Microsoft 建议强化 Microsoft Entra Connect 服务器,以降低这一 IT 环境关键组件的安全攻击面。 遵循以下建议会减少组织面临的安全风险。
- 将 Microsoft Entra Connect 部署在已加入域的服务器上,并限制域管理员或其他受到严格控制的安全组的管理访问权限。
若要了解更多信息,请参阅以下文章:
2016 年 2 月版开始支持此方案。
仅支持使用安装向导来安装 Microsoft Entra Connect。 不支持无人值守的静默安装。
2016 年 2 月版开始支持此方案。
是的。 安装代理后,可以使用以下 PowerShell cmdlet 完成注册过程:
Register-AzureADConnectHealthADDSAgent -Credentials $cred
是的。支持此方案。 请参阅多个域。
不支持对同一个 AD 域使用多个连接器。
是的,以下步骤提供了如何执行此移动的一般指导。 有关详细信息,请参阅将 Microsoft Entra Connect 数据库从 SQL Server Express 移到远程 SQL Server
备份 LocalDB ADSync 数据库。 执行此备份的最简单方法就是使用 Microsoft Entra Connect 所在的同一台计算机上安装的 SQL Server Management Studio。 连接到 (LocalDb).\ADSync,然后备份 ADSync 数据库。
将 ADSync 数据库还原到远程 SQL Server 实例。
针对现有的远程 SQL 数据库安装 Microsoft Entra Connect。 本文演示了如何改用本地 SQL 数据库。 如果改用远程 SQL 数据库,则在此过程的步骤 5 中,还必须输入用于运行 Windows ADSync 服务使用的现有服务帐户。 下面描述了此同步引擎服务帐户:
使用现有的服务帐户:默认情况下,Microsoft Entra Connect 将虚拟服务帐户用于为要使用的同步服务。 对于具有身份验证的远程 SQL Server 实例或 Web 代理,请使用域中的托管服务帐户或服务帐户。 在这些情况下,请输入要使用的帐户。 确保运行安装的用户是 SQL 中的系统管理员,以便可以创建服务帐户的登录凭据。 有关详细信息,请参阅 Microsoft Entra Connect 帐户和权限。
使用最新版本,SQL 管理员可以预配数据库,并向 Microsoft Entra Connect 管理员授予安装产品的数据库所有者权限。 有关详细信息,请参阅使用 SQL 委派的管理员权限安装 Microsoft Entra Connect。
为简单起见,建议安装 Microsoft Entra Connectto 的用户具有 SQL 中的系统管理员权限。 但是,在最新的版本中,现在也可以根据使用 SQL 委派的管理员权限安装 Microsoft Entra Connect 中所述,使用委派的 SQL 管理员。
下面的文档信息丰富,其中提供了工程人员、支持人员和我们的顾问多年来得出的一些最佳做法。 该文档以项目符号列表的形式显示,可供快速参考。 虽然我们尽量提供了详尽的列表,但未来可能会向列表添加其他最佳做法。
- 如果使用完整 SQL,则应保证本地和远程:
- 跃点数更少
- 更易于排除故障
- 复杂程度更低
- 需要为 SQL 指定资源并考虑 Microsoft Entra Connect 和操作系统的开销。
- 如果可能,请绕过 Web 代理,否则请确保 Web 代理超时值大于 5 分钟。
- 如果需要 Web 代理,则必须将 Web 代理配置添加到 machine.config 文件。
- 注意本地 SQL 作业和维护及其对 Microsoft Entra Connect 的影响,尤其是重新编制索引。
- 确保 DNS 可以在外部解析名称。
- 确保服务器规范遵循每项建议(无论是使用物理服务器还是虚拟服务器)。
- 确保需要的资源是专用资源(如果使用虚拟服务器)。
- 确保磁盘和磁盘配置符合 SQL Server 的最佳做法。
- 使用 Microsoft Entra Connect 中内置的导出删除阈值阻止意外删除。
- 仔细检查要为所有更改和可能添加的新属性准备的版本更新。
- 备份所有内容:
- 备份密钥
- 备份同步规则
- 备份服务器配置
- 备份 SQL 数据库
- 避免对 ADSync 数据库使用 Azure 备份,因为这可能会导致死锁,并可能导致运行配置文件冻结。
- 确保没有第三方备份代理在没有 SQL VSS 编写器的情况下备份 SQL(这种备份在具有第三方快照的虚拟服务器中较为常见)。
- 限制使用的自定义同步规则的数量,因为它们会增加复杂性。
- 将 Microsoft Entra Connect 服务器视为第 0 层服务器。
- 在未充分了解影响和正确的业务驱动因素时,谨慎修改云同步规则。
- 确保打开正确的 URL 和防火墙端口,以支持 Microsoft Entra Connect 和 Microsoft Entra Connect Health。
- 利用云端筛选的属性来排查和阻止虚拟对象。
- 使用暂存服务器时,确保使用 Microsoft Entra Connect 配置文档管理器工具在服务器之间保持一致性。
- 暂存服务器应位于不同的数据中心(物理位置)。
- 暂存服务器并不是一种高可用性解决方案,但你可以有多个暂存服务器。
- 引入“延迟”暂存服务器可在出现问题的情况下减少一些可能的停机时间。
- 首先测试并验证暂存服务器上的所有升级。
- 在切换到暂存服务器之前始终验证导出内容。 利用暂存服务器执行全部导入和全部同步操作,以降低业务影响。
- 尽可能使 Microsoft Entra Connect 服务器之间的版本保持一致。
否,为了允许 Microsoft Entra Connect 自动创建 Microsoft Entra 连接器帐户,计算机必须已加入域。
所有网络软件、物理设备或其他软硬件限制最长连接时间的阈值应该至少为 5 分钟 (300 秒),使装有 Microsoft Entra Connect 客户端的服务器能够与 Microsoft Entra ID 连接。 此项建议同样适用于以前发布的所有 Microsoft 标识同步工具。
虽然我们强烈建议不要使用此网络配置(请参阅相关文章),但只要单级域的网络配置正常发挥作用,将 Microsoft Entra Connect 同步与单标签域配合使用就是受支持的。 在 Active Directory NetBIOS 域名与 FQDN 域名不同的 SLD 方案中,不支持安装 Microsoft Entra Connect。
Microsoft Entra Connect 不支持包含非连续命名空间的本地林。
Microsoft Entra Connect 不支持 NetBIOS 名称包含点号 (.) 的本地林或域。
Microsoft Entra Connect 不支持纯 IPv6 环境。
否,不支持通过 NAT 使用 Microsoft Entra Connect。
有关续订证书的指导,请参阅续订证书。
请参考续订证书一文中所述的指导。
不是。 更改服务器名称将导致同步引擎无法连接到 SQL 数据库实例,并且服务将无法启动。
不是。 这些不受支持。
可在本地创作或管理已同步的设备。 如果在本地启用了已同步的设备,即使管理员之前禁用了该设备,它也可能会在 Microsoft Entra 管理中心重新启用。 若要禁用同步设备,请使用本地 Active Directory 禁用计算机帐户。
如果我阻止了同步用户在 Microsoft 365 或 Microsoft Entra 管理中心(https://entra.microsoftonline.cn)登录,为什么其再次登录时阻止会被取消?
可在本地创作或管理已同步的用户。 如果在本地启用了该帐户,则可以取消管理员放置的登录阻止。
有关信息,请参阅以下文章:
- Microsoft 365、Azure 或 Intune 中的用户名与本地 UPN 或备用登录 ID 不匹配
- 在将用户帐户的 UPN 更改为使用不同的联合域后,Azure Active Directory 同步工具未同步更改
还可以根据 Microsoft Entra Connect 同步服务功能中所述配置 Microsoft Entra ID,以允许同步引擎更新 UPN。
是,这种软匹配取决于 proxyAddress。 未启用邮件的组不支持软匹配。
目前不支持在现有的 Microsoft Entra 组或联系人对象中手动设置 ImmutableId 属性,以硬匹配该对象。
仅支持客户使用本站点上介绍的 cmdlet,而不支持使用 Microsoft Entra Connect 中的其他 PowerShell cmdlet。
不是。 此选项不会检索所有配置设置,因此不应使用。 请改用向导在第二台服务器上创建基础配置,并使用同步规则编辑器生成 PowerShell 脚本,如此即可在服务器之间移动任何自定义规则。 有关详细信息,请参阅交叉迁移。
目前不支持修改“密码”字段的 HTML 属性,包括 autocomplete 标记。 我们目前正在开发一种功能,该功能支持使用自定义 JavaScript 向“密码”字段添加任何属性。
目前不支持修改“密码”输入字段的 HTML 属性,包括 autocomplete 标记。 我们目前正在开发一种功能,该功能支持使用自定义 JavaScript 向“密码”字段添加任何属性。
不是。
建议所有客户为安装的 Microsoft Entra Connect 启用自动升级。 好处是客户可以一直接收最新的补丁,包括在 Microsoft Entra Connect 中发现的漏洞的安全更新。 升级过程很轻松,只要有新版本发布就会自动进行。 每次发布新版本,成千上万的 Microsoft Entra Connect 客户都会使用自动升级。
自动升级过程始终会先确定某个安装是否符合自动升级的条件。 如果符合条件,则会执行并测试升级。 此过程还包括查找对规则的自定义更改和特定的环境因素。 如果测试表明升级未成功,则会自动还原以前的版本。
根据环境大小,此过程可能需要数小时才能完成。 在升级过程中,不会在 Windows Server Active Directory 和 Microsoft Entra ID 之间进行同步。
我们去年发布了一个 Microsoft Entra Connect 版本,该版本在特定情况下会禁用服务器上的自动升级功能。 Microsoft Entra Connect 1.1.750.0 版中已修复此问题。 如果你受此问题的影响,可通过以下方式进行缓解:运行一个 PowerShell 脚本来修复此问题,或者手动升级到最新版本的 Microsoft Entra Connect。
要运行该 PowerShell 脚本,请下载该脚本,并在 PowerShell 管理窗口中的 Microsoft Entra Connect 服务器上运行该脚本。
若要手动进行升级,必须下载并运行最新版的 AADConnect.msi 文件。
- 如果当前版本低于 1.1.750.0,请下载并升级到最新版本。
- 如果 Microsoft Entra Connect 版本为 1.1.750.0 或更高,则不需要采取其他措施。 所用的版本已包含自动升级修复程序。
需要。需要升级到 1.1.750.0 或更高版本才能重新启用自动升级。 下载并升级到最新版本。
是的,仍需要升级到 1.1.750.0 或更高版本。 通过 PowerShell 启用自动升级服务不会解决在 1.1.750.0 之前的版本中发现的自动升级问题。
不需要知道最初用来升级 Microsoft Entra Connect 的用户名和密码。 可以使用任何具有混合标识管理员角色的 Microsoft Entra 帐户。
若要确定安装在服务器上的 Microsoft Entra Connect 的具体版本,请转到“控制面板”,然后选择“程序”>“程序和功能”并找到已安装的 Microsoft Entra Connect 版本,如下所示:
若要了解如何升级到最新版本,请参阅 Microsoft Entra Connect:从旧版升级到最新版本。
Microsoft Entra Connect 团队会对该服务进行频繁的更新。 若要充分利用 Bug 修复、安全更新和新功能的优势,必须使用最新版本来保持服务器的最新状态。 如果启用自动升级,则会自动更新软件版本。 若要查找 Microsoft Entra Connect 的版本发布历史记录,请参阅 Microsoft Entra Connect:版本发布历史记录。
升级所需时间取决于租户大小。 对于大型组织而言,最好是在晚上或周末升级。 在升级期间不会发生同步活动。
Office 团队会更新 Office 门户,使之反映当前的产品名称。 它不会反映你正在使用的同步工具。
在以前的版本中存在一个 Bug,该 Bug 在特定情况下会将自动升级状态设置为“已暂停”。 手动启用它在技术上是可行的,但需要执行多个复杂的步骤。 最好是安装最新版本的 Microsoft Entra Connect。
不能。目前没有此类功能。 我们正在评估是否在将来的版本中推出此功能。
你不会收到升级结果的通知。 我们正在评估是否在将来的版本中推出此功能。
自动升级是新版本发布过程的第一个步骤。 只要有新版本,我们就会自动推送升级。 Microsoft Entra 路线图中预宣布了较新版本的 Microsoft Entra Connect。
是的,可以自动升级暂存模式下的 Microsoft Entra Connect 服务器。
Microsoft Entra Connect 服务偶尔会在升级以后无法启动。 在这种情况下,重新启动服务器通常就会解决问题。 如果 Microsoft Entra Connect 服务仍然无法启动,请开具支持票证。 有关详细信息,请参阅创建服务请求以联系 Microsoft 365 客户支持。
如果在升级到新版 Microsoft Entra Connect 时需要帮助,请参阅创建服务请求以联系 Microsoft 365 客户支持创建支持票证。
下面是在 Windows Server Active Directory 和 Microsoft Entra ID 之间同步时应实施的一些最佳做法。
为所有已同步的帐户应用多重身份验证 Microsoft Entra 多重身份验证有助于保护对数据和应用程序的访问,同时满足用户对简单性的需求。 它通过要求第二种形式的身份验证提供额外的安全性,并通过一系列简单的身份验证方法提供增强式身份验证。 根据管理员制定的配置决策,用户可能会受到 MFA 的质疑,也可能不会受到 MFA 的质疑。 有关 MFA 的详细信息,可参阅此文: https://www.microsoft.com/security/business/identity/mfa?rtc=1
遵循 Microsoft Entra Connect 服务器安全准则 Microsoft Entra Connect 服务器包含关键标识数据,应将其视为第 0 层组件,如 Active Directory 管理层模型中所述。 另请参阅我们的 Microsoft Entra Connect 服务器安全指南。
- 在知识库 (KB) 中搜索有关 Microsoft Entra Connect 支持的常见故障维修服务问题的技术解决方案。
Microsoft Entra ID 的 Microsoft Q&A 问题页
- 转到 Microsoft Entra 社区,搜索技术问题与答案,或提出自己的问题。
事件 6311 - 服务器在执行回叫时遇到意外错误,而 6401 - 管理代理控制器遇到意外错误 - 始终在同步步骤错误之后记录。 若要解决这些错误,需要清除同步步骤错误。 有关详细信息,请参阅在同步过程中排查错误和排查使用 Microsoft Entra Connect 同步时遇到的对象同步问题