Microsoft Entra云同步的先决条件

本文提供有关将 Microsoft Entra Cloud Sync 用作标识解决方案的指导。

云预配代理要求

要使用 Microsoft Entra 云同步，您需要具备以下条件：

域管理员或企业管理员凭据，用于创建 Microsoft Entra Connect 云同步 gMSA（组托管服务帐户）以运行代理服务。
一个针对Microsoft Entra租户的混合标识管理员帐户，且不是来宾用户。
Microsoft Entra云同步代理必须安装在已加入域的服务器上，该服务器运行Windows Server 2022、Windows Server 2019或Windows Server 2016。建议Windows Server 2022。可以在 Windows Server 2016 上部署 Microsoft Entra Cloud Sync，但由于它处于扩展支持状态，因此，如果需要支持此配置，可能需要 a 付费支持计划。在不支持的 Windows Server 版本上安装可能会导致服务故障或意外行为。

重要

不支持 Windows Server 2025。 Windows Server 2025 存在一个已知问题，可能会导致 Microsoft Entra 云同步出现同步问题。如果升级到 2025 Windows Server，请确保已安装 October 20， 2025 - KB5070773 更新或更高版本。安装此更新后，重启服务器，使更改生效。 Windows Server 2025 计划在未来的版本中支持 Microsoft Entra 云同步。
此服务器应是基于 Active Directory 管理层模型的第 0 层服务器。支持在域控制器上安装代理。有关详细信息，请参阅加固 Microsoft Entra 预配代理服务器
Active Directory架构需要具有属性 msDS-ExternalDirectoryObjectId，该属性在 Windows Server 2016 及更高版本中可用。
无法禁用Windows凭据管理器服务（VaultSvc），因为阻止预配代理安装。
高可用性是指Microsoft Entra云同步持续运行且长时间没有故障的能力。通过安装并运行多个活动代理程序，Microsoft Entra 云同步可以继续运行，即使其中一个失败。 Microsoft建议安装 3 个活动代理以实现高可用性。
本地防火墙配置。

强化 Microsoft Entra 预配代理服务器

建议强化Microsoft Entra预配代理服务器，以减少 IT 环境的此关键组件的安全攻击面。遵循这些建议有助于缓解组织面临的一些安全风险。

建议按照 Secure Privileged Access 和 Active Directory 管理层模型中提供的指导，将Microsoft Entra预配代理服务器强化为控制平面（前第 0 层）资产。
将 Microsoft Entra 预配代理服务器的管理访问权限限制为仅对域管理员或其他严格控制的安全组开放。
为所有具有特权访问权限的人员创建专用帐户。管理员不应使用高特权帐户浏览网页、查看电子邮件或执行日常事务。
遵循保护特权访问中提供的指南进行操作。
拒绝对Microsoft Entra预配代理服务器使用 NTLM 身份验证。下面是一些执行此操作的方法：在 Microsoft Entra 预配代理服务器上限制 NTLM和在域上限制 NTLM
确保每台计算机都有唯一的本地管理员密码。有关详细信息，请参阅 Local Administrator Password Solution （Windows LAPS）可以在每个工作站上配置唯一随机密码，并将其存储在受 ACL 保护的Active Directory中。只有符合条件的授权用户可以读取或请求重置这些本地管理员帐户密码。有关使用 Windows LAPS 和特权访问工作站（PAW）运行环境的其他指南，请参阅基于清洁源原则的Operational 标准。
为具有组织信息系统的特权访问权限的所有人员实现专用的特权访问工作站。
请遵循以下附加指南以减少 Active Directory 环境的攻击面。
按照监控联合配置的更改设置警报，以监视 IdP 与 Microsoft Entra ID 之间已建立信任的变更。
为在 Microsoft Entra ID 或 AD 中具有特权访问权限的所有用户启用多重身份验证（MFA）。使用Microsoft Entra预配代理的一个安全问题是，如果攻击者可以控制Microsoft Entra预配代理服务器，他们可以在Microsoft Entra ID中操作用户。为了防止攻击者使用这些功能接管Microsoft Entra帐户，MFA 提供保护。例如，即使攻击者设法使用Microsoft Entra预配代理重置用户的密码，他们仍然无法绕过第二个因素。

组托管服务帐户

组托管服务帐户是一个托管域帐户，它提供自动密码管理和简化的服务主体名称（SPN）管理。它还提供将管理委托给其他管理员并将此功能扩展到多个服务器的能力。 Microsoft Entra Cloud Sync 支持并使用 gMSA 来运行代理。在安装过程中，系统会提示你提供管理凭据，以便创建此帐户。该帐户显示为 domain\provAgentgMSA$。有关组托管服务帐户 (gMSA) 的详细信息，请参阅组托管服务帐户。

gMSA 的先决条件

需要将 gMSA 域林中的Active Directory架构更新为Windows Server 2012或更高版本。
域控制器上的 PowerShell RSAT 模块。
域中至少有一个域控制器必须运行Windows Server 2012或更高版本。
已加入域的服务器运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 以用于代理安装。

自定义 gMSA 帐户

如果要创建自定义 gMSA 帐户，则需要确保该帐户具有以下权限。

类型	名称	Access	应用到
允许	gMSA 帐户	读取所有属性	后代设备对象
允许	gMSA 帐户	读取所有属性	后代 InetOrgPerson 对象
允许	gMSA 帐户	读取所有属性	后代计算机对象
允许	gMSA 帐户	读取所有属性	后代 foreignSecurityPrincipal 对象
允许	gMSA 帐户	完全控制	后代组对象
允许	gMSA 帐户	读取所有属性	后代用户对象
允许	gMSA 帐户	读取所有属性	后代联系人对象
允许	gMSA 帐户	创建/删除用户对象	此对象和所有后代对象

有关如何升级现有代理以使用 gMSA 帐户的步骤，请参阅组托管服务帐户。

有关如何为组托管服务帐户准备Active Directory的详细信息，请参阅组托管服务帐户概述和组托管服务帐户与云同步。

在Microsoft Entra管理中心

在Microsoft Entra租户上创建仅限云的混合标识管理员帐户。这样，如果本地服务失败或不可用，则可以管理租户的配置。了解如何添加仅限云的混合标识管理员帐户。完成此步骤至关重要，可确保自己不被锁定在租户外部。
将一个或多个自定义域名添加到 Microsoft Entra 租户。用户可以使用其中一个域名登录。

在你的 Active Directory 目录中

运行 IdFix 工具，准备目录属性进行同步。

在本地环境中

标识一台已加入域的主机服务器，运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016，内存至少为 4 GB，.NET 运行时版本为4.7.1或更高。
本地服务器上的 PowerShell 执行策略必须设置为“未定义”或“RemoteSigned”。
如果服务器和Microsoft Entra ID之间存在防火墙，请参阅 Firewall 和代理要求。

注释

不支持在 Windows Server Core 上安装云预配代理。

将Microsoft Entra ID配置到Active Directory 域服务：先决条件

若要将预配组实现到 Active Directory 域服务（AD DS），需要满足以下先决条件。

许可要求

使用此功能需要Microsoft Entra ID P1 许可证。若要查找适合你需求的许可证，请参阅 Microsoft Entra ID 的常规可用功能比较。

一般要求

至少具有Hybrid Identity Administrator 角色的 Microsoft Entra 帐户。
具有 msDS-ExternalDirectoryObjectId 属性的本地 AD DS 架构，可在 Windows Server 2016 及更高版本中使用。
使用内部版本 1.1.1373.0 或更高版本的预配代理。

注释

仅在干净安装期间分配对服务帐户的权限。如果要从以前的版本升级，则需要使用 PowerShell 手动分配权限：

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

如果手动设置权限，则需要为所有后代组和用户对象分配“读取”、“写入”、“创建”和“删除”所有属性。

默认情况下，这些权限不会应用于 AdminSDHolder 对象。有关详细信息，请参阅Microsoft Entra预配代理 gMSA PowerShell cmdlet。

预配代理必须安装在运行Windows Server 2022、Windows Server 2019或Windows Server 2016的服务器上。
预配代理必须能够与端口 TCP/389 （LDAP）和 TCP/3268（全局编录）上的一个或多个域控制器通信。
- 用于全局目录查找以筛选无效的成员资格引用所必需的
Microsoft Entra Connect Sync with build version 2.2.8.0
- 需要支持使用 Microsoft Entra Connect Sync 同步的本地用户的成员身份
- 必须同步 AD DS:user:objectGUID 到 AAD DS:user:onPremisesObjectIdentifier

将预配组的缩放限制扩展到Active Directory

将组预配到Active Directory功能的性能受租户大小以及预配到Active Directory范围内的组和成员身份数的影响。本部分提供指导，说明如何确定 GPAD 是否支持您的规模需求，以及如何选择正确的群组范围模式，以实现更快的初始和增量同步周期。

不支持什么？

不支持超过 50,000 成员的群组。
不支持在不使用属性范围筛选的情况下使用“所有安全组”范围。

规模限制

范围模式	作用域内的组数量	成员关系链接数量（仅限直接成员）	备注
“所选安全组”模式	最多 10K 个组。 Microsoft Entra门户中的 CloudSync 窗格仅允许选择最多 999 个组，以及最多显示 999 个组。如果需要将 1000 多个组添加到范围，请参阅：通过 API 扩展组选择。	范围内所有组的成员总数最多为 25 万人。	如果租户超出这些限制中的任何一个，请使用此范围模式 1.租户用户超过 20 万租户有超过 4 万个组 3. 租户拥有超过 100 万个组成员。
具有至少一个属性范围筛选器的“所有安全组”模式。	最多 20K 个组。	在范围内的所有组中，成员总数最多达 50 万。	如果您的租户符合以下所有限制，请使用此范围模式： 1.租户用户少于 20 万 2. 租户的组少于 4万个 3. 租户的成员身份少于 100 万个。

如果超出限制，该怎么办

超过建议的限制会降低初始同步和增量同步的速度，这可能会导致同步错误。如果发生这种情况，请执行以下步骤：

“所选的安全组”范围模式下的组或组成员数量过多：

减少作用域内组数（以更高价值的组为目标），或将资源配置拆分为多个独立的作业，且范围互不相交。

“所有安全组”作用域模式中群组或群组成员过多：

建议使用 所选安全组 范围模式。

某些组超过 50K 个成员：

在多个组之间拆分成员身份，或者采取分阶段分组（例如，按区域或业务部门）以确保每个组保持在限制范围内。

通过 API 扩展的组选择

如果需要选择超过 999 个组，必须使用 Grant an appRoleAssignment API 对服务主体进行调用。

API 调用的示例如下所示：

POST https://microsoftgraph.chinacloudapi.cn/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

地点：

principalId：组对象 ID。
resourceId：作业的服务主体 ID。
appRoleId：资源服务主体公开的应用角色的标识符。

下表是适用于云的应用角色 ID 列表：

云	应用角色ID
公众	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

详细信息

以下是在将组配置到 AD DS 时需要考虑的更多注意事项。

使用云同步预配到 AD DS 的组只能包含本地同步的用户或其他云创建的安全组。
这些用户必须在其帐户上设置 onPremisesObjectIdentifier 属性。
onPremisesObjectIdentifier 必须与目标 AD DS 环境中的相应对象GUID 匹配。
可以使用任一同步客户端将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性。
只有全局的 Microsoft Entra ID 租户才能从 Microsoft Entra ID 预配到 AD DS。不支持 B2C 等租户。
组预配作业计划为每 20 分钟运行一次。

防火墙和代理要求

如果服务器和Microsoft Entra ID之间有防火墙，请配置以下项：

确保代理可以通过以下端口向 Microsoft Entra ID 发出 outbound 请求：

端口号	说明
80	在验证 TLS/SSL 证书时下载证书吊销列表（CRL）。
443	处理与服务的所有出站通信。
8080（可选）	如果端口 443 不可用，代理每隔 10 分钟通过端口 8080 报告其状态。此状态显示在Microsoft Entra 管理中心中。

如果防火墙根据始发用户实施规则，请为作为网络服务运行的 Windows 服务的流量开启这些端口。
确保代理至少支持 HTTP 1.1 协议和分块编码。
如果防火墙或代理允许指定安全后缀，请添加连接：

公有云

URL	说明
`.msappproxy.net` `.servicebus.windows.net`	代理使用这些 URL 与Microsoft Entra云服务通信。
`.microsoftonline.com` `.microsoft.com` `.msappproxy.com` `.windowsazure.com`	代理使用这些 URL 与Microsoft Entra云服务通信。
`mscrl.microsoft.com:80` `crl.microsoft.com:80` `ocsp.msocsp.com:80` `www.microsoft.com:80`	代理使用这些 URL 来验证证书。
`login.windows.net` `login.live.com`	代理在注册过程中使用这些 URL。
`aadcdn.msauth.net` `aadcdn.msftauth.net` `www.msftconnecttest.com`	代理在注册过程中使用这些 URL。

NTLM 要求

不应在运行Microsoft Entra预配代理的Windows Server上启用 NTLM，如果启用了 NTLM，则应确保禁用它。

已知的限制

以下是已知的限制：

增量同步

增量同步的组范围过滤不支持超过 50,000 个成员。
删除用作组范围筛选器一部分的组时，不会删除属于组成员的用户。
当您重命名特定范围内的 OU 或组时，增量同步不会移除用户。

预配日志

预配日志不会清楚地区分创建和更新操作。你可能会看到用于更新的创建操作和用于创建的更新操作。

组重命名或 OU 重命名

如果在 AD 中重命名给定配置范围内的组或 OU，云同步作业将无法识别 AD 中的名称更改。该作业不会进入隔离状态，并且保持正常运行。

范围筛选器

使用 OU 范围筛选器时

范围配置的字符长度限制为 4MB。在标准测试的环境中，这将转换为大约 50 个单独的组织单位（OU）或安全组，包括给定配置的所需元数据。
支持嵌套 OU（即，可以同步具有 130 个嵌套 OU 的 OU，但无法在同一配置中同步 60 个单独的 OU）。

注释

目前，无法验证范围配置大小，来确定它是否已接近、达到或超出包括元数据在内的 4 MB 字符限制。

密码哈希同步

不支持将密码哈希同步与 InetOrgPerson 一起使用。

后续步骤

Last updated on 2026-04-17

通过