的林根域中。 帐户名称的前缀为 MSOL_。 该帐户带有永不过期的长复杂密码。 如果域中有密码策略,请确保允许此帐户使用长密码和复杂密码。

屏幕截图显示 Microsoft Entra Connect 中具有 MSOL 前缀的 AD DS 连接器帐户。

如果使用自定义设置,则需负责在开始安装之前创建帐户。 请参阅创建 AD DS 连接器帐户

ADSync 服务帐户

同步服务可在不同帐户下运行。 它可以在虚拟服务帐户 (VSA)组托管服务帐户 (gMSA)独立托管服务 (sMSA) 或常规用户帐户下运行。 2017 年 4 月版本的 Microsoft Entra Connect 的支持选项已更改(若进行全新安装)。 如果从早期版本的 Microsoft Entra Connect 升级,这些附加选项不可用。

帐户的类型 安装选项 说明
VSA 快速和自定义,2017 年 4 月版及更高版本 此选项用于所有快速设置安装,在域控制器上的安装除外。 对于自定义设置,这是默认选项。
gMSA 自定义,2017 年 4 月版及更高版本 如果使用 SQL Server 的远程实例,建议使用 gMSA。
用户帐户 快速和自定义,2017 年 4 月版及更高版本 仅当在 Windows Server 2008 以及域控制器上安装 Microsoft Entra Connect 时,才会在安装期间创建前缀为 AAD_ 的用户帐户。
用户帐户 快速和自定义,2017 年 3 月版及更早版本 在安装期间创建前缀为 AAD_ 的本地帐户。 在自定义安装过程中,可以指定其他帐户。

如果使用 2017 年 3 月或更早之前的 Microsoft Entra Connect 版本,请不要重置服务帐户的密码。 出于安全原因,Windows 会销毁加密密钥。 在不重新安装 Microsoft Entra Connect 的情况下,无法将帐户更改为其他任何帐户。 如果升级到 2017 年 4 月的版本或更高版本,可以更改服务帐户的密码,但不能更改使用的帐户。

重要

只能在首次安装时设置服务帐户。 安装完成后,无法更改服务帐户。

下表介绍同步服务帐户的默认、建议和支持的选项。

图例:

  • 粗体 = 默认选项,并且在大多数情况下是建议选项。
  • 斜体 = 建议选项(当该选项不是默认选项时)。
  • 2008 = 在 Windows Server 2008 上安装时的默认选项
  • 非粗体 = 支持的选项
  • 本地帐户 = 服务器上的本地用户帐户
  • 域帐户 = 域用户帐户
  • sMSA = 独立托管服务帐户
  • gMSA = 组托管服务帐户
本地数据库
Express
本地数据库/本地 SQL Server
自定义
远程 SQL Server
自定义
加入域的计算机 VSA
本地帐户 (2008)
VSA
本地帐户 (2008)
本地帐户
域帐户
sMSA、gMSA
gMSA
域帐户
域控制器 域帐户 gMSA
域帐户
sMSA
gMSA
域帐户

VSA

VSA 是一种特殊类型的帐户,它没有密码且由 Windows 管理。

显示虚拟服务帐户的屏幕截图。

VSA 旨在当同步引擎和 SQL Server 位于同一服务器上时使用。 如果使用的是远程 SQL Server,那么建议使用 gMSA 而不是 VSA。

VSA 功能需要 Windows Server 2008 R2 或更高版本。 如果在 Windows Server 2008 上安装 Microsoft Entra Connect,则安装将回退改用用户帐户而非 VSA。

gMSA

如果使用 SQL Server 的远程实例,建议使用 gMSA。 有关如何为 gMSA 准备 Windows Server AD 的详细信息,请参阅组托管服务帐户概述

要使用此选项,请在安装所需组件页上,选择“使用现有服务帐户”,然后选择“托管服务帐户”。

屏幕截图显示在 Windows Server 中选择“托管服务帐户”。

在此方案中,还可以使用 sMSA。 但是,只能在本地计算机上使用 sMSA,使用 sMSA 而不是默认 VSA 没有任何好处。

sMSA 功能需要 Windows Server 2012 或更高版本。 如果需要使用早期版本的操作系统和远程 SQL Server,则必须使用用户帐户

用户帐户

本地服务帐户由安装向导创建(除非在自定义设置指定了要使用的帐户)。 该帐户具有 AAD_ 前缀,可用作实际同步服务的运行帐户。 如果在域控制器上安装 Microsoft Entra Connect,则会在该域中创建帐户。 在以下情况下,AAD_ 服务帐户必须位于域中:

  • 使用运行 SQL Server 的远程服务器。
  • 使用需要身份验证的代理。

显示 Windows Server 中的同步服务用户帐户的屏幕截图。

AAD_ 帐户带有永不过期的长复杂密码。

此帐户用于以安全方式存储其他帐户的密码。 这些密码以加密形式存储在数据库中。 通过使用 Windows 数据保护 API (DPAPI) 的密钥加密服务来保护加密密钥的私钥。

如果使用 SQL Server 的完整实例,服务帐户是为同步引擎创建的数据库的 DBO。 如果使用如何其他权限,服务无法按预期工作。 还会创建一个 SQL Server 登录名。

该帐户也会被授予对文件、注册表项和与同步引擎相关的其他对象的权限。

Microsoft Entra 连接器帐户

Microsoft Entra ID 中会创建一个帐户供同步服务使用。 可以按显示名称来标识此帐户。

屏幕截图显示具有 DC1 前缀的 Microsoft Entra 帐户。

使用该帐户的服务器名称可以根据用户名的第二个部分来识别。 在上图中,服务器名称为 DC1。 如果部署了暂存服务器,每个服务器都有自身的帐户。

服务器帐户带有永不过期的长复杂密码。 系统为该帐户授予特殊的目录同步帐户角色,该角色仅有执行目录同步任务的权限。 此特殊内置角色不能在 Microsoft Entra Connect 向导之外授予。 Microsoft Entra管理中心显示具有“用户”角色的此帐户。

Microsoft Entra ID 的同步服务帐户数目限制为 20 个。

  • 若要在 Microsoft Entra 实例中获取现有 Microsoft Entra 服务帐户的列表,请运行以下命令:

    $directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"}
    Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
    
  • 若要删除未使用的 Microsoft Entra 服务帐户,请运行以下命令:

    Remove-MgUser -UserId <Id-of-the-account-to-remove>
    

注意

必须先安装 Microsoft Graph PowerShell 模块并使用 Connect-AzureAD 连接到 Microsoft Entra ID 实例,然后才可使用这些 PowerShell 命令。

若要详细了解如何管理或重置 Microsoft Entra Connect 帐户的密码,请参阅管理 Microsoft Entra Connect 帐户

有关 Microsoft Entra Connect 的详细信息,请参阅以下文章:

主题 链接。
下载 Microsoft Entra Connect 下载 Microsoft Entra Connect
使用快速设置安装 快速安装 Microsoft Entra Connect
使用自定义设置安装 Microsoft Entra Connect 的自定义安装
从 DirSync 升级 从 Azure AD Sync 工具 (DirSync) 升级
安装后 验证安装并分配许可证

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成