Microsoft Entra Connect 的先决条件

本文介绍 Microsoft Entra Connect 的先决条件和硬件要求。

安装 Microsoft Entra Connect 之前

在安装 Microsoft Entra Connect 之前，需要准备一些东西。

Microsoft Entra ID

• 你需要一个 Microsoft Entra 租户。 获取Azure试用版。 可以使用以下门户之一来管理Microsoft Entra连接：
  • Microsoft Entra管理中心。
  • Azure 门户。
• 添加并验证要用于Microsoft Entra ID的域。 例如，如果计划让用户使用 contoso.com，请确保此域经过验证，并且不是直接使用 contoso.partner.onmschina.cn 默认域。
• 默认情况下，Microsoft Entra租户允许 50,000 个对象。 在验证域后，该限制增加到 30 万个对象。 如果您需要在 Microsoft Entra ID 中更多的对象，请提交支持请求来进一步提高限制。 如果需要 500,000 多个对象，则需要许可证，例如 Microsoft 365、Microsoft Entra ID P1 或 P2 或 Enterprise Mobility + Security。

准备本地数据

• 使用 IdFix 在同步到 Microsoft Entra ID 和 Microsoft 365 之前，识别目录中如重复项和格式问题等错误。
• 查看在 Microsoft Entra ID 中可启用的同步功能，并评估应启用哪些功能。

内部部署的 Active Directory

• Active Directory 架构版本和林功能级别版本必须是 Windows Server 2003 或更高版本。 只要符合架构版本和林级别的要求，域控制器就能运行任何版本。 如果需要对运行 Windows Server 2016 或更早版本的域控制器的支持，可能需要 a 付费支持计划。
• Microsoft Entra ID使用的域控制器必须可写。 使用只读域控制器（RODC）无法支持，而且 Microsoft Entra Connect 不遵循任何写入重定向。
• 不支持通过包含句点“.”的 NetBIOS 名称来使用本地林或域。
• 建议启用Active Directory回收站。

PowerShell 执行策略

Microsoft Entra Connect 在安装过程中运行已签名的 PowerShell 脚本。 确保 PowerShell 执行策略允许运行脚本。

安装期间建议的执行策略为“RemoteSigned”。

有关设置 PowerShell 执行策略的详细信息，请参阅 Set-ExecutionPolicy。

Microsoft Entra Connect 服务器

Microsoft Entra Connect 服务器包含关键标识数据。 确保对此服务器的管理访问权限得到适当的保护非常重要。 按照保护特权访问中的准则进行操作。

Microsoft Entra Connect 服务器必须被视为Active Directory管理层模型中所述的第 0 层组件。 建议根据 Secure Privileged Access 中提供的指南，对 Microsoft Entra Connect 服务器进行加固，使其成为控制平面资产。

若要详细了解如何保护Active Directory环境，请参阅 有关保护 Active Directory。

安装先决条件

Microsoft Entra Connect 必须安装在运行 Windows Server 2025 或 Windows Server 2022 的已加入域的服务器上。 可以在扩展支持中的较旧Windows Server版本上部署 Microsoft Entra Connect;但是，此配置的支持可能需要 a 付费支持计划。

• 所需的最低.NET框架版本为 4.6.2，并且还支持较新版本的 .NET。 .NET 版本 4.8 及更高版本提供了最佳的无障碍功能合规性。
• 在 2019 年之前，无法在 Small Business Server 或 Windows Server Essentials 上安装 Microsoft Entra Connect（Windows Server Essentials 2019 受支持）。 服务器必须使用Windows Server标准或更高版本。
• Microsoft Entra Connect 服务器必须安装完整的 GUI。 不支持在 Windows Server Core 上安装 Microsoft Entra Connect。
• 如果使用 Microsoft Entra Connect 向导管理Active Directory Federation Services（AD FS）配置，则Microsoft Entra Connect 服务器不得启用 PowerShell 听录组策略。 如果使用 Microsoft Entra Connect 向导管理同步配置，则可以启用 PowerShell 听录。
• 如果正在部署 AD FS：
  • 安装 AD FS 或 Web Application Proxy的服务器必须Windows Server 2012 R2 或更高版本。 Windows必须在这些服务器上启用远程管理才能进行远程安装。 如果需要支持 Windows Server 2016 和更早版本，可能需要 a 付费支持计划。
  • 必须配置 TLS/SSL 证书。 有关详细信息，请参阅管理 AD FS 的 SSL/TLS 协议和密码套件和管理 AD FS 中的 SSL 证书。
  • 必须配置名称解析。
  • 你将需要具有全局管理员角色的帐户或具有混合标识管理员和域名管理员角色的帐户。 与联合身份验证相关的配置需要一些权限，这些权限当前 混合身份标识管理员 不具备，但 域名管理员 角色具备。

    注意事项

    若要安装和配置 Microsoft Entra Connect，必须将全局管理员或混合标识管理员角色直接分配给用户。 无法通过组成员身份授予这些角色

• 不支持中断和分析 Microsoft Entra Connect 与 Microsoft Entra ID 之间的流量。 这样做可能会中断服务。
• 如果混合身份管理员已启用 MFA，URL https://secure.aadcdn.partner.microsoftonline-p.cn 必须在受信任站点列表中。 当您收到 MFA 质询时，如果该站点尚未添加，系统会提示您将此站点添加到受信任的站点列表中。 可以使用Internet Explorer将其添加到受信任的站点。

强化 Microsoft Entra Connect 服务器

建议强化 Microsoft Entra Connect 服务器，以减少 IT 环境的此关键组件的安全攻击面。 遵循这些建议有助于降低组织的部分安全风险。

• 建议按照 Secure Privileged Access 和 Active Directory 管理层模型中提供的指导，将 Microsoft Entra Connect 服务器强化为控制平面（前第 0 层）资产。
• 将对 Microsoft Entra Connect 服务器的管理访问权限仅限于域管理员或其他严格控制的安全组。
• 为所有具有特权访问权限的人员创建专用帐户。 管理员不应该使用高特权帐户浏览网页、查看电子邮件和执行日常工作效率任务。
• 遵循保护特权访问中提供的指南进行操作。
• 拒绝对 Microsoft Entra Connect 服务器使用 NTLM 身份验证。 下面是一些执行此操作的方法：限制 Microsoft Entra Connect 服务器上的 NTLM和限制域上的 NTLM
• 确保每台计算机都有唯一的本地管理员密码。 有关详细信息，请参阅 Local Administrator Password Solution （Windows LAPS）可以在每个工作站上配置唯一随机密码，并将其存储在受 ACL 保护的Active Directory中。 只有符合条件的授权用户才可以读取或请求重置这些本地管理员帐户密码。 有关使用 Windows LAPS 和特权访问工作站（PAW）运行环境的其他指南，请参阅 基于清洁源原则的Operational 标准。
• 为具有组织信息系统的特权访问权限的所有人员实现专用的特权访问工作站。
• 请遵循以下附加指南，以减少 Active Directory 环境的攻击面。
• 请按照 监视联合配置变更来设置警报，以便监控身份提供者（IdP）与 Microsoft Entra ID 之间已建立信任的变更。
• 为在 Microsoft Entra ID 或 AD 中具有特权访问权限的所有用户启用多重身份验证（MFA）。 使用 Microsoft Entra Connect 存在一个安全问题，即如果攻击者能够控制 Microsoft Entra Connect 服务器，他们可以操纵 Microsoft Entra ID 中的用户。 为了防止攻击者使用这些功能接管Microsoft Entra帐户，MFA 提供保护，以便即使攻击者设法（例如使用 Microsoft Entra Connect 重置用户的密码），他们仍然无法绕过第二个因素。
• 请在您的租户中禁用软匹配。 软匹配是一项出色的功能，可帮助将现有云托管对象的授权源传输到 Microsoft Entra Connect，但存在某些安全风险。 如果不需要此功能，则应禁用软匹配。
• 禁用硬匹配接管。 硬匹配接管允许Microsoft Entra Connect 控制云托管对象，并将对象的授权源更改为Active Directory。 Microsoft Entra Connect 接管对象的权限来源后，链接到 Microsoft Entra 对象的 Active Directory 对象所做的更改将覆盖原始 Microsoft Entra 数据，包括密码哈希（如果启用了密码哈希同步）。 攻击者可以使用此功能接管云托管对象的控制权。 若要降低此风险，请禁用硬匹配接管。

Microsoft Entra Connect 使用的SQL Server

• Microsoft Entra Connect 需要SQL Server数据库来存储标识数据。 默认情况下，安装 SQL Server 2019 Express LocalDB（SQL Server Express 的精简版本）。 SQL Server Express 的大小限制为 10 GB，可用于管理大约 100,000 个对象。 如果需要管理更多目录对象，请将安装向导指向SQL Server的不同安装。 SQL Server 安装的类型可能会影响 Microsoft Entra Connect 的性能。
• 如果使用不同的SQL Server安装，则以下要求适用：
  • Microsoft Entra Connect 支持在 Windows 上运行的主流支持的 SQL Server 版本，直到 SQL Server 2022。 请参阅 SQL Server 生命周期文章验证SQL Server版本的支持状态。 不再支持 SQL Server 2012 和 SQL Server 2016。 Azure SQL Database 不支持用作数据库。 这包括Azure SQL Database和Azure SQL Managed Instance。
    • 必须使用不区分大小写的 SQL 排序规则。 可通过名称中的 _CI_ 识别这些排序规则。 不支持使用由名称中的 _CS_ 来识别的区分大小写的排序规则。
    • 每个 SQL 实例只能有一个同步引擎。 不支持与 MIM Sync、DirSync 或 Azure AD Sync 共享 SQL 实例。
    • 维护与 Microsoft Entra Connect 捆绑的 ODBC Driver for SQL Server 版本 17 和 OLE DB Driver for SQL Server 版本 18。 不支持升级 ODBC/OLE DB 驱动程序的主要版本或次要版本。 Microsoft Entra Connect 产品组团队在新 ODBC/OLE DB 驱动程序可用并需要更新时，会将其整合到产品中。
    • Microsoft Entra Connect 不支持 SQL 命名管道协议。

帐户

• 对于要与之集成的Microsoft Entra租户，必须具有Microsoft Entra全局管理员帐户或混合标识管理员帐户。 该帐户必须是学校或组织帐户，而不能是 Microsoft 帐户。
• 如果要配置与 AD FS 或 PingFederate 的联合身份验证，则需要具有全局管理员角色的帐户或具有混合标识管理员和域名管理员角色的帐户。 与联合身份验证相关的配置需要一些权限，这些权限当前 混合身份标识管理员 不具备，但 域名管理员 角色具备。
• 如果使用 Express 设置或从 DirSync 升级，则必须拥有本地 Active Directory 的企业管理员帐户。
• 如果使用自定义设置安装路径，则会有更多选项。 有关详细信息，请参阅自定义安装设置。

连接性

• Microsoft Entra Connect 服务器需要 Intranet 和 Internet 的 DNS 解析。 DNS 服务器必须能够将名称解析到您的本地 Active Directory 和 Microsoft Entra 终结点。

• Microsoft Entra Connect 需要与所有配置的域建立网络连接

• Microsoft Entra Connect 需要与所有已配置林的根域建立网络连接

• 如果 Intranet 上有防火墙，并且需要在 Microsoft Entra Connect 服务器和域控制器之间打开端口，请参阅 Microsoft Entra Connect 端口了解详细信息。

• 如果代理或防火墙限制可以访问哪些 URL，则必须打开Office 365 URL 和 IP 地址范围中所述的 URL。 另请参阅在防火墙或代理服务器上列出Microsoft Entra管理中心 URL。

• 默认情况下，Microsoft Entra Connect（版本 1.1.614.0 及之后）使用 TLS 1.2 加密同步引擎与Microsoft Entra ID之间的通信。 如果基础作系统上没有 TLS 1.2，Microsoft Entra Connect 以增量方式回退到较旧的协议（TLS 1.1 和 TLS 1.0）。 从 Microsoft Entra Connect 版本 2.0 开始。 不再支持 TLS 1.0 和 1.1，如果未启用 TLS 1.2，安装将失败。

• 如果使用出站代理连接到 Internet，则必须在 C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config 文件中添加以下设置，以便安装向导和 Microsoft Entra Connect Sync 能够连接到 Internet 和 Microsoft Entra ID。 必须在文件底部输入此文本。 在此代码中，<PROXYADDRESS> 代表实际代理 IP 地址或主机名。

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• 如果代理服务器需要身份验证，服务帐户必须位于域中。 使用自定义设置安装路径指定自定义服务帐户。 还需要对 machine.config 进行不同的更改。在 machine.config 中进行此更改之后，安装向导和同步引擎响应来自代理服务器的身份验证请求。 在所有安装向导页中（“配置”页除外）都使用已登录用户的凭据。 在安装向导末尾的“配置”页上，上下文将切换到你创建的服务帐户。 machine.config 部分应如下所示：

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• 如果在现有设置中完成代理配置，Microsoft Entra ID同步服务需要重启一次，Microsoft Entra Connect 才能读取代理配置并更新行为。

• 当 Microsoft Entra Connect 将 Web 请求作为目录同步的一部分发送到Microsoft Entra ID时，Microsoft Entra ID最多可能需要 5 分钟才能做出响应。 代理服务器通常具有连接空闲超时配置。 确保配置设置为至少 6 分钟或更长时间。

有关默认代理元素的详细信息，请参阅 MSDN。 有关遇到连接问题时的详细信息，请参阅排查连接问题。

其他

可选：使用测试用户帐户验证同步。

组件先决条件

PowerShell 和 .NET Framework

Microsoft Entra Connect 取决于 Microsoft PowerShell 5.0 和 .NET Framework 4.5.1。 服务器上需要安装此版本或更高版本。

为 Microsoft Entra Connect 启用 TLS 1.2

1. 如果要在同步引擎服务器和远程 SQL Server 之间启用 TLS 1.2，请确保您已安装支持 TLS 1.2 的 Microsoft SQL Server 所需的版本。

有关详细信息，请参阅如何启用 TLS 1.2

同步服务器上的 DCOM 必备组件

在安装同步服务期间，Microsoft Entra Connect 检查是否存在以下注册表项：

• HKEY_LOCAL_MACHINE：Software\Microsoft\Ole

在此注册表项下，Microsoft Entra Connect 检查以下值是否存在且未损坏：

• MachineAccessRestriction
• 机器启动限制
• 默认启动权限

联合身份验证安装和配置的先决条件

Windows远程管理

使用 Microsoft Entra Connect 部署 AD FS 或 Web Application Proxy （WAP）时，请检查以下要求：

• 如果目标服务器已加入域，请确保已启用Windows远程托管。
  • 在权限提升的 PowerShell 命令窗口中，使用命令 Enable-PSRemoting -force。
• 如果目标服务器是未加入域的 WAP 计算机，则需要满足一些额外的要求：
  • 在目标计算机（WAP 计算机）上：
    • 确保Windows远程管理/WS-Management（WinRM）服务在服务控制台中正在运行。
    • 在权限提升的 PowerShell 命令窗口中，使用命令 Enable-PSRemoting -force。
  • 在运行向导的计算机上（如果目标计算机未加入域或者是不受信任的域）：
    • 在权限提升的 PowerShell 命令窗口中，使用命令 Set-Item.WSMan:\localhost\Client\TrustedHosts -Value "<DMZServerFQDN>" -Force -Concatenate。
    • 在服务器管理器中：
      • 将 DMZ WAP 主机添加到计算机池。 在服务器管理器中，选择“管理”“添加服务器”，然后使用“DNS”选项卡。>
      • 在“Server Manager所有服务器选项卡上，右键单击 WAP 服务器，然后选择”Manage As。 输入 WAP 计算机的本地（非域）凭据。
      • 若要验证远程 PowerShell 连接，请在“Server Manager所有服务器选项卡上，右键单击 WAP 服务器并选择Windows PowerShell。 此时应会打开远程 PowerShell 会话，以确保可以建立远程 PowerShell 会话。

TLS/SSL 证书要求

• 建议跨 AD FS 场的所有节点和所有 Web Application Proxy 服务器使用相同的 TLS/SSL 证书。
• 该证书必须是 X509 证书。
• 在测试实验室环境中，可以在联合服务器上使用自签名证书。 对于生产环境，建议从某个公共证书颁发机构获取证书。
  • 如果使用不公开信任的证书，请确保在本地服务器和所有联合服务器上都信任每个 Web Application Proxy 服务器上安装的证书。
• 证书的标识必须与联合身份验证服务名称（例如 sts.contoso.com）匹配。
  • 标识要么是类型为 dNSName 的使用者备用名称 (SAN) 扩展，如果没有 SAN 条目，则使用者名称被指定为通用名。
  • 证书中可以存在多个 SAN 条目，但是它们中必须有一个与联合身份验证服务名称匹配。
  • 如果计划使用 Workplace Join，则需要附加的 SAN，其值为 enterpriseregistration.，后跟你组织的用户主体名称 (UPN) 后缀，例如 enterpriseregistration.contoso.com。
• 不支持基于 CryptoAPI 下一代 (CNG) 密钥和密钥存储提供者 (KSP) 的证书。 因此，必须使用基于加密服务提供者 (CSP) 的证书，而非基于 KSP 的证书。
• 支持通配符证书。

联合服务器的名称解析

• 针对 Intranet（内部 DNS 服务器）和 Extranet（通过域注册机构注册的公共 DNS）设置 AD FS 名称（例如 sts.contoso.com）的 DNS 记录。 对于 Intranet DNS 记录，请确保使用 A 记录而不是 CNAME 记录。 要使从已加入域的计算机正常进行 Windows 身份验证，需使用 A 记录。
• 如果要部署多个 AD FS 服务器或 Web Application Proxy 服务器，请确保已配置负载均衡器，并且 AD FS 名称（例如，sts.contoso.com）的 DNS 记录指向负载均衡器。
• 若要使Windows集成身份验证适用于在 Intranet 中使用Internet Explorer的浏览器应用程序，请确保将 AD FS 名称（例如，sts.contoso.com）添加到 Internet Explorer 中的 Intranet 区域。 此要求可以通过组策略进行控制，并部署到所有加入域的计算机上。

Microsoft Entra连接支持组件

Microsoft Entra Connect 会在安装 Microsoft Entra Connect 的服务器上安装以下组件。 此列表针对基本快速安装。 如果选择在 Install 同步服务页上使用不同的SQL Server，则不会在本地安装 SQL Express LocalDB。

• Microsoft SQL Server 2019 命令行实用工具
• SQL Server 2019 Express LocalDB
• Microsoft SQL Server 2019 Native Client
• Microsoft Visual C++ 14 再分发包

Microsoft Entra Connect 的硬件要求

下表显示了 Microsoft Entra Connect Sync 计算机的最低要求。

上面列出的规范表示 Microsoft Entra Connect 服务器同时托管同步应用程序和 SQL Server 数据库（可选择内置的 SQL Express 或本地安装的完整 SQL Server 实例）的总体硬件要求。 如果SQL Server数据库远程托管在单独的服务器上，则 Entra Connect 应用程序服务器可能需要更少的资源，而SQL Server需要自己的计算、内存和存储容量，具体取决于SQL Server大小调整最佳做法。

运行 AD FS 或 Web Application Proxy 服务器的计算机的最低要求是：

• CPU：双核 1.6 GHz 或更高
• 内存:2 GB 或更高
• Azure VM：A2 配置或更高版本

后续步骤

详细了解 将本地标识与 Microsoft Entra ID 集成。