Compartilhar via

Implementar a Sincronização de Diretórios do Microsoft 365 no Microsoft Azure

  • Artigo

Microsoft Entra Connect (anteriormente conhecida como ferramenta de Sincronização de Diretórios, ferramenta de Sincronização de Diretórios ou ferramenta de DirSync.exe) é uma aplicação que instala num servidor associado a um domínio para sincronizar os utilizadores do Active Directory local Domain Services (AD DS) com o Microsoft Entra inquilino da sua subscrição do Microsoft 365. O Microsoft 365 utiliza Microsoft Entra ID para o respetivo serviço de diretório. A sua subscrição do Microsoft 365 inclui um inquilino Microsoft Entra. Esse locatário também pode ser usado para o gerenciamento de identidades da sua organização com outras cargas de trabalho de nuvem, incluindo outros aplicativos SaaS e aplicativos no Azure.

Pode instalar o Microsoft Entra Connect num servidor no local, mas também pode instalá-lo numa máquina virtual no Azure por estes motivos:

  • Você pode provisionar e configurar servidores baseados na nuvem mais depressa, disponibilizando os serviços aos usuários com mais antecedência.
  • O Azure oferece melhor disponibilidade de sites com menos esforço.
  • Você pode reduzir o número de servidores locais em sua organização.

Esta solução requer conectividade entre a rede no local e a rede virtual do Azure. Para saber mais, confira o artigo Conectar uma rede local a uma rede virtual do Microsoft Azure.

Observação

Este artigo descreve a sincronização de um único domínio em uma única floresta. Microsoft Entra Connect sincroniza todos os domínios do AD DS na sua floresta do Active Directory com o Microsoft 365. Se tiver múltiplas florestas do Active Directory para sincronizar com o Microsoft 365, veja Multi-forest Directory Sync with Single Sign-On Scenario (Sincronização de Diretórios multi-florestas com Cenário de Sign-On Único).

Descrição geral da implementação da sincronização de diretórios do Microsoft 365 no Azure

O diagrama seguinte mostra Microsoft Entra Ligar em execução numa máquina virtual no Azure (o servidor de sincronização de diretórios) que sincroniza uma floresta do AD DS no local com uma subscrição do Microsoft 365.

Microsoft Entra ferramenta Connect numa máquina virtual no Azure a sincronizar contas no local com o inquilino Microsoft Entra de uma subscrição do Microsoft 365 com o fluxo de tráfego.

No diagrama, há duas redes conectadas por meio de uma conexão VPN site a site ou ExpressRoute. Existe uma rede no local onde estão localizados os controladores de domínio do AD DS e existe uma rede virtual do Azure com um servidor de sincronização de diretórios, que é uma máquina virtual em execução Microsoft Entra Connect. Existem dois fluxos de tráfego main provenientes do servidor de sincronização de diretórios:

  • Microsoft Entra Connect consulta um controlador de domínio na rede no local para alterações a contas e palavras-passe.
  • Microsoft Entra Connect envia as alterações às contas e palavras-passe para a instância Microsoft Entra da sua subscrição do Microsoft 365. Uma vez que o servidor de sincronização de diretórios está numa parte expandida da sua rede no local, estas alterações são enviadas através do servidor proxy da rede no local.

Observação

Esta solução descreve a sincronização de um único domínio do Active Directory, uma única floresta do Active Directory. Microsoft Entra Connect sincroniza todos os domínios do Active Directory na sua floresta do Active Directory com o Microsoft 365. Se tiver múltiplas florestas do Active Directory para sincronizar com o Microsoft 365, veja Multi-forest Directory Sync with Single Sign-On Scenario (Sincronização de Diretórios multi-florestas com Cenário de Sign-On Único).

Há duas etapas principais quando você implanta essa solução:

  1. Criar uma rede virtual do Azure e estabelecer uma conexão VPN de site a site para a sua rede local. Para saber mais, confira o artigo Conectar uma rede local a uma rede virtual do Microsoft Azure.

  2. Instale o Microsoft Entra Connect numa máquina virtual associada a um domínio no Azure e, em seguida, sincronize o AD DS no local com o Microsoft 365. Isso envolve:

    • Criar uma Máquina Virtual do Azure para executar o Microsoft Entra Connect.

    • Instalar e configurar o Microsoft Entra Connect.

    A configuração do Microsoft Entra Connect requer as credenciais (nome de utilizador e palavra-passe) de uma conta de administrador Microsoft Entra e de uma conta de administrador do AD DS Enterprise. O Microsoft Entra Connect é executado de imediato e de forma contínua para sincronizar a floresta do AD DS no local com o Microsoft 365.

Antes de implementar esta solução em produção, pode utilizar as instruções em A configuração da base empresarial simulada para configurar esta configuração como uma prova de conceito, para demonstrações ou para experimentação.

Importante

Quando a configuração do Microsoft Entra Connect for concluída, não guarda as credenciais da conta de administrador empresarial do AD DS.

Observação

Esta solução descreve a sincronização de uma única floresta do AD DS com o Microsoft 365. A topologia abordada neste artigo representa apenas uma das maneiras de implementar essa solução. A topologia de sua organização pode ser diferente, com base em requisitos de rede e considerações de segurança exclusivos.

Planear o alojamento de um servidor de sincronização de diretórios para o Microsoft 365 no Azure

Pré-requisitos

Antes de começar, examine os seguintes pré-requisitos para essa solução:

  • Uma assinatura do Azure. Para obter informações sobre as subscrições do Azure, aceda à página Como Comprar o Azure.

  • Um espaço de endereço IPv4 privado disponível para atribuir à rede virtual e às suas sub-redes, com espaço suficiente para ampliação a fim de acomodar a quantidade de máquinas virtuais necessárias agora e no futuro.

  • Um dispositivo VPN disponível em sua rede local para encerrar a conexão VPN site a site compatível com os requisitos para IPsec. Para saber mais, confira VPN para conexões de rede virtual de site a site.

  • As alterações realizadas à sua infraestrutura de roteamento para que o tráfego direcionado ao espaço de endereço da rede virtual do Azure seja encaminhado para o dispositivo VPN que hospeda a conexão VPN site a site.

  • Um proxy da Web que dê aos computadores conectados à rede local e à rede virtual do Azure acesso à Internet.

  • Tenha uma subscrição do Microsoft 365 que inclua a funcionalidade de integração do Active Directory. Para obter informações sobre as subscrições do Microsoft 365, aceda à página de subscrição do Microsoft 365.

  • Aprovisione uma Máquina Virtual do Azure que execute Microsoft Entra Ligar para sincronizar a floresta do AD DS no local com o Microsoft 365.

    Tem de ter as credenciais (nomes e palavras-passe) para uma conta de administrador empresarial do AD DS e uma conta de Administrador Microsoft Entra.

Suposições de design de arquitetura da solução

A lista a seguir descreve as opções de design feitas para essa solução.

  • Essa solução usa uma única rede virtual do Azure com uma conexão VPN de site a site. A rede virtual do Azure aloja uma única sub-rede que tem um servidor, o servidor de sincronização de diretórios que está a ser executado Microsoft Entra Connect.

  • Na rede local, existem servidores DNS e um controlador de domínio.

  • Microsoft Entra Connect efetua a sincronização do hash de palavras-passe em vez do início de sessão único. Não tem de implementar uma infraestrutura do Serviços de Federação do Active Directory (AD FS) (AD FS). Para saber mais sobre a sincronização do hash de palavras-passe e as opções de início de sessão único, veja Escolher o método de autenticação certo para o seu Microsoft Entra solução de identidade híbrida.

Existem outras opções de design que poderá considerar quando implementar esta solução no seu ambiente. Elas incluem o seguinte:

  • Se houver servidores DNS em uma rede virtual existente do Azure, determine se você deseja que seu servidor de sincronização de diretório os use para resolução de nomes em vez dos servidores DNS da rede local.

  • Se existirem controladores de domínio numa rede virtual do Azure existente, determine se a configuração dos Serviços e Sites do Active Directory poderá ser uma opção melhor para si. O servidor de sincronização de diretórios pode consultar os controladores de domínio na rede virtual do Azure para obter alterações em contas e palavras-passe em vez de controladores de domínio na rede no local.

Roteiro de implantação

A implementação do Microsoft Entra Connect numa máquina virtual no Azure consiste em três fases:

  • Fase 1: Criar e configurar a rede virtual do Azure

  • Fase 2: Criar e configurar a máquina virtual do Azure

  • Fase 3: Instalar e configurar o Microsoft Entra Connect

Após a implementação, também tem de atribuir localizações e licenças para as novas contas de utilizador no Microsoft 365.

Fase 1: Criar e configurar a rede virtual do Azure

Para criar e configurar a rede virtual do Azure, veja Tutorial: Criar e gerir um gateway de VPN com o portal do Azure.

Esta é a configuração resultante.

Fase 1 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra uma rede local conectada a uma rede virtual do Azure por meio de uma conexão VPN ou ExpressRoute de site a site.

Fase 2: Criar e configurar a máquina virtual do Azure

Criar a máquina virtual no Azure usando as instruções Criar sua primeira máquina virtual do Windows no portal do Azure. Use as seguintes configurações:

  1. No painel Básico, selecione a mesma assinatura, local e grupo de recursos que sua rede virtual. Armazene o nome de usuário e a senha em um local seguro. Irá precisar destes mais tarde para ligar à máquina virtual.

  2. No painel Escolher um tamanho, escolha o tamanho A2 Padrão.

  3. No painel Configurações, na seção Armazenamento, escolha o tipo de armazenamento Padrão. Na secção Rede , selecione o nome da sua rede virtual e a sub-rede para alojar o servidor de sincronização de diretórios (não o GatewaySubnet). Deixe todas as outras configurações com os valores padrão.

Para conferir se o servidor de sincronização de diretório está usando o DNS corretamente, verifique o DNS interno para garantir que um registro de endereço (A) foi adicionado à máquina virtual com o respectivo endereço IP.

Utilize as instruções em Ligar à máquina virtual e inicie sessão para ligar ao servidor de sincronização de diretórios com uma Ligação ao Ambiente de Trabalho Remoto. Depois de iniciar sessão, associe a máquina virtual ao domínio do AD DS no local.

Para Microsoft Entra Ligar para obter acesso aos recursos da Internet, tem de configurar o servidor de sincronização de diretórios para utilizar o servidor proxy da rede no local. Entre em contato com o administrador da rede para etapas de configuração adicionais para executar.

Esta é a configuração resultante.

Fase 2 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra a máquina virtual do servidor de sincronização de diretório na rede virtual entre locais do Azure.

Fase 3: Instalar e configurar o Microsoft Entra Connect

Faça o procedimento a seguir:

  1. Ligue-se ao servidor de sincronização de diretórios através de uma Ligação de Ambiente de Trabalho Remoto com uma conta de domínio do AD DS que tenha privilégios de administrador local. Confira Conectar-se à máquina virtual e fazer login.

  2. A partir do servidor de sincronização de diretórios, abra o artigo Configurar a sincronização de diretórios para o Microsoft 365 e siga as instruções para a sincronização de diretórios com a sincronização do hash de palavras-passe.

Cuidado

A instalação cria a conta AAD_xxxxxxxxxxxx na unidade organizacional (UO) Usuários Locais. Não mova nem remova essa conta ou a sincronização falhará.

Esta é a configuração resultante.

Fase 3 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra o servidor de sincronização de diretórios com Microsoft Entra Ligar na rede virtual do Azure em vários locais.

Atribuir localizações e licenças a utilizadores no Microsoft 365

Microsoft Entra Connect adiciona contas à sua subscrição do Microsoft 365 a partir do AD DS no local, mas para que os utilizadores iniciem sessão no Microsoft 365 e utilizem os respetivos serviços, as contas têm de ser configuradas com uma localização e licenças. Use essas etapas para adicionar o local e as licenças ativas às devidas contas de usuário:

  1. Inicie sessão na Centro de administração do Microsoft 365 e, em seguida, clique em Administração.

  2. No painel de navegação esquerdo, clique em Utilizadores Utilizadores>Ativos.

  3. Na lista das contas de usuário, marque a caixa de seleção ao lado do usuário que você deseja ativar.

  4. Na página do usuário, clique em Editar para Licenças de produto.

  5. Na página Licenças de produto, selecione um local para o usuário em Local e habilite as licenças apropriadas para ele.

  6. Ao concluir, clique em Salvar e, em seguida, clique em Fechar duas vezes.

  7. Volte à etapa 3 para usuários adicionais.

Confira também

Centro de soluções e arquitetura do Microsoft 365

Conectar uma rede local a uma rede virtual do Microsoft Azure

Transferir o Microsoft Entra Connect

Configurar a sincronização de diretórios para o Microsoft 365