Czy aktualizacja Azure AD Connect jest potrzebna?

Konrad Sagała

Czy aktualizacja Azure AD Connect jest potrzebna?
Grudzień 15, 2017 Katarzyna Sobczak

Czy aktualizacja Azure AD Connect jest potrzebna?

Aktualizacja programów narzędziowych jest niezbędna, czy tylko wskazana? Krótka porada, jak powinien zachowywać się administrator systemu.

Administrator systemów nie tylko Windows musi pamiętać o aktualizowaniu zarówno systemu operacyjnego, jak i aplikacji serwerowych. Biorąc pod uwagę pojawianie się nowych funkcjonalności, a przede wszystkim zabezpieczanie środowiska przed różnego rodzaju zagrożeniami, wydaje się to oczywiste. Jednak w przypadku dodatkowych narzędzi, do których użytkownicy wprost nie mają dostępu, wydaje się to mniej krytyczne. Wielu administratorów trzyma się zasady – jak działa, to nie należy ruszać. Ale czy słusznie?

Aplikowaniem poprawek w środowisku Office 365 zajmuje się zespół Microsoft, jednak na styku lokalnego środowiska AD i chmury działa niezbędna do synchronizacji użytkowników aplikacja – Azure AD Connect. Przez kilka lat działania Office 365 jej nazwy i funkcjonalności się zmieniały, począwszy od DirSync, poprzez Azure AD Sync, aż do Azure AD Connect, ale zasadniczo od momentu wdrożenia komponent ten przeważnie nie sprawiał problemów i wielu administratorów AD mogło nawet o jego istnieniu zapomnieć. Jednak w ostatnich dniach i o nim zrobiło się głośno.

Pierwszy temat to definitywny koniec wsparcia dla najstarszej wersji narzędzia – DirSync i jego kolejnej wersji Azure AD Sync. Microsoft już od kwietnia 2016 zaleca aktualizację, dodatkowo przypomina również, że usługa katalogowa Azure AD po 31 grudnia 2017 przestanie obsługiwać synchronizację z niewspieranymi wersjami narzędzia. Tak że administratorom pozostało coraz mniej czasu na spokojne zaktualizowanie synchronizatora. Dla przypomnienia publikuję odnośniki do procedur aktualizacji usługi:
Upgrade from DirSync
Upgrade from Azure AD Sync

Kolejnymi argumentami za aktualizacją narzędzia jest dodawanie nowych funkcjonalności, takich jak np. integracja z ADFS, funkcje monitorowania poprawnej pracy, synchronizacja zwrotna grup i haseł (chociaż tutaj nadal potrzebne są dodatkowe licencje na Azure AD Premium). Listę zmian wprowadzanych w kolejnych wersjach produktu można prześledzić na stronie pomocy technicznej produktu –  AAD Connect Version History.
Ostatnia kwestia, ale bynajmniej nie najmniej ważna, to poważna podatność na zagrożenie wewnętrzne, jaka została ujawniona w ostatnich dniach. Kreator konfiguracji korzystając z szybkich ustawień (Express Settings) tworzy w lokalnym Active Directory konto serwisowe wykorzystywane do synchronizacji użytkowników i haseł, które umieszczane jest w folderze Users, gdzie prawo do aktualizacji haseł ma grupa Account Operators. Dotychczasowa konfiguracja nie zabezpieczała dodatkowo tego konta, co pozwalało operatorowi kont w domenie zmienić hasło dla konta serwisowego i znając to hasło mieć możliwość uzyskania uprawnień administratora domeny. Microsoft opisał to zagrożenie w biuletynie bezpieczeństwa Microsoft Security Advisory 4056318. Najnowsza wersja AAD Connect build 1.1.654.0 wprowadza dodatkowe zabezpieczenia na takim koncie, dlatego też warto zaktualizować jak najszybciej posiadany moduł synchronizacji do najnowszej wersji – co najmniej 1.1.654.0.

Jeżeli jednak z różnych względów administrator nie może wykonać aktualizacji narzędzia to może dla już utworzonych kont serwisowych uruchomić narzędzie, z użyciem udostępnionego przez Microsoft w galerii Technet modułu Powershell – AdSyncConfig.psm1Niestety, moduł nie jest podpisany cyfrowo, więc na stacji, gdzie chcemy przeprowadzić procedurę korekty praw dostępu, musimy zmienić polisę wykonywania skryptów powershellowych z domyślnej restricted na remotesigned lub unrestricted.
Po pobraniu modułu i weryfikacji czy executionpolicy pozwala na wykonywanie niepodpisanych skryptów, z poziomu powershella wykonujemy poniższe kroki:

  • ładujemy pobrany moduł komendą:

Import-Module AdSyncConfig.psm1

  • następnie zapisujemy informację o obiekcie konta serwisowego (nazwa konta serwisowego zawsze jest w postaci MSOL_xxxxxx) – do wykonania komendy get-ADUser na komputerze musi być zainstalowany moduł ActiveDirectory:

$MSOLAccount = Get-ADUser -Filter ‘Name -like “msol_*”‘ 

  • modyfikujemy uprawnienia na koncie serwisowym (używając uprawnień administracyjnych) komendą:

Set-ADSyncRestrictedPermissions -ObjectDN $MSOLAccount.DistinguishedName -Credential (Get-Credential).

  • teraz musimy zrestartować usługę synchronizacji, żeby sprawdzić, czy nic nie popsuliśmy
  • Na koniec warto sprawdzić czy po wykonanych zmianach faktycznie informacje domenowe nadal są replikowane do naszego tenanta Office 365 komendą:

Start-ADSyncSyncCycle -PolicyType Delta

Polecenie powinnno zwrócić na rezultat “Success”.
Poniższy rysunek pokazuje efekt wykonania powyższych komend

Podziel się

Autor: Konrad Sagała

Konrad Sagała

Konrad Sagała

Office Servers & Services MVP, Technical Team Leader

Konrad od 1993 zajmuje się projektowaniem i wdrażaniem systemów informatycznych opartych o różne platformy sieciowe, od 1996 związany z platformą Microsoft Windows Server. Od 2007 MCT i Microsoft MVP w kategorii Exchange

Zespół: Communication & Collaboration

Ostatnie artykuły autora

Czy aktualizacja Azure AD Connect jest potrzebna?

Czy aktualizacja Azure AD Connect jest potrzebna?

Aktualizacja programów narzędziowych jest niezbędna, czy tylko wskazana? Krótka porada, jak powinien zachowywać się administrator systemu

Skontaktuj się z autorem

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!