Предварительные требования для настройки синхронизации в облаке Microsoft Entra

В этой статье приводятся рекомендации по использованию Microsoft Entra Cloud Sync в качестве решения для удостоверений.

Требования к агенту подготовки облака

Чтобы использовать облачную синхронизацию Microsoft Entra, вам потребуется следующее:

• Учетные данные администратора домена или предприятия, необходимые для создания gMSA для облачной синхронизации в Microsoft Entra Connect (групповая управляемая учетная запись службы), чтобы запускать службу агента.

• Учетная запись администратора гибридных удостоверений для клиента Microsoft Entra, который не является гостевым пользователем.

• Microsoft Entra агент облачной синхронизации должен быть установлен на присоединенном к домену сервере, на котором выполняется Windows Server 2022, Windows Server 2019 или Windows Server 2016. Мы рекомендуем Windows Server 2022. Вы можете развернуть Microsoft Entra Cloud Sync на Windows Server 2016, но так как он находится в расширенной поддержке, может потребоваться платная программа поддержки, если требуется поддержка этой конфигурации. Установка в неподдерживаемых версиях Windows Server может привести к сбоям служб или непредвиденному поведению.

  Это важно

  Windows Server 2025 не поддерживается. Существует известная проблема Windows Server 2025 г., которая может привести к возникновению проблем с синхронизацией Microsoft Entra Cloud Sync. При обновлении до Windows Server 2025 убедитесь, что вы установили обновление от 20 октября 2025 г. — KB5070773 или более позднее. После установки этого обновления перезапустите сервер, чтобы изменения вступили в силу. В будущих выпусках планируется поддержка для Windows Server 2025 в Microsoft Entra Cloud Sync.

• Этот сервер должен быть сервером уровня 0 на основе модели Active Directory административного уровня. Поддерживается установка агента на контроллере домена. Для получения более детальной информации, см. раздел Укрепление сервера агента настройки Microsoft Entra

• Для Active Directory схемы требуется атрибут msDS-ExternalDirectoryObjectId, доступный в Windows Server 2016 и более поздних версиях.

• Службу диспетчера учетных данных Windows (VaultSvc) нельзя отключить, так как это мешает установке агента конфигурирования.

• Высокий уровень доступности относится к способности облачной синхронизации Microsoft Entra непрерывно работать без сбоя в течение длительного времени. Microsoft Entra Cloud Sync будет продолжать работать, даже если один из нескольких активных агентов выйдет из строя. Корпорация Майкрософт рекомендует установить 3 активных агентов для обеспечения высокой доступности.

• Локальные конфигурации брандмауэра.

Укрепление безопасности сервера агента подготовки Microsoft Entra

Рекомендуется ужесточить сервер агента подготовки Microsoft Entra, чтобы уменьшить область атак безопасности для этого критического компонента ИТ-среды. Следуя этим рекомендациям, вы можете снизить некоторые риски безопасности для вашей организации.

• Мы рекомендуем усилить защиту сервера агента подготовки Microsoft Entra как актива уровня Управляющей плоскости (ранее уровень 0), следуя инструкциям, приведенным в руководствах Secure Privileged Access и модель административных уровней Active Directory.
• Ограничить административный доступ к серверу агента подготовки Microsoft Entra только администраторам домена или другим строго контролируемым группам безопасности.
• Создайте выделенную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать Интернет, проверять электронную почту и выполнять повседневные задачи повышения производительности с высоко привилегированными учетными записями.
• Следуйте инструкциям, представленным в статье Защита привилегированного доступа.
• Запретить использование аутентификации NTLM на сервере агента подготовки Microsoft Entra. Ниже приведены некоторые способы: Ограничение NTLM на сервере агента подготовки Microsoft Entra и Ограничение NTLM в домене
• Убедитесь, что у каждого компьютера есть уникальный пароль локального администратора. Дополнительные сведения см. в статье Local Administrator Solution (Windows LAPS) может настроить уникальные случайные пароли на каждой рабочей станции и сервере, храня их в Active Directory защищенном ACL. Только допустимые авторизованные пользователи могут считывать или запрашивать сброс паролей учетных записей локального администратора. Дополнительные рекомендации по работе со средой с Windows LAPS и привилегированными рабочими станциями доступа (ПРА) можно найти в Эксплуатационных стандартах, основанных на принципе чистого источника.
• Обеспечьте выделенные рабочие станции с привилегированным доступом для всех сотрудников, имеющих привилегированный доступ к информационным системам вашей организации.
• Следуйте этим дополнительным рекомендациям, чтобы уменьшить область атаки среды Active Directory.
• Настройте оповещения в разделе Monitor changes to federation configuration для отслеживания изменений в доверии, установленном между вашим поставщиком удостоверений и Microsoft Entra ID.
• Включите многофакторную проверку подлинности (MFA) для всех пользователей, имеющих привилегированный доступ в Microsoft Entra ID или в AD. Одна из проблем безопасности при использовании агента предоставления Microsoft Entra заключается в том, что если злоумышленник получит контроль над сервером агента Microsoft Entra, он может манипулировать пользователями в Microsoft Entra ID. Чтобы предотвратить использование этих возможностей злоумышленником для получения Microsoft Entra учетных записей, MFA предлагает защиту. Например, даже если злоумышленнику удалось сбросить пароль пользователя с помощью агента предоставления Microsoft Entra, он по-прежнему не может обойти второй фактор.

Групповые управляемые сервисные учетные записи

Управляемая учетная запись службы группы — это управляемая учетная запись домена, которая обеспечивает автоматическое управление паролями и упрощенное управление именем субъекта-службы. Кроме того, она предоставляет возможность делегировать управление другим администраторам и расширить эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и использует gMSA для запуска агента. Во время установки вам будет предложено указать учетные данные администратора, чтобы создать эту учетную запись. Учетная запись отображается как domain\provAgentgMSA$. Дополнительные сведения о gMSA см. в разделе «Управляемые учетные записи служб».

Предварительные требования для gMSA

• Схему Active Directory в лесу домена gMSA необходимо обновить до Windows Server 2012 или более поздней версии.
• Модули RSAT для PowerShell на контроллере домена.
• По крайней мере один контроллер домена в домене должен работать Windows Server 2012 или более поздней версии.
• Присоединенный к домену сервер, на котором выполняется Windows Server 2022, Windows Server 2019 или Windows Server 2016 для установки агента.

Пользовательская учетная запись gMSA

Если вы создаете пользовательскую учетную запись gMSA, необходимо убедиться, что у учетной записи есть следующие разрешения.

Инструкции по обновлению существующего агента для использования учетной записи gMSA см. в разделе групповые управляемые учетные записи служб.

Дополнительные сведения о подготовке Active Directory для групповой управляемой учетной записи службы см. в статье group Managed Service Accounts Overview and Group managed service accounts with cloud sync.

В центре администрирования Microsoft Entra

1. Создайте учетную запись для Администратора гибридной идентификации, предназначенную только для облака, в клиенте Microsoft Entra. Таким образом вы можете управлять конфигурацией арендатора, если локальные службы отказывают или становятся недоступными. Узнайте, как добавить учетную запись администратора гибридных удостоверений только для облака. Завершив этот шаг, обязательно убедитесь, что вы не заблокировались из вашей учетной записи.
2. Добавьте одно или несколько доменных имен custom в клиент Microsoft Entra. Пользователи могут войти с помощью одного из этих доменных имен.

В вашем каталоге Active Directory

Запустите средство IdFix, чтобы подготовить атрибуты каталога для синхронизации.

В локальной среде

1. Определите присоединенный к домену сервер хоста, на котором выполняется Windows Server 2022, Windows Server 2019 или Windows Server 2016, с не менее чем 4 ГБ ОЗУ и средой выполнения .NET версии 4.7.1 или более поздней.
2. Политика выполнения PowerShell на локальном сервере должна иметь значение Undefined или RemoteSigned.
3. Если между вашими серверами и Microsoft Entra ID есть брандмауэр, просмотрите требования к брандмауэру и прокси.

Настройка Microsoft Entra ID для Active Directory Domain Services — предварительные требования

** Для реализации групп предоставления для Active Directory Domain Services (AD DS) требуются следующие предварительные условия.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, см. статью Сравнение общедоступных функций Microsoft Entra ID.

Общие требования

• Учетная запись Microsoft Entra как минимум с ролью Hybrid Identity Administrator.
• Локальная схема AD DS с атрибутом msDS-ExternalDirectoryObjectId, которая доступна в Windows Server 2016 и более поздних версиях.
• Агент развертывания с версией сборки 1.1.1373.0 или более поздней.

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• Агент подготовки должен быть установлен на сервере, на котором выполняется Windows Server 2022, Windows Server 2019 или Windows Server 2016.
• Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
  • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
• Синхронизация с Microsoft Entra Connect версия сборки 2.2.8.0
  • Требуется для поддержки локального членства пользователей, синхронизированных с помощью синхронизации Microsoft Entra Connect
  • Требуется для синхронизации AD DS:user:objectGUID с AAD DS:user:onPremisesObjectIdentifier

Ограничения масштабирования групп управления ресурсами для Active Directory

Функция подготовки групп для Active Directory влияет на производительность в зависимости от размера арендатора и количества групп и членств, находящихся в пределах области подготовки к Active Directory. В этом разделе описано, как определить, поддерживает ли GPAD требование масштабирования и как выбрать правильный режим охвата группы для ускорения начальных и разностных циклов синхронизации.

Что не поддерживается?

• Группы, размер которых превышает 50K, не поддерживаются.
• Использование области "Все группы безопасности" без применения фильтрации области атрибутов не поддерживается.

Ограничения масштабирования

Что делать, если вы превысили лимиты

Превышение рекомендуемых ограничений приведет к замедлению начальной и разностной синхронизации, что может привести к ошибкам синхронизации. Если это произойдет, выполните следующие действия.

Слишком много групп или членов групп в режиме выбора «Выбранные группы безопасности»:

Уменьшите количество групп в охвате (сосредоточьтесь на группах с более высоким приоритетом), или разделите процесс обеспечения на несколько самостоятельных заданий с отдельными областями.

Слишком много групп или участников групп в режиме охвата "Все группы безопасности".

Используйте рекомендуемый режим области выбранных групп безопасности .

Некоторые группы превышают 50K членов:

Разделение членства между несколькими группами или принятие промежуточных групп (например, по регионам или бизнес-подразделениям), чтобы сохранить каждую группу под ограничением.

Расширенный выбор группы с помощью API

Если вам нужно выбрать более 999 групп, необходимо использовать параметр Grant an appRoleAssignment для вызова API субъекта-службы .

Пример вызовов API выглядит следующим образом:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId: идентификатор объекта Group.
• resourceId: идентификатор субъекта-службы задания.
• appRoleId: идентификатор роли приложения, предоставляемой субъектом-службой ресурсов.

В следующей таблице приведен список идентификаторов ролей приложений для облаков:

Дополнительные сведения

Ниже приведены дополнительные моменты, которые следует учитывать при подготовке групп в AD DS.

• Группы, подготовленные в AD DS с помощью Облачной синхронизации, могут содержать только локальных синхронизированных пользователей или других созданных в облаке групп безопасности.
• Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
• onPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD DS.
• Атрибут objectGUID локального пользователя можно синхронизировать с атрибутом cloud user onPremisesObjectIdentifier с помощью любого клиента синхронизации.
• Только глобальные арендаторы Microsoft Entra ID могут настраивать интеграцию из Microsoft Entra ID с AD DS. Арендаторы, такие как B2C, не поддерживаются.
• Задание подготовки группы планируется выполнять каждые 20 минут.

Дополнительные требования

• Минимальная Microsoft .NET Framework 4.7.1

Требования TLS

Сервер Windows, на котором размещён агент подготовки облачного ресурса Microsoft Entra Connect, должен иметь включённый TLS 1.2 перед его установкой.

Чтобы включить TLS 1.2, выполните следующие действия.

1. Задайте следующие ключи реестра, скопируйте содержимое в файл .reg, а затем запустите файл (щелкните правой кнопкой мыши и выберите Объединить):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Перезапустите сервер.

Требования к брандмауэру и прокси-серверу

Если между серверами и Microsoft Entra ID есть брандмауэр, настройте следующие элементы:

• Убедитесь, что агенты могут выполнять запросы outbound для Microsoft Entra ID через следующие порты:

  Номер порта	Описание
  80	Загружает списки отзыва сертификатов (CRLS) при проверке TLS/SSL-сертификата.
  443	Обрабатывает все исходящие связи со службой.
  8080 (необязательно)	Агенты сообщают о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается в центре администрирования Microsoft Entra.

• Если брандмауэр применяет правила в соответствии с исходными пользователями, откройте эти порты для трафика из служб Windows, которые выполняются в качестве сетевой службы.

• Убедитесь, что прокси-сервер поддерживает по крайней мере протокол HTTP 1.1 и включена блокированная кодировка.

• Если брандмауэр или прокси-сервер позволяют указать безопасные суффиксы, добавьте подключения:

Требование NTLM

Вы не должны включить NTLM на Windows Server, на котором запущен агент подготовки Microsoft Entra, и если он включен, убедитесь, что он отключен.

Известные ограничения

Ниже перечислены известные ограничения.

Разностная синхронизация

• Фильтрация области группы для дельта-синхронизации не поддерживает более 50 000 участников.
• При удалении группы, которая используется в составе фильтра охвата группы, пользователи, являющиеся членами группы, не удаляются.
• При переименовании организационной единицы или группы, которая находится в охвате, дельта-синхронизация не удаляет пользователей.

Журналы настройки

• Журналы предоставления не четко различают операции создания и обновления. Вы можете заметить, что операция создания используется для обновления, а операция обновления — для создания.

Переименование групп или переименование организационных единиц

• Если вы переименовываете группу или организационную единицу в AD, которые находятся в рамках заданной конфигурации, задание облачной синхронизации не может распознать переименование в AD. Работа не переходит в карантин и остается в норме.

Фильтр области действия

При использовании OU (организационная единица) фильтра области

• Конфигурация области имеет ограничение в 4 МБ по количеству символов. В стандартной тестовой среде это приводит к примерно 50 отдельным подразделениям или группам безопасности, включая необходимые метаданные для заданной конфигурации.

• Вложенные подразделения поддерживаются (то есть вы можете синхронизировать подразделение с 130 вложенными подразделениями, но нельзя синхронизировать 60 отдельных подразделений в той же конфигурации).

Синхронизация хэша паролей

• Синхронизация хэша паролей с InetOrgPerson не поддерживается.

Дальнейшие действия

• Что такое предоставление ресурсов?
• Что такое Microsoft Entra Cloud Sync?