Instalação personalizada do Microsoft Entra Connect
Use configurações personalizadas no Microsoft Entra Connect quando quiser mais opções para a instalação. Use essas configurações, por exemplo, se você tiver várias florestas ou se quiser configurar recursos opcionais. Use configurações personalizadas em todos os casos em que a instalação expressa não satisfaça suas necessidades de implantação ou topologia.
Pré-requisitos:
- Baixe o Microsoft Entra Connect.
- Conclua os passos de pré-requisitos no Microsoft Entra Connect: Hardware e pré-requisitos.
- Verifique se você tem as contas descritas em Contas e permissões do Microsoft Entra Connect.
Configurações de instalação personalizadas
Para configurar uma instalação personalizada para o Microsoft Entra Connect, percorra as páginas do assistente descritas nas seções a seguir.
Imposição do TLS 1.2 para o Microsoft Entra Connect Sync
O protocolo TLS (Transport Layer Security) versão 1.2 é um protocolo de criptografia projetado para fornecer comunicações seguras. O protocolo TLS visa principalmente fornecer privacidade e integridade de dados. TLS passou por muitas iterações, com a versão 1.2 sendo definida em RFC 5246. A versão mais recente do Microsoft Entra Connect Sync suporta totalmente o uso apenas do TLS 1.2 para comunicações com o Microsoft Entra ID. Antes de instalar as versões mais recentes do Microsoft Entra Connect Sync, certifique-se de ativar o TLS 1.2.
Para obter mais informações, consulte imposição de TLS 1.2 para o Microsoft Entra Connect Sync
Configurações rápidas
Na página Configurações Expressas, selecione Personalizar para iniciar uma instalação de configurações personalizadas. O restante deste artigo orienta você pelo processo de instalação personalizada. Use os links a seguir para ir rapidamente para as informações de uma página específica:
Instalar os componentes necessários
Ao instalar os serviços de sincronização, você pode deixar a seção de configuração opcional desmarcada. O Microsoft Entra Connect configura tudo automaticamente. Ele configura uma instância do SQL Server 2019 Express LocalDB, cria os grupos apropriados e atribui permissões. Se quiser alterar os padrões, selecione as caixas apropriadas. A tabela a seguir resume essas opções e fornece links para informações adicionais.
| Configuração opcional | Descrição |
|---|---|
| Especificar um local de instalação personalizado | Permite alterar o caminho de instalação padrão para o Microsoft Entra Connect. |
| Utilizar um SQL Server existente | Permite especificar o nome do SQL Server e o nome da instância. Escolha esta opção se já tiver um servidor de banco de dados que deseja usar. Em Nome da Instância, insira o nome da instância, uma vírgula e o número da porta se a instância do SQL Server não tiver a navegação habilitada. Em seguida, especifique o nome do banco de dados do Microsoft Entra Connect. Seus privilégios SQL determinam se um novo banco de dados pode ser criado ou se o administrador SQL deve criar o banco de dados com antecedência. Se você tiver permissões de administrador (SA) do SQL Server, consulte Instalar o Microsoft Entra Connect usando um banco de dados existente. Se você tiver permissões delegadas (DBO), consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL. |
| Utilizar uma conta de serviço existente | Por padrão, o Microsoft Entra Connect fornece uma conta de serviço virtual para os serviços de sincronização. Se você usar uma instância remota do SQL Server ou usar um proxy que exija autenticação, poderá usar uma conta de serviço gerenciada ou uma conta de serviço protegida por senha no domínio. Nesses casos, insira a conta que deseja usar. Para executar a instalação, você precisa ser uma SA em SQL para poder criar credenciais de entrada para a conta de serviço. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect.
Usando a compilação mais recente, o administrador do SQL agora pode provisionar o banco de dados fora da banda. Em seguida, o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados. Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL. |
| Especificar grupos de sincronização personalizados | Por padrão, quando os serviços de sincronização são instalados, o Microsoft Entra Connect cria quatro grupos que são locais para o servidor. Esses grupos são Administradores, Operadores, Consulta e Redefinição de Senha. Pode especificar aqui os seus próprios grupos. Os grupos devem ser locais no servidor. Eles não podem ser localizados no domínio. |
| Importar configurações de sincronização | Permite-lhe importar as definições de outras versões do Microsoft Entra Connect. Para obter mais informações, consulte Importando e exportando definições de configuração do Microsoft Entra Connect. |
Início de sessão do utilizador
Depois de instalar os componentes necessários, selecione o método de logon único dos usuários. A tabela a seguir descreve brevemente as opções disponíveis. Para obter uma descrição completa dos métodos de início de sessão, consulte Início de sessão do utilizador.
| Opção de logon único | Descrição |
|---|---|
| Sincronização de hash de palavra-passe | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As palavras-passe dos utilizadores são sincronizadas com o Microsoft Entra ID sob a forma de um hash de palavra-passe. A autenticação ocorre na nuvem. Para obter mais informações, veja Sincronização do hash de palavras-passe. |
| Autenticação de passagem direta | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As senhas de usuário são validadas sendo passadas para o controlador de domínio do Ative Directory local. |
| Federação com o AD FS | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância local dos Serviços de Federação de Diretório do Azure (AD FS) para entrar. A autenticação ocorre no local. |
| Federação com o PingFederate | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância PingFederate local para entrar. A autenticação ocorre no local. |
| Não configurar | Nenhum recurso de login de usuário está instalado ou configurado. Escolha esta opção se já tiver um servidor de federação de terceiros ou outra solução. |
| Ativar sessão única | Esta opção está disponível na sincronização do hash de palavras-passe e na autenticação pass-through. Ele fornece uma experiência de logon único para usuários de desktop em redes corporativas. Para obter mais informações, consulte Logon único.
Nota: Para clientes do AD FS, esta opção não está disponível. O AD FS já oferece o mesmo nível de logon único. |
Conectar-se ao Microsoft Entra ID
Na página Conectar à ID do Microsoft Entra, insira uma conta e senha de Administrador de Identidade Híbrida. Se você selecionou Federação com AD FS na página anterior, não entre com uma conta que esteja em um domínio que você planeja habilitar para federação.
Talvez você queira usar uma conta no domínio padrão onmicrosoft.com, que vem com o seu cliente do Microsoft Entra. Esta conta é usada apenas para criar uma conta de serviço no Microsoft Entra ID. Ele não é usado após a conclusão da instalação.
Nota
Uma prática recomendada é evitar o uso de contas sincronizadas locais para atribuições de função do Microsoft Entra. Se a conta local for comprometida, isso também poderá ser usado para comprometer seus recursos do Microsoft Entra. Para obter uma lista completa de práticas recomendadas, consulte Práticas recomendadas para funções do Microsoft Entra
Se sua conta de Administrador de Identidade Híbrida tiver a autenticação multifator habilitada, forneça a senha novamente na janela de entrada e conclua o desafio de autenticação multifator. O desafio poderá ser um código de verificação ou uma chamada telefónica.
A conta de Administrador de Identidade Híbrida também pode ter gestão de identidade privilegiada habilitada.
Para usar o suporte à autenticação para cenários sem senha, como contas federadas, cartões inteligentes e cenários de MFA, você pode fornecer o switch /InteractiveAuth ao iniciar o assistente. O uso deste interruptor ignorará a interface de autenticação do usuário do Assistente e utilizará a interface da biblioteca MSAL para autenticar.
Se vir um erro ou tiver problemas com a conectividade, consulte Resolução de problemas de conectividade.
Sincronizar páginas
As seções seguintes descrevem as páginas na seção Sincronização.
Ligue os seus diretórios
Para se conectar aos Serviços de Domínio Active Directory (AD DS), Microsoft Entra Connect precisa do nome da floresta e das credenciais de uma conta que tenha permissões suficientes.
Depois de inserir o nome da floresta e selecionar Adicionar diretório, uma janela será exibida. A tabela a seguir descreve suas opções.
| Opção | Descrição |
|---|---|
| Criar conta nova | Crie a conta do AD DS de que o Microsoft Entra Connect precisa para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Depois de selecionar essa opção, digite o nome de usuário e a senha de uma conta de administrador corporativo. O Microsoft Entra Connect usa a conta de administrador empresarial fornecida para criar a conta do AD DS necessária. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\administrator ou fabrikam.com\administrator. |
| Utilizar conta existente | Forneça uma conta AD DS existente que o Microsoft Entra Connect possa usar para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\syncuser ou fabrikam.com\syncuser. Essa conta pode ser uma conta de usuário regular porque precisa apenas das permissões de leitura padrão. Mas, dependendo do seu cenário, você pode precisar de mais permissões. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect. |
Nota
A partir da compilação 1.4.18.0, você não pode usar uma conta de administrador corporativo ou de administrador de domínio como a conta do conector do AD DS. Quando seleciona Utilizar conta existente, se tentar introduzir uma conta de administrador empresarial ou uma conta de administrador de domínio, verá o seguinte erro: "Não é permitido utilizar uma conta de administrador empresarial ou de domínio para a sua conta de floresta do AD. Deixe que o Microsoft Entra Connect crie a conta para si ou especifique uma conta de sincronização com as permissões corretas."
Configuração de início de sessão do Microsoft Entra
Na página de configuração de início de sessão do Microsoft Entra, reveja os domínios UPN (nome principal do utilizador) no AD DS no local. Esses domínios UPN foram verificados no Microsoft Entra ID. Nesta página, você configura o atributo a ser usado para o userPrincipalName.
Analise todos os domínios marcados como Não adicionado ou Não verificado. Certifique-se de que os domínios que você usa foram verificados no Microsoft Entra ID. Depois de verificar seus domínios, selecione o ícone de atualização circular. Para obter mais informações, consulte Adicionar e verificar o domínio.
Os usuários usam o atributo userPrincipalName quando entram no Microsoft Entra ID e no Microsoft 365. O Microsoft Entra ID deve verificar os domínios, também conhecido como sufixo UPN, antes que os usuários sejam sincronizados. A Microsoft recomenda que você mantenha o atributo padrão userPrincipalName.
Se o atributo userPrincipalName não for roteável e não puder ser verificado, você poderá selecionar outro atributo. Você pode, por exemplo, selecionar e-mail como o atributo que contém a ID de entrada. Quando você usa um atributo diferente de userPrincipalName, ele é conhecido como uma ID alternativa.
O valor do atributo de ID alternativo tem de seguir a norma RFC 822. Pode utilizar um ID alternativo com sincronização do hash de palavra-passe, autenticação pass-through e federação. No Ative Directory, o atributo não pode ser definido como tendo múltiplos valores, mesmo que tenha apenas um único valor. Para obter mais informações sobre a ID alternativa, consulte Autenticação de passagem: perguntas frequentes.
Nota
Ao habilitar a autenticação de passagem, você deve ter pelo menos um domínio verificado para continuar no processo de instalação personalizada.
Aviso
As IDs alternativas não são compatíveis com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, consulte Configurando IDs de entrada alternativas.
Filtragem de domínios e unidades organizacionais
Por padrão, todos os domínios e unidades organizacionais (OUs) são sincronizados. Se não quiser sincronizar alguns domínios ou UOs com o Microsoft Entra ID, você pode limpar as seleções apropriadas.
Esta página configura a filtragem baseada em domínio e em unidade organizacional. Se você planeja fazer alterações, consulte Filtragem baseada em domínio e filtragem baseada em UO. Algumas UOs são essenciais para a funcionalidade, por isso deve deixá-las selecionadas.
Se você usar a filtragem baseada em UO com uma versão do Microsoft Entra Connect anterior a 1.1.524.0, as novas UOs serão sincronizadas por padrão. Se você não quiser que novas UOs sejam sincronizadas, poderá ajustar o comportamento padrão após a etapa de filtragem baseada em UO. Para o Microsoft Entra Connect 1.1.524.0 ou posterior, você pode indicar se deseja que novas UOs sejam sincronizadas.
Se você planeia usar filtragem baseada em grupos, certifique-se de que a OU com o grupo está incluída e que não é filtrada através da filtragem da OU. A filtragem de UO é avaliada antes de a filtragem baseada em grupo ser avaliada.
Também é possível que alguns domínios estejam inacessíveis devido a restrições de firewall. Esses domínios não são selecionados por padrão e apresentam um aviso. Se vir este aviso, certifique-se de que estes domínios estão realmente inacessíveis e que o aviso é esperado.
Identificar os utilizadores de forma exclusiva
Na página Identificando usuários, escolha como identificar usuários em seus diretórios locais e como identificá-los usando o atributo sourceAnchor.
Selecione a forma como os utilizadores devem ser identificados nos seus diretórios no local
Ao usar o recurso Correspondência entre florestas, pode definir como os utilizadores das suas florestas do AD DS são representados na Entra ID da Microsoft. Um usuário pode ser representado apenas uma vez em todas as florestas ou pode ter uma combinação de contas habilitadas e desabilitadas. O utilizador também pode ser representado como um contacto em algumas florestas.
| Configuração | Descrição |
|---|---|
| Os usuários são representados apenas uma vez em todas as florestas | Todos os usuários são criados como objetos individuais no Microsoft Entra ID. Os objetos não são unidos no metaverso. |
| Atributo de correio | Esta opção associa utilizadores e contactos se o atributo de correio tiver o mesmo valor em florestas diferentes. Use esta opção quando seus contatos foram criados usando GALSync. Se você escolher essa opção, os objetos de usuário cujo atributo de email não está preenchido não serão sincronizados com o Microsoft Entra ID. |
| Atributos ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Esta opção associa um utilizador ativado numa floresta de contas a um utilizador desativado numa floresta de recursos. No Exchange, esta configuração é conhecida como uma caixa de correio ligada. Pode utilizar esta opção se utilizar apenas o Lync e se o Exchange não estiver presente na floresta de recursos. |
| Atributos SAMAccountName e MailNickName | Esta opção junta-se aos atributos onde se espera encontrar o ID de início de sessão do utilizador. |
| Escolha um atributo específico | Esta opção permite-lhe selecionar o seu próprio atributo. Se você escolher essa opção, os objetos de usuário cujo atributo (selecionado) não está preenchido não serão sincronizados com a ID do Microsoft Entra. Limitação: Apenas atributos que já estão no metaverso estão disponíveis para esta opção. |
Selecionar como os usuários devem ser identificados usando uma âncora de origem
O atributo sourceAnchor é imutável durante o tempo de vida de um objeto de usuário. É a chave primária que vincula o usuário local ao usuário no Microsoft Entra ID.
| Configuração | Descrição |
|---|---|
| Permitir que o Azure gerencie a âncora de origem | Selecione esta opção se desejar que o Microsoft Entra ID escolha o atributo para você. Se você selecionar essa opção, o Microsoft Entra Connect aplicará a lógica de seleção de atributo sourceAnchor descrita em Usando ms-DS-ConsistencyGuid como sourceAnchor. Após a conclusão da instalação personalizada, você verá qual atributo foi escolhido como o atributo sourceAnchor. |
| Escolha um atributo específico | Selecione essa opção se quiser especificar um atributo do AD existente como o atributo sourceAnchor. |
Como o atributo sourceAnchor não pode ser alterado, você deve escolher um atributo apropriado. Um bom candidato é objectGUID. Esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas ou domínios. Não escolha atributos que podem mudar quando uma pessoa se casa ou muda de tarefas.
Você não pode usar atributos que incluam um sinal de arroba (@), portanto, não pode usar email e userPrincipalName. O atributo também diferencia maiúsculas de minúsculas, portanto, ao mover um objeto entre florestas, certifique-se de preservar as letras maiúsculas e minúsculas. Os atributos binários são codificados em Base64, mas outros tipos de atributos permanecem em seu estado não codificado.
Em cenários de federação e algumas interfaces de ID do Microsoft Entra, o atributo sourceAnchor também é conhecido como immutableID.
Para obter mais informações sobre a âncora de origem, consulte Conceitos de design.
Filtragem de sincronização baseada em grupos
O recurso de filtragem em grupos permite sincronizar apenas um pequeno subconjunto de objetos para um piloto. Para usar esse recurso, crie um grupo para essa finalidade em sua instância local do Ative Directory. Em seguida, adicione usuários e grupos que devem ser sincronizados com o Microsoft Entra ID como membros diretos. Mais tarde, você pode adicionar usuários ou remover usuários desse grupo para manter a lista de objetos que devem estar presentes no ID do Microsoft Entra.
Todos os objetos que você deseja sincronizar devem ser membros diretos do grupo. Usuários, grupos, contatos e computadores ou dispositivos devem ser membros diretos. A associação a grupos aninhados não está resolvida. Quando você adiciona um grupo como membro, somente o próprio grupo é adicionado. Seus membros não são adicionados.
Aviso
Este recurso destina-se a suportar apenas uma implantação piloto. Não o use em uma implantação de produção completa.
Em uma implantação de produção completa, seria difícil manter um único grupo e todos os seus objetos para sincronizar. Em vez do recurso de filtragem em grupos, use um dos métodos descritos em Configurar filtragem.
Funcionalidades opcionais
Na página seguinte, você pode selecionar recursos opcionais para seu cenário.
Aviso
As versões 1.0.8641.0 e anteriores do Microsoft Entra Connect dependem do Serviço de Controle de Acesso do Azure para write-back de senha. Este serviço foi aposentado em 7 de novembro de 2018. Se você usar qualquer uma dessas versões do Microsoft Entra Connect e tiver habilitado o write-back de senha, os usuários poderão perder a capacidade de alterar ou redefinir suas senhas quando o serviço for desativado. Estas versões do Microsoft Entra Connect não suportam write-back de palavra-passe.
Se quiser usar a escrita de senha de volta, baixe a versão mais recente do Microsoft Entra Connect.
Aviso
Se o Azure AD Sync ou a Sincronização Direta (DirSync) estiverem ativos, não ative nenhum recurso de write-back no Microsoft Entra Connect.
| Funcionalidades opcionais | Descrição |
|---|---|
| Implementação híbrida do Exchange | O recurso de implantação híbrida do Exchange permite a coexistência de caixas de correio do Exchange no local e no Microsoft 365. O Microsoft Entra Connect sincroniza um conjunto específico de atributos do Microsoft Entra para o diretório local. |
| Pastas públicas de email do Exchange | O recurso de pastas públicas de email do Exchange permite sincronizar objetos de pasta pública habilitados para email de sua instância local do Ative Directory para o Microsoft Entra ID. Observe que não há suporte para sincronizar grupos que contêm pastas públicas como membros, e tentar fazer isso resultará em um erro de sincronização. |
| Aplicação Microsoft Entra e filtragem de atributos | Ao habilitar o aplicativo Microsoft Entra e a filtragem de atributos, você pode personalizar o conjunto de atributos sincronizados. Esta opção adiciona mais duas páginas de configuração ao assistente. Para obter mais informações, consulte Aplicativo Microsoft Entra e filtragem de atributos. |
| Sincronização de hash de palavra-passe | Se selecionar a federação como solução de autenticação, poderá ativar a sincronização das palavras-passe. Então você pode usá-lo como uma opção de backup.
Se selecionaste a autenticação de passagem direta, podes habilitar esta opção para garantir suporte a clientes legados e fornecer uma cópia de segurança. Para obter mais informações, consulte Sincronização de hash de senha. |
| Reinscrição de palavra-passe | Use essa opção para garantir que as alterações de senha originadas na ID do Microsoft Entra sejam gravadas novamente no diretório local. Para mais informações, consulte Introdução à gestão de palavras-passe |
| Sincronização de grupos | Se você usar o Microsoft 365 Groups, poderá representar grupos em sua instância local do Ative Directory. Essa opção só estará disponível se você tiver o Exchange em sua instância local do Ative Directory. Para obter mais informações, consulte Write-back do grupo Microsoft Entra Connect. |
| Repetição de escrita do dispositivo | Para cenários de acesso condicional, utilize esta opção para gravar objetos de dispositivo no Microsoft Entra ID na sua instância local do Active Directory. Para obter mais informações, consulte Ativar escrita reversa de dispositivo no Microsoft Entra Connect. |
| Sincronização de atributos de extensões de diretórios | Selecione esta opção para sincronizar atributos especificados com o ID do Microsoft Entra. Para obter mais informações, consulte Extensões de diretórios. |
Aplicação Microsoft Entra e filtragem de atributos
Se você quiser limitar quais atributos são sincronizados com o ID do Microsoft Entra, comece selecionando os serviços que você usa. Se você alterar as seleções nesta página, terá que selecionar explicitamente um novo serviço executando novamente o assistente de instalação.
Com base nos serviços selecionados na etapa anterior, esta página mostra todos os atributos sincronizados. Esta lista é uma combinação de todos os tipos de objeto que estão sendo sincronizados. Se você precisar que alguns atributos permaneçam não sincronizados, poderá limpar a seleção desses atributos.
Aviso
A remoção de atributos pode afetar a funcionalidade. Para obter práticas recomendadas e recomendações, consulte Atributos a serem sincronizados.
Sincronização de atributos de Extensões de Diretórios
Você pode estender o esquema no Microsoft Entra ID usando atributos personalizados que sua organização adicionou ou usando outros atributos no Ative Directory. Para usar esse recurso, na página Recursos opcionais, selecione Sincronização de atributos de extensão de diretório. Na página Extensões de Diretório , você pode selecionar mais atributos para sincronizar.
Nota
O campo Atributos Disponíveis diferencia entre maiúsculas e minúsculas.
Para obter mais informações, consulte Extensões de diretórios.
Habilitando o logon único
Na página Início de sessão único, configura-se o início de sessão único para uso com sincronização de palavra-passe ou autenticação de passagem. Você faz essa etapa uma vez para cada floresta que está sendo sincronizada com o ID do Microsoft Entra. A configuração envolve duas etapas:
- Crie a conta de computador necessária em sua instância local do Ative Directory.
- Configure a zona da intranet das máquinas cliente para oferecer suporte ao logon único.
Criar a conta de computador no Active Directory
Para cada floresta que foi adicionada no Microsoft Entra Connect, você precisa fornecer credenciais de administrador de domínio para que a conta de computador possa ser criada em cada floresta. As credenciais são usadas apenas para criar a conta. Eles não são armazenados ou usados para qualquer outra operação. Adicione as credenciais na página Ativar início de sessão único, como mostra a imagem a seguir.
Nota
Pode ignorar florestas onde não pretende utilizar a autenticação única.
Configurar a zona da intranet para máquinas cliente
Para garantir que o cliente inicie sessão automaticamente na zona da intranet, certifique-se de que o URL faz parte da zona da intranet. Esta etapa garante que o computador associado ao domínio envie automaticamente um tíquete Kerberos para o Microsoft Entra ID quando estiver conectado à rede corporativa.
Em um computador que tenha ferramentas de gestão de Diretivas de Grupo:
Abra as ferramentas de gestão de Diretivas de Grupo.
Edite a política de grupo que será aplicada a todos os usuários. Por exemplo, a política de domínio padrão.
Vá para Configuração do Utilizador>Modelos Administrativos>Componentes do Windows>Internet Explorer>Painel de Controlo da Internet>Página de Segurança. Em seguida, selecione Lista de Atribuição de Sites a Zonas.
Ative a política. Em seguida, na caixa de diálogo, insira um nome de valor de
https://autologon.microsoftazuread-sso.comehttps://aadg.windows.net.nsatc.netcom um valor de1para ambas as URLs. Sua configuração deve se parecer com a imagem a seguir.
Selecione OK duas vezes.
Configurar a federação com o AD FS
Você pode configurar o AD FS com o Microsoft Entra Connect em apenas alguns cliques. Antes de começar, você precisa:
- Windows Server 2012 R2 ou posterior para o servidor de federação. O gerenciamento remoto deve ser habilitado.
- Windows Server 2012 R2 ou posterior para o servidor Proxy de Aplicativo Web. O gerenciamento remoto deve ser habilitado.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Nota
Você pode atualizar um certificado TLS/SSL para seu farm do AD FS usando o Microsoft Entra Connect mesmo que não o use para gerenciar sua confiança de federação.
Pré-requisitos de configuração do AD FS
Para configurar seu farm do AD FS usando o Microsoft Entra Connect, verifique se o WinRM está habilitado nos servidores remotos. Certifique-se de ter concluído as outras tarefas em Pré-requisitos de federação. Certifique-se também de seguir os requisitos de portas listados na tabela de Microsoft Entra Connect e servidores Federation/WAP.
Você será solicitado a inserir credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor AD FS. Essas credenciais devem ser para uma conta de administrador local no servidor AD FS.
Criar um novo farm do AD FS ou utilizar um existente
Você pode usar um farm do AD FS existente ou criar um novo. Se você optar por criar um novo, deverá fornecer o certificado TLS/SSL. Se o certificado TLS/SSL estiver protegido por uma palavra-passe, ser-lhe-á pedido que forneça a palavra-passe.
Se optar por usar um farm do AD FS existente, verá a página onde pode configurar a relação de confiança entre o AD FS e o Microsoft Entra ID.
Nota
Você pode usar o Microsoft Entra Connect para gerenciar apenas um farm do AD FS. Se tiver uma confiança de federação existente onde a Microsoft Entra ID está configurada no farm AD FS selecionado, o Microsoft Entra Connect recria a confiança desde o início.
Especificar os servidores do AD FS
Especifique os servidores onde pretende instalar o AD FS. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade. Antes de configurar essa configuração, associe todos os servidores AD FS ao Ative Directory. Esta etapa não é necessária para os servidores Proxy de Aplicativo Web.
A Microsoft recomenda a instalação de um único servidor do AD FS para implementações de teste e piloto. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.
Nota
Antes de configurar essa configuração, verifique se todos os seus servidores estão associados a um domínio do Microsoft Entra.
Especificar os servidores Proxy de Web Apps
Especifique seus servidores Web Application Proxy. O servidor Web Application Proxy é implantado em sua rede de perímetro, de frente para a extranet. Suporta pedidos de autenticação a partir da extranet. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade.
A Microsoft recomenda a instalação de um único servidor Web Application Proxy para implantações piloto e de teste. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente. Recomendamos que você tenha um número equivalente de servidores proxy para satisfazer a autenticação da intranet.
Nota
- Se a conta que você usa não for um administrador local nos servidores Proxy de Aplicativo Web, serão solicitadas credenciais de administrador.
- Antes de especificar servidores Proxy de Aplicativo Web, verifique se há conectividade HTTP/HTTPS entre o servidor Microsoft Entra Connect e o servidor Proxy de Aplicativo Web.
- Verifique se há conectividade HTTP/HTTPS entre o Servidor de Aplicativos Web e o servidor AD FS para permitir que as solicitações de autenticação fluam.
Especifique a conta de serviço para o serviço do AD FS
O serviço AD FS requer uma conta de serviço de domínio para autenticar usuários e pesquisar informações do usuário no Ative Directory. Pode suportar dois tipos de contas de serviço:
- Conta de serviço gerenciado de grupo: esse tipo de conta foi introduzido no AD DS pelo Windows Server 2012. Esse tipo de conta fornece serviços como o AD FS. É uma conta única na qual você não precisa atualizar a senha regularmente. Utilize esta opção se já tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores do AD FS.
- Conta de utilizador de domínio: Este tipo de conta requer que forneça uma palavra-passe e atualize-a regularmente quando expirar. Utilize esta opção apenas quando não tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores AD FS.
Se você selecionou Criar uma Conta de Serviço Gerenciado de grupo e esse recurso nunca foi usado no Ative Directory, insira suas credenciais de administrador corporativo. Estas credenciais são utilizadas para iniciar o armazenamento de chaves e ativar a funcionalidade no Active Directory.
Nota
O Microsoft Entra Connect verifica se o serviço AD FS já está registrado como um SPN (nome da entidade de serviço) no domínio. O AD DS não permite que SPNs duplicados sejam registrados ao mesmo tempo. Se um SPN duplicado for encontrado, você não poderá continuar até que o SPN seja removido.
Selecione o domínio do Microsoft Entra que você deseja federar
Use a página Domínio Microsoft Entra para configurar a relação de federação entre AD FS e Microsoft Entra ID. Aqui, você configura o AD FS para fornecer tokens de segurança para o Microsoft Entra ID. Você também configura o Microsoft Entra ID para confiar nos tokens dessa instância do AD FS.
Nesta página, você pode configurar apenas um único domínio na instalação inicial. Você pode configurar mais domínios posteriormente executando o Microsoft Entra Connect novamente.
Você será solicitado a inserir credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor AD FS. Essas credenciais devem ser para uma conta de administrador local no servidor AD FS.
Verifique o domínio do Microsoft Entra selecionado para federação
Quando você seleciona o domínio que deseja federar, o Microsoft Entra Connect fornece informações que você pode usar para verificar um domínio não verificado. Para obter mais informações, consulte Adicionar e verificar o domínio.
Nota
O Microsoft Entra Connect tenta verificar o domínio durante o estágio de configuração. Se você não adicionar os registros DNS (Sistema de Nomes de Domínio) necessários, a configuração não poderá ser concluída.
Configurar a federação com o PingFederate
Você pode configurar o PingFederate com o Microsoft Entra Connect em apenas alguns cliques. Os seguintes pré-requisitos são necessários:
- PingFederate 8.4 ou posterior. Para obter mais informações, consulte Integração do PingFederate com o Microsoft Entra ID e o Microsoft 365 na documentação do Ping Identity.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Verificar o domínio
Depois de optar por configurar a federação usando o PingFederate, você será solicitado a verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.
Exportar as definições do PingFederate
Configure o PingFederate como o servidor de federação para cada domínio federado do Azure. Selecione Configurações de exportação para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualiza a configuração e, em seguida, fornece a URL do servidor PingFederate e o número da porta para que o Microsoft Entra Connect possa verificar as configurações de metadados.
Você será solicitado a inserir credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor AD FS. Essas credenciais devem ser para uma conta de administrador local no servidor AD FS.
Contacte o administrador de PingFederate para resolver quaisquer problemas de validação. A imagem a seguir mostra informações sobre um servidor PingFederate que não tem nenhuma relação de confiança válida com o Azure.
Verificar a conectividade da federação
O Microsoft Entra Connect tenta validar os pontos de extremidade de autenticação que recupera dos metadados PingFederate na etapa anterior. O Microsoft Entra Connect tenta primeiro resolver os pontos de extremidade usando os seus servidores DNS locais. Em seguida, tenta resolver os endpoints usando um provedor de DNS externo. Contacte o administrador de PingFederate para resolver quaisquer problemas de validação.
Verificar o login de federação
Por fim, pode verificar o fluxo de início de sessão federado recém configurado, ao iniciar sessão no domínio federado. Se o início de sessão for bem-sucedido, a federação com o PingFederate foi configurada com êxito.
Configurar e verificar páginas
A configuração acontece na página Configurar .
Nota
Se configurou a federação, certifique-se de que também configurou a resolução de nomes para servidores de federação antes de continuar a instalação.
Usar o modo de teste
É possível configurar um novo servidor de sincronização em paralelo com o modo de preparação. Se você quiser usar essa configuração, apenas um servidor de sincronização pode exportar para um diretório na nuvem. Mas se você quiser mover de outro servidor, por exemplo, um servidor executando DirSync, então você pode ativar o Microsoft Entra Connect no modo de preparação.
Quando se ativa a configuração de preparação, o motor de sincronização importa e sincroniza os dados normalmente. Mas não exporta dados para o Microsoft Entra ID ou Ative Directory. No modo de preparação, o recurso de sincronização de senha e o recurso de write-back de senha são desativados.
No modo de preparação, você pode fazer as alterações necessárias no mecanismo de sincronização e revisar o que será exportado. Quando lhe parecer que a configuração está boa, execute novamente o assistente de instalação e desative o modo de teste.
Os dados agora são exportados para o Microsoft Entra ID do servidor. Não se esqueça de desativar ao mesmo tempo o outro servidor para que haja apenas um servidor a exportar ativamente.
Para obter mais informações, consulte Modo de teste.
Verifique a sua configuração de federação
O Microsoft Entra Connect verifica as configurações de DNS quando você seleciona o botão Verificar . Ele verifica as seguintes configurações:
Conectividade da intranet
- Resolver o FQDN da federação: o Microsoft Entra Connect verifica se o DNS consegue resolver o FQDN da federação para garantir a conectividade. Se o Microsoft Entra Connect não conseguir resolver o FQDN, a verificação falhará. Para concluir a verificação, verifique se um registro DNS está presente para o FQDN do serviço de federação.
- Registo DNS A: o Microsoft Entra Connect verifica se o serviço de federação tem um registo A. Na ausência de um registo A, a verificação falha. Para concluir a verificação, crie um registro A (não um registro CNAME) para o FQDN de federação.
Conectividade de extranet
- Resolver o FQDN da federação: o Microsoft Entra Connect verifica se o DNS consegue resolver o FQDN da federação para garantir a conectividade. err Para validar a autenticação de ponta a ponta, execute manualmente um ou mais dos seguintes testes:
Quando a sincronização terminar, no Microsoft Entra Connect, use a tarefa adicional Verificar logon federado para verificar a autenticação de uma conta de utilizador on-premises que você escolher.
A partir de uma máquina associada a um domínio na intranet, certifique-se de que consegue iniciar sessão a partir de um browser. Conecte-se ao https://myapps.microsoft.com. Em seguida, use a sua conta com sessão iniciada para verificar o início de sessão. A conta de administrador do AD DS interna não está sincronizada e você não pode usá-la para verificação.
Certifique-se de que consegue iniciar sessão a partir de um dispositivo na extranet. Em um computador pessoal ou num dispositivo móvel, conecte-se ao https://myapps.microsoft.com. Em seguida, forneça suas credenciais.
Valide o início de sessão de cliente avançado. Conecte-se ao https://testconnectivity.microsoft.com. Em seguida, selecione Office 365>Office 365 Single Sign-On Test.
Resolver problemas
Esta seção contém informações de solução de problemas que você pode usar se tiver um problema durante a instalação do Microsoft Entra Connect.
Ao personalizar uma instalação do Microsoft Entra Connect, na página Instalar componentes necessários, você pode selecionar Usar um SQL Server existente. Você pode ver o seguinte erro: "O banco de dados ADSync já contém dados e não pode ser substituído. Remova o banco de dados existente e tente novamente."
Você vê esse erro porque um banco de dados chamado ADSync já existe na instância SQL do SQL Server que você especificou.
Normalmente, este erro é apresentado depois de ter desinstalado o Microsoft Entra Connect. O banco de dados não é excluído do computador que executa o SQL Server quando você desinstala o Microsoft Entra Connect.
Para corrigir esse problema:
Verifique o banco de dados ADSync que o Microsoft Entra Connect usava antes de ser desinstalado. Verifique se o banco de dados não está mais sendo usado.
Faça backup do banco de dados.
Exclua o banco de dados:
- Utilize o Microsoft SQL Server Management Studio para se conectar à instância de SQL.
- Localize o banco de dados ADSync e clique com o botão direito do mouse nele.
- No menu de contexto, selecione Excluir.
- Selecione OK para excluir o banco de dados.
Depois de excluir o banco de dados ADSync, selecione Instalar para repetir a instalação.
Próximos passos
Após a conclusão da instalação, saia do Windows. Em seguida, entre novamente antes de usar o Gerenciador de Serviço de Sincronização ou o Editor de Regras de Sincronização.
Agora que você instalou o Microsoft Entra Connect, você pode verificar a instalação e atribuir licenças.
Para obter mais informações sobre os recursos habilitados durante a instalação, consulte Impedir exclusões acidentais e Microsoft Entra Connect Health.
Para obter mais informações sobre outros tópicos comuns, consulte Microsoft Entra Connect Sync: Scheduler e Integrar suas identidades locais com o Microsoft Entra ID.