Instalar o Microsoft Entra Connect usando permissões de administrador delegado do SQL
Antes do build mais recente do Microsoft Entra Connect, não havia suporte para a delegação administrativa ao implantar configurações que exigiam SQL. Os usuários que queriam instalar o Microsoft Entra Connect precisavam ter permissões de SA (administrador de servidor) no SQL Server.
Com a versão mais recente do Microsoft Entra Connect, o administrador do SQL agora pode provisionar o banco de dados fora de banda e o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados.
Antes de começar
Para usar esse recurso, você precisa perceber que há várias partes móveis e cada uma delas pode envolver um administrador diferente em sua organização. A tabela a seguir resume as funções individuais e suas respectivas funções na implantação do Microsoft Entra Connect com esse recurso.
| Função | Descrição |
|---|---|
| Administrador do AD do Domínio ou Floresta | Cria a conta de serviço no nível do domínio usada pelo Microsoft Entra Connect para executar o serviço de sincronização. Para obter mais informações sobre contas de serviço, consulte Contas e permissões. |
| Administrador do SQL | Cria o banco de dados ADSync e concede acesso de logon + dbo ao administrador do Microsoft Entra Connect e à conta de serviço criada pelo administrador de domínio/floresta. |
| Administrador do Microsoft Entra Connect | Instala o Microsoft Entra Connect e especifica a conta de serviço durante a instalação personalizada. |
Etapas para instalar o Microsoft Entra Connect usando permissões delegadas do SQL
Para provisionar o banco de dados fora da banda e instalar o Microsoft Entra Connect com permissões de proprietário de banco de dados, use as etapas a seguir.
Nota
Embora não seja necessário, é altamente recomendável selecionar a ordenação Latin1_General_CI_AS ao criar o banco de dados.
Peça ao Administrador do SQL para criar o banco de dados ADSync com uma sequência de ordenação sem diferenciar maiúsculas de minúsculas (Latin1_General_CI_AS). O modelo de recuperação, o nível de compatibilidade e o tipo de contenção são atualizados para os valores corretos quando o Microsoft Entra Connect é instalado. No entanto, o Administrador do SQL deve definir a sequência de ordenação corretamente. Caso contrário, o Microsoft Entra Connect bloqueará a instalação. Para recuperar, o SA deve excluir e recriar o banco de dados.
Conceda ao administrador do Microsoft Entra Connect e à conta de serviço de domínio as seguintes permissões:
- Credenciais SQL
- Direitos do proprietário do banco de dados (dbo).
Permissões
Nota
O Microsoft Entra Connect não dá suporte a logins com uma associação aninhada. Isso significa que sua conta de administrador do Microsoft Entra Connect e a conta de serviço do domínio devem ser vinculadas a um logon ao qual tenham sido concedidos direitos de dbo. Ela não pode simplesmente ser o membro de um grupo atribuído a um logon com direitos do dbo.
Envie um email para o administrador do Microsoft Entra Connect indicando o sql server e o nome da instância que devem ser usados ao instalar o Microsoft Entra Connect.
Informações adicionais
Depois que o banco de dados for provisionado, o administrador do Microsoft Entra Connect poderá instalar e configurar a sincronização local à sua conveniência.
Caso o Administrador do SQL tenha restaurado o banco de dados ADSync de um backup anterior do Microsoft Entra Connect, você precisará instalar o novo servidor do Microsoft Entra Connect usando um banco de dados existente. Para obter mais informações sobre como instalar o Microsoft Entra Connect com um banco de dados existente, consulte Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente.