Czy aktualizacja Azure AD Connect jest potrzebna?

Konrad Sagała

Czy aktualizacja Azure AD Connect jest potrzebna?
15 grudnia, 2017 Katarzyna Sobczak

Czy aktualizacja Azure AD Connect jest potrzebna?

Aktualizacja programów narzędziowych jest niezbędna, czy tylko wskazana? Krótka porada, jak powinien zachowywać się administrator systemu.

Administrator systemów nie tylko Windows musi pamiętać o aktualizowaniu zarówno systemu operacyjnego, jak i aplikacji serwerowych. Biorąc pod uwagę pojawianie się nowych funkcjonalności, a przede wszystkim zabezpieczanie środowiska przed różnego rodzaju zagrożeniami, wydaje się to oczywiste. Jednak w przypadku dodatkowych narzędzi, do których użytkownicy wprost nie mają dostępu, wydaje się to mniej krytyczne. Wielu administratorów trzyma się zasady – jak działa, to nie należy ruszać. Ale czy słusznie?

Aplikowaniem poprawek w środowisku Office 365 zajmuje się zespół Microsoft, jednak na styku lokalnego środowiska AD i chmury działa niezbędna do synchronizacji użytkowników aplikacja – Azure AD Connect. Przez kilka lat działania Office 365 jej nazwy i funkcjonalności się zmieniały, począwszy od DirSync, poprzez Azure AD Sync, aż do Azure AD Connect, ale zasadniczo od momentu wdrożenia komponent ten przeważnie nie sprawiał problemów i wielu administratorów AD mogło nawet o jego istnieniu zapomnieć. Jednak w ostatnich dniach i o nim zrobiło się głośno.

Pierwszy temat to definitywny koniec wsparcia dla najstarszej wersji narzędzia – DirSync i jego kolejnej wersji Azure AD Sync. Microsoft już od kwietnia 2016 zaleca aktualizację, dodatkowo przypomina również, że usługa katalogowa Azure AD po 31 grudnia 2017 przestanie obsługiwać synchronizację z niewspieranymi wersjami narzędzia. Tak że administratorom pozostało coraz mniej czasu na spokojne zaktualizowanie synchronizatora. Dla przypomnienia publikuję odnośniki do procedur aktualizacji usługi:
Upgrade from DirSync
Upgrade from Azure AD Sync

Kolejnymi argumentami za aktualizacją narzędzia jest dodawanie nowych funkcjonalności, takich jak np. integracja z ADFS, funkcje monitorowania poprawnej pracy, synchronizacja zwrotna grup i haseł (chociaż tutaj nadal potrzebne są dodatkowe licencje na Azure AD Premium). Listę zmian wprowadzanych w kolejnych wersjach produktu można prześledzić na stronie pomocy technicznej produktu –  AAD Connect Version History.
Ostatnia kwestia, ale bynajmniej nie najmniej ważna, to poważna podatność na zagrożenie wewnętrzne, jaka została ujawniona w ostatnich dniach. Kreator konfiguracji korzystając z szybkich ustawień (Express Settings) tworzy w lokalnym Active Directory konto serwisowe wykorzystywane do synchronizacji użytkowników i haseł, które umieszczane jest w folderze Users, gdzie prawo do aktualizacji haseł ma grupa Account Operators. Dotychczasowa konfiguracja nie zabezpieczała dodatkowo tego konta, co pozwalało operatorowi kont w domenie zmienić hasło dla konta serwisowego i znając to hasło mieć możliwość uzyskania uprawnień administratora domeny. Microsoft opisał to zagrożenie w biuletynie bezpieczeństwa Microsoft Security Advisory 4056318. Najnowsza wersja AAD Connect build 1.1.654.0 wprowadza dodatkowe zabezpieczenia na takim koncie, dlatego też warto zaktualizować jak najszybciej posiadany moduł synchronizacji do najnowszej wersji – co najmniej 1.1.654.0.

Jeżeli jednak z różnych względów administrator nie może wykonać aktualizacji narzędzia to może dla już utworzonych kont serwisowych uruchomić narzędzie, z użyciem udostępnionego przez Microsoft w galerii Technet modułu Powershell – AdSyncConfig.psm1Niestety, moduł nie jest podpisany cyfrowo, więc na stacji, gdzie chcemy przeprowadzić procedurę korekty praw dostępu, musimy zmienić polisę wykonywania skryptów powershellowych z domyślnej restricted na remotesigned lub unrestricted.
Po pobraniu modułu i weryfikacji czy executionpolicy pozwala na wykonywanie niepodpisanych skryptów, z poziomu powershella wykonujemy poniższe kroki:

  • ładujemy pobrany moduł komendą:

Import-Module AdSyncConfig.psm1

  • następnie zapisujemy informację o obiekcie konta serwisowego (nazwa konta serwisowego zawsze jest w postaci MSOL_xxxxxx) – do wykonania komendy get-ADUser na komputerze musi być zainstalowany moduł ActiveDirectory:

$MSOLAccount = Get-ADUser -Filter ‘Name -like “msol_*”‘ 

  • modyfikujemy uprawnienia na koncie serwisowym (używając uprawnień administracyjnych) komendą:

Set-ADSyncRestrictedPermissions -ObjectDN $MSOLAccount.DistinguishedName -Credential (Get-Credential).

  • teraz musimy zrestartować usługę synchronizacji, żeby sprawdzić, czy nic nie popsuliśmy
  • Na koniec warto sprawdzić czy po wykonanych zmianach faktycznie informacje domenowe nadal są replikowane do naszego tenanta Office 365 komendą:

Start-ADSyncSyncCycle -PolicyType Delta

Polecenie powinnno zwrócić na rezultat “Success”.
Poniższy rysunek pokazuje efekt wykonania powyższych komend

Podziel się

Autor: Konrad Sagała

Konrad Sagała

Konrad Sagała

Office Servers & Services MVP

Konrad od 1993 zajmuje się projektowaniem i wdrażaniem systemów informatycznych opartych o różne platformy sieciowe, od 1996 związany z platformą Microsoft Windows Server. Od 2007 MCT i Microsoft MVP w kategorii Exchange

 

Ostatnie artykuły autora

Czy aktualizacja Azure AD Connect jest potrzebna?

Czy aktualizacja Azure AD Connect jest potrzebna?

Aktualizacja programów narzędziowych jest niezbędna, czy tylko wskazana? Krótka porada, jak powinien zachowywać się administrator systemu

Zarejestruj się i przetestuj APN Meeting Room

Wypróbuj system rezerwacji sal w praktyce, na Twojej infrastrukturze.
Wersja demonstracyjna umożliwia Ci instalację oprogramowania na 3 urządzeniach.

Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. drogą elektroniczną
Chcę otrzymywać treści marketingowe od A.P.N. Promise S.A. telefonicznie

Administratorem danych osobowych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. z siedzibą w Warszawie. Kontakt z osobą odpowiedzialną za ochronę danych osobowych jest możliwy za pośrednictwem adresu e-mail: iodo@promise.pl. Podane dane będą przetwarzane w zakresie niezbędnym do realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO, w zakresie niezbędnym dla prawidłowej realizacji żądania oraz oferowania i świadczenia usług, marketingu produktów i usług własnych oraz przeprowadzenia ankiet i oceny satysfakcji zgodnie z art. 6 ust. 1 lit. f RODO przez okres niezbędny dla realizacji celów oraz w przypadku wyrażenia zgody na podstawie art. 6 ust. 1 lit. a RODO w celu dostarczenia treści marketingowych środkami komunikacji elektronicznej lub za pomocą urządzeń telefonicznych.

Przysługuje Ci prawo do żądania dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, jak również prawo sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, a także prawo złożenia skargi do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Podanie danych jest dobrowolne, jednak niezbędne dla realizacji powyżej wskazanych celów. Odbiorcami danych mogą być podmioty lub osoby obsługujące administratora w zakresie w zakresie hostingu, komunikatorów internetowych, usług IT, księgowości, archiwizacji. Więcej informacji w Polityce Prywatności oraz Regulaminie.

Register and test the APN Meeting Room booking system.

Registering and installing the trial version you are allowed to install the software on 3 devices.

I want to receive marketing content from A.P.N. Promise S.A. electronically
I want to receive marketing content from A.P.N. Promise S.A. by phone

The data controller of personal data collected using the form is A.P.N. Promise S.A. with its registered office in Warsaw. Contact with the person responsible for the personal data protection is possible via following e-mail address: iodo@promise.pl. The given data shall be processed to the extent necessary to carry out specified request in accordance with art. 6(1)(b) of GDPR and to the extent necessary for the correct realization of the request and offer and provision of services, own product and services marketing and conducting surveys and satisfaction ratings in accordance with art. 6(1)(f) of GDPR for the period necessary to achieve the purposes and in the event of consent in accordance with art. 6(1)(a) of the GDPR to provide marketing content by electronic means or by telephone devices.

You have the right to request access to your personal data, rectification, deletion or limitation of processing, as well as the right to object to processing, the right to transfer data and the right to lodge a complaint with a supervisory authority, i.e. the President of the Personal Data Protection Office in Poland. Providing data is voluntary but necessary for the realization of the above-mentioned purposes. Recipients of data may be entities or persons servicing the data controller in the field of hosting, instant messengers, IT services, accounting, archiving. More information in the Privacy Policy and Regulations.

Cybersecurity w obszarze zarządzania zasobami oprogramowania

Napisz do nas, a skontaktujemy się z Tobą i bezpłatnie porozmawiamy o Twoim poziomie cyberbezpieczeństwa w obszarze SAM.

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!

Zostaw adres mailowy i nie przegap kolejnego szkolenia!

[contact-form-7 404 "Not Found"]