Configurar o Microsoft Entra Domain Services para dar suporte à sincronização de perfil de usuário para o SharePoint Server

O SharePoint Server inclui um serviço para sincronizar perfis de usuário. Esse recurso permite que os perfis de usuário sejam armazenados em um local central e fiquem acessíveis em vários sites e farms do SharePoint. Para configurar o serviço de perfil de usuário do SharePoint Server, as permissões apropriadas devem ser concedidas em um domínio gerenciado do Microsoft Entra Domain Services. Para saber mais, confira Sincronização de perfil do usuário no SharePoint Server.

Este artigo mostra como configurar o Domain Services para permitir o serviço de sincronização de perfil de usuário do SharePoint Server.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Microsoft Entra Domain Services habilitado e configurado em seu locatário do Microsoft Entra.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services.
• Uma VM de gerenciamento do Windows Server que está ingressada no domínio gerenciado do Domain Services.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
• Uma conta de usuário que é membro do grupo de administradores de DC do Microsoft Entra em seu locatário do Microsoft Entra.
• O nome da conta de serviço do SharePoint para o serviço de sincronização de perfil do usuário. Para obter mais informações sobre a conta de Sincronização de Perfil,consultePlano para contas de serviço e administrativas no SharePoint Server. Para obter o nome da conta de Sincronização de Perfil no site da Administração Central do SharePoint, clique em Gerenciamento de Aplicativos>Gerenciar aplicativos de serviço>Aplicativo de serviço de Perfil de Usuário. Para obter mais informações, consulte Configurar a sincronização de perfil usando a importação do SharePoint Active Directory para o SharePoint Server.

Visão geral das contas de serviço

Em um domínio gerenciado, um grupo de segurança chamado Contas de Serviço do Microsoft Entra DC existe como parte da unidade organizacional (UO) de Usuários. Os membros desse grupo de segurança recebem os seguintes privilégios:

• Privilégio Replicar Alterações de Diretório no DSE raiz.
• Privilégio Replicar Alterações de Diretório no contexto de nomenclatura Configuração (contêiner cn=configuration).

O grupo de segurança Contas de serviço do Microsoft Entra DC também é membro do grupo interno Acesso compatível com pré-Windows 2000.

Quando adicionado a esse grupo de segurança, a conta de serviço do serviço de sincronização de perfil de usuário do SharePoint Server recebe os privilégios necessários para funcionar corretamente.

Habilitar a compatibilidade com a sincronização de perfil de usuário do SharePoint Server

A conta de serviço do SharePoint Server precisa de privilégios adequados para replicar as alterações no diretório e permitir que a sincronização de perfil de usuário do SharePoint Server funcione corretamente. Para fornecer esses privilégios, adicione a conta de serviço usada para sincronização de perfil de usuário do SharePoint ao grupo Contas de serviço do Microsoft Entra DC.

Na VM de gerenciamento do Domain Services, conclua as seguintes etapas:

Observação

Para editar uma associação de grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

1. Na tela Iniciar, selecione Ferramentas Administrativas. É apresentada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.

2. Para gerenciar a associação de grupo, selecione Centro Administrativo do Active Directory na lista de ferramentas administrativas.

3. No painel esquerdo, escolha o domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada.

4. Selecione a UO de Usuários e, em seguida, escolha o grupo de segurança Contas de serviço do Microsoft Entra DC.

5. Selecione Membros e escolha Adicionar... .

6. Insira o nome da conta de serviço do SharePoint e, em seguida, clique em OK. No exemplo a seguir, a conta de serviço do SharePoint é chamada de spadmin: