Azure AD Sync：它是什么以及需要考虑的安全因素

为什么您应该审查云同步？同步的要点是什么？如果您像任何典型的组织一样，那么您将拥有一个强大的本地 Active Directory 结构，其中包含许多用途、组和自定义项。因此，您的最初目标不是重新发明轮子，而是将本地用户与您打算允许访问云资源的用户集成。

如果您处理任何类型的云技术，您都会熟悉更改 URL、更改名称和更改品牌名称。微软的云技术也不例外。最近，微软将Azure Active Directory更名为Microsoft Entra ID，代表它现在是云软件的身份部分。

在这篇文章中，我们将探讨 Azure AD Connect Sync 和 AD Connect 云同步之间的差异，并讨论影响这两种产品安全性的复杂性。

什么是 Azure Active Directory 同步？

Azure Active Directory 同步通常指两种不同的 Microsoft 身份管理工具：Azure AD 连接同步和 Azure AD Connect 云同步。

微软在定位将云服务连接到本地服务器的各个部分方面一直存在一些问题。用于将工作站连接到云服务的软件的命名可能（并且可能会）发生变化，但概念是相同的。同步软件可确保您本地的用户名和密码与云设置中的用户名和密码相匹配。

虽然许多信息技术专业人士抱怨称，名称更改将意味着网站和其他位置将发生移动，我们将不得不重新了解位置在哪里，但其他人则赞扬这一事实，即此名称更改意味着本地活动之间将出现中断。目录和云服务。此外，它应该标记两个平台之间更清晰的区别，并有望减少混淆，因为 Microsoft Entra ID 与 Active Directory 不同这一点会更清楚。

Azure AD Connect 同步和 Azure AD Connect 云同步之间的区别

Microsoft 提供了两种将你的资源连接到其云资源的技术。称为 Connect Sync（也称为 Azure AD Connect 同步）的旧软件可连接现有的 Active Directory 基础结构。一旦两者之间的功能集更具可比性，较新的 Azure AD Connect 云同步将成为未来事实上的同步工具。它使用 Azure AD 云预配代理，因此对网络的影响较小，性能也更好。

Azure AD 连接同步

正如 Microsoft 所定义的那样，“Azure Active Directory Connect 同步服务（Azure AD Connect 同步）是 Azure AD Connect 的主要组件。它负责与在本地环境和 Azure AD 之间同步身份数据相关的所有操作。请注意，目前它仍称为 Azure AD Connect 同步，但预计将在 Entra 系列名称下重命名和重新排列。拥有和使用 Connect 同步有很多原因和优点。我们中的许多人仍然需要并使用 Active Directory。虽然拥有纯云和 Azure AD 基础设施是可能且可以做到的，但当一家全新的公司从云优先的角度开始时，它的效果最好。 Azure AD Connect 同步的一些关键功能包括：

• 单林、多林和 LDAPv3 兼容租户之间的同步
• 密码哈希同步 (PHS)
• 直通身份验证 (PTA) 和域控制器作为您的身份提供商，无需部署 AD 联合身份验证服务配置

• 为具有 Exchange Server 的组织提供 Exchange 混合写回功能
• 混合 Azure AD 加入功能
• Office 365 组写回以防止电子邮件重叠
• 支持密码写回

Azure AD Connect 云同步

对于尚未迁移到云的组织，您可能还需要评估名为云同步（以前称为 Azure 云同步）的较新同步工具。 Azure AD Connect 云同步允许您连接到多个断开连接的本地 AD 林，并提供多个活动代理以实现高可用性。该工具不连接到 LDAP 目录或支持直通身份验证。它不适用于拥有最多 250,000 名成员的大型团体。

云同步不断提高与 Connect 同步的可比性。目前，它执行以下操作：

• 使用轻量级代理安装模型避免增加大量 CPU 或开销
• 连接到多个本地 Active Directory 林
• 允许连接到多个断开连接的本地 Active Directory 林，混合多个不同的单元

• 同步目录更改比 Azure AD Connect 更频繁，因此如果您有很多更改，它是首选设置
• 与 Connect 同步配合使用，以多种方式进行连接
• 不支持 LDAPv3 兼容的身份存储，并且不会连接到 LDAP 目录。
• 不支持设备对象
• 支持用户对象、群组对象和联系人对象同步
• 支持同步Exchange在线属性
• 支持密码写回
• 支持设备写回，但您应该继续使用 Cloud Kerberos 信任
• 支持Exchange混合写回（目前处于预览模式）

运行 Azure AD Connect 与 Azure AD 同步

Azure AD Connect 是两个同步平台中较旧的一个，一旦 Azure AD Connect 同步和 Azure AD Connect 云同步之间的奇偶校验不再存在，最终将被逐步淘汰。目前，如果您拥有大型组织，这仍然是与 Active Directory 同步的首选工具。但存在更大的资源需求，以及对安全性的担忧。

与 Azure AD 运行 Azure AD Connect 云同步

Azure AD Connect 云同步是较新的同步平台，虽然目前预计它将取代 Azure AD Connect 同步，但它目前是为小型组织设计的，并且在服务器规格方面需要较少的资源。

Azure AD Connect 同步和 Azure AD Connect 云同步的安全注意事项

制定全面的安装计划

当开始部署 Azure AD Connect 云同步时，需要进行相应的规划。就像使用 Azure AD Connect 一样，请考虑安装该软件的位置和方式。它应该安装在您认为与域控制器资产具有相同安全问题的基础设施上。它需要被监控和维护，因为当发现安全问题时，软件会得到更新。您还需要了解有关潜在安全风险的任何新研究，例如最近有关潜在中间人攻击的研究。

限制安装访问

限制谁可以安装该软件并了解谁被限制使用它是关键。应使用 Active Directory 中的企业管理员帐户和全局管理员帐户安装它。您需要确保将其安装在可以支持 TLS 1.2 或更高版本的现代操作系统上。您可以使用 PowerShell 确保 TLS 版本设置正确。我建议您使用第三方工具检查域中任何服务器上的 SSL 设置，并确保暴露于网络的任何 Web 服务器或 IP 地址的加密设置均设置为最佳。应审查 Connect Sync 和 Cloud Sync，以确保权限未被调整，并且两者都安装了正确的安全设置。

查看配置设置

此外，如果您过去使用过云同步，请考虑检查您如何设置某些设置。与云中的任何内容一样，内容和命名都会发生变化，因此，不要在安装某些内容后就期望永远不必再次检查其部署。相反，您希望定期或每年重新访问文档，并确保始终遵循最佳实践，因为攻击者不断设计新的方法来访问我们的数据。举个例子，Microsoft 现在建议您在使用云同步工具时使用 Cloud Kerberos 信任部署。

考虑无密码身份验证

传统的 Active Directory 基于密码身份验证。可以猜出、破解或破解的密码。随着云优先的发展，云同步部署将寻求无密码身份验证方法，例如 Windows Hello 企业版、Microsoft 身份验证器或 FIDO2 密钥，以确保组织更加安全。所有这些较新的身份验证技术更多地依赖于 Microsoft Entra ID（Azure Active Directory）。无论您使用哪种同步平台，我都强烈建议每年检查您正在使用的身份验证流程以及是否可以相应地增强保护。

限制本地防火墙流量

我还建议您通过本地防火墙限制网络和云同步过程之间流动的流量。正如 Microsoft 文档所述，它主要通过端口 80 和端口 443 并使用特定的 URL 进行连接。花些时间检查您的防火墙日志并根据您的需要进行限制。对于需要云服务和 Web 访问的其他 Microsoft Entra（以前称为 Azure Active Directory）功能也是如此。如果您使用地理 IP 过滤，您可能需要调整防火墙以允许连接到 Microsoft 服务器。

审查和测试

查看 Connect 同步工作原理的最佳方法是设置一个测试台（如 Microsoft 网站上所述），并查看它在您的网络中的工作方式。正如他们在文档中所指出的，在您的云资源上设置一个仅限云的全局管理员帐户，并为其提供安全密码。考虑一种不会让您失去资源的双因素方法。使用运行 Windows Server 2016 或更高版本的服务器操作系统的本地服务器。确保必要的防火墙端口打开，如果您不在组织中的服务器和防火墙上限制或提供出口过滤，我建议您考虑添加此作为额外的保护手段。端口 80、443 或 8080 应可用于对 *.msappproxy.net 和 *.servicebus.windows.net 或相应的 Azure 数据中心 IP 范围开放的连接。代理需要能够访问login.windows.net 和login.microsoftonline.com 进行初始注册。对于证书验证，请取消阻止以下 URL：mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。

使用正常的特权工作站注意事项，并在已设置为安全访问云服务的工作站上设置此服务。您甚至可以考虑使用 Windows 365 形式的基于云的工作区作为您的云部署工作站，以更好地保护您的资源，并确保攻击者无法从本地资产获取云密码。

结论

越来越多的人正在将资源和资产转移到云端。一些公司可能会继续使用完全混合的网络。有些人可能会考虑云优先部署。如果您刚刚开始云同步之旅，请考虑使用云优先的部署工具（例如 Azure AD 云同步）来使您的部署更加高效，更重要的是，更加安全。如果你当前正在使用 Azure AD Connect Sync，请继续查看生命周期信息和平台更新，以了解何时最终会逐步淘汰它，转而使用 Azure AD 云同步。