Vereisten voor Microsoft Entra Cloud Sync

Dit artikel bevat richtlijnen voor het gebruik van Microsoft Entra Cloud Sync als uw identiteitsoplossing.

Vereisten voor cloudvoorzieningsagent

U hebt het volgende nodig om Microsoft Entra Cloud Sync te gebruiken:

• Domeinbeheerder- of ondernemingsbeheerdersreferenties voor het maken van de Microsoft Entra Connect-cloudsynchronisatie gMSA (groepsbeheerserviceaccount) om de agentservice uit te voeren.

• Een beheerdersaccount voor hybride identiteit voor uw Microsoft Entra-tenant die geen gastgebruiker is.

• Microsoft Entra Cloud Sync-agent moet zijn geïnstalleerd op een server die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd. Windows Server 2022 wordt aangeraden. U kunt Microsoft Entra Cloud Sync implementeren op Windows Server 2016, maar omdat deze uitgebreide ondersteuning heeft, hebt u mogelijk een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor deze configuratie. Installatie op niet-ondersteunde versies van Windows Server kan leiden tot servicefouten of onverwacht gedrag.

  Belangrijk

  Windows Server 2025 wordt NIET ondersteund. Er is een bekend probleem in Windows Server 2025 waardoor Microsoft Entra Cloud Sync synchronisatieproblemen kan ondervinden. Als u een upgrade hebt uitgevoerd naar Windows Server 2025, controleert u of u 20 oktober 2025 - KB5070773 update of hoger hebt geïnstalleerd. Nadat u deze update hebt geïnstalleerd, start u de server opnieuw op om de wijzigingen van kracht te laten worden. Windows Server 2025-ondersteuning voor Microsoft Entra Cloud Sync is gepland voor een toekomstige release.

• Deze server moet een laag 0-server zijn op basis van het Active Directory-beheerlaagmodel. Het installeren van de agent op een domeincontroller wordt ondersteund. Raadpleeg Versterk uw Microsoft Entra-inrichtingsagentserver voor meer informatie.

• Het Active Directory-schema is vereist om het kenmerk msDS-ExternalDirectoryObjectId te hebben, dat beschikbaar is in Windows Server 2016 en hoger.

• De Windows Credential Manager-service (VaultSvc) kan niet worden uitgeschakeld, omdat de inrichtingsagent dan niet kan worden geïnstalleerd.

• Hoge beschikbaarheid verwijst naar de mogelijkheid van Microsoft Entra Cloud Sync om continu zonder fouten gedurende lange tijd te werken. Door meerdere actieve agents te installeren en uit te voeren, kan Microsoft Entra Cloud Sync blijven functioneren, zelfs als één agent zou moeten mislukken. Microsoft raadt aan drie actieve agents te installeren voor hoge beschikbaarheid.

• Lokale firewallconfiguraties.

Beveilig uw Microsoft Entra-voorzieningsagentserver

U wordt aangeraden uw Microsoft Entra-inrichtingsagentserver te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.

• We raden aan om de Microsoft Entra-inrichtingsagentserver te beveiligen als een Controlevlakasset (voorheen Laag 0) door de richtlijnen in Secure Privileged Access en Active Directory-beheerlaagmodelte volgen.
• Beperk beheerderstoegang tot de Microsoft Entra-inrichtingsagentserver tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
• Maak een toegewezen account voor alle medewerkers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
• Volg de richtlijnen in Beveiligde toegang.
• Gebruik van NTLM-verificatie weigeren met Microsoft Entra-provisioning-agentserver. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra-inrichtingsagent-server en NTLM beperken op een domein
• Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) voor meer informatie unieke willekeurige wachtwoorden op elk werkstation kunt configureren en op de server opslaan in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in Operationele standaarden op basis van schone bronprincipes.
• Implementeer toegewezen bevoegde toegangswerkstations voor alle medewerkers met uitgebreide toegang tot de informatiesystemen van uw organisatie.
• Volg deze aanvullende richtlijnen om de kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
• Volg de Wijzigingen in de Federatieconfiguratie Controleren om waarschuwingen in te stellen om wijzigingen in de vertrouwensrelatie tussen uw IdP en Microsoft Entra ID te monitoren.
• Meervoudige verificatie (MFA) inschakelen voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van de Microsoft Entra-inrichtingsagent is dat als een aanvaller controle kan krijgen over de Microsoft Entra-inrichtingsagentserver, gebruikers in Microsoft Entra-id kunnen manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA bescherming. Zelfs als een aanvaller het wachtwoord van een gebruiker opnieuw kan instellen met behulp van de Microsoft Entra-inrichtingsagent, kunnen ze de tweede factor nog steeds niet omzeilen.

Door een groep beheerde serviceaccounts

Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer (Service Principal Name) biedt. Het biedt ook de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit over meerdere servers uit te breiden. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. Tijdens de installatie wordt u gevraagd om beheerdersgegevens in te voeren om dit account aan te maken. Het account wordt weergegeven als domain\provAgentgMSA$. Voor meer informatie over een gMSA, zie groepsbeheer-serviceaccounts.

Vereisten voor gMSA

• Het Active Directory-schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
• PowerShell RSAT-modules op een domeincontroller.
• Op ten minste één domeincontroller in het domein moet Windows Server 2012 of hoger worden uitgevoerd.
• Een server die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd voor de installatie van de agent.

Aangepast gMSA-account

Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.

Voor de stappen om een bestaande software-agent te upgraden om een gMSA-account te gebruiken, zie Groeps Beheerde Serviceaccounts.

Zie overzicht van beheerde serviceaccounts voor groepen en beheerde serviceaccounts met cloudsynchronisatievoor meer informatie over het voorbereiden van uw Active Directory voor beheerde serviceaccounts voor groepen.

In het Microsoft Entra-beheercentrum

1. Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet beschikbaar zijn. Meer informatie over het een hybride identiteitsbeheerderaccount in de cloudtoevoegen. Het voltooien van deze stap is essentieel om te voorkomen dat u uzelf buitensluit van uw tenant.
2. Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw directory in Active Directory

Voer het hulpprogramma IdFix uit om de adreslijstkenmerken voor te bereiden voor synchronisatie.

In uw lokale omgeving

1. Identificeer een hostserver die lid is van een domein met Windows Server 2022, Windows Server 2019 of Windows Server 2016 met minimaal 4 GB RAM en .NET 4.7.1+ runtime.
2. Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.
3. Als er een firewall is tussen uw servers en Microsoft Entra ID, raadpleegt u firewall- en proxyvereisten.

Microsoft Entra-id inrichten voor Active Directory Domain Services - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory Domain Services (AD DS).

Licentievoorwaarden

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra IDvergelijken om de juiste licentie voor uw vereisten te vinden.

Algemene vereisten

• Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
• On-premises AD DS-schema met het kenmerk msDS-ExternalDirectoryObjectId , dat beschikbaar is in Windows Server 2016 en hoger.
• Provisioning agent met buildversie 1.1.3730.0 of hoger.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• De inrichtingsagent moet zijn geïnstalleerd op een server waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd.
• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen uit te filteren
• Microsoft Entra Connect Sync met buildversie 2.22.8.0
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
  • Vereist om te synchroniseren AD DS:user:objectGUID met AAD DS:user:onPremisesObjectIdentifier

Schaallimieten voor inrichtingsgroepen voor Active Directory

De prestaties van de Groepsvoorziening-functie voor Active Directory worden beïnvloed door de grootte van de tenant en het aantal groepen en lidmaatschappen dat in scope is voor voorziening naar Active Directory. Deze sectie bevat richtlijnen voor het bepalen of GPAD ondersteuning biedt voor uw schaalvereiste en hoe u de juiste groepsbereikmodus kiest om snellere eerste en deltasynchronisatiecycli te bereiken.

Wat wordt niet ondersteund?

• Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
• Het gebruik van het bereik 'Alle beveiligingsgroepen' zonder het toepassen van kenmerkbereikfilters wordt niet ondersteund.

Schaallimieten

Wat u moet doen als u de limieten overschrijdt

Het overschrijden van de aanbevolen limieten vertraagt de initiële en deltasynchronisatie, waardoor synchronisatiefouten mogelijk optreden. Als dit gebeurt, voert u de volgende stappen uit:

Te veel groepen of groepsleden in de bereikmodus Geselecteerde beveiligingsgroepen:

Verminder het aantal groepen binnen bereik (richt je op groepen met een hogere waarde) of splits de voorziening in meerdere, afzonderlijke taken met gescheiden bereiken.

Te veel groepen of groepsleden in de bereikmodus Alle beveiligingsgroepen:

Gebruik de bereikmodus Geselecteerde beveiligingsgroepen zoals wordt aanbevolen.

Sommige groepen overschrijden 50.000 leden:

Verdeel lidmaatschap over meerdere groepen of adopteer gefaseerde groepen (bijvoorbeeld per regio of bedrijfseenheid) om ervoor te zorgen dat elke groep onder de limiet blijft.

Uitgebreide groepsselectie via API

Als u meer dan 999 groepen wilt selecteren, moet u de API-aanroep 'Grant an appRoleAssignment for a service principal' gebruiken.

Een voorbeeld van de API-aanroepen is als volgt:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId: groepsobject-id.
• resourceId: de service-principal-id van de taak.
• appRoleId: id van de app-rol die wordt weergegeven door de resourceservice-principal.

De volgende tabel is een lijst met app-rol-id's voor clouds:

Meer informatie

Hier volgen nog meer punten om rekening mee te houden wanneer u groepen inricht voor AD DS.

• Groepen die zijn ingericht voor AD DS met cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers of andere cloudbeveiligingsgroepen bevatten.
• Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
• De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de AD DS-doelomgeving.
• Een on-premises gebruikersobjectGUID-kenmerk kan worden gesynchroniseerd met een cloudgebruiker onPremisesObjectIdentifier-kenmerk met behulp van een van beide synchronisatieclients.
• Alleen globale Microsoft Entra ID-tenants kunnen worden ingericht van Microsoft Entra ID naar AD DS. Tenants zoals B2C worden niet ondersteund.
• De provisioningstaak voor groepen is gepland om elke 20 minuten te worden uitgevoerd.

Meer vereisten

• Minimaal Microsoft .NET Framework 4.7.1

TLS-vereisten

Voor de Windows-server waarop de Microsoft Entra Connect-cloudinrichtingsagent wordt gehost, moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.

Volg deze stappen om TLS 1.2 in te schakelen.

1. Stel de volgende registersleutels in door de inhoud te kopiëren naar een .reg bestand en voer het bestand uit (selecteer en kies Samenvoegen):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Start de server opnieuw op.

Firewall- en proxyvereisten

Als er een firewall is tussen uw servers en Microsoft Entra ID, configureert u de volgende items:

• Zorg ervoor dat agents uitgaande aanvragen kunnen indienen bij Microsoft Entra ID via de volgende poorten:

  Poortnummer	Beschrijving
  80	Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat.
  443	Verwerkt alle uitgaande communicatie met de dienst.
  8080 (optioneel)	Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in het Microsoft Entra-beheercentrum.

• Als uw firewall regels afdwingt op basis van de oorspronkelijke gebruikers, opent u deze poorten voor verkeer van Windows-services die als netwerkservice worden uitgevoerd.

• Zorg ervoor dat uw proxy ten minste HTTP 1.1-protocol ondersteunt en gesegmenteerde codering is ingeschakeld.

• Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe:

NTLM-vereiste

Schakel NTLM niet in op de Windows Server waarop de Microsoft Entra-inrichtingsagent wordt uitgevoerd. Als deze is ingeschakeld, moet u ervoor zorgen dat u deze uitschakelt.

Bekende beperkingen

Hier volgen bekende beperkingen:

Deltasynchronisatie

• Het filteren van groepsbereiken voor deltasynchronisatie biedt geen ondersteuning voor meer dan 50.000 leden.
• Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
• Wanneer u de naam van de organisatie-eenheid of groep wijzigt die binnen het bereik valt, worden de gebruikers niet verwijderd door Delta Sync.

Voorzieningslogboeken

• Het inrichten van logboeken maakt niet duidelijk onderscheid tussen het maken en bijwerken van bewerkingen. U kunt een bewerking om een update te maken en een bewerking om een creatie bij te werken zien.

Naam van groep wijzigen of organisatie-eenheid wijzigen

• Als u de naam van een groep of organisatie-eenheid in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatietaak de naamwijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft gezond.

Omvangsfilter

Bij het gebruik van OU-bereikfilter

• De bereikconfiguratie heeft een beperking van 4 MB in tekenlengte. In een standaard geteste omgeving wordt dit omgezet in ongeveer 50 afzonderlijke organisatie-eenheden (OE's) of beveiligingsgroepen, inclusief de vereiste metagegevens, voor een bepaalde configuratie.

• Geneste OE's worden ondersteund (u kunt een organisatie-eenheid met 130 geneste OE's synchroniseren, maar u geen 60 afzonderlijke organisatie-eenheden in dezelfde configuratie kunt synchroniseren).

Wachtwoord-hashsynchronisatie

• Het gebruik van wachtwoord-hashsynchronisatie met InetOrgPerson wordt niet ondersteund.

Volgende stappen

• Wat is voorziening?
• Wat is Microsoft Entra Cloud Sync?