Microsoft Entra Connect: Konton och behörigheter

Lär dig mer om konton som används och skapas och vilka behörigheter som krävs för att installera och använda Microsoft Entra Anslut.

Diagram that shows an overview of Microsoft Entra Connect required accounts.

Konton som används för Microsoft Entra Anslut

Microsoft Entra Anslut använder tre konton för att synkronisera information från lokal Windows Server Active Directory (Windows Server AD) till Microsoft Entra-ID:

  • AD DS Anslut eller-konto: Används för att läsa och skriva information till Windows Server AD med hjälp av Active Directory-domän Services (AD DS).

  • ADSync-tjänstkonto: Används för att köra synkroniseringstjänsten och komma åt SQL Server-databasen.

  • Microsoft Entra Anslut or-konto: Används för att skriva information till Microsoft Entra-ID.

Du behöver också följande konton för att installera Microsoft Entra Anslut:

  • Lokalt administratörskonto: Administratören som installerar Microsoft Entra Anslut och som har lokal administratörsbehörighet på datorn.

  • AD DS Enterprise-administratörskonto: Kan användas för att skapa det nödvändiga AD DS-Anslut eller-kontot.

  • Microsoft Entra Global Administrator-konto: Används för att skapa Microsoft Entra Anslut or-kontot och för att konfigurera Microsoft Entra-ID. Du kan visa konton för global administratör och hybrididentitetsadministratör i administrationscentret för Microsoft Entra. Se Lista rolltilldelningar för Microsoft Entra.

  • SQL SA-konto (valfritt): Används för att skapa ADSync-databasen när du använder den fullständiga versionen av SQL Server. Instansen av SQL Server kan vara lokal eller fjärransluten till Microsoft Entra Anslut installation. Det här kontot kan vara samma konto som företagsadministratörskontot.

    Etablering av databasen kan nu utföras out-of-band av SQL Server-administratören och sedan installeras av Microsoft Entra Anslut-administratören om kontot har behörighet som databasägare (DBO). Mer information finns i Installera Microsoft Entra Anslut med hjälp av SQL-delegerade administratörsbehörigheter.

Viktigt!

Från och med version 1.4.###.#, kan du inte längre använda ett företagsadministratörskonto eller ett domänadministratörskonto som AD DS-Anslut eller-konto. Om du försöker ange ett konto som är företagsadministratör eller domänadministratör för Använd befintligt konto visas ett felmeddelande i guiden och du kan inte fortsätta.

Kommentar

Du kan hantera de administrativa konton som används i Microsoft Entra Anslut med hjälp av en företagsåtkomstmodell. En organisation kan använda en företagsåtkomstmodell som värd för administrativa konton, arbetsstationer och grupper i en miljö som har starkare säkerhetskontroller än en produktionsmiljö. Mer information finns i Företagsåtkomstmodell.

Rollen Global administratör krävs inte efter den första installationen. Efter installationen är det enda nödvändiga kontot rollkontot katalogsynkroniseringskonton. I stället för att ta bort det konto som har rollen Global administratör rekommenderar vi att du ändrar rollen till en roll som har en lägre behörighetsnivå. Om du tar bort kontot helt kan det uppstå problem om du behöver köra guiden igen. Du kan lägga till behörigheter om du behöver använda guiden Microsoft Entra Anslut igen.

Installation av Microsoft Entra Anslut

Installationsguiden för Microsoft Entra Anslut erbjuder två sökvägar:

  • Expressinställningar: I Microsoft Entra Anslut expressinställningar kräver guiden fler behörigheter så att den enkelt kan konfigurera installationen. Guiden skapar användare och konfigurerar behörigheter så att du inte behöver göra det.
  • Anpassade inställningar: I Microsoft Entra Anslut anpassade inställningar har du fler alternativ och alternativ i guiden. För vissa scenarier är det dock viktigt att se till att du har rätt behörigheter själv.

Standardinställningar

I Express-inställningar anger du den här informationen i installationsguiden:

  • Autentiseringsuppgifter för AD DS Enterprise-administratör
  • Microsoft Entra Global Administrator-autentiseringsuppgifter

Autentiseringsuppgifter för AD DS Enterprise-administratör

AD DS Enterprise-administratörskontot används för att konfigurera Windows Server AD. Dessa autentiseringsuppgifter används endast under installationen. Företagsadministratören, inte domänadministratören, bör se till att behörigheterna i Windows Server AD kan anges i alla domäner.

Om du uppgraderar från DirSync används autentiseringsuppgifterna för AD DS Enterprise-administratören för att återställa lösenordet för det konto som DirSync använde. Microsoft Entra Global Administrator-autentiseringsuppgifter krävs också.

Microsoft Entra Global Administrator-autentiseringsuppgifter

Autentiseringsuppgifter för Microsoft Entra Global Administrator-kontot används endast under installationen. Kontot används för att skapa Microsoft Entra Anslut eller-kontot som synkroniserar ändringar i Microsoft Entra-ID. Kontot aktiverar även synkronisering som en funktion i Microsoft Entra-ID.

Mer information finns i Global administratör.

AD DS-Anslut eller konto som krävs behörigheter för expressinställningar

AD DS-Anslut eller-kontot skapas för att läsa och skriva till Windows Server AD. Kontot har följande behörigheter när det skapas under installationen av expressinställningar:

Behörighet Används för
– Replikera katalogändringar
– Replikera katalogändringar alla
Hash-synkronisering för lösenord
Läsa/skriva alla egenskaper för användare Import och Exchange-hybrid
Läsa/skriva alla egenskaper för iNetOrgPerson Import och Exchange-hybrid
Läsa/skriva alla egenskaper för grupp Import och Exchange-hybrid
Läsa/skriva alla egenskaper för kontakt Import och Exchange-hybrid
Återställa lösenord Förberedelse för att aktivera tillbakaskrivning av lösenord

Guiden Expressinställningar

I en installation av expressinställningar skapar guiden några konton och inställningar åt dig.

Screenshot that shows the Express Settings page in Microsoft Entra Connect.

Följande tabell är en sammanfattning av guidesidorna för expressinställningar, de autentiseringsuppgifter som samlas in och vad de används för:

Sidan Guide Insamlade autentiseringsuppgifter Behörigheter som krävs Syfte
Ej tillämpligt Användaren som kör installationsguiden. Administratör för den lokala servern. Används för att skapa det ADSync-tjänstkonto som används för att köra synkroniseringstjänsten.
Anslut till Microsoft Entra-ID Microsoft Entra-katalogautentiseringsuppgifter. Global administratörsroll i Microsoft Entra-ID. – Används för att aktivera synkronisering i Microsoft Entra-katalogen.
– Används för att skapa Microsoft Entra Anslut or-kontot som används för pågående synkroniseringsåtgärder i Microsoft Entra-ID.
Anslut till AD DS Autentiseringsuppgifter för Windows Server AD. Medlem i gruppen Företagsadministratörer i Windows Server AD. Används för att skapa AD DS-Anslut eller-kontot i Windows Server AD och bevilja behörigheter till det. Det här skapade kontot används för att läsa och skriva kataloginformation under synkroniseringen.

Anpassade inställningar

I en installation av anpassade inställningar har du fler alternativ och alternativ i guiden.

Screenshot that shows the Express Settings page in Microsoft Entra Connect, with the Customize button highlighted.

Guiden Anpassade inställningar

Följande tabell är en sammanfattning av guidesidorna för anpassade inställningar, de insamlade autentiseringsuppgifterna och vad de används för:

Sidan Guide Insamlade autentiseringsuppgifter Behörigheter som krävs Syfte
Ej tillämpligt Användaren som kör installationsguiden. – Administratör för den lokala servern.
– Om du använder en instans av en fullständig SQL Server måste användaren vara systemadministratör (sysadmin) i SQL Server.
Används som standard för att skapa det lokala konto som används som tjänstkonto för synkroniseringsmotorn. Kontot skapas bara när administratören inte anger något konto.
Installera synkroniseringstjänster, tjänstkontoalternativ Autentiseringsuppgifterna för Windows Server AD eller det lokala användarkontot. Användare och behörigheter beviljas av installationsguiden. Om administratören anger ett konto används det här kontot som tjänstkonto för synkroniseringstjänsten.
Anslut till Microsoft Entra-ID Microsoft Entra-katalogautentiseringsuppgifter. Global administratörsroll i Microsoft Entra-ID. – Används för att aktivera synkronisering i Microsoft Entra-katalogen.
– Används för att skapa Microsoft Entra Anslut or-kontot som används för pågående synkroniseringsåtgärder i Microsoft Entra-ID.
Anslut dina kataloger Windows Server AD-autentiseringsuppgifter för varje skog som är ansluten till Microsoft Entra-ID. Behörigheterna beror på vilka funktioner du aktiverar och finns i Skapa AD DS-Anslut eller-kontot. Det här kontot används för att läsa och skriva kataloginformation under synkroniseringen.
AD FS-servrar För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för användaren som kör guiden inte är tillräckliga för att ansluta. Domänadministratörskontot. Används vid installation och konfiguration av serverrollen Active Directory Federation Services (AD FS) (AD FS).
Proxyservrar för webbprogram För varje server i listan samlar guiden in autentiseringsuppgifter när inloggningsuppgifterna för användaren som kör guiden inte är tillräckliga för att ansluta. Lokal administratör på måldatorn. Används vid installation och konfiguration av wap-serverrollen (web application proxy).
Autentiseringsuppgifter för proxyförtroende Autentiseringsuppgifter för federationstjänstförtroende (de autentiseringsuppgifter som proxyn använder för att registrera för ett förtroendecertifikat från federationstjänsterna (FS)). Domänkontot som är lokal administratör för AD FS-servern. Inledande registrering av FS-WAP-förtroendecertifikatet.
SIDAN AD FS-tjänstkonto Använd ett domänanvändarkontoalternativ Autentiseringsuppgifterna för Windows Server AD-användarkontot. En domänanvändare. Det Microsoft Entra-användarkonto vars autentiseringsuppgifter anges används som inloggningskonto för AD FS-tjänsten.

Skapa AD DS-Anslut eller-kontot

Viktigt!

En ny PowerShell-modul med namnet ADSyncConfig.psm1 introducerades med version 1.1.880.0 (släpptes i augusti 2018). Modulen innehåller en samling cmdletar som hjälper dig att konfigurera rätt Windows Server AD-behörigheter för Microsoft Entra Domain Services Anslut eller-kontot.

Mer information finns i Microsoft Entra Anslut: Konfigurera AD DS-Anslut eller kontobehörighet.

Det konto som du anger på sidan Anslut kataloger måste skapas i Windows Server AD som ett vanligt användarobjekt (VSA, MSA eller gMSA stöds inte) före installationen. Microsoft Entra Anslut version 1.1.524.0 och senare har möjlighet att låta Microsoft Entra Anslut-guiden skapa AD DS Anslut eller-kontot som används för att ansluta till Windows Server AD.

Det konto som du anger måste också ha de behörigheter som krävs. Installationsguiden verifierar inte behörigheterna och eventuella problem hittas endast under synkroniseringsprocessen.

Vilka behörigheter du behöver beror på vilka valfria funktioner du aktiverar. Om du har flera domäner måste behörigheterna beviljas för alla domäner i skogen. Om du inte aktiverar någon av dessa funktioner räcker standardbehörigheterna för domänanvändare.

Funktion Behörigheter
ms-DS-ConsistencyGuid-funktion Skrivbehörigheter till attributet ms-DS-ConsistencyGuid som dokumenteras i Designbegrepp – Använda ms-DS-ConsistencyGuid som sourceAnchor.
Hash-synkronisering för lösenord – Replikera katalogändringar
– Replikera katalogändringar alla
Exchange-hybridinstallation Skrivbehörigheter till attributen, som beskrivs i Tillbakaskrivning av Exchange-hybrid, för användare, grupper och kontakter.
Gemensam mapp för Exchange-e-post Läsbehörigheter till attributen, som beskrivs i Gemensam mapp för Exchange-e-post, för gemensamma mappar.
Tillbakaskrivning av lösenord Skrivbehörigheter till attributen, som beskrivs i Komma igång med lösenordshantering, för användare.
Tillbakaskrivning av enheter Behörigheter som beviljas med ett PowerShell-skript enligt beskrivningen i Tillbakaskrivning av enhet.
Tillbakaskrivning av grupp Gör att du kan skriva tillbaka Microsoft 365-grupper till en skog som har Exchange installerat.

Behörigheter som krävs för uppgradering

När du uppgraderar från en version av Microsoft Entra Anslut till en ny version behöver du följande behörigheter:

Huvudkonto Behörigheter som krävs Syfte
Användaren som kör installationsguiden Administratör för den lokala servern Används för att uppdatera binärfiler.
Användaren som kör installationsguiden Medlem i ADSyncAdmins Används för att göra ändringar i synkroniseringsregler och andra konfigurationer.
Användaren som kör installationsguiden Om du använder en fullständig instans av SQL Server: DBO (eller liknande) av synkroniseringsmotordatabasen Används för att göra ändringar på databasnivå, till exempel uppdatering av tabeller med nya kolumner.

Viktigt!

I version 1.1.484 introducerades en regressionsbuggen i Microsoft Entra Anslut. Felet kräver sysadmin-behörigheter för att uppgradera SQL Server-databasen. Felet korrigeras i version 1.1.647. Om du vill uppgradera till den här versionen måste du ha sysadmin-behörigheter. I det här scenariot räcker inte DBO-behörigheter. Om du försöker uppgradera Microsoft Entra Anslut utan sysadmin-behörigheter misslyckas uppgraderingen och Microsoft Entra-Anslut fungerar inte längre korrekt.

Information om skapade konton

I följande avsnitt får du mer information om skapade konton i Microsoft Entra Anslut.

AD DS-anslutningskonto

Om du använder expressinställningar skapas ett konto som används för synkronisering i Windows Server AD. Det skapade kontot finns i skogens rotdomän i containern Användare. Kontonamnet är prefixet med MSOL_. Kontot skapas med ett långt, komplext lösenord som inte upphör att gälla. Om du har en lösenordsprincip i domänen kontrollerar du att långa och komplexa lösenord tillåts för det här kontot.

Screenshot that shows an AD DS Connector account with the MSOL prefix in Microsoft Entra Connect.

Om du använder anpassade inställningar ansvarar du för att skapa kontot innan du startar installationen. Se Skapa AD DS-Anslut eller-kontot.

ADSync-tjänstkonto

Synkroniseringstjänsten kan köras under olika konton. Den kan köras under ett virtuellt tjänstkonto (VSA), ett grupphanterat tjänstkonto (gMSA), en fristående hanterad tjänst (sMSA) eller ett vanligt användarkonto. Alternativen som stöds har ändrats med 2017 april-versionen av Microsoft Entra Anslut när du gör en ny installation. Om du uppgraderar från en tidigare version av Microsoft Entra Anslut är dessa andra alternativ inte tillgängliga.

Typ av konto Installationsalternativ beskrivning
VSA Snabb och anpassad, april 2017 och senare Det här alternativet används för alla installationer av expressinställningar, förutom för installationer på en domänkontrollant. För anpassade inställningar är det standardalternativet.
gMSA Anpassad, april 2017 och senare Om du använder en fjärrinstans av SQL Server rekommenderar vi att du använder en gMSA.
Användarkonto Snabb och anpassad, april 2017 och senare Ett användarkonto med AAD_ skapas endast under installationen när Microsoft Entra Anslut installeras på Windows Server 2008 och när det är installerat på en domänkontrollant.
Användarkonto Snabb och anpassad, mars 2017 och tidigare Ett lokalt konto med prefixet AAD_ skapas under installationen. I en anpassad installation kan du ange ett annat konto.

Om du använder Microsoft Entra Anslut med en version från 2017 mars eller tidigare ska du inte återställa lösenordet på tjänstkontot. Windows förstör krypteringsnycklarna av säkerhetsskäl. Du kan inte ändra kontot till något annat konto utan att installera om Microsoft Entra Anslut. Om du uppgraderar till en version från april 2017 eller senare kan du ändra lösenordet för tjänstkontot, men du kan inte ändra det konto som används.

Viktigt!

Du kan bara ange tjänstkontot vid den första installationen. Du kan inte ändra tjänstkontot när installationen är klar.

I följande tabell beskrivs standardalternativ, rekommenderade alternativ och alternativ som stöds för synkroniseringstjänstkontot.

Förklaring:

  • Fet= Standardalternativet och i de flesta fall det rekommenderade alternativet.
  • Kursiv = Det rekommenderade alternativet när det inte är standardalternativet.
  • 2008 = Standardalternativet när det installeras på Windows Server 2008
  • Icke-fet = Ett alternativ som stöds
  • Lokalt konto = Lokalt användarkonto på servern
  • Domänkonto = Domänanvändarkonto
  • sMSA = fristående hanterat tjänstkonto
  • gMSA = grupphanterat tjänstkonto
Lokal databas
Express
Lokal databas/lokal SQL Server
Anpassad
Fjärr-SQL Server
Anpassad
domänansluten dator VSA
Lokalt konto (2008)
VSA
Lokalt konto (2008)
Lokalt konto
Domänkonto
sMSA, gMSA
gMSA
Domänkonto
Domänkontrollant Domänkonto gMSA
Domänkonto
Smsa
gMSA
Domänkonto

VSA

En VSA är en särskild typ av konto som inte har något lösenord och som hanteras av Windows.

Screenshot that shows the virtual service account.

VSA är avsedd att användas med scenarier där synkroniseringsmotorn och SQL Server finns på samma server. Om du använder fjärr-SQL Server rekommenderar vi att du använder en gMSA i stället för en VSA.

VSA-funktionen kräver Windows Server 2008 R2 eller senare. Om du installerar Microsoft Entra Anslut på Windows Server 2008 återgår installationen till att använda ett användarkonto i stället för en VSA.

gMSA

Om du använder en fjärrinstans av SQL Server rekommenderar vi att du använder en gMSA. Mer information om hur du förbereder Windows Server AD för gMSA finns i Översikt över grupphanterade tjänstkonton.

Om du vill använda det här alternativet går du till sidan Installera nödvändiga komponenter , väljer Använd ett befintligt tjänstkonto och väljer sedan Hanterat tjänstkonto.

Screenshot that shows selecting Managed Service Account in Windows Server.

Du kan också använda en sMSA i det här scenariot. Du kan dock bara använda en sMSA på den lokala datorn och det finns ingen fördel med att använda en sMSA i stället för standard-VSA.

SMSA-funktionen kräver Windows Server 2012 eller senare. Om du behöver använda en tidigare version av ett operativsystem och använder fjärr-SQL Server måste du använda ett användarkonto.

Användarkonto

Ett lokalt tjänstkonto skapas av installationsguiden (såvida du inte i anpassade inställningar anger vilket konto som ska användas). Kontot är prefix med AAD_ och används för att den faktiska synkroniseringstjänsten ska köras som. Om du installerar Microsoft Entra Anslut på en domänkontrollant skapas kontot i domänen. AAD_-tjänstkontot måste finnas i domänen om:

  • Du använder en fjärrserver som kör SQL Server.
  • Du använder en proxy som kräver autentisering.

Screenshot that shows the sync service user account in Windows Server.

Det AAD_ tjänstkontot skapas med ett långt, komplext lösenord som inte upphör att gälla.

Det här kontot används för att lagra lösenorden för de andra kontona på ett säkert sätt. Lösenorden lagras krypterade i databasen. De privata nycklarna för krypteringsnycklarna skyddas med krypteringen av krypteringstjänsternas hemliga nyckelkryptering med hjälp av Windows Data Protection API (DPAPI).

Om du använder en fullständig instans av SQL Server är tjänstkontot DBO för den skapade databasen för synkroniseringsmotorn. Tjänsten fungerar inte som den ska med andra behörigheter. En SQL Server-inloggning skapas också.

Kontot beviljas också behörigheter till filer, registernycklar och andra objekt som är relaterade till synkroniseringsmotorn.

Microsoft Entra Anslut or-konto

Ett konto i Microsoft Entra-ID skapas för synkroniseringstjänsten som ska användas. Du kan identifiera det här kontot med dess visningsnamn.

Screenshot that shows the Microsoft Entra account with the DC1 prefix.

Namnet på servern som kontot används på kan identifieras i den andra delen av användarnamnet. I föregående bild är servernamnet DC1. Om du har mellanlagringsservrar har varje server ett eget konto.

Ett serverkonto skapas med ett långt, komplext lösenord som inte upphör att gälla. Kontot beviljas en särskild roll för katalogsynkroniseringskonton som endast har behörighet att utföra katalogsynkroniseringsuppgifter. Den här speciella inbyggda rollen kan inte beviljas utanför Microsoft Entra Anslut-guiden. Administrationscentret för Microsoft Entra visar det här kontot med användarrollen.

Microsoft Entra-ID har en gräns på 20 synkroniseringstjänstkonton.

  • Kör följande kommando för att hämta listan över befintliga Microsoft Entra-tjänstkonton i din Microsoft Entra-instans:

    $directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"}
    Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
    
  • Kör följande kommando för att ta bort oanvända Microsoft Entra-tjänstkonton:

    Remove-MgUser -UserId <Id-of-the-account-to-remove>
    

Kommentar

Innan du kan använda dessa PowerShell-kommandon måste du installera Microsoft Graph PowerShell-modulen och ansluta till din instans av Microsoft Entra-ID med hjälp av Anslut-MgGraph.

Mer information om hur du hanterar eller återställer lösenordet för Microsoft Entra Anslut-kontot finns i Hantera Microsoft Entra-Anslut-kontot.

Mer information om Microsoft Entra Anslut finns i följande artiklar:

Område Länk
Ladda ned Microsoft Entra Anslut Ladda ned Microsoft Entra Anslut
Installera med hjälp av expressinställningar Expressinstallation av Microsoft Entra Anslut
Installera med hjälp av anpassade inställningar Anpassad installation av Microsoft Entra Connect
Uppgradera från DirSync Uppgradera från Azure AD Sync-verktyget (DirSync)
Efter installationen Verifiera installationen och tilldela licenser

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.