MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

ADSync App Permission

Mit der Version 2.5.3.0 von ADSync/Entra ID Connect hat Microsoft eine wesentliche Änderung eingeführt, die deutlich mehr Sicherheit verspricht. Bislang hat sich der lokal laufende Prozess mit einem "Benutzer" angemeldet, der hinsichtlich MFA und Conditional Access als Ausnahme definiert war. Es war aber ein "regulärer "Cloud-User" mit sicherlich sehr langem Kennwort. Wer dieses aber ermittelt hat, konnte sich damit am Tenant anmelden.

Public Preview - Roll out of Application Based Authentication on Microsoft Entra Connect Sync
To enhance the security of the Microsoft Entra Connect sync process with the application, we've rolled out support for "Application based Authentication" (ABA), which uses a Microsoft Entra ID application identity and Oauth 2.0 client credential flow to authenticate with Microsoft Entra ID. To enable this, Microsoft Entra Connect creates a single tenant 3rd party application in the customer's Microsoft Entra ID tenant, registers a certificate as the credential for the application, and authorizes the application to perform on-premises directory synchronization.
https://learn.microsoft.com/en-us/entra/fundamentals/whats-new#public-preview---roll-out-of-application-based-authentication-on-microsoft-entra-connect-sync  

Das habe ich mir genauer angeschaut. 

Bisher

Sie konnten das im Entra ID auch sehen, dass es hier einen Dirsync-User mit entsprechenden Berechtigungen gab. Suchen Sie einfach nach "Dirsync" in den Benutzern ihres Tenants. Wenn Sie mehrere ADSync-Installationen durchgeführt haben, finden Sie pro Installation ein eigenes Benutzerkonto. Der Kontenname war früher eine Mischung aus "SYNC_%servername%><nummer>" oder einfach "ADToAADSyncServiceAccount@<tenantname>.onmicrosoft.com".

Die Rechte zum Verzeichnisabgleich bekommt das Konto über die zugewiesene Rolle

 

Die Aktivitäten dieses klassischen Dienstkontos sehen Sie auch in den Sign-in Logs. Es sind normale "Interactive" Anmeldungen 

Höchste Zeit also, dies zu stopfen. 

Update

Wer im Internet nach "ADSync" und "2.5.3.0" sucht, landet sehr schnell auf dem Microsoft Download Center:

Microsoft Entra Connect (veraltet)
https://www.microsoft.com/en-us/download/details.aspx?id=47594  

Dort erhalten sie mittlerweile aber nicht mehr die aktuelle Version, sondern nur eine PDF-Datei mit dem Namen "DecommissionDownloadCentre.pdf". Warum auch immer hat Microsoft den Download ins Entra ID Portal an folgende Adresse verschoben und weist im PDF-Dokument auf folgende URL hin:

https://entra.microsoft.com/#view/Microsoft_AAD_Connect_Provisioning/AADConnectMenuBlade/~/GetStarted

Dort müssen Sie dann auf "Verwalten" klicken und erst der zweite Link lädt Entra ID Connect-Synchronisierungsagent herunter. Microsoft macht das wohl, dass sich Administratoren aktiv darüber informieren, ob nicht der neue "EntraID Cloud Sync"-Agenten, dessen Download Sie davor finden, die bessere Wahl ist.

Und dann dürfen Sie erst auch noch aktiv die Lizenzvereinbarung bestätigen. Per Doppelklick starten Sie dann die Installation und nach ein paar UAC-Abfragen werden sie direkt darauf hingewiesen, ob sie die Funktion aktivieren wollen. Sie ist zwar im Jun 2025 noch "Preview" aber in meinem Labor habe ich die Funktion schon aktiviert:

Die weiteren Schritte entsprechen dann einem klassischen ADSync Update. Es weiteren einige Dateien kopiert und dann kommt ein Anmeldedialog, um sich am Tenant als Administrator anzumelden. Nach einer letzten Rückfrage und der Option den Dirsync direkt danach zu starten, erfolgt die eigentliche Installation

Änderungen

In der eigentlichen ADSync-Konfiguration hat sich nicht viel geändert aber die Anmeldung erfolgt nun mit einem Dienstkonto. Diese Änderungen können Sie im Audit-Log ihres Tenants schon einmal sehen.

Das Setup addiert eine Application mit Service Principal, weist ihr entsprechende Rollen zu und dann entfernt es das vorherige DirSync Konto so, dass es auch nicht wieder zurückgeholt werden kann. Unter "App Registrations" finde ich dann die App mit dem Namensanfang "ConnectSyncProvisiong_%servername%_<nummer>"

 

Bei meiner App beginnt die AppID mit "95959ee1". Die zugewiesenen Berechtigungen sind aber nun nicht auf Microsoft Graph ausgestellt, sondern auf zwei Dienste, die Administratoren in der Regel nicht per Skript ansprechen:

Microsoft Entra AD Synchronization Service
   ADSynchronization.ReadWrite.All 
Microsoft password reset service
   PasswordWriteback.OffboardClient.All
   PasswordWriteback.RefreshClient.All
   PasswordWriteback,RegisterClientVersion.All

Viel wichtiger ist aber, dass die Anmeldung nicht mehr mit einem Kennwort erfolgt, sondern mit einem Zertifikat:

Microsoft nutzt hier eine Gültigkeit von 6 Monaten.

Ich werde beizeiten also mal mein Auditlog überwachen, wann EntraID Connect das Zertifikat erneuert. 

Die Applikation finde ich auch in der lokalen Konfiguration im Connector:

Der eigentliche Verzeichnisabgleich ist nach dem Update problemlos weiter gelaufen. Einen Fehler konnte ich bislang nicht feststellen. 

Einschätzung

Eigentlich hat es schon viel zu lange gedauert. Automatische Prozesse sollten schon lange nicht mehr "reguläre Userkonten" sondern eine Application Registration nutzen. Es ist einfach sicherer und endlich hat Microsoft auch Entra ID Connect in die Richtung weiter entwickelt. Ich vermute einfach mal, dass in letzter Zeit viel Entwicklungsarbeit in EntraID Cloud Sync gesteckt wurde. Aber es dürfte noch viele Tenants geben, die den Wechsel noch nicht gehen oder gehen können, so dass der alte ADSync basierend auf dem Microsoft Identity Server doch noch mal eine Weiterentwicklung bekommen hat.

Sie müssen nun nicht panisch ihre Installation umstellen aber das Support-Statement von ADSync lautet: "Nicht älter als 6 Monate". Insofern werden sie beim nächsten Update diese Frage sehen und nun sind sie darauf vorbereitet. Prüfen Sie einfach, ob Sie vielleicht schon auf EntraID Cloud Sync wechseln können oder ansonsten den lokalen Verzeichnisabgleich mit einer App Permission besser absichern.

Zwei Dinge sind aus meiner Sicht aber noch offen:

  • Renewal
    Ich habe noch keine Information, wer das Zertifikat, welches zu Anmeldung genutzt wird, in Entra ID aktualisiert. Einer der lokalen ADSync-Dienste wird sicher rechtzeitig ein neues "Self Signed Zertifikat" ausstellen aber es muss ja auch im Tenant hinterlegt werden. Bei der Erstinstallation habe ich das als Administrator machen können. Ich bin gespannt, wer dies später macht-
  • TPM
    Früher hat ADSync ein Kennwort genutzt, welches "irgendwo" lokal und reversibel gespeichert wurde und damit sensibel war. Das ADSync-System ist klassischerweise ein Tier-0-Systen. (Tier 0/1/2 Security ist nicht alles). Damit stellt sich die Frage, wo das Zertifikat samt privatem Schlüssel gerade gespeichert ist. Ich wurde bei der Einrichtung nicht nach dem "Keystore" gefragt oder ob ich das Zertifikat z.B. im TPM-Chip ablegen wollte.

Aber im Juni 2025 ist die Funktion ja noch "Public Preview". Ich denke, da kommt noch ein paar Informationen zu späterer Zeit.

Weitere Links