Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen zur Verwendung von Microsoft Entra Cloud Sync als Identitätslösung.
Anforderungen des Agents für die Cloudbereitstellung
Sie benötigen Folgendes, um Microsoft Entra Cloud Sync zu verwenden:
Anmeldeinformationen von Domänenadministrator*innen oder Unternehmensadministrator*innen zum Erstellen des gMSA (group Managed Service Account, gruppenverwaltetes Dienstkonto) für die Microsoft Entra Connect-Cloudsynchronisierung zum Ausführen des Agent-Diensts.
Ein Konto mit der Rolle „Hybrididentitätsadministrator*in“ für Ihren Microsoft Entra-Mandanten, das keinen Gastbenutzer*innen zugeordnet ist.
Der Microsoft Entra Cloud Sync-Agent muss auf einem in die Domäne eingebundenen Server installiert sein, auf dem Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausgeführt werden. Wir empfehlen Windows Server 2022. Sie können Microsoft Entra Cloud Sync unter Windows Server 2016 bereitstellen. Da es sich jedoch um einen erweiterten Support handelt, benötigen Sie möglicherweise ein kostenpflichtiges Supportprogramm , wenn Sie Unterstützung für diese Konfiguration benötigen. Die Installation auf nicht unterstützten Versionen von Windows Server kann zu Dienstfehlern oder unerwartetem Verhalten führen.
Von Bedeutung
Windows Server 2025 wird NICHT unterstützt. Es gibt ein bekanntes Problem unter Windows Server 2025, das dazu führen kann, dass Microsoft Entra Cloud Sync auf Synchronisierungsprobleme stoßen kann. Wenn Sie auf Windows Server 2025 aktualisiert haben, stellen Sie sicher, dass Sie das Update vom 20. Oktober 2025 – KB5070773 Update oder höher installiert haben. Starten Sie nach der Installation dieses Updates den Server neu, damit die Änderungen wirksam werden. Der Windows Server 2025-Support für Microsoft Entra Cloud Sync ist für eine zukünftige Version geplant.
Dieser Server sollte ein Server der Ebene 0 sein, der auf dem Active Directory-Verwaltungsebenenmodellbasiert. Das Installieren des Agents auf einem Domänencontroller wird unterstützt. Weitere Informationen finden Sie unter Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers
Das Active Directory-Schema ist für das Attribut msDS-ExternalDirectoryObjectId erforderlich, das in Windows Server 2016 und höher verfügbar ist.
Der Dienst Windows Credential Manager (VaultSvc) kann nicht deaktiviert werden, da dies die Installation des Bereitstellungsagenten verhindert.
Hohe Verfügbarkeit bezieht sich auf die Fähigkeit von Microsoft Entra Cloud Sync, kontinuierlich ohne Fehler für lange Zeit zu arbeiten. Wenn mehrere aktive Agents installiert und ausgeführt werden, kann Microsoft Entra Cloud Sync auch dann weiterhin funktionieren, wenn ein Agent fehlschlagen sollte. Microsoft empfiehlt, 3 aktive Agents für hohe Verfügbarkeit installiert zu haben.
Vor-Ort-Firewallkonfigurationen.
Härten Ihres Microsoft Entra-Bereitstellungs-Agent-Servers
Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server zu schützen, um die Angriffsfläche für diese wichtige Komponente Ihrer IT-Umgebung zu verringern. Wenn Sie diese Empfehlungen befolgen, können Sie einige Sicherheitsrisiken für Ihre Organisation mindern.
- Es wird empfohlen, den Microsoft Entra-Bereitstellungs-Agent-Server als Ressource der Steuerungsebene (vormals Ebene 0) gemäß den unter Schützen des privilegierten Zugriffs und Mehrstufiges Active Directory-Verwaltungsmodell bereitgestellten Anleitungen zu schützen.
- Beschränken Sie den Administratorzugriff auf den Microsoft Entra-Bereitstellungs-Agent-Server nur auf Domänenadministratoren oder andere streng kontrollierte Sicherheitsgruppen.
- Erstellen Sie ein dediziertes Konto für alle Mitarbeitenden mit privilegiertem Zugriff. Administratoren sollten nicht im Internet surfen, ihre E-Mails überprüfen und tägliche Produktivitätsaufgaben mit besonders privilegierten Konten ausführen.
- Befolgen Sie die Anweisungen unter Schützen des privilegierten Zugriffs.
- Verweigern Sie die Verwendung der NTLM-Authentifizierung mit dem Microsoft Entra-Bereitstellungs-Agent-Server. Dies sind einige Möglichkeiten, um dies zu tun: Einschränken von NTLM auf dem Microsoft Entra-Bereitstellungs-Agent-Server und Einschränken von NTLM in einer Domäne
- Stellen Sie sicher, dass jeder Computer über ein eindeutiges lokales Administratorkennwort verfügt. Weitere Informationen finden Sie unter Local Administrator Password Solution (Windows LAPS). Mit dieser Lösung können eindeutige zufällige Kennwörter auf jeder Arbeitsstation konfiguriert werden, und für den Server werden die Kennwörter in Active Directory gespeichert und durch eine ACL geschützt. Nur berechtigte autorisierte Benutzer*innen können diese lokalen Kennwörter für das Administratorkonto lesen oder eine Rücksetzung anfordern. Weitere Informationen zum Betreiben einer Umgebung mit Windows LAPS und Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) finden Sie unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards.
- Implementieren Sie dedizierte Arbeitsstationen mit privilegiertem Zugriff für alle Mitarbeitenden mit privilegiertem Zugriff auf die Informationssysteme Ihrer Organisation.
- Berücksichtigen Sie diese zusätzlichen Richtlinien, um die Angriffsfläche Ihrer Active Directory-Umgebung zu verringern.
- Folgen Sie den Überwachungsänderungen an der Verbundkonfiguration , um Warnungen einzurichten, um Änderungen an der Vertrauensstellung zu überwachen, die zwischen Ihrem IdP und der Microsoft Entra-ID eingerichtet wurde.
- Aktivieren Sie die mehrstufige Authentifizierung (Multifactor Authentication, MFA) für alle Benutzer, die privilegierten Zugriff in Microsoft Entra ID oder in AD haben. Ein Sicherheitsproblem bei der Verwendung des Microsoft Entra-Bereitstellungs-Agents besteht darin, dass ein Angreifer, wenn er die Kontrolle über den Microsoft Entra-Bereitstellungs-Agent-Server erlangt, die Benutzer in Microsoft Entra ID manipulieren kann. Um zu verhindern, dass ein Angreifer diese Funktionen verwendet, um Microsoft Entra-Konten zu übernehmen, bietet MFA Schutzmaßnahmen. Selbst wenn es einem Angreifer gelingt, das Kennwort eines Benutzers mithilfe des Microsoft Entra-Bereitstellungs-Agents zurückzusetzen, kann er den zweiten Faktor dennoch nicht umgehen.
Gruppenverwaltete Dienstkonten
Ein gruppenverwaltetes Dienstkonto ist ein verwaltetes Domänenkonto, das die automatische Kennwortverwaltung und die vereinfachte Verwaltung von Dienstprinzipalnamen (SPN) bereitstellt. Sie bietet auch die Möglichkeit, die Verwaltung an andere Administratoren zu delegieren und diese Funktionalität über mehrere Server zu erweitern. Die Microsoft Entra-Cloudsynchronisierung unterstützt und verwendet ein gMSA zum Ausführen des Agents. Sie werden während des Setups zur Eingabe von Administratoranmeldeinformationen aufgefordert, um dieses Konto zu erstellen. Das Konto wird als domain\provAgentgMSA$ angezeigt. Weitere Informationen zu einem gMSA finden Sie unter Gruppenverwaltete Dienstkonten.
Voraussetzungen für das gMSA
- Das Active Directory-Schema in der Gesamtstruktur der gMSA-Domäne muss auf Windows Server 2012 oder höher aktualisiert werden.
- PowerShell-RSAT-Module auf einem Domänencontroller.
- Mindestens ein Domänencontroller in der Domäne muss Windows Server 2012 oder höher ausführen.
- Ein in die Domäne eingebundener Server, der Windows Server 2022, Windows Server 2019 oder Windows Server 2016 für die Agentinstallation ausführt.
Benutzerdefiniertes gMSA-Konto
Wenn Sie ein benutzerdefiniertes gMSA-Konto erstellen, müssen Sie sicherstellen, dass das Konto über die folgenden Berechtigungen verfügt.
| Typ | Name | Zugang | Gilt für |
|---|---|---|---|
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | Nachfolger-Geräteobjekte |
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | Nachfolgerobjekte von InetOrgPerson |
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | Abgeleitete Computer-Objekte |
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | foreignSecurityPrincipal-Nachfolgerobjekte |
| Zulassen | gMSA-Konto | Volle Kontrolle | Nachfolger-Gruppenobjekte |
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | Abgeleitete Benutzerobjekte |
| Zulassen | gMSA-Konto | Alle Eigenschaften anzeigen | Nachfolger-Kontaktobjekte |
| Zulassen | gMSA-Konto | Erstellen/Löschen von Benutzerobjekten | Dieses Objekt und alle Nachfolgerobjekte |
Die Schritte zum Aktualisieren eines vorhandenen Agents für die Verwendung eines gMSA-Kontos finden Sie unter Gruppenverwaltete Dienstkonten.
Weitere Informationen zum Vorbereiten Ihres Active Directory für gruppenverwaltete Dienstkonten finden Sie unter gruppenverwaltete Dienstkonten – Übersicht und gruppenverwaltete Dienstkonten mit Cloudsynchronisierung.
Im Microsoft Entra Admin Center
- Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Hybrididentitätsadministrator*in“. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, wenn Ihre lokalen Dienste fehlschlagen oder nicht mehr verfügbar sind. Erfahren Sie, wie Sie ein auf die Cloud beschränktes Konto für die Rolle „Hybrididentitätsadministrator“ hinzufügen. Die Ausführung dieses Schritts ist äußerst wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
- Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.
In Ihrem Verzeichnis in Active Directory
Führen Sie das IdFix-Tool aus, um die Verzeichnisattribute für die Synchronisierung vorzubereiten.
In Ihrer lokalen Umgebung
- Identifizieren Sie einen in die Domäne eingebundenen Hostserver, der Windows Server 2022, Windows Server 2019 oder Windows Server 2016 mit mindestens 4 GB RAM und .NET 4.7.1+ Laufzeit ausführt.
- Die PowerShell-Ausführungsrichtlinie auf dem lokalen Server muss auf "Undefiniert" oder "RemoteSigned" festgelegt sein.
- Wenn eine Firewall zwischen Ihren Servern und Microsoft Entra ID vorhanden ist, finden Sie weitere Informationen unter Firewall- und Proxyanforderungen.
Anmerkung
Die Installation des Cloudbereitstellungs-Agents unter Windows Server Core wird nicht unterstützt.
Bereitstellen der Microsoft Entra-ID für Active Directory Domain Services – Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Bereitstellungsgruppen in Active Directory Domain Services (AD DS) zu implementieren.
Lizenzanforderungen
Die Verwendung dieses Features erfordert Microsoft Entra ID P1-Lizenzen. Finden Sie die richtige Lizenz für Ihre Anforderungen, indem Sie den Vergleich der allgemein verfügbaren Features von Microsoft Entra IDeinsehen.
Allgemeine Anforderungen
- Microsoft Entra-Konto mit mindestens der Rolle Hybrididentitätsadministrator.
- Lokales AD DS-Schema mit dem Attribut "msDS-ExternalDirectoryObjectId ", das in Windows Server 2016 und höher verfügbar ist.
- Bereitstellungs-Agent mit Buildversion 1.1.3730.0 oder höher.
Anmerkung
Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Wenn Sie ein Upgrade von der vorherigen Version durchführen, müssen Berechtigungen mithilfe von PowerShell manuell zugewiesen werden:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Wenn die Berechtigungen manuell festgelegt werden, müssen Sie alle Eigenschaften "Lesen", "Schreiben", "Erstellen" und "Löschen" für alle untergeordneten Gruppen und Benutzerobjekte zuweisen.
Diese Berechtigungen werden standardmäßig nicht auf AdminSDHolder-Objekte angewendet. Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungs-Agent gMSA PowerShell-Cmdlets.
- Der Bereitstellungs-Agent muss auf einem Server installiert sein, auf dem Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausgeführt werden.
- Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an ports TCP/389 (LDAP) und TCP/3268 (Global Catalog) kommunizieren können.
- Erforderlich für die Suche im globalen Katalog zum Herausfiltern ungültiger Mitgliedschaftsverweise
- Microsoft Entra Connect Sync mit Buildversion 2.22.8.0
- Erforderlich, um die lokale Benutzermitgliedschaft zu unterstützen, die mit Microsoft Entra Connect Sync synchronisiert wurde
- Erforderlich für die Synchronisierung
AD DS:user:objectGUIDmitAAD DS:user:onPremisesObjectIdentifier
Skalierungsgrenzwerte für Bereitstellungsgruppen in Active Directory
Die Leistung der Gruppenbereitstellung in Active Directory wird von der Größe des Mandanten sowie der Anzahl der Gruppen und Mitgliedschaften beeinflusst, die für die Bereitstellung in Active Directory vorgesehen sind. Dieser Abschnitt enthält Anleitungen zum Ermitteln, ob GPAD Ihre Skalierungsanforderung unterstützt, und wie Sie den richtigen Gruppenbereichsdefinitionsmodus auswählen, um schnellere anfängliche und Delta-Synchronisierungszyklen zu erzielen.
Was wird nicht unterstützt?
- Gruppen, die größer als 50K-Mitglieder sind, werden nicht unterstützt.
- Die Verwendung der Bereichsdefinition "Alle Sicherheitsgruppen" ohne Anwenden der Attributbereichsfilterung wird nicht unterstützt.
Skalierungslimits
| Bereichsmodus | Anzahl der innerhalb des Geltungsbereichs liegenden Gruppen | Anzahl der Mitgliedschaftslinks (nur direkte Mitglieder) | Hinweise |
|---|---|---|---|
| Modus "Ausgewählte Sicherheitsgruppen" | Bis zu 10.000 Gruppen. Der CloudSync-Bereich im Microsoft Entra-Portal ermöglicht nur die Auswahl von bis zu 999 Gruppen sowie das Anzeigen von bis zu 999 Gruppen. Wenn Sie mehr als 1000 Gruppen zum Bereich hinzufügen müssen, lesen Sie: Erweiterte Gruppenauswahl über API. | Bis zu 250K Gesamtmitglieder in allen Gruppen im Geltungsbereich. | Verwenden Sie diesen Scope-Modus, wenn Ihr Mandant einen der Grenzwerte überschreitet. 1. Der Mandant verfügt über mehr als 200 Tsd. Benutzer. 2. Der Mandant verfügt über mehr als 40.000 Gruppen 3. Der Mandant verfügt über mehr als 1 Million Gruppenmitgliedschaften. |
| Modus "Alle Sicherheitsgruppen" mit mindestens einem Attributbereichsfilter. | Bis zu 20.000 Gruppen. | Bis zu 500K Mitglieder insgesamt in allen Gruppen im Geltungsbereich. | Verwenden Sie diesen Bereichsmodus, wenn Ihr Mandant ALLE folgenden Grenzwerte erfüllt: 1. Der Mandant hat weniger als 200.000 Benutzer. 2. Der Mandant hat weniger als 40.000 Gruppen. 3. Der Mandant verfügt über weniger als 1 Million Gruppenmitgliedschaften. |
Was zu tun ist, wenn Sie Grenzwerte überschreiten
Wenn Sie die empfohlenen Grenzwerte überschreiten, wird die anfängliche und delta-Synchronisierung verlangsamt, was möglicherweise zu Synchronisierungsfehlern führt. Führen Sie in diesem Fall die folgenden Schritte aus:
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Ausgewählte Sicherheitsgruppen":
Verringern Sie die Anzahl von In-Scope-Gruppen (Zielgruppen mit höheren Werten ), oder teilen Sie die Bereitstellung in mehrere, unterschiedliche Aufträge mit nicht zusammenhängenden Bereichen auf.
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Alle Sicherheitsgruppen":
Verwenden Sie den Bereichsdefinitionsmodus für ausgewählte Sicherheitsgruppen wie empfohlen.
Einige Gruppen überschreiten 50K-Mitglieder:
Teilen Sie die Mitgliedschaft über mehrere Gruppen hinweg, oder übernehmen Sie mehrstufige Gruppen (z. B. nach Region oder Geschäftseinheit), um jede Gruppe unter der Obergrenze zu halten.
Erweiterte Gruppenauswahl über API
Wenn Sie mehr als 999 Gruppen auswählen müssen, müssen Sie das Grant an appRoleAssignment für einen Dienstprinzipal-API-Aufruf verwenden.
Ein Beispiel für die API-Aufrufe lautet wie folgt:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
wo:
- principalId: Gruppenobjekt-ID.
- resourceId: Dienstprinzipal-ID des Auftrags.
- appRoleId: Bezeichner der App-Rolle, die vom Ressourcendienstprinzipal verfügbar gemacht wird.
Die folgende Tabelle enthält eine Liste der App-Rollen-IDs für Clouds:
| Wolke | appRoleId |
|---|---|
| Öffentlichkeit | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Mehr Informationen
Hier sind weitere Punkte zu berücksichtigen, wenn Sie Gruppen für AD DS bereitstellen.
- Gruppen, die mit Cloud Sync für AD DS bereitgestellt werden, können nur lokale synchronisierte Benutzer oder andere in der Cloud erstellte Sicherheitsgruppen enthalten.
- Diese Benutzer müssen das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt haben.
- Der onPremisesObjectIdentifier muss mit einer entsprechenden ObjectGUID in der AD DS-Zielumgebung übereinstimmen.
- Ein lokales BenutzerobjektGUID-Attribut kann mithilfe eines Synchronisierungsclients mit einem Cloudbenutzer-onPremisesObjectIdentifier-Attribut synchronisiert werden.
- Nur globale Microsoft Entra ID-Mandanten können von Microsoft Entra-ID auf AD DS bereitgestellt werden. Mieter wie B2C werden nicht unterstützt.
- Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.
Weitere Anforderungen
- Mindestens Microsoft .NET Framework 4.7.1
TLS-Anforderungen
Anmerkung
Transport Layer Security (TLS) ist ein Protokoll, das sichere Kommunikation bereitstellt. Das Ändern der TLS-Einstellungen wirkt sich auf die Gesamtstruktur aus. Weitere Informationen finden Sie unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als Sichere Standardprotokolle in WinHTTP in Windows.
Der Windows-Server, auf dem der Cloudbereitstellungs-Agent von Microsoft Entra Connect gehostet wird, muss TLS 1.2 aktiviert sein, bevor Sie ihn installieren.
Führen Sie die folgenden Schritte aus, um TLS 1.2 zu aktivieren.
Legen Sie die folgenden Registrierungsschlüssel fest, indem Sie den Inhalt in eine .reg-Datei kopieren und dann die Datei öffnen (mit der rechten Maustaste klicken, und dann Zusammenführenwählen):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Starten Sie den Server neu.
Firewall- und Proxyanforderungen
Wenn zwischen Ihren Servern und der Microsoft Entra-ID eine Firewall vorhanden ist, konfigurieren Sie die folgenden Elemente:
Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:
Portnummer BESCHREIBUNG 80 Lädt die Zertifikatsperrlisten (CRLs) herunter, während das TLS/SSL-Zertifikat überprüft wird. 443 Verarbeitet die gesamten ausgehenden Kommunikation mit dem Dienst. 8080 (wahlweise) Agents melden ihren Status alle 10 Minuten über Port 8080, wenn Port 443 nicht verfügbar ist. Dieser Status wird im Microsoft Entra Admin Center angezeigt. Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzenden erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.
Stellen Sie sicher, dass Ihr Proxy mindestens das HTTP 1.1-Protokoll unterstützt und die Chunked-Encoding aktiviert ist.
Wenn Ihre Firewall oder Ihr Proxy es Ihnen ermöglicht, sichere Suffixe anzugeben, fügen Sie Verbindungen hinzu:
| URL | BESCHREIBUNG |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
Der Agent verwendet diese URLs für die Kommunikation mit dem Microsoft Entra-Clouddienst. |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
Der Agent verwendet diese URLs, um Zertifikate zu überprüfen. |
login.windows.net |
Der Agent verwendet diese URLs während des Registrierungsprozesses. |
NTLM-Anforderung
Sie sollten NTLM nicht auf dem Windows Server aktivieren, auf dem der Microsoft Entra-Bereitstellungs-Agent ausgeführt wird, und wenn er aktiviert ist, sollten Sie sicherstellen, dass Sie ihn deaktivieren.
Bekannte Einschränkungen
Im Folgenden sind bekannte Einschränkungen aufgeführt:
Delta-Synchronisierung
- Die Gruppenbereichsfilterung für die Delta-Synchronisierung unterstützt nicht mehr als 50.000 Mitglieder.
- Wenn Sie eine Gruppe löschen, die als Teil eines Gruppendefinitionsfilters verwendet wird, werden Benutzer, die Mitglieder der Gruppe sind, nicht gelöscht.
- Wenn Sie die im Geltungsbereich befindliche Organisationseinheit oder Gruppe umbenennen, werden die Benutzer*innen bei der Deltasynchronisierung nicht entfernt.
Bereitstellungsprotokolle
- Bereitstellungsprotokolle unterscheiden nicht eindeutig zwischen Erstellungs- und Aktualisierungsvorgängen. Es kann sein, dass ein Erstellungsvorgang für eine Aktualisierung und ein Aktualisierungsvorgang für eine Erstellung angezeigt wird.
Umbenennung von Gruppen oder Organisationseinheiten
- Wenn Sie eine Gruppe oder OU in AD umbenennen, die im Geltungsbereich einer bestimmten Konfiguration liegt, kann der Cloudsynchronisierungsauftrag die Namensänderung in AD nicht erkennen. Der Auftrag wird nicht unter Quarantäne gestellt und bleibt im fehlerfreien Zustand.
Bereichsfilter
Bei Verwendung des Bereichsfilters für Organisationseinheiten
Die Bereichskonfiguration weist eine Zeichenlängenbeschränkung von 4 MB auf. In einer standardmäßig getesteten Umgebung entspricht dies bei einer bestimmten Konfiguration etwa 50 separaten Organisationseinheiten oder Sicherheitsgruppen, einschließlich der erforderlichen Metadaten.
Geschachtelte Organisationseinheiten werden unterstützt (d. h., Sie können eine Organisationseinheit mit 130 geschachtelten Organisationseinheiten synchronisieren, aber Sie können nicht 60 separate Organisationseinheiten in derselben Konfiguration synchronisieren).
Kennwort-Hash-Synchronisierung
- Die Verwendung der Kennwort-Hashsynchronisierung mit „InetOrgPerson“ wird nicht unterstützt.