Instalar e configurar a sincronização de diretórios com o Microsoft Entra Connect

  • 7 minutos

O Microsoft Entra Connect exige um computador conectado ao domínio para hospedar o serviço de sincronização. A maioria das organizações implanta um servidor de sincronização dedicado.

Requisitos

Depois de configurar o Azure com um locatário Active Directory, você deve concluir as tarefas principais para implantar a sincronização de diretório usando as seguintes etapas:

  1. Adicionar seu domínio AD DS no Azure, verificar o domínio e definir o domínio como o domínio primário.

  2. Faça download e instale o Microsoft Entra Connect.

    Uma captura de tela da folha Microsoft Entra Connect no Centro de administração do Microsoft Entra. O administrador está prestes a baixar o recurso do Microsoft Entra Connect.

  3. Execute o Assistente de Configuração do Microsoft Entra Connect. (Opcionalmente, você pode configurar o Microsoft Entra Connect para sincronizar UOs específicas no ambiente do AD DS local).

    Uma captura de tela da página Configurações Expressas do Assistente do Microsoft Entra Connect. O administrador pode escolher Personalizar ou usar as configurações expressas. A floresta do AD atual é CONTOSO.

  4. Habilite recursos opcionais, como sincronização de hash de senha, write-back de senha e implantação híbrida do Exchange.

  5. Execute o Microsoft Entra Connect e deixe que ele configure o ambiente para a sincronização de diretórios

  6. Valide os resultados da sincronização.

    Captura de tela do Assistente do Microsoft Entra Connect, guia Filtragem de Domínio/UO. O administrador selecionou a opção sincronizar domínios e unidades organizacionais selecionados, além das várias UOs da lista Contoso.com retornada.

Após configurar o Microsoft Entra Connect e executar a sincronização inicial, você pode reconfigurar as opções de sincronização, se precisar. A instalação do software Microsoft Entra Connect inclui vários aplicativos relacionados à sincronização de diretório. Ao executar o Microsoft Entra Connect, você tem a opção de usar as configurações de instalação Expressa, que configura a sincronização de diretório com as configurações mais utilizadas, ou pode optar por personalizar as opções de configuração.

Se você optar por usar a instalação personalizada, no início da instalação, poderá escolher usar um SQL Server personalizado, em vez de um banco de dados local. Você também pode optar por usar uma conta de serviço atual, em vez de uma criada pelo processo de instalação automática. Além disso, você pode especificar grupos de sincronização personalizados. Por padrão, os grupos Administradores, Operadores, Navegar e Redefinição de senha são criados pelo Microsoft Entra Connect, mas você pode utilizar seus próprios grupos personalizados para essa finalidade.

Por padrão, o Microsoft Entra Connect configura a sincronização de hash de senha para o modo de sincronização de diretório. Se você escolher instalação personalizada, também poderá escolher a opção Federação com AD FS ou autenticação de passagem. Como alternativa, você poderá configurar manualmente a sincronização de diretório se tiver um servidor de federação não da Microsoft ou outra solução implantada.

A instalação personalizada do Microsoft Entra Connect também permite escolher a forma como você deve identificar seus usuários. Por padrão, a instalação presume que os usuários sejam representados apenas uma vez em todos os diretórios. No entanto, se você tiver um cenário em que as identidades de usuário existem em vários diretórios, deverá escolher o atributo correspondente. Você pode escolher entre as opções descritas na tabela a seguir.

Opção Descrição
atributo de email Essa opção associa usuários e contatos quando o atributo de email tem o mesmo valor em florestas diferentes.
ObjectSID e msExchangeMasterAccountSID Essa opção ingressa um usuário habilitado em uma floresta de contas com um usuário desabilitado em uma floresta de recursos do Exchange. No Exchange, isso também é conhecido como caixa de correio vinculada.
sAMAccountName e mailNickname Essa opção une atributos adicionais em locais em um diretório em que se espera que a ID de logon do usuário seja encontrada.
Meu próprio atributo Essa opção permite que você selecione seu próprio atributo.
Âncora de origem Esse é um atributo que permanece imutável durante o tempo de vida de um objeto de usuário. Em outras palavras, esse atributo é a chave primária que vincula o objeto do usuário local ao objeto do usuário no Microsoft Entra ID. Como esse atributo não pode ser alterado posteriormente, você deve escolher cuidadosamente um atributo a ser usado para essa finalidade. Uma opção padrão é objectGUID, pois esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas e domínios.

Você pode configurar o atributo UserPrincipalName na mesma janela. Esse é o atributo que os usuários utilizam quando entram no Microsoft Entra ID. Os domínios utilizados para esse fim, também conhecidos como Sufixo UPN, devem ser verificados no Microsoft Entra ID antes de sincronizar os objetos do usuário.

Em alguns casos, talvez você queira sincronizar apenas um subconjunto de seus usuários do AD DS local. O Microsoft Entra Connect permite selecionar um grupo específico de usuários que você gostaria sincronizar com o Microsoft Entra ID. Você deve criar esse grupo antes de executar o Microsoft Entra Connect. Após a conclusão da configuração, você pode adicionar e remover usuários desse grupo para manter a lista de objetos de usuário que devem estar presentes no Microsoft Entra ID. Você também pode usar UOs do AD DS local como o escopo para replicação. Na etapa final, o Microsoft Entra Connect permite que você configure alguns recursos opcionais disponíveis no Microsoft Entra ID P1 ou P2.