Instalação personalizada do Microsoft Entra Connect
Use configurações personalizadas no Microsoft Entra Connect quando quiser mais opções para a instalação. Use essas configurações, por exemplo, se você tiver várias florestas ou se quiser configurar recursos opcionais. Use configurações personalizadas em todos os casos em que a instalação expressa não satisfaça suas necessidades de implantação ou topologia.
Pré-requisitos:
- Baixe o Microsoft Entra Connect.
- Conclua as etapas de pré-requisito no Microsoft Entra Connect: Hardware e pré-requisitos.
- Verifique se você tem as contas descritas em Contas e permissões do Microsoft Entra Connect.
Configurações de instalação personalizadas
Para configurar uma instalação personalizada para o Microsoft Entra Connect, percorra as páginas do assistente descritas nas seções a seguir.
Definições rápidas
Na página Configurações Expressas, selecione Personalizar para iniciar uma instalação de configurações personalizadas. O restante deste artigo orienta você pelo processo de instalação personalizada. Use os links a seguir para ir rapidamente para as informações de uma página específica:
Instalar os componentes necessários
Ao instalar os serviços de sincronização, você pode deixar a seção de configuração opcional desmarcada. O Microsoft Entra Connect configura tudo automaticamente. Ele configura uma instância do SQL Server 2019 Express LocalDB, cria os grupos apropriados e atribui permissões. Se quiser alterar os padrões, selecione as caixas apropriadas. A tabela a seguir resume essas opções e fornece links para informações adicionais.
| Configuração opcional | Description |
|---|---|
| Especificar um local de instalação personalizado | Permite alterar o caminho de instalação padrão para o Microsoft Entra Connect. |
| Utilizar um SQL Server existente | Permite especificar o nome do SQL Server e o nome da instância. Escolha esta opção se já tiver um servidor de banco de dados que deseja usar. Em Nome da Instância, insira o nome da instância, uma vírgula e o número da porta se a instância do SQL Server não tiver a navegação habilitada. Em seguida, especifique o nome do banco de dados do Microsoft Entra Connect. Seus privilégios SQL determinam se um novo banco de dados pode ser criado ou se o administrador SQL deve criar o banco de dados com antecedência. Se você tiver permissões de administrador (SA) do SQL Server, consulte Instalar o Microsoft Entra Connect usando um banco de dados existente. Se você tiver permissões delegadas (DBO), consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL. |
| Utilizar uma conta de serviço existente | Por padrão, o Microsoft Entra Connect fornece uma conta de serviço virtual para os serviços de sincronização. Se você usar uma instância remota do SQL Server ou usar um proxy que exija autenticação, poderá usar uma conta de serviço gerenciada ou uma conta de serviço protegida por senha no domínio. Nesses casos, insira a conta que deseja usar. Para executar a instalação, você precisa ser uma SA em SQL para poder criar credenciais de entrada para a conta de serviço. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect. Usando a compilação mais recente, o administrador do SQL agora pode provisionar o banco de dados fora da banda. Em seguida, o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados. Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL. |
| Especificar grupos de sincronização personalizados | Por padrão, quando os serviços de sincronização são instalados, o Microsoft Entra Connect cria quatro grupos que são locais para o servidor. Esses grupos são Administradores, Operadores, Procurar e Redefinição de senha. Pode especificar aqui os seus próprios grupos. Os grupos devem ser locais no servidor. Eles não podem ser localizados no domínio. |
| Importar configurações de sincronização | Permite-lhe importar as definições de outras versões do Microsoft Entra Connect. Para obter mais informações, consulte Importando e exportando definições de configuração do Microsoft Entra Connect. |
Início de sessão do utilizador
Depois de instalar os componentes necessários, selecione o método de logon único dos usuários. A tabela a seguir descreve brevemente as opções disponíveis. Para obter uma descrição completa dos métodos de início de sessão, consulte Início de sessão do utilizador.
| Opção de logon único | Description |
|---|---|
| Sincronização de hash de palavra-passe | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As senhas de usuário são sincronizadas com o Microsoft Entra ID como um hash de senha. A autenticação ocorre na nuvem. Para obter mais informações, veja Sincronização do hash de palavras-passe. |
| Autenticação pass-through | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As senhas de usuário são validadas sendo passadas para o controlador de domínio do Ative Directory local. |
| Federação com o AD FS | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância local dos Serviços de Federação de Diretório do Azure (AD FS) para entrar. A autenticação ocorre no local. |
| Federação com o PingFederate | Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância PingFederate local para entrar. A autenticação ocorre no local. |
| Não configurar | Nenhum recurso de login de usuário está instalado ou configurado. Escolha esta opção se já tiver um servidor de federação de terceiros ou outra solução. |
| Ativar o início de sessão único | Esta opção está disponível na sincronização do hash de palavras-passe e na autenticação pass-through. Ele fornece uma experiência de logon único para usuários de desktop em redes corporativas. Para obter mais informações, consulte Logon único. Nota: Para clientes do AD FS, esta opção não está disponível. O AD FS já oferece o mesmo nível de logon único. |
Conectar-se ao Microsoft Entra ID
Na página Conectar à ID do Microsoft Entra, insira uma conta e senha de Administrador de Identidade Híbrida. Se você selecionou Federação com AD FS na página anterior, não entre com uma conta que esteja em um domínio que você planeja habilitar para federação.
Talvez você queira usar uma conta no domínio onmicrosoft.com padrão, que vem com seu locatário do Microsoft Entra. Esta conta é usada apenas para criar uma conta de serviço no Microsoft Entra ID. Ele não é usado após a conclusão da instalação.
Nota
Uma prática recomendada é evitar o uso de contas sincronizadas locais para atribuições de função do Microsoft Entra. Se a conta local for comprometida, isso também poderá ser usado para comprometer seus recursos do Microsoft Entra. Para obter uma lista completa de práticas recomendadas, consulte Práticas recomendadas para funções do Microsoft Entra
Se a sua conta de Administrador Global tiver a autenticação multifator ativada, forneça a palavra-passe novamente na janela de início de sessão e tenha de concluir o desafio de autenticação multifator. O desafio poderá ser um código de verificação ou uma chamada telefónica.
A conta de Administrador Global também pode ter o gerenciamento de identidade privilegiado habilitado.
Para usar o suporte à autenticação para cenários sem senha, como contas federadas, cartões inteligentes e cenários de MFA, você pode fornecer o switch /InteractiveAuth ao iniciar o assistente. O uso dessa opção ignorará a interface do usuário de autenticação do Assistente e usará a interface do usuário da biblioteca MSAL para manipular a autenticação.
Se vir um erro ou tiver problemas com a conectividade, consulte Resolução de problemas de conectividade.
Sincronizar páginas
As seções a seguir descrevem as páginas na seção Sincronização .
Ligar os diretórios
Para se conectar aos Serviços de Domínio Ative Directory (AD DS), o Microsoft Entra Connect precisa do nome da floresta e das credenciais de uma conta que tenha permissões suficientes.
Depois de inserir o nome da floresta e selecionar Adicionar diretório, uma janela será exibida. A tabela a seguir descreve suas opções.
| Opção | Description |
|---|---|
| Criar conta nova | Crie a conta do AD DS de que o Microsoft Entra Connect precisa para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Depois de selecionar essa opção, digite o nome de usuário e a senha de uma conta de administrador corporativo. O Microsoft Entra Connect usa a conta de administrador empresarial fornecida para criar a conta do AD DS necessária. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\administrator ou fabrikam.com\administrator. |
| Utilizar conta existente | Forneça uma conta AD DS existente que o Microsoft Entra Connect possa usar para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\syncuser ou fabrikam.com\syncuser. Essa conta pode ser uma conta de usuário regular porque precisa apenas das permissões de leitura padrão. Mas, dependendo do seu cenário, você pode precisar de mais permissões. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect. |
Nota
A partir da compilação 1.4.18.0, você não pode usar uma conta de administrador corporativo ou de administrador de domínio como a conta do conector do AD DS. Quando seleciona Utilizar conta existente, se tentar introduzir uma conta de administrador empresarial ou uma conta de administrador de domínio, verá o seguinte erro: "Não é permitido utilizar uma conta de administrador empresarial ou de domínio para a sua conta de floresta do AD. Deixe que o Microsoft Entra Connect crie a conta para si ou especifique uma conta de sincronização com as permissões corretas."
Configuração de início de sessão do Microsoft Entra
Na página de configuração de início de sessão do Microsoft Entra, reveja os domínios UPN (nome principal do utilizador) no AD DS local. Esses domínios UPN foram verificados no Microsoft Entra ID. Nesta página, você configura o atributo a ser usado para o userPrincipalName.
Analise todos os domínios marcados como Não adicionado ou Não verificado. Certifique-se de que os domínios que você usa foram verificados no Microsoft Entra ID. Depois de verificar seus domínios, selecione o ícone de atualização circular. Para obter mais informações, consulte Adicionar e verificar o domínio.
Os usuários usam o atributo userPrincipalName quando entram no Microsoft Entra ID e no Microsoft 365. O Microsoft Entra ID deve verificar os domínios, também conhecido como sufixo UPN, antes que os usuários sejam sincronizados. A Microsoft recomenda que você mantenha o atributo padrão userPrincipalName.
Se o atributo userPrincipalName não for roteável e não puder ser verificado, você poderá selecionar outro atributo. Você pode, por exemplo, selecionar e-mail como o atributo que contém a ID de entrada. Quando você usa um atributo diferente de userPrincipalName, ele é conhecido como uma ID alternativa.
O valor do atributo de ID alternativo tem de seguir a norma RFC 822. Pode utilizar um ID alternativo com a sincronização do hash de palavras-passe, a autenticação pass-through e a federação. No Ative Directory, o atributo não pode ser definido como tendo múltiplos valores, mesmo que tenha apenas um único valor. Para obter mais informações sobre a ID alternativa, consulte Autenticação de passagem: perguntas frequentes.
Nota
Ao habilitar a autenticação de passagem, você deve ter pelo menos um domínio verificado para continuar no processo de instalação personalizada.
Aviso
As IDs alternativas não são compatíveis com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, consulte Configurando IDs de entrada alternativas.
Filtragem de domínios e de UOs
Por padrão, todos os domínios e unidades organizacionais (OUs) são sincronizados. Se não quiser sincronizar alguns domínios ou UOs com o Microsoft Entra ID, você pode limpar as seleções apropriadas.
Esta página configura a filtragem baseada em domínio e em UO. Se você planeja fazer alterações, consulte Filtragem baseada em domínio e filtragem baseada em UO. Algumas UOs são essenciais para a funcionalidade, por isso deve deixá-las selecionadas.
Se você usar a filtragem baseada em UO com uma versão do Microsoft Entra Connect anterior a 1.1.524.0, as novas UOs serão sincronizadas por padrão. Se você não quiser que novas UOs sejam sincronizadas, poderá ajustar o comportamento padrão após a etapa de filtragem baseada em UO. Para o Microsoft Entra Connect 1.1.524.0 ou posterior, você pode indicar se deseja que novas UOs sejam sincronizadas.
Se você planeja usar a filtragem baseada em grupo, verifique se a UO com o grupo está incluída e não é filtrada usando filtragem de UO. A filtragem de UO é avaliada antes de a filtragem baseada em grupo ser avaliada.
Também é possível que alguns domínios estejam inacessíveis devido a restrições de firewall. Esses domínios são desmarcados por padrão e exibem um aviso.
Se vir este aviso, certifique-se de que estes domínios estão realmente inacessíveis e que o aviso é esperado.
Identificar os utilizadores de forma exclusiva
Na página Identificando usuários, escolha como identificar usuários em seus diretórios locais e como identificá-los usando o atributo sourceAnchor.
Selecione a forma como os utilizadores devem ser identificados nos seus diretórios no local
Usando o recurso Correspondência entre florestas , você pode definir como os usuários de suas florestas do AD DS são representados na ID do Microsoft Entra. Um usuário pode ser representado apenas uma vez em todas as florestas ou pode ter uma combinação de contas habilitadas e desabilitadas. O utilizador também pode ser representado como um contacto em algumas florestas.
| Definição | Descrição |
|---|---|
| Os usuários são representados apenas uma vez em todas as florestas | Todos os usuários são criados como objetos individuais no Microsoft Entra ID. Os objetos não são unidos no metaverso. |
| Atributo de correio | Esta opção associa utilizadores e contactos se o atributo de correio tiver o mesmo valor em florestas diferentes. Use esta opção quando seus contatos foram criados usando GALSync. Se você escolher essa opção, os objetos de usuário cujo atributo de email não está preenchido não serão sincronizados com o Microsoft Entra ID. |
| Atributos ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Esta opção associa um utilizador ativado numa floresta conta a um utilizador desativado numa floresta de recursos. No Exchange, esta configuração é conhecida como uma caixa de correio ligada. Pode utilizar esta opção se utilizar apenas o Lync e se o Exchange não estiver presente na floresta de recursos. |
| Atributos SAMAccountName e MailNickName | Esta opção associa-se a atributos onde se espera que o ID de início de sessão do utilizador seja encontrado. |
| Escolha um atributo específico | Esta opção permite-lhe selecionar o seu próprio atributo. Se você escolher essa opção, os objetos de usuário cujo atributo (selecionado) não está preenchido não serão sincronizados com a ID do Microsoft Entra. Limitação: Apenas atributos que já estão no metaverso estão disponíveis para esta opção. |
Selecionar como os usuários devem ser identificados usando uma âncora de origem
O atributo sourceAnchor é imutável durante o tempo de vida de um objeto de usuário. É a chave primária que vincula o usuário local ao usuário no Microsoft Entra ID.
| Definição | Descrição |
|---|---|
| Permitir que o Azure gerencie a âncora de origem | Selecione esta opção se desejar que o Microsoft Entra ID escolha o atributo para você. Se você selecionar essa opção, o Microsoft Entra Connect aplicará a lógica de seleção de atributo sourceAnchor descrita em Usando ms-DS-ConsistencyGuid como sourceAnchor. Após a conclusão da instalação personalizada, você verá qual atributo foi escolhido como o atributo sourceAnchor. |
| Escolha um atributo específico | Selecione essa opção se quiser especificar um atributo do AD existente como o atributo sourceAnchor. |
Como o atributo sourceAnchor não pode ser alterado, você deve escolher um atributo apropriado. Um bom candidato é objectGUID. Esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas ou domínios. Não escolha atributos que podem mudar quando uma pessoa se casa ou muda de tarefas.
Você não pode usar atributos que incluam um sinal de arroba (@), portanto, não pode usar email e userPrincipalName. O atributo também diferencia maiúsculas de minúsculas, portanto, quando você mover um objeto entre florestas, certifique-se de preservar maiúsculas e minúsculas. Os atributos binários são codificados em Base64, mas outros tipos de atributos permanecem em seu estado não codificado.
Em cenários de federação e algumas interfaces de ID do Microsoft Entra, o atributo sourceAnchor também é conhecido como immutableID.
Para obter mais informações sobre a âncora de origem, consulte Conceitos de design.
Filtragem de sincronização baseada em grupos
O recurso de filtragem em grupos permite sincronizar apenas um pequeno subconjunto de objetos para um piloto. Para usar esse recurso, crie um grupo para essa finalidade em sua instância local do Ative Directory. Em seguida, adicione usuários e grupos que devem ser sincronizados com o Microsoft Entra ID como membros diretos. Mais tarde, você pode adicionar usuários ou remover usuários desse grupo para manter a lista de objetos que devem estar presentes no ID do Microsoft Entra.
Todos os objetos que você deseja sincronizar devem ser membros diretos do grupo. Usuários, grupos, contatos e computadores ou dispositivos devem ser membros diretos. A associação a grupos aninhados não foi resolvida. Quando você adiciona um grupo como membro, somente o próprio grupo é adicionado. Seus membros não são adicionados.
Aviso
Este recurso destina-se a suportar apenas uma implantação piloto. Não o use em uma implantação de produção completa.
Em uma implantação de produção completa, seria difícil manter um único grupo e todos os seus objetos para sincronizar. Em vez do recurso de filtragem em grupos, use um dos métodos descritos em Configurar filtragem.
Funcionalidades opcionais
Na página seguinte, você pode selecionar recursos opcionais para seu cenário.
Aviso
As versões 1.0.8641.0 e anteriores do Microsoft Entra Connect dependem do Serviço de Controle de Acesso do Azure para write-back de senha. Este serviço foi aposentado em 7 de novembro de 2018. Se você usar qualquer uma dessas versões do Microsoft Entra Connect e tiver habilitado o write-back de senha, os usuários poderão perder a capacidade de alterar ou redefinir suas senhas quando o serviço for desativado. Estas versões do Microsoft Entra Connect não suportam write-back de palavra-passe.
Se você quiser usar write-back de senha, baixe a versão mais recente do Microsoft Entra Connect.
Aviso
Se o Azure AD Sync ou a Sincronização Direta (DirSync) estiverem ativos, não ative nenhum recurso de write-back no Microsoft Entra Connect.
| Funcionalidades opcionais | Description |
|---|---|
| Implementação híbrida do Exchange | O recurso de implantação híbrida do Exchange permite a coexistência de caixas de correio do Exchange no local e no Microsoft 365. O Microsoft Entra Connect sincroniza um conjunto específico de atributos do Microsoft Entra de volta ao diretório local. |
| Pastas públicas de email do Exchange | O recurso de pastas públicas de email do Exchange permite sincronizar objetos de pasta pública habilitados para email de sua instância local do Ative Directory para o Microsoft Entra ID. Observe que não há suporte para sincronizar grupos que contêm pastas públicas como membros, e tentar fazer isso resultará em um erro de sincronização. |
| Aplicação Microsoft Entra e filtragem de atributos | Ao habilitar o aplicativo Microsoft Entra e a filtragem de atributos, você pode personalizar o conjunto de atributos sincronizados. Esta opção adiciona mais duas páginas de configuração ao assistente. Para obter mais informações, consulte Aplicativo Microsoft Entra e filtragem de atributos. |
| Sincronização de hash de palavra-passe | Se selecionar a federação como solução de início de sessão, poderá ativar a sincronização do hash de palavras-passe. Então você pode usá-lo como uma opção de backup. Se você selecionou a autenticação de passagem, poderá habilitar essa opção para garantir suporte a clientes herdados e fornecer um backup. Para obter mais informações, consulte Sincronização de hash de senha. |
| Repetição de escrita de palavras-passe | Use essa opção para garantir que as alterações de senha originadas na ID do Microsoft Entra sejam gravadas novamente no diretório local. Para mais informações, consulte Introdução à gestão de palavras-passe |
| Repetição de escrita do grupo | Se você usar o Microsoft 365 Groups, poderá representar grupos em sua instância local do Ative Directory. Essa opção só estará disponível se você tiver o Exchange em sua instância local do Ative Directory. Para obter mais informações, consulte Write-back do grupo Microsoft Entra Connect. |
| Repetição de escrita do dispositivo | Para cenários de acesso condicional, use essa opção para gravar objetos de dispositivo no ID do Microsoft Entra em sua instância local do Ative Directory. Para obter mais informações, consulte Habilitando write-back de dispositivo no Microsoft Entra Connect. |
| Sincronização de atributos de extensões de diretórios | Selecione esta opção para sincronizar atributos especificados com o ID do Microsoft Entra. Para obter mais informações, consulte Extensões de diretórios. |
Aplicação Microsoft Entra e filtragem de atributos
Se você quiser limitar quais atributos são sincronizados com o ID do Microsoft Entra, comece selecionando os serviços que você usa. Se você alterar as seleções nesta página, terá que selecionar explicitamente um novo serviço executando novamente o assistente de instalação.
Com base nos serviços selecionados na etapa anterior, esta página mostra todos os atributos sincronizados. Esta lista é uma combinação de todos os tipos de objeto que estão sendo sincronizados. Se você precisar que alguns atributos permaneçam não sincronizados, poderá limpar a seleção desses atributos.
Aviso
A remoção de atributos pode afetar a funcionalidade. Para obter práticas recomendadas e recomendações, consulte Atributos a serem sincronizados.
Sincronização de atributos de Extensões de Diretórios
Você pode estender o esquema no Microsoft Entra ID usando atributos personalizados que sua organização adicionou ou usando outros atributos no Ative Directory. Para usar esse recurso, na página Recursos opcionais, selecione Sincronização de atributos de extensão de diretório. Na página Extensões de Diretório , você pode selecionar mais atributos para sincronizar.
Nota
O campo Atributos disponíveis diferencia maiúsculas de minúsculas.
Para obter mais informações, consulte Extensões de diretórios.
Habilitando o logon único
Na página Logon único, você configura o logon único para uso com sincronização de senha ou autenticação de passagem. Você faz essa etapa uma vez para cada floresta que está sendo sincronizada com o ID do Microsoft Entra. A configuração envolve duas etapas:
- Crie a conta de computador necessária em sua instância local do Ative Directory.
- Configure a zona da intranet das máquinas cliente para oferecer suporte ao logon único.
Criar a conta de computador no Active Directory
Para cada floresta que foi adicionada no Microsoft Entra Connect, você precisa fornecer credenciais de administrador de domínio para que a conta de computador possa ser criada em cada floresta. As credenciais são usadas apenas para criar a conta. Eles não são armazenados ou usados para qualquer outra operação. Adicione as credenciais na página Habilitar logon único, como mostra a imagem a seguir.
Nota
Você pode ignorar florestas onde não deseja usar o logon único.
Configurar a zona da intranet para máquinas cliente
Para garantir que o cliente inicie sessão automaticamente na zona da intranet, certifique-se de que o URL faz parte da zona da intranet. Esta etapa garante que o computador associado ao domínio envie automaticamente um tíquete Kerberos para o Microsoft Entra ID quando estiver conectado à rede corporativa.
Em um computador que tenha ferramentas de gerenciamento de Diretiva de Grupo:
Abra as ferramentas de gerenciamento de Diretiva de Grupo.
Edite a política de grupo que será aplicada a todos os usuários. Por exemplo, a política de domínio padrão.
Vá para Configuração do>Usuário, Modelos Administrativos>, Componentes do Windows,>Internet Explorer>, Página de Segurança do Painel de Controle da>Internet. Em seguida, selecione Lista de Atribuição de Site a Zona.
Habilite a política. Em seguida, na caixa de diálogo, insira um nome de valor de
https://autologon.microsoftazuread-sso.comehttps://aadg.windows.net.nsatc.netcom um valor de1para ambas as URLs. Sua configuração deve se parecer com a imagem a seguir.
Selecione OK duas vezes.
Configurar a federação com o AD FS
Você pode configurar o AD FS com o Microsoft Entra Connect em apenas alguns cliques. Antes de começar, você precisa:
- Windows Server 2012 R2 ou posterior para o servidor de federação. O gerenciamento remoto deve ser habilitado.
- Windows Server 2012 R2 ou posterior para o servidor Proxy de Aplicativo Web. O gerenciamento remoto deve ser habilitado.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Nota
Você pode atualizar um certificado TLS/SSL para seu farm do AD FS usando o Microsoft Entra Connect mesmo que não o use para gerenciar sua confiança de federação.
Pré-requisitos de configuração do AD FS
Para configurar seu farm do AD FS usando o Microsoft Entra Connect, verifique se o WinRM está habilitado nos servidores remotos. Certifique-se de ter concluído as outras tarefas em Pré-requisitos de federação. Certifique-se também de seguir os requisitos de portas listados na tabela Microsoft Entra Connect e servidores Federation/WAP.
Criar um novo farm do AD FS ou utilizar um existente
Você pode usar um farm do AD FS existente ou criar um novo. Se você optar por criar um novo, deverá fornecer o certificado TLS/SSL. Se o certificado TLS/SSL estiver protegido por uma palavra-passe, ser-lhe-á pedido que forneça a palavra-passe.
Se você optar por usar um farm do AD FS existente, verá a página onde pode configurar a relação de confiança entre o AD FS e a ID do Microsoft Entra.
Nota
Você pode usar o Microsoft Entra Connect para gerenciar apenas um farm do AD FS. Se você tiver uma confiança de federação existente em que a ID do Microsoft Entra esteja configurada no farm do AD FS selecionado, o Microsoft Entra Connect recriará a confiança do zero.
Especificar os servidores do AD FS
Especifique os servidores onde pretende instalar o AD FS. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade. Antes de configurar essa configuração, associe todos os servidores AD FS ao Ative Directory. Esta etapa não é necessária para os servidores Proxy de Aplicativo Web.
A Microsoft recomenda a instalação de um único servidor do AD FS para implementações de teste e piloto. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.
Nota
Antes de configurar essa configuração, verifique se todos os seus servidores estão associados a um domínio do Microsoft Entra.
Especificar os servidores Proxy de Web Apps
Especifique seus servidores Web Application Proxy. O servidor Web Application Proxy é implantado em sua rede de perímetro, de frente para a extranet. Suporta pedidos de autenticação a partir da extranet. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade.
A Microsoft recomenda a instalação de um único servidor Web Application Proxy para implantações piloto e de teste. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente. Recomendamos que você tenha um número equivalente de servidores proxy para satisfazer a autenticação da intranet.
Nota
- Se a conta que você usa não for um administrador local nos servidores Proxy de Aplicativo Web, serão solicitadas credenciais de administrador.
- Antes de especificar servidores Proxy de Aplicativo Web, verifique se há conectividade HTTP/HTTPS entre o servidor Microsoft Entra Connect e o servidor Proxy de Aplicativo Web.
- Verifique se há conectividade HTTP/HTTPS entre o Servidor de Aplicativos Web e o servidor AD FS para permitir que as solicitações de autenticação fluam.
Você será solicitado a inserir credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor AD FS. Essas credenciais devem ser para uma conta de administrador local no servidor AD FS.
Especifique a conta de serviço para o serviço do AD FS
O serviço AD FS requer uma conta de serviço de domínio para autenticar usuários e pesquisar informações do usuário no Ative Directory. Pode suportar dois tipos de contas de serviço:
- Conta de serviço gerenciado de grupo: esse tipo de conta foi introduzido no AD DS pelo Windows Server 2012. Esse tipo de conta fornece serviços como o AD FS. É uma conta única na qual você não precisa atualizar a senha regularmente. Utilize esta opção se já tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores do AD FS.
- Conta de utilizador de domínio: Este tipo de conta requer que forneça uma palavra-passe e atualize-a regularmente quando expirar. Utilize esta opção apenas quando não tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores AD FS.
Se você selecionou Criar uma Conta de Serviço Gerenciado de grupo e esse recurso nunca foi usado no Ative Directory, insira suas credenciais de administrador corporativo. Estas credenciais são utilizadas para iniciar o armazenamento de chaves e ativar a funcionalidade no Active Directory.
Nota
O Microsoft Entra Connect verifica se o serviço AD FS já está registrado como um SPN (nome da entidade de serviço) no domínio. O AD DS não permite que SPNs duplicados sejam registrados ao mesmo tempo. Se um SPN duplicado for encontrado, você não poderá continuar até que o SPN seja removido.
Selecione o domínio do Microsoft Entra que você deseja federar
Use a página Domínio do Microsoft Entra para configurar a relação de federação entre o AD FS e a ID do Microsoft Entra. Aqui, você configura o AD FS para fornecer tokens de segurança para o Microsoft Entra ID. Você também configura a ID do Microsoft Entra para confiar nos tokens dessa instância do AD FS.
Nesta página, você pode configurar apenas um único domínio na instalação inicial. Você pode configurar mais domínios posteriormente executando o Microsoft Entra Connect novamente.
Verifique o domínio do Microsoft Entra selecionado para federação
Quando você seleciona o domínio que deseja federar, o Microsoft Entra Connect fornece informações que você pode usar para verificar um domínio não verificado. Para obter mais informações, consulte Adicionar e verificar o domínio.
Nota
O Microsoft Entra Connect tenta verificar o domínio durante o estágio de configuração. Se você não adicionar os registros DNS (Sistema de Nomes de Domínio) necessários, a configuração não poderá ser concluída.
Configurar a federação com o PingFederate
Você pode configurar o PingFederate com o Microsoft Entra Connect em apenas alguns cliques. Os seguintes pré-requisitos são necessários:
- PingFederate 8.4 ou posterior. Para obter mais informações, consulte Integração do PingFederate com o Microsoft Entra ID e o Microsoft 365 na documentação do Ping Identity.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Verificar o domínio
Depois de optar por configurar a federação usando o PingFederate, você será solicitado a verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.
Exportar as definições do PingFederate
Configure o PingFederate como o servidor de federação para cada domínio federado do Azure. Selecione Configurações de exportação para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualiza a configuração e, em seguida, fornece a URL do servidor PingFederate e o número da porta para que o Microsoft Entra Connect possa verificar as configurações de metadados.
Contacte o administrador de PingFederate para resolver quaisquer problemas de validação. A imagem a seguir mostra informações sobre um servidor PingFederate que não tem nenhuma relação de confiança válida com o Azure.
Verificar a conectividade da federação
O Microsoft Entra Connect tenta validar os pontos de extremidade de autenticação que recupera dos metadados PingFederate na etapa anterior. O Microsoft Entra Connect primeiro tenta resolver os pontos de extremidade usando seus servidores DNS locais. Em seguida, ele tenta resolver os pontos de extremidade usando um provedor de DNS externo. Contacte o administrador de PingFederate para resolver quaisquer problemas de validação.
Verificar o início de sessão na federação
Por fim, pode verificar o fluxo de início de sessão federado recém configurado, ao iniciar sessão no domínio federado. Se o início de sessão for bem-sucedido, a federação com PingFederate será configurada com êxito.
Páginas de configuração e verificação
A configuração acontece na página Configurar .
Nota
Se configurou a federação, certifique-se de que também configurou a resolução de nomes para servidores de federação antes de continuar a instalação.
Usar o modo de preparo
É possível configurar um novo servidor de sincronização em paralelo com o modo de preparação. Se você quiser usar essa configuração, apenas um servidor de sincronização pode exportar para um diretório na nuvem. Mas se você quiser mover de outro servidor, por exemplo, um servidor executando DirSync, então você pode ativar o Microsoft Entra Connect no modo de preparação.
Quando você habilita a configuração de preparo, o mecanismo de sincronização importa e sincroniza os dados normalmente. Mas não exporta dados para o Microsoft Entra ID ou Ative Directory. No modo de preparação, o recurso de sincronização de senha e o recurso de write-back de senha são desativados.
No modo de preparação, você pode fazer as alterações necessárias no mecanismo de sincronização e revisar o que será exportado. Quando lhe parecer que a configuração está boa, execute novamente o assistente de instalação e desative o modo de teste.
Os dados agora são exportados para o Microsoft Entra ID do servidor. Não se esqueça de desativar ao mesmo tempo o outro servidor para que haja apenas um servidor a exportar ativamente.
Para obter mais informações, consulte Modo de teste.
Verificar a configuração de federação
O Microsoft Entra Connect verifica as configurações de DNS quando você seleciona o botão Verificar . Ele verifica as seguintes configurações:
- Conectividade da intranet
- Resolver FQDN de federação: o Microsoft Entra Connect verifica se o DNS pode resolver o FQDN de federação para garantir a conectividade. Se o Microsoft Entra Connect não conseguir resolver o FQDN, a verificação falhará. Para concluir a verificação, verifique se um registro DNS está presente para o FQDN do serviço de federação.
- Registo DNS A: o Microsoft Entra Connect verifica se o serviço de federação tem um registo A. Na ausência de um registo A, a verificação falha. Para concluir a verificação, crie um registro A (não um registro CNAME) para o FQDN de federação.
- Conectividade de extranet
Resolver FQDN de federação: o Microsoft Entra Connect verifica se o DNS pode resolver o FQDN de federação para garantir a conectividade.
Para validar a autenticação de ponta a ponta, execute manualmente um ou mais dos seguintes testes:
- Quando a sincronização terminar, no Microsoft Entra Connect, use a tarefa adicional Verificar logon federado para verificar a autenticação de uma conta de usuário local que você escolher.
- A partir de uma máquina associada a um domínio na intranet, certifique-se de que consegue iniciar sessão a partir de um browser. Conecte-se ao https://myapps.microsoft.com. Em seguida, utilize a sua conta iniciada para verificar o início de sessão. A conta de administrador do AD DS interna não está sincronizada e você não pode usá-la para verificação.
- Certifique-se de que consegue iniciar sessão a partir de um dispositivo na extranet. Em uma máquina doméstica ou em um dispositivo móvel, conecte-se ao https://myapps.microsoft.com. Em seguida, forneça suas credenciais.
- Valide o início de sessão de cliente avançado. Conecte-se ao https://testconnectivity.microsoft.com. Em seguida, selecione Office 365>Office 365 Single Sign-On Test.
Resolver problemas
Esta seção contém informações de solução de problemas que você pode usar se tiver um problema durante a instalação do Microsoft Entra Connect.
Ao personalizar uma instalação do Microsoft Entra Connect, na página Instalar componentes necessários, você pode selecionar Usar um SQL Server existente. Você pode ver o seguinte erro: "O banco de dados ADSync já contém dados e não pode ser substituído. Remova o banco de dados existente e tente novamente."
Você vê esse erro porque um banco de dados chamado ADSync já existe na instância SQL do SQL Server que você especificou.
Normalmente, este erro é apresentado depois de ter desinstalado o Microsoft Entra Connect. O banco de dados não é excluído do computador que executa o SQL Server quando você desinstala o Microsoft Entra Connect.
Para corrigir esse problema:
Verifique o banco de dados ADSync que o Microsoft Entra Connect usava antes de ser desinstalado. Verifique se o banco de dados não está mais sendo usado.
Faça backup do banco de dados.
Exclua o banco de dados:
- Use o Microsoft SQL Server Management Studio para se conectar à instância SQL.
- Localize o banco de dados ADSync e clique com o botão direito do mouse nele.
- No menu de contexto, selecione Excluir.
- Selecione OK para excluir o banco de dados.
Depois de excluir o banco de dados ADSync, selecione Instalar para repetir a instalação.
Próximos passos
Após a conclusão da instalação, saia do Windows. Em seguida, entre novamente antes de usar o Gerenciador de Serviço de Sincronização ou o Editor de Regras de Sincronização.
Agora que você instalou o Microsoft Entra Connect, você pode verificar a instalação e atribuir licenças.
Para obter mais informações sobre os recursos habilitados durante a instalação, consulte Impedir exclusões acidentais e Microsoft Entra Connect Health.
Para obter mais informações sobre outros tópicos comuns, consulte Microsoft Entra Connect Sync: Scheduler e Integrar suas identidades locais com o Microsoft Entra ID.