Planejar a integração do Microsoft Entra

  • 13 minutos

Quando a equipe de TI da Contoso implementa um serviço de nuvem ou um aplicativo em seu ambiente de TI, normalmente, ela quer usar um só repositório de identidade para seus aplicativos locais e baseados em nuvem. Usando a sincronização de diretórios, eles podem conectar seu AD DS local com o Microsoft Entra ID.

O que é sincronização de diretórios?

A sincronização de diretório habilita a sincronização entre o AD DS local e o Microsoft Entra ID para usuários, grupos e contatos. Em sua forma mais simples, você instala um componente de sincronização de diretório em um servidor no domínio local. Em seguida, você deve fornecer uma conta com acesso Domain Admin e Enterprise Admin ao AD DS local e outra conta com acesso de administrador ao Microsoft Entra ID e deixá-la executar.

As contas de usuário, os grupos e os contatos que você selecionar no AD DS serão replicados no Microsoft Entra ID. Os usuários podem utilizar essas contas para entrar e acessar os serviços do Azure que dependem do Microsoft Entra ID para autenticação.

A menos que você ative a sincronização de senha, os usuários terão uma senha separada do ambiente local para entrar em um recurso do Azure. Mesmo que você implemente a sincronização de senha, os usuários ainda serão solicitados a fornecer credenciais quando acessarem o recurso do Azure em computadores conectados ao domínio. A vantagem da sincronização de senha é que, para conectarem-se ao recurso do Azure, os usuários podem usar o mesmo nome de usuário e senha que o logon de domínio. Não confunda isso com o SSO. O comportamento fornecido com a sincronização de senha é chamado de mesma conexão.

Com o Azure, o fluxo de sincronização é unidirecional do AD DS local para o Azure. Entretanto, com os recursos P1 ou P2 do Microsoft Entra ID, alguns atributos serão replicados em outra direção. Por exemplo, você pode configurar o Azure para gravar senhas de volta em um AD DS local e em grupos e dispositivos do Microsoft Entra ID. Se não quiser sincronizar todo o AD DS local, a sincronização de diretórios do Microsoft Entra ID tem suporte para filtragem limitada e personalização do fluxo de atributos com base nos seguintes valores:

  • OU
  • Domínio
  • Atributos de usuário
  • Aplicativos

Microsoft Entra Connect

Você pode utilizar o Microsoft Entra ID (Microsoft Entra Connect) para realizar a sincronização entre o AD DS local e o Microsoft Entra ID. O Microsoft Entra Connect é uma ferramenta baseada em assistente projetada para habilitar a conectividade entre uma infraestrutura de identidade local e o Azure. Usando o assistente, você pode escolher a topologia e os requisitos, então o assistente implanta e configura todos os componentes necessários para você. Dependendo dos requisitos selecionados, isso pode incluir:

  • Azure AD Sync (Sincronização do Azure Active Directory)
  • Implantação híbrida do Exchange
  • Write-back de alteração de senha
  • Servidores proxy do AD FS e do AD FS ou Proxy de Aplicativo Web
  • Módulo do Microsoft Graph PowerShell

Observação

A maioria das organizações implanta um servidor de sincronização dedicado para hospedar o Microsoft Entra Connect.

Quando você executa o Microsoft Entra Connect, ocorre o seguinte:

  • Novos objetos de contato, usuários e grupos no AD DS local foram adicionados ao Microsoft Entra ID. No entanto, as licenças para serviços de nuvem, como o Microsoft 365, não são atribuídas automaticamente a esses objetos.
  • Os atributos de objetos de contato, usuários ou grupos existentes modificados no AD DS local são modificados no Microsoft Entra ID. Entretanto, nem todos os atributos do AD DS local são sincronizados com o Microsoft Entra ID. Você pode configurar um conjunto de atributos que são sincronizados com o Microsoft Entra ID usando o componente Gerenciador de Sincronização do Microsoft Entra Connect.
  • Os objetos de contato, usuários e grupos existentes excluídos do AD DS local são excluídos no Microsoft Entra ID.
  • Os objetos de usuário que estão desabilitados localmente estão desabilitados no Azure. No entanto, a atribuição das licenças não é automaticamente cancelada.

O Microsoft Entra ID exige que você tenha uma única fonte de autoridade em cada objeto. Portanto, é importante entender que, em um cenário do Microsoft Entra Connect, quando estiver executando a sincronização do Active Directory, você estará dominando objetos de dentro do AD DS local, usando ferramentas como o usando ferramentas como Usuários e Computadores do Active Directory ou Windows PowerShell. No entanto, a fonte de autoridade é o AD DS local. Após a conclusão do primeiro ciclo de sincronização, a origem da autoridade é transferida da nuvem para o AD DS local. Todas as alterações subsequentes a objetos de nuvem (exceto por licenciamento) são dominadas por meio das ferramentas do AD DS locais. Os objetos de nuvem correspondentes são somente leitura, e os administradores do Microsoft Entra não poderão editar objetos de nuvem se a fonte de autoridade for o AD DS local, a menos que você implemente algumas das tecnologias que permitem write-back.

Permissões e contas exigidas para executar o Microsoft Entra Connect

Para implementar o Microsoft Entra Connect, você tem que ter uma conta com as permissões necessárias atribuídas tanto no AD DS local quanto no Microsoft Entra ID. A instalação e a configuração do Microsoft Entra Connect exigem as seguintes contas:

  • Uma conta do Azure com permissão de Administrador global no locatário do Azure (como uma conta organizacional), que não é a conta que foi usada para configurar a conta em si.
  • Uma conta local com permissões de administrador corporativo no AD DS local. No Assistente do Microsoft Entra Connect, você pode optar por utilizar uma conta existente para essa finalidade ou deixar que o assistente crie uma conta para você.

O Microsoft Entra Connect usa uma conta de Administrador Global do Azure para provisionar e atualizar objetos quando o Assistente de Configuração do Microsoft Entra Connect é executado. Você deve criar uma conta de serviço dedicada no Azure para que a sincronização de diretórios seja usada, pois não é possível usar a conta de administrador de locatários do Azure. Essa restrição ocorre porque a conta que você usou para configurar o Azure pode não ter um sufixo de nome de domínio que corresponda ao nome de domínio. A conta precisa ser um membro do grupo de funções de administradores globais.

No ambiente local, a conta usada para instalar e configurar o Microsoft Entra Connect deve ter as seguintes permissões:

  • Permissões de administrador corporativo no AD DS. Essa permissão é necessária para criar a conta de usuário de sincronização no Active Directory.
  • Permissões de administrador do computador local. Essa permissão é exigida para instalar o software Microsoft Entra Connect.

A conta usada para configurar o Microsoft Entra Connect e executar o assistente de configuração deve residir no grupo ADSyncAdmins do computador local. Por padrão, a conta utilizada para instalar o Microsoft Entra Connect é automaticamente adicionada a esse grupo.

Observação

A conta usada para instalar o AD Connect é adicionada automaticamente ao grupo ADSyncAdmins quando você instala o produto. Você deve sair e entrar novamente para usar a interface do Gerenciador de Serviços de Sincronização, pois a conta não obterá o identificador de segurança de grupo (SID) até a próxima vez que a conta for usada para entrar.

Captura de tela de “Usuários e computadores” do Active Directory. O administrador abriu duas contas: MSOL_c778af008d92 e AAD_c778af008d92. A guia “Geral” está selecionada para ambas.

A conta Administrador corporativo só é necessária quando você instala e configura o Microsoft Entra Connect, mas a sua credencial não é armazenada ou salva pelo assistente de configuração. Portanto, você deve criar uma conta especial de administrador do Microsoft Entra Connect para instalar e configurar o Microsoft Entra Connect e atribuir essa conta ao grupo Administradores Corporativos quando o Microsoft Entra Connect for configurado. Entretanto, essa conta de Administrador do Microsoft Entra Connect deve ser removida do grupo Administradores Corporativos após a conclusão da configuração do Microsoft Entra Connect. A tabela a seguir detalha as contas criadas durante a configuração do Microsoft Entra Connect.

Conta Descrição
MSOL_<id> Essa conta é criada durante a instalação do Microsoft Entra Connect e é configurada para sincronizar com o locatário do Azure. A conta tem permissões de replicação de diretório no AD DS local e permissão de gravação em determinados atributos para habilitar a implantação híbrida.
AAD_<id> Esta é a conta de serviço para o mecanismo de sincronização. Ele é criado com uma senha complexa gerada aleatoriamente configurada de modo automático para nunca expirar. Quando o serviço de sincronização de diretório é executado, ele usa as credenciais da conta de serviço para ler do Active Directory local e gravar o conteúdo do banco de dados de sincronização no Azure. Isso é feito usando as conectividades de administrador do locatário que você insere no Assistente de Configuração do Microsoft Entra Connect.

Cuidado

Você não deve alterar a conta de serviço do Microsoft Entra Connect depois de instalar o Microsoft Entra Connect, pois o Microsoft Entra Connect sempre tenta a sua execução usando a conta criada durante a instalação. Se você alterar a conta, o Microsoft Entra Connect deixará de ser executado e as sincronizações agendadas não ocorrerão mais.

Leituras adicionais

Para saber mais, examine o documento a seguir.