Vereisten voor Microsoft Entra cloudsynchronisatie

Dit artikel bevat richtlijnen voor het gebruik van Microsoft Entra Cloud Sync als uw identiteitsoplossing.

Vereisten voor cloudvoorzieningsagent

U hebt het volgende nodig om Microsoft Entra Cloud Sync te gebruiken:

• Domeinbeheerder- of ondernemingsbeheerder-referenties om de Microsoft Entra Connect-cloudsynchronisatie gMSA (door de groep beheerde serviceaccount) aan te maken om de agentservice uit te voeren.

• Een beheerdersaccount voor hybride identiteit voor uw Microsoft Entra-tenant die geen gastgebruiker is.

• Microsoft Entra Cloud Sync-agent moet zijn geïnstalleerd op een server die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd. We raden Windows Server 2022 aan. U kunt Microsoft Entra Cloud Sync implementeren op Windows Server 2016, maar omdat deze uitgebreide ondersteuning heeft, hebt u mogelijk a betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor deze configuratie. Installatie op niet-ondersteunde versies van Windows Server kan leiden tot servicefouten of onverwacht gedrag.

  Belangrijk

  Windows Server 2025 wordt NIET ondersteund. Er is een bekend probleem op Windows Server 2025 waardoor Microsoft Entra Cloud Sync synchronisatieproblemen kan ondervinden. Als u een upgrade hebt uitgevoerd naar Windows Server 2025, controleert u of u October 20, 2025 - KB5070773 update of hoger hebt geïnstalleerd. Nadat u deze update hebt geïnstalleerd, start u de server opnieuw op om de wijzigingen van kracht te laten worden. Windows Server 2025-ondersteuning voor Microsoft Entra Cloud Sync is gepland voor een toekomstige release.

• Deze server moet een laag 0-server zijn op basis van het Active Directory-beheerlaagmodel. Het installeren van de agent op een domeincontroller wordt ondersteund. Zie voor meer informatie Harden your Microsoft Entra provisioning agent server

• Het Active Directory schema is vereist om het kenmerk msDS-ExternalDirectoryObjectId te hebben, dat beschikbaar is in Windows Server 2016 en hoger.

• De Windows Credential Manager-service (VaultSvc) kan niet worden uitgeschakeld omdat de provisioning-agent niet kan worden geïnstalleerd.

• Hoge beschikbaarheid verwijst naar de mogelijkheid van Microsoft Entra Cloud Sync continu zonder fouten gedurende lange tijd te kunnen werken. Door meerdere actieve agents te installeren en uit te voeren, kan Microsoft Entra Cloud Sync blijven functioneren, zelfs als één agent moet mislukken. Microsoft raadt aan drie actieve agents te installeren voor hoge beschikbaarheid.

• Lokale firewallconfiguraties.

Versterk uw Microsoft Entra-provisioningagentserver

U wordt aangeraden uw Microsoft Entra inrichtingsagentserver te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.

• We raden aan de Microsoft Entra provisioning-agent-server te beveiligen als een Control Plane asset (voorheen laag 0) door de richtlijnen te volgen die worden geboden in Secure Privileged Access en het Active Directory model voor administratieve lagen.
• Beperk beheerderstoegang tot de Microsoft Entra inrichtingsagentserver tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
• Maak een speciaal account voor alle werknemers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met accounts met hoge bevoegdheden.
• Volg de richtlijnen in Het beveiligen van bevoegde toegang.
• Gebruik van NTLM-verificatie weigeren op de Microsoft Entra voorzieningsagentserver. Hier volgen enkele manieren om dit te doen: Beperken van NTLM op de Microsoft Entra provisioning agent Server en Beperken van NTLM op een domein
• Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) unieke willekeurige wachtwoorden configureren op elk werkstation en server opslaan in Active Directory beveiligd door een ACL voor meer informatie. Alleen in aanmerking komende geautoriseerde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en geprivilegieerde toegangswerkstations (PAW's) vindt u in Operationele standaarden gebaseerd op het schone bronprincipe.
• Implementeer toegewezen bevoegde toegangswerkstations voor alle werknemers met bevoegde toegang tot de informatiesystemen van uw organisatie.
• Volg deze additional guidelines om de kwetsbaarheid voor aanvallen van uw Active Directory omgeving te verminderen.
• Volg de Monitor wijzigingen in federatieconfiguratie om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie die tussen uw IdP en Microsoft Entra ID tot stand is gebracht.
• Meervoudige verificatie (MFA) inschakelen voor alle gebruikers die bevoegde toegang hebben in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van Microsoft Entra inrichtingsagent is dat als een aanvaller controle kan krijgen over de Microsoft Entra inrichtingsagentserver, gebruikers in Microsoft Entra ID kunnen manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra accounts over te nemen, biedt MFA bescherming. Zelfs als een aanvaller het wachtwoord van een gebruiker opnieuw instelt met behulp van de Microsoft Entra inrichtingsagent, kunnen ze de tweede factor nog steeds niet omzeilen.

Door een groep beheerde serviceaccounts

Een beheerd serviceaccount voor groepen is een beheerd domeinaccount dat automatisch wachtwoordbeheer en vereenvoudigd SPN-beheer (Service Principal Name) biedt. Het biedt ook de mogelijkheid om het beheer te delegeren aan andere beheerders en deze functionaliteit over meerdere servers uit te breiden. Microsoft Entra Cloud Sync ondersteunt en gebruikt een gMSA voor het uitvoeren van de agent. Tijdens de installatie wordt u gevraagd om beheerdersgegevens in te voeren om dit account aan te maken. Het account wordt weergegeven als domain\provAgentgMSA$. Voor meer informatie over een gMSA, zie groepsbeheer-serviceaccounts.

Vereisten voor gMSA

• Het Active Directory schema in het forest van het gMSA-domein moet worden bijgewerkt naar Windows Server 2012 of hoger.
• PowerShell RSAT-modules op een domeincontroller.
• Ten minste één domeincontroller in het domein moet op Windows Server 2012 of hoger draaien.
• Een server die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd voor de installatie van de agent.

Aangepast gMSA-account

Als u een aangepast gMSA-account maakt, moet u ervoor zorgen dat het account de volgende machtigingen heeft.

Voor de stappen om een bestaande software-agent te upgraden om een gMSA-account te gebruiken, zie Groeps Beheerde Serviceaccounts.

Zie group Managed Service Accounts Overview en Group managed service accounts met cloud synchronisatie voor meer informatie over het voorbereiden van uw Active Directory voor groepsbeheerde serviceaccounts.

In het Microsoft Entra-beheercentrum

1. Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet beschikbaar zijn. Meer informatie over het een hybride identiteitsbeheerderaccount in de cloudtoevoegen. Het voltooien van deze stap is essentieel om te voorkomen dat u uzelf buitensluit van uw tenant.
2. Voeg een of meer custome domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw directory in Active Directory

Voer het hulpprogramma IdFix uit om de adreslijstkenmerken voor te bereiden voor synchronisatie.

In uw lokale omgeving

1. Identificeer een hostserver die lid is van een domein waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 met minimaal 4 GB RAM en .NET 4.7.1+ runtime wordt uitgevoerd.
2. Het PowerShell-uitvoeringsbeleid op de lokale server moet zijn ingesteld op Undefined of RemoteSigned.
3. Als er een firewall is tussen uw servers en Microsoft Entra ID, raadpleegt u Firewall en proxyvereisten.

Microsoft Entra ID provisioneren voor Active Directory Domain Services - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory Domain Services (AD DS).

Licentievoorwaarden

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Compare algemeen beschikbare functies van Microsoft Entra ID om de juiste licentie voor uw vereisten te vinden.

Algemene vereisten

• Microsoft Entra account met ten minste een Hybrid Identity Administrator rol.
• On-premises AD DS-schema met het kenmerk msDS-ExternalDirectoryObjectId, dat beschikbaar is in Windows Server 2016 en hoger.
• Provisioningagent met buildversie 1.1.1373.0 of hoger.

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• De inrichtingsagent moet worden geïnstalleerd op een server waarop Windows Server 2022, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd.
• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen uit te filteren
• Microsoft Entra Connect Sync met buildversie 2.2.8.0
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
  • Vereist om te synchroniseren AD DS:user:objectGUID met AAD DS:user:onPremisesObjectIdentifier

Schaallimieten voor inrichtingsgroepen voor Active Directory

De prestaties van de functie Groepsinrichting voor Active Directory worden beïnvloed door de grootte van de tenant en het aantal groepen en lidmaatschappen dat binnen het bereik van de inrichting voor Active Directory valt. Deze sectie bevat richtlijnen voor het bepalen of GPAD ondersteuning biedt voor uw schaalvereiste en hoe u de juiste groepsbereikmodus kiest om snellere eerste en deltasynchronisatiecycli te bereiken.

Wat wordt niet ondersteund?

• Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
• Het gebruik van het bereik 'Alle beveiligingsgroepen' zonder het toepassen van kenmerkbereikfilters wordt niet ondersteund.

Schaallimieten

Wat u moet doen als u de limieten overschrijdt

Het overschrijden van de aanbevolen limieten vertraagt de initiële en deltasynchronisatie, waardoor synchronisatiefouten mogelijk optreden. Als dit gebeurt, voert u de volgende stappen uit:

Te veel groepen of groepsleden in de bereikmodus Geselecteerde beveiligingsgroepen:

Verminder het aantal groepen binnen bereik (richt je op groepen met een hogere waarde) of splits de voorziening in meerdere, afzonderlijke taken met gescheiden bereiken.

Te veel groepen of groepsleden in de bereikmodus Alle beveiligingsgroepen:

Gebruik de bereikmodus Geselecteerde beveiligingsgroepen zoals wordt aanbevolen.

Sommige groepen overschrijden 50.000 leden:

Verdeel het lidmaatschap over meerdere groepen of gebruik gefaseerde groepen (bijvoorbeeld per regio of bedrijfseenheid) om ervoor te zorgen dat elke groep onder de limiet blijft.

Uitgebreide groepsselectie via API

Als u meer dan 999 groepen wilt selecteren, moet u de API-aanroep 'Grant an appRoleAssignment for a service principal' gebruiken.

Een voorbeeld van de API-aanroepen is als volgt:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId: groepsobject-id.
• resourceId: het service-principal-ID van de taak.
• appRoleId: id van de app-rol die wordt weergegeven door de resourceservice-principal.

De volgende tabel is een lijst met app-rol-id's voor clouds:

Meer informatie

Hier volgen nog meer punten om rekening mee te houden wanneer u groepen inricht voor AD DS.

• Groepen die zijn ingericht voor AD DS met cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers of andere cloudbeveiligingsgroepen bevatten.
• Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
• De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de AD DS-doelomgeving.
• Een on-premises gebruikersobjectGUID-kenmerk kan worden gesynchroniseerd met een cloudgebruiker onPremisesObjectIdentifier-kenmerk met behulp van een van beide synchronisatieclients.
• Alleen globale Microsoft Entra ID-tenants kunnen worden ingericht van Microsoft Entra ID naar AD DS. Tenants zoals B2C worden niet ondersteund.
• De provisioningstaak voor groepen is gepland om elke 20 minuten te worden uitgevoerd.

Meer vereisten

• Minimaal Microsoft .NET Framework 4.7.1

TLS-vereisten

De Windows-server waarop de Microsoft Entra Connect-agent voor cloudinrichting wordt gehost, moet TLS 1.2 zijn ingeschakeld voordat u deze installeert.

Volg deze stappen om TLS 1.2 in te schakelen.

1. Stel de volgende registersleutels in door de inhoud te kopiëren naar een .reg bestand en voer het bestand uit (selecteer en kies Samenvoegen):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Start de server opnieuw op.

Firewall- en proxyvereisten

Als er een firewall is tussen uw servers en Microsoft Entra ID, configureert u de volgende items:

• Zorg ervoor dat agents outbound aanvragen kunnen indienen voor Microsoft Entra ID via de volgende poorten:

  Poortnummer	Beschrijving
  80	Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS/SSL-certificaat.
  443	Verwerkt alle uitgaande communicatie met de dienst.
  8080 (optioneel)	Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in het Microsoft Entra-beheercentrum.

• Als uw firewall regels afdwingt op basis van de oorspronkelijke gebruikers, opent u deze poorten voor verkeer van Windows services die als netwerkservice worden uitgevoerd.

• Zorg ervoor dat uw proxy ten minste HTTP 1.1-protocol ondersteunt en gesegmenteerde codering is ingeschakeld.

• Als u met uw firewall of proxy veilige achtervoegsels kunt opgeven, voegt u verbindingen toe:

NTLM-vereiste

Schakel NTLM niet in op de Windows Server waarop de Microsoft Entra inrichtingsagent wordt uitgevoerd en als deze is ingeschakeld, moet u ervoor zorgen dat u deze uitschakelt.

Bekende beperkingen

Hier volgen bekende beperkingen:

Deltasynchronisatie

• Het filteren van groepsbereiken voor deltasynchronisatie biedt geen ondersteuning voor meer dan 50.000 leden.
• Wanneer u een groep verwijdert die wordt gebruikt als onderdeel van een bereikfilter voor groepen, worden gebruikers die lid zijn van de groep, niet verwijderd.
• Wanneer u de naam van de organisatie-eenheid of groep wijzigt die binnen het bereik valt, worden de gebruikers niet verwijderd door Delta Sync.

Voorzieningslogboeken

• Het inrichten van logboeken maakt niet duidelijk onderscheid tussen het maken en bijwerken van bewerkingen. U kunt een bewerking om een update te maken en een bewerking om een creatie bij te werken zien.

Naam van groep wijzigen of organisatie-eenheid wijzigen

• Als u de naam van een groep of organisatie-eenheid in AD wijzigt die binnen het bereik van een bepaalde configuratie valt, kan de cloudsynchronisatietaak de naamwijziging in AD niet herkennen. De taak gaat niet in quarantaine en blijft gezond.

Omvangsfilter

Bij het gebruik van OU-bereikfilter

• De bereikconfiguratie heeft een beperking van 4 MB in tekenlengte. In een standaard geteste omgeving wordt dit omgezet in ongeveer 50 afzonderlijke organisatie-eenheden (OE's) of beveiligingsgroepen, inclusief de vereiste metagegevens, voor een bepaalde configuratie.

• Geneste OE's worden ondersteund (u kunt een organisatie-eenheid met 130 geneste OE's synchroniseren, maar u geen 60 afzonderlijke organisatie-eenheden in dezelfde configuratie kunt synchroniseren).

Wachtwoord-hashsynchronisatie

• Het gebruik van wachtwoord-hashsynchronisatie met InetOrgPerson wordt niet ondersteund.

Volgende stappen

• Wat is toewijzing?
• Wat is Microsoft Entra Cloud Sync?