Migrar para Sincronização na nuvem do Microsoft Entra em uma floresta do AD sincronizada existente

Este tutorial descreve como migrar para fazer uma sincronização de nuvem para uma floresta de teste do Active Directory que já está sincronizada usando a sincronização do Microsoft Entra Connect.

Observação

Este artigo fornece informações para uma migração básica e você deve examinar a documentação Migrando para sincronização de nuvem antes de tentar migrar seu ambiente de produção.

Considerações

Antes de tentar este tutorial, considere os itens a seguir:

1. Verifique se você está familiarizado com as noções básicas da sincronização de nuvem.

2. Verifique se você está executando a versão de sincronização 1.4.32.0 ou posterior do Microsoft Entra Connect e se configurou as regras de sincronização conforme documentado.

3. Ao executar o piloto, você removerá uma UO ou grupo de teste do escopo de Sincronização do Microsoft Entra Connect. Mover objetos para fora do escopo leva à exclusão desses objetos no Microsoft Entra ID.

   • Objetos de usuário, os objetos no Microsoft Entra ID são excluídos de forma reversível e podem ser restaurados.
   • Objetos de grupo, os objetos no Microsoft Entra ID são excluídos e não podem ser restaurados.

   Um novo tipo de link foi introduzido na Sincronização do Microsoft Entra Connect, o que impedirá a exclusão em um cenário piloto.

4. Verifique se os objetos no escopo do piloto têm o ms-ds-consistencyGUID preenchido para que a sincronização de nuvem corresponda aos objetos.

Observação

A Sincronização do Microsoft Entra Connect não preenche o ms-ds-consistencyGUID por padrão para objetos de grupo.

5. Essa configuração é para cenários avançados. Certifique-se de seguir as etapas documentadas neste tutorial com precisão.

Pré-requisitos

A seguir estão os pré-requisitos necessários para concluir este tutorial

• Um ambiente de teste com a versão de Sincronização 1.4.32.0 ou posterior do Microsoft Entra Connect
• Uma UO ou grupo que esteja no escopo da sincronização e que possa ser usado pelo piloto. Recomenda-se começar com um pequeno conjunto de objetos.
• Um servidor executando o Windows Server 2016 ou posterior que hospedará o agente de provisionamento.
• A âncora de origem para a Sincronização do Microsoft Entra Connect deve ser objectGuid ou ms-ds-consistencyGUID

Atualizar o Microsoft Entra Connect

No mínimo, você deve ter Microsoft Entra Connect 1.4.32.0. Para atualizar o Microsoft Entra Connect Sync, conclua as etapas no Microsoft Entra Connect: atualizar para a versão mais recente.

Fazer backup da configuração do Microsoft Entra Connect

Antes de fazer quaisquer alterações, você deve fazer backup da configuração do Microsoft Entra Connect. Fazendo isso, você pode reverter para a sua configuração anterior. Consulte Importar e exportar definições de configuração do Microsoft Entra Connect para obter mais informações.

Parar o agendador

O Microsoft Entra Connect sincroniza as alterações que ocorrem no diretório local usando um agendador. Para modificar e adicionar regras personalizadas, você deseja desabilitar o agendador para que as sincronizações não sejam executadas enquanto você estiver fazendo as alterações. Para interromper o agendador, use as seguintes etapas:

1. No servidor que está executando a Sincronização do Microsoft Entra Connect, abra o PowerShell com Privilégios Administrativos.
2. Execute Stop-ADSyncSyncCycle. Pressione Enter.
3. Execute Set-ADSyncScheduler -SyncCycleEnabled $false.

Observação

Se você estiver executando seu próprio agendador personalizado para a Sincronização do Microsoft Entra Connect, desabilite o agendador.

Criar regra de entrada de usuário personalizada

No editor de regras de sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre usuários na UO que você identificou anteriormente. A regra de sincronização de entrada é uma regra de junção com um atributo de destino de cloudNoFlow. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para saber mais, confira a documentação Migrando para a sincronização na nuvem antes de tentar migrar seu ambiente de produção.

1. Inicie o editor de sincronização no menu de aplicativo na área de trabalho conforme mostrado abaixo:

   

2. Selecione De entrada na lista suspensa para Direção e selecione Adicionar nova regra.

   

3. Na página Descrição, insira o seguinte e selecione Avançar:

   • Nome: Dê um nome significativo à regra
   • Descrição: Adicionar uma descrição significativa
   • Sistema Conectado: escolha o conector do AD para o qual você está gravando a regra de sincronização personalizada
   • Tipo de Objeto do Sistema Conectado: Usuário
   • Tipo de Objeto do Metaverso: Person
   • Tipo de Link: Join
   • Precedência: Forneça um valor que seja exclusivo no sistema
   • Tag: Deixe esse campo vazio

   

4. Na página de Filtro de escopo, insira a UO ou o grupo de segurança em que você deseja que o piloto se baseie. Para filtrar na UO, adicione a parte do nome diferenciado relativa à UO. Essa regra será aplicada a todos os usuários que estiverem nessa UO. Portanto, se o DN terminar com "OU=CPUsers,DC=contoso,DC=com, você adicionará esse filtro. Em seguida, selecione Avançar.

   Regra	Atributo	Operador	Valor
   UO de escopo	DN	ENDSWITH	Nome diferenciado da UO.
   Grupo de escopo		ISMEMBEROF	Nome diferenciado do grupo de segurança.

   

5. Na página Regras de ingresso, selecione Avançar.

6. Na página Transformações, adicione uma transformação Constante: flow True para o atributo cloudNoFlow. Selecione Adicionar.

   

As mesmas etapas precisam ser seguidas para todos os tipos de objeto (usuário, grupo e contato). Repita as etapas conforme o AD Connector configurado/por floresta do AD.

Criar regra de saída de usuário personalizada

Você também precisará de uma regra de sincronização de saída com um tipo de link JoinNoFlow e o filtro de escopo que tenha o atributo cloudNoFlow definido como True. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para saber mais, confira a documentação Migrando para a sincronização na nuvem antes de tentar migrar seu ambiente de produção.

1. Selecione De saída na lista suspensa para Direção e selecione Adicionar regra.

   

2. Na página Descrição, insira o seguinte e selecione Avançar:

   • Nome: Dê um nome significativo à regra
   • Descrição: Adicionar uma descrição significativa
   • Sistema Conectado: escolha o conector do Microsoft Entra para o qual você está gravando a regra de sincronização personalizada
   • Tipo de Objeto do Sistema Conectado: Usuário
   • Tipo de Objeto do Metaverso: Person
   • Tipo de Link: JoinNoFlow
   • Precedência: Forneça um valor que seja exclusivo no sistema
     
   • Tag: Deixe esse campo vazio

   

3. Na página de Filtro de escopo, escolha cloudNoFlow igual a True. Em seguida, selecione Avançar.

   

4. Na página Regras de ingresso, selecione Avançar.

5. Na página de Transformações, selecione Adicionar.

As mesmas etapas precisam ser seguidas para todos os tipos de objeto (usuário, grupo e contato).

Instalar o agente de provisionamento do Microsoft Entra

Se você estiver usando o tutorial Ambiente Básico do AD e Azure, será o CP1. Para instalar o agente, siga estas etapas:

1. No portal do Azure, selecione Microsoft Entra ID.
2. À esquerda, selecione Microsoft Entra Connect.
3. À esquerda, selecione Sincronização na nuvem.

4. À esquerda, selecione Agente.
5. Selecione Baixar agente local e selecione Aceitar os termos e baixar.

6. Depois que o Pacote do Agente de Provisionamento do Microsoft Entra Connect for baixado, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.

Observação

Ao instalar para o uso da Nuvem do Governo dos EUA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.

7. Na tela inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.

8. Depois que a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração.
9. Na tela Selecionar extensão, selecione provisionamento controlado por RH (Workday e SuccessFactors) / Sincronização de nuvem do Microsoft Entra Connect e selecione Avançar.

Observação

Se estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativos no local, selecione Provisionamento de aplicativo local (Microsoft Entra ID para aplicativo).

10. Entre com uma conta com pelo menos a função Administrador de identidade híbrida. Se você tiver a segurança aprimorada do Internet Explorer habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.

11. Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema detecta a conta existente e adiciona as permissões necessárias para o novo agente usar a conta gMSA. Quando solicitado, escolha:

• Criar a gMSA que permite que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciada do grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Active Directory em que o servidor de host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
• Use gMSA personalizado e forneça o nome da conta de serviço gerenciada que você criou manualmente para essa tarefa.

Para continuar, selecione Avançar.

12. Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, digite o nome de domínio do Active Directory e selecione Adicionar diretório.

13. Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com as novas credenciais. Esta operação adiciona seu diretório local. Selecione OK e, em seguida, Avançar para continuar.

14. A captura de tela a seguir mostra um exemplo do contoso.com de domínio configurado. Selecione Avançar para continuar.

15. Na tela Configuração concluída, selecione Confirmar. Esta operação registra e reinicia o agente.

16. Depois de concluir a operação, você deverá ser notificado de que A configuração do agente foi verificada com sucesso. Você pode selecionar Sair.

17. Se você ainda visualizar a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.

Verificação do agente de portal do Azure

Para verificar se o agente está registrado no Microsoft Entra ID, siga estas etapas:

1. Entre no portal do Azure.
2. Selecione ID do Microsoft Entra.
3. Selecione Microsoft Entra Connect e, em seguida, Sincronização na nuvem.
4. Na página de sincronização na nuvem, você verá os agentes que instalou. Verifique se o agente é exibido e se o status é íntegro.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

1. Entre no servidor com uma conta de administrador.
2. Abra Serviços navegando até essa opção ou acessando Iniciar/Executar/Services.msc.
3. Em Serviços, verifique se o Atualizador do Agente do Microsoft Entra Connect e o Agente de Provisionamento do Microsoft Entra Connect estão presentes e se o status é Em execução.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga essas etapas:

1. Navegue até "C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect"
2. Clique com o botão direito do mouse em "AADConnectProvisioningAgent.exe" e selecione propriedades.
3. Clique na guia Detalhes e o número da versão será exibido ao lado da versão do Produto.

Configurar a Sincronização na Nuvem do Microsoft Entra

Use as seguintes etapas para configurar o provisionamento:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.

3. Selecione Nova configuração.
4. Na tela de configuração, selecione seu domínio e se a sincronização de hash de senha deve ser habilitada. Clique em Criar.

5. A tela Introdução será aberta.

6. Na tela Introdução, clique em Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo ou clique em Filtros de escopo à esquerda em Gerenciar.

7. Selecione o filtro de escopo. Para esse tutorial, selecione:
   • Unidades organizacionais selecionadas: define o escopo da configuração para ser aplicada a UOs específicas.
8. Na caixa, digite "OU=CPUsers,DC=contoso,DC=com".

9. Clique em Adicionar. Clique em Save (Salvar).

Iniciar o agendador

O Microsoft Entra Connect sincroniza as alterações que ocorrem no diretório local usando um agendador. Agora que você modificou as regras, você pode reiniciar o agendador. Use as seguintes etapas:

1. No servidor que está executando a Sincronização do Microsoft Entra Connect, abra o PowerShell com Privilégios Administrativos
2. Execute Set-ADSyncScheduler -SyncCycleEnabled $true.
3. Execute Start-ADSyncSyncCycle e pressione Enter.

Observação

Se você estiver executando seu próprio agendador personalizado para a Sincronização do Microsoft Entra Connect, desabilite o agendador.

Depois que o agendador for habilitado, o Microsoft Entra Connect interromperá a exportação das alterações em objetos com cloudNoFlow=true no metaverso, a menos que um atributo de referência (como manager, por exemplo) esteja sendo atualizado. Caso haja alguma atualização do atributo de referência no objeto, o Microsoft Entra Connect vai ignorar o sinal de cloudNoFlow e exportará todas as atualizações no objeto.

Algo deu errado

Caso o piloto não funcione conforme o esperado, você poderá voltar para a configuração de Sincronização do Microsoft Entra Connect seguindo as etapas abaixo:

1. Desativar a configuração de provisionamento no portal.
2. Desabilite todas as regras de sincronização personalizadas criadas para o Provisionamento de Nuvem usando a ferramenta Editor de Regras de Sincronização. A desabilitação deve causar sincronização completa em todos os conectores.

Próximas etapas

• O que é provisionamento?
• O que é a Sincronização na Nuvem do Microsoft Entra?