本文提供有关使用 Microsoft Entra Cloud Sync 作为标识解决方案的指导。
云预配代理要求
使用 Microsoft Entra Cloud Sync,您需要以下条件:
域管理员或企业管理员凭据,用于创建 Microsoft Entra Connect 云同步 gMSA(组托管服务帐户)以运行代理服务。
不是来宾用户的 Microsoft Entra 租户的混合标识管理员帐户。
Microsoft Entra Cloud Sync 代理必须安装在运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的已加入域的服务器上。 建议使用 Windows Server 2022。 可以在 Windows Server 2016 上部署 Microsoft Entra Cloud Sync,但由于它处于扩展支持状态,因此,如果需要支持此配置,可能需要 付费支持计划 。 在不支持的 Windows Server 版本上安装可能会导致服务失败或意外行为。
重要
不支持 Windows Server 2025。 Windows Server 2025 上有一个已知问题,可能会导致 Microsoft Entra Cloud Sync 遇到同步问题。 如果升级到 Windows Server 2025,请确保已安装 2025 年 10 月 20 日 - KB5070773 更新或更高版本。 安装此更新后,重启服务器,使更改生效。 计划为将来的版本提供对 Microsoft Entra Cloud Sync 的 Windows Server 2025 支持。
此服务器应是基于 Active Directory 管理层模型的第 0 层服务器。 支持在域控制器上安装代理。 有关详细信息,请参阅强化 Microsoft Entra 预配代理服务器
Active Directory 架构需要具有属性 msDS-ExternalDirectoryObjectId,该属性在 Windows Server 2016 及更高版本中可用。
无法禁用 Windows 凭据管理器服务 (VaultSvc),因为这会阻止预配代理安装。
高可用性是指 Microsoft Entra Cloud Sync 持续运行且长时间没有故障的能力。 通过安装并运行多个在线代理,即使有一个代理失败,Microsoft Entra Cloud Sync 仍能继续运行。 Microsoft建议安装 3 个活动代理以实现高可用性。
本地防火墙配置。
强化 Microsoft Entra 预配代理服务器
建议强化 Microsoft Entra 预配代理服务器,以减少 IT 环境的此关键组件的安全攻击面。 遵循这些建议有助于缓解组织面临的一些安全风险。
- 建议按照 安全特权访问 和 Active Directory 管理层模型中提供的指南,将 Microsoft Entra 预配代理服务器强化为控制平面(前第 0 层)资产。
- 将对 Microsoft Entra 预配代理服务器的管理访问权限限制为仅域管理员或其他严格控制的安全组。
- 为所有具有特权访问权限的人员创建专用帐户。 管理员不应使用高特权帐户浏览网页、查看电子邮件或执行日常事务。
- 遵循保护特权访问中提供的指南进行操作。
- 拒绝对 Microsoft Entra 预配代理服务器使用 NTLM 身份验证。 下面是执行此操作的一些方法:在 Microsoft Entra 预配代理服务器上限制 NTLM 和在域上限制 NTLM
- 确保每台计算机都有唯一的本地管理员密码。 有关详细信息,请参阅 本地管理员密码解决方案(Windows LAPS) 可以在每个工作站上配置唯一的随机密码,并将其存储在受 ACL 保护的 Active Directory 中。 只有符合条件的授权用户可以读取或请求重置这些本地管理员帐户密码。 有关使用 Windows LAPS 和特权访问工作站(PAW)运行环境的其他指南,请参阅 操作标准(基于干净源原则)。
- 为具有组织信息系统的特权访问权限的所有人员实现专用的特权访问工作站。
- 遵循这些 其他准则 以减少 Active Directory 环境的攻击面。
- 按监控联合配置的更改设置警报,以监控 IdP 与 Microsoft Entra ID 之间信任关系的更改。
- 为Microsoft Entra ID 或 AD 中具有特权访问权限的所有用户启用多重身份验证(MFA)。 使用 Microsoft Entra 预配代理的一个安全问题是,如果攻击者可以控制 Microsoft Entra 预配代理服务器,他们可以在 Microsoft Entra ID 中操作用户。 为了防止攻击者使用这些功能接管 Microsoft Entra 帐户,MFA 提供保护。 例如,即使攻击者设法使用 Microsoft Entra 预配代理重置用户的密码,他们仍然无法绕过第二个因素。
组托管服务帐户
组托管服务帐户是一个托管域帐户,它提供自动密码管理和简化的服务主体名称(SPN)管理。 它还提供将管理委托给其他管理员并将此功能扩展到多个服务器的能力。 Microsoft Entra Cloud Sync 支持并使用 gMSA 来运行代理。 在安装过程中,系统会提示你提供管理凭据,以便创建此帐户。 该帐户显示为 domain\provAgentgMSA$。 有关 gMSA 的详细信息,请参阅 组托管服务帐户。
gMSA 的先决条件
- gMSA 域林中的 Active Directory 架构需要更新到 Windows Server 2012 或更高版本。
- 域控制器上的 PowerShell RSAT 模块。
- 域中至少有一个域控制器必须运行 Windows Server 2012 或更高版本。
- 一个已加入域的服务器,其操作系统为 Windows Server 2022、Windows Server 2019 或 Windows Server 2016,用于安装代理。
自定义 gMSA 帐户
如果要创建自定义 gMSA 帐户,则需要确保该帐户具有以下权限。
| 类型 | 名字 | 访问 | 应用到 |
|---|---|---|---|
| 允许 | gMSA 帐户 | 读取所有属性 | 后代设备对象 |
| 允许 | gMSA 帐户 | 读取所有属性 | 后代 InetOrgPerson 对象 |
| 允许 | gMSA 帐户 | 读取所有属性 | 后代计算机对象 |
| 允许 | gMSA 帐户 | 读取所有属性 | 后代 foreignSecurityPrincipal 对象 |
| 允许 | gMSA 帐户 | 完全控制 | 后代组对象 |
| 允许 | gMSA 帐户 | 读取所有属性 | 后代用户对象 |
| 允许 | gMSA 帐户 | 读取所有属性 | 后代联系人对象 |
| 允许 | gMSA 帐户 | 创建/删除用户对象 | 此对象和所有后代对象 |
有关如何升级现有代理以使用 gMSA 帐户的步骤,请参阅 组托管服务帐户。
若要详细了解如何为组托管服务帐户准备 Active Directory,请参阅组托管服务帐户概述和使用云同步对托管服务帐户进行分组。
在 Microsoft Entra 管理中心
- 在 Microsoft Entra 租户上创建仅限云的混合标识管理员帐户。 这样,如果本地服务失败或不可用,则可以管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
- 在 Microsoft Entra 租户中添加一个或多个自定义域名。 用户可以使用其中一个域名登录。
在 Active Directory 的目录中
运行 IdFix 工具,准备目录属性进行同步。
在本地环境中
- 识别一台已加入域的主机服务器,该服务器运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016,并且至少具备 4 GB 的 RAM 和 .NET 4.7.1+ 运行时。
- 本地服务器上的 PowerShell 执行策略必须设置为“未定义”或“RemoteSigned”。
- 如果服务器与Microsoft Entra ID 之间存在防火墙,请参阅 防火墙和代理要求。
注意
不支持在 Windows Server Core 上安装云预配代理。
将 Microsoft Entra ID 预配到 Active Directory 域服务 - 先决条件
若要将预配组实现到 Active Directory 域服务(AD DS),需要满足以下先决条件。
许可证要求
使用此功能需要Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
常规要求
- 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
- 具有 msDS-ExternalDirectoryObjectId 属性的本地 AD DS 架构,该属性在 Windows Server 2016 及更高版本中可用。
- 使用内部版本 1.1.3730.0 或更高版本预配代理。
注意
仅在干净安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell 手动分配权限:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手动设置权限,则需要为所有后代组和用户对象分配“读取”、“写入”、“创建”和“删除”所有属性。
默认情况下,这些权限不会应用于 AdminSDHolder 对象。 有关详细信息,请参阅 Microsoft Entra 预配代理 gMSA PowerShell cmdlet。
- 预配代理必须安装在运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的服务器上。
- 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局编录)上的一个或多个域控制器通信。
- 用于全局目录查找以筛选无效的成员资格引用所必需的
- Microsoft Entra Connect Sync 使用内部版本 2.22.8.0
- 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
- 必须同步
AD DS:user:objectGUID到AAD DS:user:onPremisesObjectIdentifier
对 Active Directory 用户组的规模限制
组预配到 Active Directory 功能的性能受租户大小以及预配到 Active Directory 的组数和成员身份的影响。 本部分提供有关如何确定 GPAD 是否支持您的规模需求以及如何选择合适的组范围设置,以实现更快的初始和增量同步周期的指导。
不支持什么?
- 不支持超过 50,000 成员的群组。
- 不支持在不使用属性范围筛选的情况下使用“所有安全组”范围。
规模限制
| 范围模式 | 作用域内组数 | 成员身份链接数(仅限直接成员) | 注释 |
|---|---|---|---|
| “所选安全组”模式 | 最多 10K 个组。 Microsoft Entra 门户中的 CloudSync 窗格仅允许选择最多 999 个组,以及最多显示 999 个组。 如果需要将 1000 多个组添加到范围,请参阅: 通过 API 扩展组选择。 | 范围内所有组的成员总数最多为 25 万人。 | 如果租户超出这些限制中的任何一个,请使用此范围模式 1.租户用户超过 20 万 2. 租户具有超过 4 万个组 3. 租户拥有超过 100 万个组成员。 |
| 具有至少一个属性范围筛选器的“所有安全组”模式。 | 最多 20K 个组。 | 范围中所有组的最多 50 万个成员总数。 | 如果您的租户满足以下所有限制,请使用此作用域模式: 1.租户用户少于 20 万 2. 租户的组少于 4万个 3. 租户的成员身份少于 100 万个。 |
如果超出限制,该怎么办
超过建议的限制会降低初始同步和增量同步的速度,这可能会导致同步错误。 如果发生这种情况,请执行以下步骤:
“所选安全组”范围模式下的组或组成员过多:
减少作用域内组数(以更高的值组为目标), 或将预配拆分为多个不同 作业,且范围不相交。
“所有安全组”作用域模式中群组或群组成员过多:
建议使用 所选安全组 范围模式。
某些组超过 50K 个成员:
在多个组之间拆分成员身份,或者采取分阶段分组(例如,按区域或业务部门)以确保每个组保持在限制范围内。
通过 API 扩展的组选择
如果需要选择超过 999 个组,则必须调用 Grant an appRoleAssignment API 以便对服务主体进行操作。
API 调用的示例如下所示:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
地点:
- principalId:组对象 ID。
- resourceId:作业的服务主体 ID。
- appRoleId:资源服务主体公开的应用角色的标识符。
下表是适用于云的应用角色 ID 列表:
| 云 | appRoleId |
|---|---|
| 公众 | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
详细信息
以下是在将组配置到 AD DS 时需要考虑的更多注意事项。
- 使用云同步预配到 AD DS 的组只能包含本地同步的用户或其他云创建的安全组。
- 这些用户必须在其帐户上设置 onPremisesObjectIdentifier 属性。
- onPremisesObjectIdentifier 必须与目标 AD DS 环境中的相应对象GUID 匹配。
- 可以使用任一同步客户端将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性。
- 只有全局性的 Microsoft Entra ID 租户才能从 Microsoft Entra ID 预配到 AD DS。 不支持 B2C 等租户。
- 组预配作业计划为每 20 分钟运行一次。
更多要求
TLS 要求
注意
传输层安全性(TLS)是用于安全通信的协议。 更改 TLS 设置会影响整个林。 有关详细信息,请参阅 更新以启用 TLS 1.1 和 TLS 1.2 作为 WindowsWinHTTP 中的默认安全协议。
托管 Microsoft Entra Connect 云预配代理的 Windows 服务器必须先启用 TLS 1.2,然后才能安装它。
若要启用 TLS 1.2,请执行以下步骤。
通过将内容复制到 .reg 文件中,然后运行文件来设置以下注册表项(右键单击并选择 合并):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001重启服务器。
防火墙和代理要求
如果服务器与 Microsoft Entra ID 之间存在防火墙,请配置以下项:
确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:
端口号 描述 80 在验证 TLS/SSL 证书时下载证书吊销列表(CRL)。 443 处理与服务的所有出站通信。 8080 (可选) 如果端口 443 不可用,代理每隔 10 分钟通过端口 8080 报告其状态。 此状态显示在 Microsoft Entra 管理中心。 如果防火墙根据原始用户强制实施规则,请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。
确保代理至少支持 HTTP 1.1 协议和分块编码。
如果防火墙或代理允许指定安全后缀,请添加连接:
| URL | 描述 |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
代理使用这些 URL 与 Microsoft Entra 云服务通信。 |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
代理使用这些 URL 与 Microsoft Entra 云服务通信。 |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
代理使用这些 URL 来验证证书。 |
login.windows.net |
代理在注册过程中使用这些 URL。 |
NTLM 要求
不应在运行 Microsoft Entra 预配代理的 Windows Server 上启用 NTLM,如果已启用,则应确保禁用它。
已知限制
以下是已知限制:
增量同步
- 增量同步的组范围过滤不支持超过 50,000 个成员。
- 删除用作组范围筛选器一部分的组时,不会删除属于组成员的用户。
- 当您重命名特定范围内的 OU 或组时,增量同步不会移除用户。
预配日志
- 预配日志不会清楚地区分创建和更新操作。 你可能会看到用于更新的创建操作和用于创建的更新操作。
组重命名或 OU 重命名
- 如果在 AD 中重命名给定配置范围内的组或 OU,云同步作业将无法识别 AD 中的名称更改。 该作业不会进入隔离状态,并且保持正常运行。
范围筛选器
使用 OU 范围筛选器时
范围配置的字符长度限制为 4MB。 在标准测试的环境中,这将转换为大约 50 个单独的组织单位(OU)或安全组,包括给定配置的所需元数据。
支持嵌套 OU(即,可以 同步具有 130 个嵌套 OU 的 OU,但 无法 在同一配置中同步 60 个单独的 OU)。
密码哈希同步
- 不支持将密码哈希同步与 InetOrgPerson 一起使用。