Vereisten voor Microsoft Entra Connect

Artikel
11/06/2023

In dit artikel worden de vereisten en de hardwarevereisten voor Microsoft Entra Verbinding maken beschreven.

Voordat u Microsoft Entra Verbinding maken installeert

Voordat u Microsoft Entra Verbinding maken installeert, zijn er enkele dingen die u nodig hebt.

Microsoft Entra ID

U hebt een Microsoft Entra-tenant nodig. U krijgt er een met een gratis proefversie van Azure. U kunt een van de volgende portals gebruiken om Microsoft Entra-Verbinding maken te beheren:
- Het Microsoft Entra-beheercentrum.
- De Office-portal.
Voeg het domein toe en controleer het domein dat u wilt gebruiken in Microsoft Entra-id. Als u bijvoorbeeld van plan bent contoso.com te gebruiken voor uw gebruikers, moet u ervoor zorgen dat dit domein is geverifieerd en u niet alleen het standaarddomein contoso.onmicrosoft.com gebruikt.
Een Microsoft Entra-tenant staat standaard 50.000 objecten toe. Wanneer u uw domein verifieert, wordt de limiet verhoogd tot 300.000 objecten. Als u nog meer objecten in Microsoft Entra ID nodig hebt, opent u een ondersteuningsaanvraag om de limiet nog verder te laten toenemen. Als u meer dan 500.000 objecten nodig hebt, hebt u een licentie nodig, zoals Microsoft 365, Microsoft Entra ID P1 of P2 of Enterprise Mobility + Security.

Uw on-premises omgeving voorbereiden

Gebruik IdFix om fouten te identificeren, zoals duplicaten en opmaakproblemen in uw adreslijst voordat u synchroniseert met Microsoft Entra-id en Microsoft 365.
Controleer optionele synchronisatiefuncties die u kunt inschakelen in Microsoft Entra ID en evalueer welke functies u moet inschakelen.

On-premises Active Directory

De schemaversie en het functionele forestniveau van Active Directory moeten Windows Server 2003 of hoger zijn. Op de domeincontrollers kan om het even welke versie worden uitgevoerd zolang de schemaversie- en forestniveau-vereisten worden vervuld. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor domeincontrollers met Windows Server 2016 of ouder.
De domeincontroller die door Microsoft Entra ID wordt gebruikt, moet beschrijfbaar zijn. Het gebruik van een alleen-lezen domeincontroller (RODC) wordt niet ondersteund en Microsoft Entra Verbinding maken volgt geen schrijfomleidingen.
Het gebruik van on-premises forests of domeinen met behulp van 'gestippelde' NetBIOS-namen (d.w.z. namen die een punt bevatten) wordt niet ondersteund.
U kunt het beste de prullenbak van Active Directory inschakelen.

PowerShell-uitvoeringsbeleid

Microsoft Entra Verbinding maken voert ondertekende PowerShell-scripts uit als onderdeel van de installatie. Zorg ervoor dat het PowerShell-uitvoeringsbeleid het uitvoeren van scripts toestaat.

Het aanbevolen uitvoeringsbeleid tijdens de installatie is 'RemoteSigned'.

Zie Set-ExecutionPolicy voor meer informatie over het instellen van het PowerShell-uitvoeringsbeleid.

Microsoft Entra Verbinding maken-server

De Microsoft Entra Verbinding maken-server bevat kritieke identiteitsgegevens. Het is belangrijk dat beheerderstoegang tot deze server goed is beveiligd. Volg de richtlijnen in Het beveiligen van bevoegde toegang.

De Microsoft Entra Verbinding maken-server moet worden behandeld als een laag 0-onderdeel, zoals beschreven in het Active Directory-beheerlaagmodel. We raden u aan de Microsoft Entra-Verbinding maken-server te beveiligen als een Control Plane-asset door de richtlijnen in Secure Privileged Access te volgen

Zie Best practices voor het beveiligen van Active Directory voor meer informatie over het beveiligen van uw Active Directory-omgeving.

Vereisten voor de installatie

Microsoft Entra Verbinding maken moet zijn geïnstalleerd op een Windows Server 2016 of hoger die lid is van een domein. U wordt aangeraden Windows Server 2022 te gebruiken die lid zijn van een domein. U kunt Microsoft Entra Verbinding maken implementeren op Windows Server 2016, maar omdat Windows Server 2016 uitgebreide ondersteuning heeft, hebt u mogelijk een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor deze configuratie.
De minimaal vereiste .NET Framework-versie is 4.6.2 en nieuwere versies van .NET worden ook ondersteund. .NET versie 4.8 en hoger biedt de beste toegankelijkheidscompatibiliteit.
Microsoft Entra Verbinding maken kan vóór 2019 niet worden geïnstalleerd op Small Business Server of Windows Server Essentials (Windows Server Essentials 2019 wordt ondersteund). De server moet Windows Server standaard of beter gebruiken.
Op de Microsoft Entra-Verbinding maken-server moet een volledige GUI zijn geïnstalleerd. Het installeren van Microsoft Entra Verbinding maken op Windows Server Core wordt niet ondersteund.
Op de Microsoft Entra-Verbinding maken-server mag powerShell-transcriptiegroepsbeleid niet zijn ingeschakeld als u de wizard Microsoft Entra Verbinding maken gebruikt voor het beheren van ad FS-configuratie (Active Directory Federation Services). U kunt PowerShell-transcriptie inschakelen als u de wizard Microsoft Entra Verbinding maken gebruikt om de synchronisatieconfiguratie te beheren.
Als AD FS wordt geïmplementeerd:
- De servers waarop AD FS of Web Application Proxy zijn geïnstalleerd, moeten Windows Server 2012 R2 of hoger zijn. Extern beheer van Windows moet zijn ingeschakeld op deze servers voor externe installatie. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor Windows Server 2016 en ouder.
- U moet TLS-/SSL-certificaten configureren. Zie SSL/TLS-protocollen en suites met coderingsmethoden beheren voor AD FS en SSL-certificaten beheren in AD FS voor meer informatie.
- U moet naamomzetting configureren.
Het wordt niet ondersteund om verkeer tussen Microsoft Entra Verbinding maken en Microsoft Entra-id te onderbreken en te analyseren. Dit kan de service verstoren.
Als MFA is ingeschakeld voor uw hybride identiteit Beheer istrators, moet de URL https://secure.aadcdn.microsoftonline-p.comin de lijst met vertrouwde sites staan. U wordt gevraagd deze site aan de lijst met vertrouwde sites toe te voegen wanneer u wordt gevraagd om een MFA-uitdaging en deze nog niet is toegevoegd. U kunt Internet Explorer gebruiken om deze toe te voegen aan uw vertrouwde sites.
Als u van plan bent om Microsoft Entra Verbinding maken Health te gebruiken voor synchronisatie, moet u ervoor zorgen dat ook aan de vereisten voor Microsoft Entra Verbinding maken Health wordt voldaan. Zie Microsoft Entra Verbinding maken Health-agent installeren voor meer informatie.

Uw Microsoft Entra-Verbinding maken-server beveiligen

We raden u aan uw Microsoft Entra-Verbinding maken-server te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.

We raden u aan om de Microsoft Entra-Verbinding maken-server te beveiligen als een Beheervlakasset (voorheen Laag 0) door de richtlijnen te volgen in het model secure Privileged Access en active Directory-beheerlaag.
Beperk beheerderstoegang tot de Microsoft Entra Verbinding maken-server tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
Maak een speciaal account voor alle werknemers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met zeer bevoegde accounts.
Volg de richtlijnen in Het beveiligen van bevoegde toegang.
Gebruik van NTLM-verificatie weigeren met de Microsoft Entra Verbinding maken-server. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra Verbinding maken Server en NTLM beperken op een domein
Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Beheer istrator Password Solution (Windows LAPS) voor meer informatie over het configureren van unieke willekeurige wachtwoorden op elk werkstation en de server opslaan in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende gemachtigde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in operationele standaarden op basis van het schone bronprincipe.
Implementeer toegewezen bevoegde toegangswerkstations voor alle werknemers met bevoegde toegang tot de informatiesystemen van uw organisatie.
Volg deze aanvullende richtlijnen om de kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
Volg de wijzigingen in de federatieconfiguratie controleren om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw Idp en Microsoft Entra-id.
Schakel Multi Factor Authentication (MFA) in voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van Microsoft Entra Verbinding maken is dat als een aanvaller controle kan krijgen over de Microsoft Entra Verbinding maken-server, gebruikers in Microsoft Entra-id kunnen manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA beveiliging, zodat zelfs als een aanvaller erin slaagt het wachtwoord van een gebruiker opnieuw in te stellen met Behulp van Microsoft Entra Verbinding maken ze de tweede factor nog steeds niet kunnen omzeilen.
Schakel Soft Matching in uw tenant uit. Soft Matching is een uitstekende functie voor het overdragen van de bron van autoriteit voor bestaande in de cloud beheerde objecten naar Microsoft Entra Verbinding maken, maar het wordt geleverd met bepaalde beveiligingsrisico's. Als u dit niet nodig hebt, moet u Soft Matching uitschakelen.
Schakel de overname van harde overeenkomsten uit. Met de overname van harde overeenkomsten kan Microsoft Entra Verbinding maken de controle over een door de cloud beheerd object overnemen en de instantiebron voor het object wijzigen in Active Directory. Zodra de bron van autoriteit van een object wordt overgenomen door Microsoft Entra Verbinding maken, worden wijzigingen aangebracht in het Active Directory-object dat is gekoppeld aan het Microsoft Entra-object de oorspronkelijke Microsoft Entra-gegevens overschreven, inclusief de wachtwoord-hash, als wachtwoord-hashsynchronisatie is ingeschakeld. Een aanvaller kan deze mogelijkheid gebruiken om de controle over door de cloud beheerde objecten over te nemen. Als u dit risico wilt beperken, schakelt u de overname van harde overeenkomsten uit.

SQL Server die wordt gebruikt door Microsoft Entra Verbinding maken

Microsoft Entra Connect vereist een SQL Server-database voor het opslaan van identiteitsgegevens. Standaard is er een SQL Server 2019 Express LocalDB (een light-versie van SQL Server Express) geïnstalleerd. SQL Server Express heeft een maximale grootte van 10 GB waarmee u ongeveer 100.000 objecten kunt beheren. Als u een hoger volume mapobjecten wilt beheren, wijst u de installatiewizard aan op een andere installatie van SQL Server. Het type SQL Server-installatie kan van invloed zijn op de prestaties van Microsoft Entra Verbinding maken.
Als u een andere installatie van SQL Server gebruikt, zijn deze vereisten van toepassing:
- Microsoft Entra Verbinding maken ondersteuning voor alle gangbare ondersteunde SQL Server-versies tot SQL Server 2022 die worden uitgevoerd in Windows. Raadpleeg het artikel over de levenscyclus van SQL Server om de ondersteuningsstatus van uw SQL Server-versie te controleren. SQL Server 2012 wordt niet meer ondersteund. Azure SQL Database wordt niet ondersteund als een database. Dit omvat zowel Azure SQL Database en Azure SQL Managed Instance.
- U moet een niet-hoofdlettergevoelige SQL-sortering gebruiken. Deze sorteringen worden geïdentificeerd met een _CI_ in hun naam. Het gebruik van een hoofdlettergevoelige sortering die door _CS_ in de naam wordt geïdentificeerd, wordt niet ondersteund.
- U kunt slechts één synchronisatie-engine per SQL-exemplaar hebben. Het delen van een SQL-exemplaar met MIM Sync, DirSync of Azure AD Sync wordt niet ondersteund.

Accounts

U moet een Microsoft Entra Global Beheer istrator-account of hybrid identity-Beheer istrator-account hebben voor de Microsoft Entra-tenant waarmee u wilt integreren. Dit account moet een school- of organisatieaccount zijn en kan geen Microsoft-account zijn.
Als u snelle instellingen gebruikt of een upgrade uitvoert van DirSync, moet u een Enterprise Administrator-account hebben voor uw on-premises Active Directory.
Als u het installatiepad voor aangepaste instellingen gebruikt, hebt u meer opties. Zie Aangepaste installatie-instellingen voor meer informatie.

Connectiviteit

De Microsoft Entra Verbinding maken-server heeft DNS-omzetting nodig voor zowel intranet als internet. De DNS-server moet namen kunnen omzetten in zowel uw on-premises Active Directory als de Microsoft Entra-eindpunten.
Microsoft Entra Verbinding maken vereist netwerkverbinding met alle geconfigureerde domeinen
Microsoft Entra Verbinding maken vereist netwerkconnectiviteit met het hoofddomein van alle geconfigureerde forests
Als u firewalls op uw intranet hebt en u poorten moet openen tussen de Microsoft Entra Verbinding maken-servers en uw domeincontrollers, raadpleegt u Microsoft Entra Verbinding maken poorten voor meer informatie.
Als uw proxy of firewall beperkt welke URL's kunnen worden geopend, moeten de URL's die worden beschreven in Office 365 URL's en IP-adresbereiken worden geopend. Zie ook safelist de URL's van het Microsoft Entra-beheercentrum op uw firewall of proxyserver.
- Als u de Microsoft-cloud in Duitsland of de Microsoft Azure Government-cloud gebruikt, raadpleegt u overwegingen voor Microsoft Entra Verbinding maken Sync-service-instanties voor URL's.
Microsoft Entra Verbinding maken (versie 1.1.614.0 en later) maakt standaard gebruik van TLS 1.2 voor het versleutelen van de communicatie tussen de synchronisatie-engine en de Microsoft Entra-id. Als TLS 1.2 niet beschikbaar is op het onderliggende besturingssysteem, valt Microsoft Entra Verbinding maken incrementeel terug op oudere protocollen (TLS 1.1 en TLS 1.0). Vanaf Microsoft Entra Verbinding maken versie 2.0. TLS 1.0 en 1.1 worden niet meer ondersteund en de installatie mislukt als TLS 1.2 niet is ingeschakeld.
Vóór versie 1.1.614.0 gebruikt Microsoft Entra Verbinding maken standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engine en Microsoft Entra-id. Als u wilt overschakelen naar TLS 1.2, volgt u de stappen in TLS 1.2 inschakelen voor Microsoft Entra Verbinding maken.
Als u een uitgaande proxy gebruikt om verbinding te maken met internet, moet de volgende instelling in de C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config-bestand worden toegevoegd voor de installatiewizard en Microsoft Entra Verbinding maken Sync om verbinding te kunnen maken met internet en Microsoft Entra ID. Deze tekst moet onder aan het bestand worden ingevoerd. In deze code vertegenwoordigt <PROXYADDRESS> het werkelijke IP-adres van de proxy of de hostnaam.
```
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Als voor uw proxyserver verificatie is vereist, moet het serviceaccount zich in het domein bevinden. Gebruik het installatiepad voor aangepaste instellingen om een aangepast serviceaccount op te geven. U hebt ook een andere wijziging nodig voor machine.config. Met deze wijziging in machine.config reageren de installatiewizard en synchronisatie-engine op verificatieaanvragen van de proxyserver. Op alle pagina's van de installatiewizard, met uitzondering van de pagina Configureren, worden de aanmeldingsgegevens van de aangemelde gebruiker gebruikt. Op de pagina Configureren aan het einde van de installatiewizard wordt de context overgeschakeld naar het serviceaccount dat u hebt gemaakt. De sectie machine.config zou er zo uit moeten zien:
```
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Als de proxyconfiguratie wordt uitgevoerd in een bestaande installatie, moet de Microsoft Entra ID Sync-service eenmaal opnieuw worden opgestart voor de Microsoft Entra-Verbinding maken om de proxyconfiguratie te lezen en het gedrag bij te werken.
Wanneer Microsoft Entra Verbinding maken een webaanvraag naar Microsoft Entra-id verzendt als onderdeel van adreslijstsynchronisatie, kan het tot vijf minuten duren voordat Microsoft Entra ID reageert. Het is gebruikelijk dat proxyservers een configuratie voor time-out bij inactiviteit van de verbinding hebben. Zorg ervoor dat de configuratie is ingesteld op ten minste zes minuten of meer.

Zie MSDN voor meer informatie over het standaardproxy-element. Voor meer informatie bij problemen met de connectiviteit, raadpleegt u Connectiviteitsproblemen oplossen.

Overige

Optioneel: gebruik een testgebruikersaccount om de synchronisatie te verifiëren.

Onderdelenvereisten

PowerShell en .NET Framework

Microsoft Entra Verbinding maken is afhankelijk van Microsoft PowerShell 5.0 en .NET Framework 4.5.1. U hebt deze versie of een latere versie op uw server nodig.

TLS 1.2 inschakelen voor Microsoft Entra Verbinding maken

Vóór versie 1.1.614.0 gebruikt Microsoft Entra Verbinding maken standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engineserver en de Microsoft Entra-id. U kunt .NET-toepassingen configureren om standaard TLS 1.2 op de server te gebruiken. Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2.

Zorg ervoor dat de hotfix .NET 4.5.1 is geïnstalleerd voor uw besturingssysteem. Zie Microsoft Security Advisory 2960358 voor meer informatie. Mogelijk hebt u deze hotfix of een latere release al op uw server geïnstalleerd.

Stel voor alle besturingssystemen deze registersleutel in en start de server opnieuw op.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

Als u TLS 1.2 ook wilt inschakelen tussen de synchronisatie-engineserver en een externe SQL Server, moet u ervoor zorgen dat de vereiste versies zijn geïnstalleerd voor TLS 1.2-ondersteuning voor Microsoft SQL Server.

DCOM-vereisten op de synchronisatieserver

Tijdens de installatie van de synchronisatieservice controleert Microsoft Entra Verbinding maken op de aanwezigheid van de volgende registersleutel:

HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Onder deze registersleutel controleert Microsoft Entra Verbinding maken of de volgende waarden aanwezig zijn en niet zijn ondergebroken:

Vereisten voor federatie-installatie en configuratie

Windows Remote Management

Wanneer u Microsoft Entra Verbinding maken gebruikt om AD FS of het Web toepassingsproxy (WAP) te implementeren, controleert u de volgende vereisten:

Als de doelserver lid is van een domein, controleert u of Windows Remote Managed is ingeschakeld.
- Gebruik de opdracht Enable-PSRemoting –force in een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
Als de doelserver een niet aan een domein gekoppelde WAP-machine is, zijn er enkele aanvullende vereisten:
- Op de doelcomputer (WAP-machine):
  - Zorg ervoor dat de WinRM-service (Windows Remote Management/WS-Management) wordt uitgevoerd via de module Services.
  - Gebruik de opdracht Enable-PSRemoting –force in een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
- Op de computer waarop de wizard wordt uitgevoerd (als de doelcomputer niet lid is van een domein of een niet-vertrouwd domein is):
  - Gebruik de opdracht Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate in een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
  - In serverbeheer:
    - Voeg een DMZ WAP-host toe aan een machinegroep. Selecteer in serverbeheer Beheren>Servers toevoegen en gebruik vervolgens het tabblad DNS.
    - Klik op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteer Beheren als. Voer lokale aanmeldingsgegevens (niet voor domein) in voor de WAP-computer.
    - Als u externe PowerShell-connectiviteit wilt valideren, klikt u op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteert u Windows PowerShell. Er moet een externe PowerShell-sessie worden geopend om ervoor te zorgen dat externe PowerShell-sessies tot stand kunnen worden gebracht.

TLS/SSL-certificaatvereisten

We raden u aan hetzelfde TLS/SSL-certificaat te gebruiken op alle knooppunten van uw AD FS-farm en alle Web Application Proxy-servers.
Het certificaat moet een X509-certificaat zijn.
U kunt een zelfondertekend SSL-certificaat gebruiken op federatieservers in een testomgeving. Voor een productie-omgeving, wordt aangeraden dat u het certificaat van een openbare certificaatinstantie verkrijgen.
- Als u een certificaat gebruikt dat niet openbaar wordt vertrouwd, controleert u of het certificaat dat op elke Web Application Proxy-server is geïnstalleerd, wordt vertrouwd op zowel de lokale server als op alle federatieservers.
De identiteit van het certificaat moet overeenkomen met de naam van de federatieservice (bijvoorbeeld sts.contoso.com).
- De identiteit is ofwel een SAN-extensie (Subject Alternative Name) van het type dNSName of, als er geen SAN-vermeldingen zijn, de onderwerpnaam wordt opgegeven als een algemene naam.
- Meerdere SAN-vermeldingen kunnen worden gebruikt in het certificaat, mits een van deze overeenkomt met de naam van de federatieservice.
- Als u van plan bent om Workplace Join te gebruiken, is er een extra SAN vereist met de waarde enterpriseregistration. gevolgd door het UPN-achtervoegsel (User Principal Name) van uw organisatie, bijvoorbeeld enterpriseregistration.contoso.com.
Certificaten op basis van CNG-sleutels (CryptoAPI next generation) en sleutelopslagproviders (KSP's) worden niet ondersteund. Als gevolg hiervan moet u een certificaat gebruiken op basis van een cryptografieprovider (CSP) en geen KSP.
Certificaten met jokertekens worden ondersteund.

Naamomzetting voor federatieservers

Stel DNS-records in voor de AD FS-naam (bijvoorbeeld sts.contoso.com) voor zowel het intranet (uw interne DNS-server) als het extranet (openbare DNS via uw domeinregistrar). Zorg ervoor dat u voor de intranet-DNS-record A-records en niet CNAME-records gebruikt. Het gebruik van A-records is vereist voor Windows-verificatie om correct te kunnen werken vanaf uw domein-gekoppelde computer.
Als u meer dan één AD FS-server of Web Application Proxy-server implementeert, moet u ervoor zorgen dat u uw load balancer hebt geconfigureerd en dat de DNS-records voor de AD FS-naam (bijvoorbeeld sts.contoso.com) verwijzen naar de load balancer.
Zorg ervoor dat de AD FS-naam (bijvoorbeeld sts.contoso.com) wordt toegevoegd aan de intranetzone in Internet Explorer om geïntegreerde Windows-verificatie te laten werken voor browsertoepassingen met behulp van Internet Explorer. Deze vereiste kan worden beheerd via groepsbeleid en geïmplementeerd op al uw domein-gekoppelde computers.

Microsoft Entra Verbinding maken ondersteunende onderdelen

Microsoft Entra Verbinding maken installeert de volgende onderdelen op de server waarop Microsoft Entra Verbinding maken is geïnstalleerd. Deze lijst is bedoeld voor een eenvoudige Express-installatie. Als u een andere SQL Server wilt gebruiken op de pagina Synchronisatieservices installeren, wordt SQL Express LocalDB niet lokaal geïnstalleerd.

Microsoft Entra Connect Health
Microsoft SQL Server 2022 Opdrachtregelprogramma's
Microsoft SQL Server 2022 Express LocalDB
Microsoft SQL Server 2022 Native Client
Microsoft Visual C++ 14 Redistribution Package

Hardwarevereisten voor Microsoft Entra Verbinding maken

In de volgende tabel ziet u de minimale vereisten voor de Microsoft Entra Verbinding maken Sync-computer.

Aantal objecten in Active Directory	CPU	Geheugen	Grootte van harde schijf
Minder dan 10.000	1,6 GHz	6 GB	70 GB
10.000 - 50.000	1,6 GHz	6 GB	70 GB
50.000 - 100.000	1,6 GHz	16 GB	100 GB
Voor 100.000 objecten of meer is de volledige versie van SQL Server vereist. Vanwege prestatieredenen heeft lokale installatie de voorkeur. De volgende waarden zijn alleen geldig voor de installatie van Microsoft Entra Verbinding maken. Als SQL Server op dezelfde server wordt geïnstalleerd, is meer geheugen, station en CPU vereist.
100.000 - 300.000	1,6 GHz	32 GB	300 GB
300.000 - 600.000	1,6 GHz	32 GB	450 GB
Meer dan 600.000	1,6 GHz	32 GB	500 GB

De minimale vereisten voor computers met AD FS of Web Application Proxy-servers zijn:

CPU: Dual Core 1,6 GHz of hoger
Geheugen: 2 GB of hoger
Azure VM: A2-configuratie of hoger

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.