Microsoft Entra Cloud Sync 的必要條件

本文提供使用 Microsoft Entra Cloud Sync 作為身分識別解決方案的指引。

雲端布建代理程式需求

您需要下列條件才能使用 Microsoft Entra Cloud Sync：

• 網域系統管理員或企業系統管理員的憑證，用於建立 Microsoft Entra Connect 雲端同步的 gMSA（群組管理服務帳戶）以運行代理服務。

• 為您的 Microsoft Entra 租戶設定一個身分識別混合式系統管理員帳戶，且該帳戶不能是來賓使用者。

• Microsoft Entra 雲端同步代理程式必須安裝在執行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的已加入網域的伺服器上。 我們建議使用 Windows Server 2022。 您可以在 Windows Server 2016 上部署 Microsoft Entra 雲端同步，但由於它處於延伸支援中，因此如果您需要此設定的支援，您可能需要 付費支援計劃 。 在不支援的 Windows Server 版本上安裝可能會導致服務失敗或非預期的行為。

  這很重要

  不支援 Windows Server 2025。 Windows Server 2025 上有一個已知問題，可能導致 Microsoft Entra Cloud Sync 出現同步問題。 如果你已經升級到 Windows Server 2025，請確保你安裝 的日期是 2025 年 10 月 20 日（KB5070773 更新後，或更晚）。 安裝此更新後，重新啟動伺服器以生效變更。 Windows Server 2025 對 Microsoft Entra 雲端同步的支援計劃在未來版本中推出。

• 此伺服器應該是以 Active Directory 系統管理層模型為基礎的第 0 層伺服器，。 支援在域控制器上安裝代理程式。 如需詳細資訊，請參閱 強化您的 Microsoft Entra 布建代理程式伺服器

• Active Directory 架構必須具有 msDS-ExternalDirectoryObjectId 屬性，可在 Windows Server 2016 和更新版本中使用。

• 無法禁用 Windows 憑據管理器服務 （VaultSvc），因為這會阻止 Provisioning 代理安裝。

• 高可用性是指 Microsoft Entra Cloud Sync 能夠長時間持續不間斷地運行而不出現故障的能力。 藉由安裝並執行多個作用中代理程式，Microsoft Entra Cloud Sync 仍可繼續運作，即使一個代理程式應該失敗也一樣。 Microsoft建議安裝 3 個作用中代理程式以達到高可用性。

• 本地端防火牆組態。

強化您的Microsoft Entra 配置代理程式伺服器

建議您強化 Microsoft Entra 布建代理程式伺服器，以減少 IT 環境這個重要元件的安全性攻擊面。 遵循這些建議有助於減輕貴組織的某些安全性風險。

• 建議您遵循 安全特殊許可權存取 和 Active Directory 系統管理層模型中提供的指引，將 Microsoft Entra 布建代理程式伺服器強化為控制平面（先前稱為第 0 層）資產。
• 將系統管理存取限制為只有網域系統管理員或其他嚴格控制的安全組，才能存取 Microsoft Entra 布建代理程式伺服器。
• 為具有特殊存取權的所有人員建立 專用帳戶。 系統管理員不應該流覽網頁、檢查其電子郵件，以及使用高許可權帳戶執行日常生產力工作。
• 請遵循 保護特殊許可權存取中提供的指引。
• 禁止在 Microsoft Entra 布建代理伺服器上使用 NTLM 驗證。 以下是一些執行此動作的方法：在 Microsoft Entra 布建代理程式伺服器上限制 NTLM，並 限制網域上的 NTLM
• 請確定每部計算機都有唯一的本機系統管理員密碼。 如需詳細資訊，請參閱 本機系統管理員密碼解決方案 （Windows LAPS） 可以在每個工作站上設定唯一的隨機密碼，並將密碼儲存在受 ACL 保護的 Active Directory 中。 只有合格的授權使用者可以讀取或要求重設這些本機系統管理員帳戶密碼。 如需使用 Windows LAPS 和特殊許可權存取工作站 （PAW） 操作環境的其他指引，請參閱以乾淨來源原則為基礎的 作業標準。
• 針對具有組織資訊系統特殊許可權存取權的所有人員，實作專用 特殊許可權存取工作站。
• 請遵循這些 其他指導方針，以減少Active Directory 環境的受攻擊面。
• 請遵循 監視同盟設定的變更，以設定警示，監控 IdP 與 Microsoft Entra ID 之間已建立信任關係的變更。
• 針對在 Microsoft Entra ID 或 AD 中具有特權存取權的所有使用者啟用多重要素驗證。 使用 Microsoft Entra 布建代理程式的安全性問題之一是，如果攻擊者可以控制 Microsoft Entra 布建代理程式伺服器，他們可以在 Microsoft Entra 識別符中操作使用者。 為了防止攻擊者使用這些功能接管Microsoft Entra 帳戶，MFA 提供保護。 例如，即使攻擊者設法使用 Microsoft Entra 布建代理程式重設使用者的密碼，他們仍然無法略過第二個因素。

群組受管理的服務帳戶

群組受控服務帳戶是一個受控網域帳戶，可提供自動密碼管理和簡化的服務主體名稱 （SPN） 管理。 它也可讓您將管理委派給其他系統管理員，並將這項功能延伸至多部伺服器。 Microsoft Entra Cloud Sync 支援並使用 gMSA 來執行代理程式。 系統會提示您在安裝期間提供系統管理認證，以便建立此帳戶。 帳號會顯示為 domain\provAgentgMSA$。 如需 gMSA 的詳細資訊，請參閱 群組受控服務帳戶。

gMSA 的必要條件

• gMSA 網域樹系中的 Active Directory 架構必須更新為 Windows Server 2012 或更新版本。
• 域控制器上的PowerShell RSAT模組。
• 網域中至少有一個域控制器必須執行 Windows Server 2012 或更新版本。
• 已加入網域的伺服器，可執行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 以進行代理程式安裝。

自定義 gMSA 帳戶

如果您要建立自定義 gMSA 帳戶，您必須確定帳戶具有下列許可權。

如需如何升級現有代理程式以使用 gMSA 帳戶的步驟，請參閱 群組受管理的服務帳戶。

如需了解如何為受管理的群組服務帳戶準備 Active Directory 的詳細資訊，請參閱 受管理的群組服務帳戶概觀 和 透過雲端同步的受管理群組服務帳戶。

在 Microsoft Entra 系統管理中心

1. 在您的 Microsoft Entra 租戶上建立僅限於雲端的混合式身分識別管理員帳戶。 如此一來，若您的內部部署服務發生故障或無法使用，您也可以管理租戶設定。 了解如何新增雲端專用的混合式身分識別系統管理員帳戶。 完成這個步驟對於確保您不會被鎖出您的租戶至關重要。
2. 將一或多個 自訂網域名稱 新增至您的 Microsoft Entra 租戶。 您的使用者可以使用下列其中一個網域名稱登入。

在 Active Directory 的您的目錄中

執行 IdFix 工具 來準備目錄屬性以進行同步處理。

在您的內部部署環境中

1. 識別執行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的已加入網域的主機伺服器，且至少具有 4 GB RAM 和 .NET 4.7.1+ 執行時間。
2. 本機伺服器上的PowerShell執行原則必須設定為 [未定義] 或 [遠端簽署]。
3. 如果您的伺服器與 Microsoft Entra ID 之間有防火牆，請參閱 防火牆和 Proxy 要求。

將 Microsoft Entra ID 布建至 Active Directory 網域服務 - 先決條件

需要下列必要條件，才能將布建群組實作至 Active Directory 網域服務 （AD DS）。

授權需求

使用此功能需要Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權，請參閱 比較 Microsoft Entra ID的一般可用功能。

一般需求

• 至少具有 混合式身分識別系統管理員 角色的 Microsoft Entra 帳戶。
• 具有 msDS-ExternalDirectoryObjectId 屬性的內部部署 AD DS 架構，可在 Windows Server 2016 和更新版本中使用。
• 使用組建 1.1.3730.0 版或更新版本布建代理程式。

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• 布建代理程式必須安裝在執行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的伺服器上。
• 布建代理程式必須能夠與通訊埠 TCP/389 （LDAP） 和 TCP/3268 （全域編錄） 上的一或多個域控制器通訊。
  • 必要的，用於全域目錄查找以過濾掉無效的成員資格參考
• Microsoft Entra Connect Sync 與組建 2.22.8.0 版
  • 必須支援透過 Microsoft Entra Connect 同步的本地部署用戶成員資格
  • 需要將 AD DS:user:objectGUID 同步至 AAD DS:user:onPremisesObjectIdentifier

Active Directory 配置的規模限制

Active Directory 群組配置功能的效能會受到租戶規模以及可配置至 Active Directory 的群組和成員數量影響。 本節提供如何判斷 GPAD 是否支援您的規模需求，以及如何選擇合適的群組範圍模式以達成更快的初始與變速同步週期。

哪些是不支援的？

• 超過5萬會員的團體則不被支援。
• 不支援在未套用屬性範圍過濾的情況下使用「所有安全群組」的範圍。

規模限制

如果你超過限制該怎麼辦

超過建議的限制會讓初始同步和差值同步變慢，可能會造成同步錯誤。 如果發生這種情況，請遵循以下步驟：

「選取安全群組」範圍模式中，群組或成員過多：

減少範圍內群組數量（目標為較高價值群組）， 或將配置拆分成多個 獨立且範圍不相連的工作。

「所有安全群組」範圍模式中群組或成員過多：

請依建議使用 「選擇安全群組 」範圍模式。

有些團體成員超過5萬：

將成員分配 至多個群組，或採用分階段的群組（例如依區域或事業單位劃分），以保持每個群組在上限以下。

透過 API 擴展群組選擇

如果你需要選擇超過 999 個群組，必須使用 Grant an appRoleAssignment 給服務主體 的 API 呼叫。

API 呼叫的範例如下：

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId：群組物件 ID。
• resourceId：工作負責人ID。
• appRoleId：由資源服務主體揭露的應用程式角色識別碼。

下表為雲端應用程式角色識別碼列表：

詳細資訊

以下是你在為 AD DS 配置群組時需要考慮的更多重點。

• 使用雲端同步布建至 Active Directory Domain Services (AD DS) 的群組只能包含使用內部部署同步的使用者或其他雲端建立的安全群組。
• 這些用戶必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
• onPremisesObjectIdentifier 必須符合目標 AD DS 環境中的對應 objectGUID。
• 內部部署使用者 objectGUID 屬性可以使用任一同步用戶端同步至雲端使用者 onPremisesObjectIdentifier 屬性。
• 只有全球的 Microsoft Entra ID 租戶才能從 Microsoft Entra ID 佈建到 AD DS。 不支援 B2C 之類的租戶。
• 群組配置工作被排定每 20 分鐘執行一次。

更多需求

• 最低需求 Microsoft .NET Framework 4.7.1

TLS 需求

裝載 Microsoft Entra Connect 雲端布建代理程式的 Windows 伺服器必須先啟用 TLS 1.2，才能進行安裝。

若要啟用 TLS 1.2，請遵循下列步驟。

1. 將下列登錄機碼設定為：先將內容複製到 .reg 檔案，然後執行該檔案（以滑鼠右鍵選擇 [合併 ]）。

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. 重新啟動伺服器。

防火牆和 Proxy 需求

如果您的伺服器與Microsoft Entra ID 之間有防火牆，請設定下列專案：

• 請確定代理程式可以透過下列埠對Microsoft Entra 識別碼進行 輸出 要求：

  埠號碼	描述
  80	在驗證 TLS/SSL 憑證時下載證書吊銷清單（CRL）。
  443	處理所有與服務相關的對外通訊。
  8080 （選用）	如果埠 443 無法使用，代理程式會在埠 8080 上每隔 10 分鐘報告其狀態。 此狀態會顯示在 Microsoft Entra 系統管理中心。

• 如果您的防火牆會根據來源使用者來強制執行規則，請針對作為網路服務運行的 Windows 服務流量開啟這些連接埠。

• 請確定 Proxy 至少支援 HTTP 1.1 通訊協定，並啟用區塊編碼。

• 如果您的防火牆或 Proxy 可讓您指定安全後綴，請新增連線：

NTLM 要求

您不應該在執行 Microsoft Entra 布建代理程式的 Windows Server 上啟用 NTLM，如果已啟用，您應該確定停用它。

已知限制

以下是已知的限制：

差異同步處理

• 差異同步的群組範圍篩選不支援超過 50,000 個成員數。
• 當您刪除做為群組範圍篩選一部分的群組時，屬於群組成員的使用者不會遭到刪除。
• 當您對範圍內的 OU 或群組重新命名時，增量同步不會移除使用者。

供應日誌

• 布建記錄不會清楚區分建立和更新作業。 您可能會看到更新時發生創建操作，或創建時進行更新操作。

群組重新命名或 OU（組織單位）重新命名

• 如果您在 AD 中重新命名位於指定組態範圍的群組或 OU，雲端同步作業就無法辨識 AD 中的名稱變更。 工作不會進入隔離區，而且狀況良好。

範圍篩選

使用 OU 範圍篩選時

• 範圍設定的字元長度限制為4 MB。 在標準測試的環境中，這會轉譯為大約50個不同的組織單位（OU）或安全組，包括其指定組態的必要元數據。

• 支援巢狀 OU（也就是說，您可以 同步處理具有 130 個巢狀 OU 的 OU，但 無法在相同設定中 同步 60 個不同的 OU）。

密碼哈希同步

• 密碼雜湊同步不支援與 InetOrgPerson 搭配使用。

後續步驟

• 什麼是配置？
• 什麼是 Microsoft Entra Cloud Sync？