Wymagania wstępne dotyczące usługi Microsoft Entra Connect

W tym artykule opisano wymagania wstępne i wymagania sprzętowe dotyczące Połączenie firmy Microsoft.

Przed zainstalowaniem usługi Microsoft Entra Połączenie

Przed zainstalowaniem Połączenie firmy Microsoft należy wykonać kilka czynności.

Microsoft Entra ID

  • Potrzebna jest dzierżawa firmy Microsoft Entra. Możesz skorzystać z bezpłatnej wersji próbnej platformy Azure. Do zarządzania Połączenie firmy Microsoft można użyć jednego z następujących portali:
  • Dodaj i zweryfikuj domenę , której zamierzasz użyć w identyfikatorze Entra firmy Microsoft. Jeśli na przykład planujesz używać contoso.com dla użytkowników, upewnij się, że ta domena została zweryfikowana i nie używasz tylko domeny domyślnej contoso.onmicrosoft.com.
  • Dzierżawa firmy Microsoft Entra zezwala domyślnie na 50 000 obiektów. Po zweryfikowaniu domeny limit zwiększa się do 300 000 obiektów. Jeśli potrzebujesz jeszcze większej liczby obiektów w identyfikatorze Entra firmy Microsoft, otwórz zgłoszenie do pomocy technicznej, aby zwiększyć limit jeszcze bardziej. Jeśli potrzebujesz więcej niż 500 000 obiektów, potrzebujesz licencji, takiej jak Microsoft 365, Microsoft Entra ID P1 lub P2 lub Enterprise Mobility + Security.

Przygotowywanie danych lokalnych

Lokalna usługa Active Directory

  • Wersja schematu usługi Active Directory i poziom funkcjonalności lasu musi być systemem Windows Server 2003 lub nowszym. Kontrolery domeny mogą uruchamiać dowolną wersję, o ile są spełnione wymagania dotyczące wersji schematu i poziomu lasu. Jeśli potrzebujesz obsługi kontrolerów domeny z systemem Windows Server 2016 lub starszym, może być wymagany program płatnej pomocy technicznej.
  • Kontroler domeny używany przez usługę Microsoft Entra ID musi być zapisywalny. Używanie kontrolera domeny tylko do odczytu (RODC) nie jest obsługiwane, a firma Microsoft Entra Połączenie nie wykonuje żadnych przekierowań zapisu.
  • Używanie lokalnych lasów lub domen przy użyciu "kropkowanych" (nazwa zawiera kropkę ".") Nazwy NetBIOS nie są obsługiwane.
  • Zalecamy włączenie kosza usługi Active Directory.

Zasady wykonywania programu PowerShell

Program Microsoft Entra Połączenie uruchamia podpisane skrypty programu PowerShell w ramach instalacji. Upewnij się, że zasady wykonywania programu PowerShell będą zezwalać na uruchamianie skryptów.

Zalecane zasady wykonywania podczas instalacji to "RemoteSigned".

Aby uzyskać więcej informacji na temat ustawiania zasad wykonywania programu PowerShell, zobacz Set-ExecutionPolicy.

Microsoft Entra Połączenie server

Serwer Microsoft Entra Połączenie zawiera dane dotyczące tożsamości krytycznej. Ważne jest, aby dostęp administracyjny do tego serwera był prawidłowo zabezpieczony. Postępuj zgodnie z wytycznymi w temacie Zabezpieczanie dostępu uprzywilejowanego.

Serwer Microsoft Entra Połączenie musi być traktowany jako składnik warstwy 0, jak opisano w modelu warstwy administracyjnej usługi Active Directory. Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Połączenie jako zasobu płaszczyzny sterowania, postępując zgodnie ze wskazówkami podanymi w artykule Bezpieczny dostęp uprzywilejowany

Aby dowiedzieć się więcej na temat zabezpieczania środowiska usługi Active Directory, zobacz Najlepsze rozwiązania dotyczące zabezpieczania usługi Active Directory.

Wymagania wstępne instalacji

  • Program Microsoft Entra Połączenie musi być zainstalowany w systemie Windows Server 2016 lub nowszym przyłączonym do domeny. Zalecamy używanie przyłączonego do domeny systemu Windows Server 2022. Możesz wdrożyć aplikację Microsoft Entra Połączenie w systemie Windows Server 2016, ale ponieważ system Windows Server 2016 jest w rozszerzonej pomocy technicznej, może być wymagany płatny program pomocy technicznej, jeśli potrzebujesz obsługi tej konfiguracji.
  • Minimalna wymagana wersja programu .NET Framework to 4.6.2, a nowsze wersje platformy .NET są również obsługiwane. Platforma .NET w wersji 4.8 i nowszej oferuje najlepszą zgodność z ułatwieniami dostępu.
  • Nie można zainstalować programu Microsoft Entra Połączenie w programie Small Business Server lub Windows Server Essentials przed 2019 r. (obsługiwany jest system Windows Server Essentials 2019). Serwer musi używać systemu Windows Server w warstwie Standardowa lub nowszej.
  • Na serwerze Microsoft Entra Połączenie musi być zainstalowany pełny graficzny interfejs użytkownika. Instalowanie Połączenie firmy Microsoft w systemie Windows Server Core nie jest obsługiwane.
  • Serwer microsoft Entra Połączenie nie może mieć włączone zasady grupy transkrypcji programu PowerShell, jeśli używasz kreatora microsoft Entra Połączenie do zarządzania konfiguracją usług Active Directory Federation Services (AD FS). Możesz włączyć transkrypcję programu PowerShell, jeśli do zarządzania konfiguracją synchronizacji używasz kreatora microsoft Entra Połączenie.
  • Jeśli usługi AD FS są wdrażane:
    • Serwery, na których zainstalowano usługi AD FS lub sieci Web serwer proxy aplikacji, muszą mieć system Windows Server 2012 R2 lub nowszy. Zdalne zarządzanie systemem Windows musi być włączone na tych serwerach na potrzeby instalacji zdalnej. Jeśli potrzebujesz pomocy technicznej dla systemu Windows Server 2016 lub starszego, może być wymagany program płatnej pomocy technicznej.
    • Należy skonfigurować certyfikaty TLS/SSL. Aby uzyskać więcej informacji, zobacz Zarządzanie protokołami SSL/TLS i zestawami szyfrowania dla usług AD FS i Zarządzanie certyfikatami SSL w usługach AD FS.
    • Należy skonfigurować rozpoznawanie nazw.
  • Nie jest obsługiwane przerywanie i analizowanie ruchu między firmą Microsoft Entra Połączenie i identyfikatorem Entra firmy Microsoft. Może to zakłócić działanie usługi.
  • Jeśli Administracja istratory tożsamości hybrydowej mają włączoną usługę MFA, adres URL https://secure.aadcdn.microsoftonline-p.commusi znajdować się na liście zaufanych witryn. Zostanie wyświetlony monit o dodanie tej witryny do listy zaufanych witryn po wyświetleniu monitu o wyzwanie uwierzytelniania wieloskładnikowego i nie został on dodany wcześniej. Możesz użyć programu Internet Explorer, aby dodać go do zaufanych witryn.
  • Jeśli planujesz używać usługi Microsoft Entra Połączenie Health do synchronizacji, upewnij się, że spełnione są również wymagania wstępne dotyczące usługi Microsoft Entra Połączenie Health. Aby uzyskać więcej informacji, zobacz Instalacja agenta microsoft Entra Połączenie Health.

Wzmacnianie zabezpieczeń serwera Microsoft Entra Połączenie

Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Połączenie w celu zmniejszenia obszaru ataków na zabezpieczenia dla tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń pomoże ograniczyć niektóre zagrożenia bezpieczeństwa dla organizacji.

  • Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Połączenie jako elementu zawartości Płaszczyzna sterowania (wcześniej warstwa 0), postępując zgodnie ze wskazówkami podanymi w modelu warstwy administracyjnej Bezpieczny dostęp uprzywilejowany i Active Directory.
  • Ogranicz dostęp administracyjny do serwera Microsoft Entra Połączenie tylko administratorom domeny lub innym ściśle kontrolowanym grupom zabezpieczeń.
  • Utwórz dedykowane konto dla wszystkich pracowników z uprzywilejowanym dostępem. Administracja istratorzy nie powinni przeglądać internetu, sprawdzać swoje wiadomości e-mail i wykonywać codzienne zadania związane z produktywnością z kontami o wysokim poziomie uprawnień.
  • Postępuj zgodnie ze wskazówkami podanymi w artykule Zabezpieczanie uprzywilejowanego dostępu.
  • Odmów użycia uwierzytelniania NTLM z serwerem Microsoft Entra Połączenie. Poniżej przedstawiono kilka sposobów, aby to zrobić: ograniczanie protokołu NTLM na serwerze Microsoft Entra Połączenie i ograniczanie protokołu NTLM w domenie
  • Upewnij się, że każda maszyna ma unikatowe hasło administratora lokalnego. Aby uzyskać więcej informacji, zobacz Local Administracja istrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by an ACL (Local Administracja istrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by an ACL (Rozwiązanie do lokalnych Administracja istrator haseł w systemie Windows LAPS) może konfigurować unikatowe losowe hasła na każdej stacji roboczej i serwerze przechowywać je w usłudze Active Directory chronionej przez listę ACL. Tylko uprawnieni użytkownicy mogą odczytywać lub żądać zresetowania tych haseł konta administratora lokalnego. Dodatkowe wskazówki dotyczące obsługi środowiska z systemem Windows LAPS i stacji roboczych z uprzywilejowanym dostępem (PAW) można znaleźć w standardach operacyjnych opartych na zasadzie czystego źródła.
  • Zaimplementuj dedykowane stacje robocze uprzywilejowanego dostępu dla wszystkich pracowników z uprzywilejowanym dostępem do systemów informacyjnych organizacji.
  • Postępuj zgodnie z tymi dodatkowymi wskazówkami, aby zmniejszyć obszar ataków środowiska usługi Active Directory.
  • Postępuj zgodnie z instrukcjami Monitorowanie zmian konfiguracji federacji, aby skonfigurować alerty w celu monitorowania zmian zaufania ustanowionych między dostawcą tożsamości a identyfikatorem Entra firmy Microsoft.
  • Włącz usługę Multi Factor Authentication (MFA) dla wszystkich użytkowników, którzy mają uprzywilejowany dostęp w usłudze Microsoft Entra ID lub w usłudze AD. Jednym z problemów z zabezpieczeniami podczas korzystania z usługi Microsoft Entra Połączenie jest to, że jeśli osoba atakująca może uzyskać kontrolę nad serwerem Microsoft Entra Połączenie, może manipulować użytkownikami w identyfikatorze Microsoft Entra ID. Aby zapobiec korzystaniu z tych funkcji w celu przejęcia kont microsoft Entra, uwierzytelnianie wieloskładnikowe zapewnia ochronę, aby nawet jeśli osoba atakująca zarządza, np. zresetować hasło użytkownika przy użyciu usługi Microsoft Entra Połączenie nadal nie może pominąć drugiego czynnika.
  • Wyłącz dopasowywanie nietrwałe w dzierżawie. Dopasowywanie nietrwałe to świetna funkcja, która ułatwia przenoszenie źródła urzędu dla istniejących obiektów zarządzanych w chmurze do firmy Microsoft Entra Połączenie, ale wiąże się z pewnymi zagrożeniami bezpieczeństwa. Jeśli nie jest to wymagane, należy wyłączyć dopasowywanie nietrwałe.
  • Wyłącz przejęcie meczu twardego. Twarde przejęcie dopasowania umożliwia firmie Microsoft Entra Połączenie przejęcie kontroli nad obiektem zarządzanym w chmurze i zmianą źródła urzędu dla obiektu na usługę Active Directory. Gdy źródło urzędu obiektu zostanie przejęte przez firmę Microsoft Entra Połączenie, zmiany wprowadzone w obiekcie usługi Active Directory połączone z obiektem Microsoft Entra zastąpią oryginalne dane firmy Microsoft Entra , w tym skrót haseł, jeśli włączono synchronizację skrótów haseł. Osoba atakująca może użyć tej funkcji, aby przejąć kontrolę nad obiektami zarządzanymi w chmurze. Aby ograniczyć to ryzyko, wyłącz twarde przejęcie dopasowania.

Program SQL Server używany przez firmę Microsoft Entra Połączenie

  • Program Microsoft Entra Connect wymaga bazy danych programu SQL Server do przechowywania danych tożsamości. Domyślnie jest instalowany program SQL Server 2019 Express LocalDB (lekka wersja programu SQL Server Express). Program SQL Server Express ma limit rozmiaru 10 GB, który umożliwia zarządzanie około 100 000 obiektów. Jeśli musisz zarządzać większą liczbą obiektów katalogu, wskaż kreatora instalacji do innej instalacji programu SQL Server. Typ instalacji programu SQL Server może mieć wpływ na wydajność Połączenie firmy Microsoft.
  • Jeśli używasz innej instalacji programu SQL Server, obowiązują następujące wymagania:
    • Firma Microsoft Entra Połączenie obsługuje wszystkie podstawowe obsługiwane wersje programu SQL Server do programu SQL Server 2022 działające w systemie Windows. Zapoznaj się z artykułem cyklu życia programu SQL Server, aby sprawdzić stan pomocy technicznej wersji programu SQL Server. Program SQL Server 2012 nie jest już obsługiwany. Usługa Azure SQL Database nie jest obsługiwana jako baza danych. Obejmuje to zarówno usługę Azure SQL Database, jak i usługę Azure SQL Managed Instance.
    • Należy użyć sortowania SQL bez uwzględniania wielkości liter. Te sortowania są identyfikowane z wartością _CI_ w nazwie. Używanie sortowania z uwzględnieniem wielkości liter zidentyfikowanych przez _CS_ w nazwie nie jest obsługiwane.
    • Można mieć tylko jeden aparat synchronizacji na wystąpienie SQL. Udostępnianie wystąpienia SQL za pomocą synchronizacji programu MIM, narzędzia DirSync lub usługi Azure AD Sync nie jest obsługiwane.

Klienci

  • Musisz mieć konto usługi Microsoft Entra Global Administracja istrator lub konto usługi Identity hybrydowej Administracja istrator dla dzierżawy usługi Microsoft Entra, z którą chcesz się zintegrować. To konto musi być kontem szkolnym lub organizacyjnym i nie może być kontem Microsoft.
  • Jeśli używasz ustawień ekspresowych lub uaktualnij z narzędzia DirSync, musisz mieć konto Administracja istrator dla lokalna usługa Active Directory.
  • Jeśli używasz ścieżki instalacji ustawień niestandardowych, masz więcej opcji. Aby uzyskać więcej informacji, zobacz Ustawienia instalacji niestandardowej.

Łączność

  • Serwer Microsoft Entra Połączenie wymaga rozpoznawania nazw DNS zarówno dla intranetu, jak i Internetu. Serwer DNS musi mieć możliwość rozpoznawania nazw zarówno dla lokalna usługa Active Directory, jak i punktów końcowych firmy Microsoft Entra.

  • Firma Microsoft Entra Połączenie wymaga łączności sieciowej ze wszystkimi skonfigurowanymi domenami

  • Firma Microsoft Entra Połączenie wymaga łączności sieciowej z domeną główną wszystkich skonfigurowanych lasów

  • Jeśli masz zapory w intranecie i musisz otworzyć porty między serwerami microsoft Entra Połączenie i kontrolerami domeny, zobacz Microsoft Entra Połączenie portów, aby uzyskać więcej informacji.

  • Jeśli serwer proxy lub zapora ograniczają adresy URL, do których można uzyskać dostęp, należy otworzyć adresy URL udokumentowane w adresach URL i zakresach adresów IP usługi Office 365. Zobacz również Sejf list adresy URL centrum administracyjnego firmy Microsoft na serwerze zapory lub serwera proxy.

  • Microsoft Entra Połączenie (wersja 1.1.614.0 i nowsze) domyślnie używa protokołu TLS 1.2 do szyfrowania komunikacji między aparatem synchronizacji a identyfikatorem Firmy Microsoft Entra. Jeśli protokół TLS 1.2 nie jest dostępny w bazowym systemie operacyjnym, firma Microsoft Entra Połączenie przyrostowo wraca do starszych protokołów (TLS 1.1 i TLS 1.0). Od firmy Microsoft Entra Połączenie w wersji 2.0. Protokoły TLS 1.0 i 1.1 nie są już obsługiwane, a instalacja zakończy się niepowodzeniem, jeśli protokół TLS 1.2 nie jest włączony.

  • Przed wersją 1.1.614.0 firma Microsoft Entra Połączenie domyślnie używa protokołu TLS 1.0 do szyfrowania komunikacji między aparatem synchronizacji a identyfikatorem Firmy Microsoft Entra. Aby zmienić protokół TLS 1.2, wykonaj kroki opisane w artykule Włączanie protokołu TLS 1.2 dla usługi Microsoft Entra Połączenie.

  • Jeśli używasz serwera proxy ruchu wychodzącego do łączenia się z Internetem, należy dodać następujące ustawienie w folderze C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config, aby kreator instalacji i program Microsoft Entra Połączenie Sync mógł nawiązać połączenie z Internetem i identyfikatorem Microsoft Entra ID. Ten tekst należy wprowadzić w dolnej części pliku. W tym kodzie <serwer PROXYADDRESS> reprezentuje rzeczywisty adres IP serwera proxy lub nazwę hosta.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Jeśli serwer proxy wymaga uwierzytelniania, konto usługi musi znajdować się w domenie. Użyj ścieżki instalacji ustawień niestandardowych, aby określić niestandardowe konto usługi. Potrzebna jest również inna zmiana pliku machine.config. Dzięki tej zmianie w pliku machine.config kreator instalacji i aparat synchronizacji odpowiadają na żądania uwierzytelniania z serwera proxy. Na wszystkich stronach kreatora instalacji z wyłączeniem strony Konfigurowanie używane są poświadczenia zalogowanych użytkowników. Na stronie Konfigurowanie na końcu kreatora instalacji kontekst jest przełączany do utworzonego konta usługi. Sekcja machine.config powinna wyglądać następująco:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Jeśli konfiguracja serwera proxy jest wykonywana w istniejącej konfiguracji, należy ponownie uruchomić usługę Microsoft Entra ID Sync raz, aby firma Microsoft Entra Połączenie odczytywała konfigurację serwera proxy i aktualizowała zachowanie.

  • Gdy firma Microsoft Entra Połączenie wysyła żądanie internetowe do identyfikatora Entra firmy Microsoft w ramach synchronizacji katalogów, odpowiedź identyfikatora Entra firmy Microsoft może potrwać do 5 minut. Często serwery proxy mają konfigurację limitu czasu bezczynności połączenia. Upewnij się, że konfiguracja jest ustawiona na co najmniej 6 minut.

Aby uzyskać więcej informacji, zobacz MSDN na temat domyślnego elementu serwera proxy. Aby uzyskać więcej informacji o problemach z łącznością, zobacz Rozwiązywanie problemów z łącznością.

Inne

Opcjonalnie: użyj konta użytkownika testowego, aby zweryfikować synchronizację.

Wymagania wstępne dotyczące składników

Program PowerShell i program .NET Framework

Microsoft Entra Połączenie zależy od programów Microsoft PowerShell 5.0 i .NET Framework 4.5.1. Potrzebna jest ta wersja lub nowsza wersja zainstalowana na serwerze.

Włączanie protokołu TLS 1.2 dla usługi Microsoft Entra Połączenie

Przed wersją 1.1.614.0 firma Microsoft Entra Połączenie domyślnie używa protokołu TLS 1.0 do szyfrowania komunikacji między serwerem aparatu synchronizacji a identyfikatorem Firmy Microsoft Entra. Aplikacje platformy .NET można skonfigurować domyślnie do używania protokołu TLS 1.2 na serwerze. Aby uzyskać więcej informacji na temat protokołu TLS 1.2, zobacz Microsoft Security Advisory 2960358.

  1. Upewnij się, że masz zainstalowaną poprawkę .NET 4.5.1 dla systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Security Advisory 2960358. Być może ta poprawka lub nowsza wersja jest już zainstalowana na serwerze.

  2. W przypadku wszystkich systemów operacyjnych ustaw ten klucz rejestru i uruchom ponownie serwer.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Jeśli chcesz również włączyć protokół TLS 1.2 między serwerem aparatu synchronizacji i zdalnym programem SQL Server, upewnij się, że masz zainstalowane wymagane wersje dla obsługi protokołu TLS 1.2 dla programu Microsoft SQL Server.

Wymagania wstępne dotyczące modelu DCOM na serwerze synchronizacji

Podczas instalacji usługi synchronizacji firma Microsoft Entra Połączenie sprawdza obecność następującego klucza rejestru:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

W ramach tego klucza rejestru firma Microsoft Entra Połączenie sprawdzi, czy istnieją następujące wartości i które nie zostały przerwane:

Wymagania wstępne dotyczące instalacji i konfiguracji federacji

Windows Remote Management

Jeśli używasz usługi Microsoft Entra Połączenie do wdrażania usług AD FS lub sieci Web serwer proxy aplikacji (WAP), sprawdź następujące wymagania:

  • Jeśli serwer docelowy jest przyłączony do domeny, upewnij się, że funkcja zdalnego zarządzania systemem Windows jest włączona.
    • W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia Enable-PSRemoting –force.
  • Jeśli serwer docelowy jest maszyną WAP nieprzyłączonych do domeny, istnieje kilka dodatkowych wymagań:
    • Na maszynie docelowej (maszyna WAP):
      • Upewnij się, że usługa Windows Remote Management/WS-Management (WinRM) jest uruchomiona za pośrednictwem przystawki Usługi.
      • W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia Enable-PSRemoting –force.
    • Na maszynie, na której jest uruchomiony kreator (jeśli maszyna docelowa jest nieprzyłączonych do domeny lub jest niezaufaną domeną):
      • W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • W Menedżerze serwera:
        • Dodaj hosta dmZ WAP do puli maszyn. W Menedżerze serwera wybierz pozycję Zarządzaj>dodaj serwery, a następnie użyj karty DNS .
        • Na karcie Menedżer serwera Wszystkie serwery kliknij prawym przyciskiem myszy serwer WAP i wybierz polecenie Zarządzaj jako. Wprowadź poświadczenia lokalne (nie domena) dla maszyny WAP.
        • Aby zweryfikować zdalną łączność programu PowerShell, na karcie Menedżer serwera Wszystkie serwery kliknij prawym przyciskiem myszy serwer WAP i wybierz pozycję Windows PowerShell. Zdalna sesja programu PowerShell powinna zostać otwarta, aby upewnić się, że można ustanowić zdalne sesje programu PowerShell.

Wymagania dotyczące certyfikatów TLS/SSL

  • Zalecamy używanie tego samego certyfikatu TLS/SSL we wszystkich węzłach farmy usług AD FS i wszystkich serwerów serwer proxy aplikacji sieci Web.
  • Certyfikat musi być certyfikatem X509.
  • Certyfikat z podpisem własnym można używać na serwerach federacyjnych w środowisku laboratorium testowym. W przypadku środowiska produkcyjnego zalecamy uzyskanie certyfikatu od publicznego urzędu certyfikacji.
    • Jeśli używasz certyfikatu, który nie jest publicznie zaufany, upewnij się, że certyfikat zainstalowany na każdym serwerze serwer proxy aplikacji sieci Web jest zaufany zarówno na serwerze lokalnym, jak i na wszystkich serwerach federacyjnych.
  • Tożsamość certyfikatu musi być zgodna z nazwą usługi federacyjnej (na przykład sts.contoso.com).
    • Tożsamość jest rozszerzeniem alternatywnej nazwy podmiotu (SAN) typu dNSName lub, jeśli nie ma wpisów SIECI SAN, nazwa podmiotu jest określona jako nazwa pospolita.
    • W certyfikacie może znajdować się wiele wpisów sieci SAN, pod warunkiem, że jeden z nich jest zgodny z nazwą usługi federacyjnej.
    • Jeśli planujesz używać funkcji Dołączanie w miejscu pracy, wymagana jest dodatkowa sieć SAN z wartością enterpriseregistration. Następnie sufiks głównej nazwy użytkownika (UPN) organizacji, na przykład enterpriseregistration.contoso.com.
  • Certyfikaty oparte na kluczach nowej generacji (CNG) i dostawcach magazynu kluczy (KSP) nie są obsługiwane. W związku z tym należy użyć certyfikatu opartego na dostawcy usług kryptograficznych (CSP), a nie dostawcy usług kryptograficznych.
  • Obsługiwane są certyfikaty wieloznaczne.

Rozpoznawanie nazw dla serwerów federacyjnych

  • Skonfiguruj rekordy DNS dla nazwy usług AD FS (na przykład sts.contoso.com) dla intranetu (wewnętrznego serwera DNS) i ekstranetu (publicznego systemu DNS za pośrednictwem rejestratora domen). W przypadku intranetowego rekordu DNS upewnij się, że używasz rekordów A, a nie rekordów CNAME. Używanie rekordów A jest wymagane do prawidłowego działania uwierzytelniania systemu Windows z komputera przyłączonego do domeny.
  • Jeśli wdrażasz więcej niż jeden serwer usług AD FS lub serwer serwer proxy aplikacji sieci Web, upewnij się, że skonfigurowano moduł równoważenia obciążenia i że rekordy DNS dla nazwy usług AD FS (na przykład sts.contoso.com) wskazują moduł równoważenia obciążenia.
  • Aby zintegrowane uwierzytelnianie systemu Windows działało w przypadku aplikacji przeglądarki przy użyciu programu Internet Explorer w intranecie, upewnij się, że nazwa usług AD FS (na przykład sts.contoso.com) jest dodawana do strefy intranetowej w programie Internet Explorer. To wymaganie można kontrolować za pośrednictwem zasad grupy i wdrażać na wszystkich komputerach przyłączonych do domeny.

Składniki pomocnicze usługi Microsoft Entra Połączenie

Firma Microsoft Entra Połączenie instaluje następujące składniki na serwerze, na którym zainstalowano program Microsoft Entra Połączenie. Ta lista dotyczy podstawowej instalacji ekspresowej. Jeśli zdecydujesz się użyć innego programu SQL Server na stronie Instalowanie usług synchronizacji, program SQL Express LocalDB nie jest zainstalowany lokalnie.

  • Microsoft Entra Connect Health
  • Narzędzia wiersza polecenia programu Microsoft SQL Server 2022
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Pakiet redystrybucji programu Microsoft Visual C++ 14

Wymagania sprzętowe dotyczące usługi Microsoft Entra Połączenie

W poniższej tabeli przedstawiono minimalne wymagania dotyczące komputera Microsoft Entra Połączenie Sync.

Liczba obiektów w usłudze Active Directory Procesor CPU Memory (Pamięć) Rozmiar dysku twardego
Mniej niż 10 000 1,6 GHz 6 GB 70 GB
10,000–50,000 1,6 GHz 6 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
W przypadku co najmniej 100 000 obiektów wymagana jest pełna wersja programu SQL Server. Ze względu na wydajność preferowane jest instalowanie lokalnie. Poniższe wartości są prawidłowe tylko w przypadku instalacji Połączenie firmy Microsoft. Jeśli program SQL Server zostanie zainstalowany na tym samym serwerze, wymagana jest dalsza pamięć, dysk i procesor CPU.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Ponad 600 000 1,6 GHz 32 GB 500 GB

Minimalne wymagania dotyczące komputerów z usługami AD FS lub serwerami serwer proxy aplikacji sieci Web są następujące:

  • Procesor CPU: Dwurdzeniowy 1,6 GHz lub nowszy
  • Pamięć: 2 GB lub wyższa
  • Maszyna wirtualna platformy Azure: konfiguracja A2 lub nowsza

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.