Instale o Serviço de Sincronização Azure Ative Directory

Atualizado: 22 de julho de 2015

Importante

Este tópico será arquivado em breve.
Há um novo produto chamado "Azure Ative Directory Ligação" que substitui AADSync e DirSync.
O Azure AD Connect inclui os componentes e as funcionalidades já disponibilizadas como o Dirsync e o AAD Sync.
Em algum momento no futuro, o apoio a Dirsync e AAD Sync terminará.
Estas ferramentas já não estão a ser atualizadas individualmente com melhorias de funcionalidades, e todas as melhorias futuras serão incluídas em atualizações para Azure AD Ligação.

Para obter informações mais recentes sobre Azure Ative Directory Ligação, consulte integrar as suas identidades no local com Azure Ative Directory

O objetivo deste tópico é fornecer-lhe todas as informações necessárias para instalar Azure AD Sync com sucesso no seu ambiente.

Requisitos de instalação

O objetivo desta secção é enumerar os requisitos que precisam de ser cumpridos para instalar Azure AD Sync no seu ambiente.
Azure AD Sync permite-lhe integrar o seu Serviço de Domínio Ative Directory no local com o seu diretório de Azure AD.
Como consequência disso, precisa de ter acesso ao seu Serviço de Domínio Ative Directory no local, bem como o acesso a uma subscrição válida do Azure que tenha um diretório Azure AD instalado.

Para instalar Azure AD Sync, precisa de um computador que execute o sistema operativo Windows Server.
Suporta as seguintes versões:

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

O seu computador pode ser autónomo, um servidor de membro ou um controlador de domínio.
Os seguintes componentes devem ser instalados:

• .Net 4.5.1

• PowerShell (PS3 ou melhor é necessário)

Precisa de uma conta com privilégios de administrador local no seu computador para instalar Azure AD Sync.

Azure AD Sync requer uma base de dados SQL Server para armazenar dados de identidade. Por predefinição, é instalada uma SQL Express LocalDB (uma versão ligeira do SQL Server Express) e a conta de serviço para o serviço é criada na máquina local.
SQL Server Express tem um limite de tamanho de 10GB que lhe permite gerir aproximadamente 100.000 objetos.

Se precisar de gerente de um volume mais elevado de objetos de diretório, tem de apontar o processo de instalação para uma versão diferente de SQL Server.
AAD Sync suporta todos os sabores de Microsoft SQL Server de SQL Server 2008 a SQL Server 2014.

Antes de Começar

Deve ter os seguintes passos concluídos antes de poder instalar Azure AD Sync:

1. Criar uma conta AD para ligar a DS AD

2. Criar uma conta para ligar a Azure AD

As seguintes secções fornecem os passos relacionados.

Criar uma conta AD para ligar a DS AD

Ao configurar Azure AD Sync, precisa fornecer as credenciais de uma conta que é usada por Azure AD Sync para se ligar ao seu DS AD.
Pode utilizar uma conta de utilizador regular porque a conta só precisa das permissões de leitura por defeito.

As secções seguintes fornecem mais detalhes sobre as permissões exigidas pela conta DS AD e os atributos a que necessita de acesso.

Permissões para sincronização de palavras-passe

Se pretender ativar a sincronização de palavras-passe entre o seu DS AD no local e o seu Azure Ative Directory para os seus utilizadores, tem de conceder as seguintes permissões à conta utilizada pela Azure AD Sync para se ligar ao seu DS AD:

• Alterações de Diretório de Replicação

• Replicando mudanças de diretório tudo

Ambas as permissões são necessárias para permitir que a conta leia as hashes de palavra-passe a partir do seu DS AD no local.

Office 365 Exchange Hybrid AAD Sync atributos e permissões de descodus.

Se quiser permitir uma coexistência rica entre as suas infraestruturas Exchange e Office 365 (Exchange Hybrid), pode fazê-lo selecionando a funcionalidade opcional de implementação híbrida Exchange. Ao selecionar esta funcionalidade, pode AAD Sync a escrever atributos ao ambiente no local.

A tabela a seguir lista os atributos por tipo de objeto que requerem a reposição:

Tipo de Objeto	Atributo de origem de dados
Contacto	proxyAddresses
Group	proxyAddresses
Utilizador/InetOrgPerson	msExchArchiveStatus
	msExchBlockedSendersHash
	msExchSafeRecipientsHash
	msExchSafeSendersHash
	msExchUCVoiceMailSettings
	msExchUserHoldPolicies
	proxyAddresses

A conta que configura na página de diálogo Ligação para Ative Directory Domain Services tem de ter permissões específicas para os atributos acima referidos.

O quadro que se segue lista o conjunto mínimo de permissões necessárias para esta conta utilizando a nomenclatura DSACLS.

Tipo de Objeto	Atributo de origem de dados	Direito de Permissão / Acesso	Herança
Contacto	proxyAddresses	Escrita	A criança só se opõe
Group	proxyAddresses	Escrita	A criança só se opõe
Utilizador/InetOrgPerson	msExchArchiveStatus	Escrita	A criança só se opõe
	msExchBlockedSendersHash	Escrita	A criança só se opõe
	msExchSafeRecipientsHash	Escrita	A criança só se opõe
	msExchSafeSendersHash	Escrita	A criança só se opõe
	msExchUCVoiceMailSettings	Escrita	A criança só se opõe
	msExchUserHoldPolicies	Escrita	A criança só se opõe
	proxyAddresses	Escrita	A criança só se opõe

A palavra-passe relemca e altera as permissões de senha.

A funcionalidade de desconseção de palavras-passe fornece aos seus utilizadores um método conveniente para redefinir as suas palavras-passe na nuvem. Durante a configuração do Azure AD Sync, pode ativar a gravação de palavra-passe como recurso opcional.

Para cada floresta que tenha configurado em Azure AD Sync, a conta especificada para uma floresta no assistente deve ter os direitos alargados "Reset-Password" e "Change Password" sobre o objeto de raiz de cada domínio na floresta. O direito deve ser marcado como herdado por todos os objetos de utilizador.

Utilize o seguinte procedimento para configurar permissões em cada uma das contas que configura.

Como configurar "Redefinir a Palavra-passe" e "Alterar palavra-passe"

1. Abrir Utilizadores e Computadores do Ative Directory

2. Na parte superior, em 'Ver' certifique-se de que as Funcionalidades Avançadas estão ligadas.

3. À esquerda, clique no domínio raiz e selecione Propriedades.

4. Selecione o separador Segurança e clique em Avançado.

   

5. No separador Permissões, clique em Adicionar.

   

6. Clique em Selecionar um Principal e selecione a conta especificada durante a configuração.

7. No drop-down, selecione objetos de utilizador descendentes.

8. Na secção Permissões selecione Redefinir palavra-passe e alterar palavra-passe.

   

9. Clique em OK. Clique em Aplicar. Clique em OK.

Criar uma conta para ligar a Azure AD

Ao configurar Azure AD Sync, precisa fornecer as credenciais de uma conta que é usada por Azure AD Sync para se ligar ao seu Azure AD.

Deve aplicar as seguintes boas práticas nesta conta:

• Deve criar uma conta separada que só é utilizada por Azure AD Sync.

• Deve configurar a conta com uma palavra-passe forte com 16 caracteres de comprimento.

• Deve definir a bandeira "Password nunca expira" na conta.
  Para realizar esta tarefa, pode utilizar o seguinte código de script PowerShell:

  set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
  

• A sua conta deve ter o Administrador Global como Função Organizacional selecionada.

  

Instalação e configuração de Azure AD Sync

Pode baixar a versão mais recente de Azure AD Sync utilizando o seguinte link:https://go.microsoft.com/fwlink/?LinkId=511690

Para iniciar o processo de instalação, lance o executável chamado MicrosoftAzureADConnectionTool.exe.
Esta auto-extracção executável coloca todos os ficheiros necessários na unidade local e inicia o processo de instalação.
Se cancelar o procedimento de instalação, será criado um atalho no menu inicial e no ambiente de trabalho.

Se precisar de utilizar SQL Server ou uma conta de domínio para a conta de serviço, tem de cancelar o assistente agora. Até este momento, o processo de instalação já criou uma pasta local que inclui Azure AD Sync ficheiros relacionados. Precisa do conteúdo desta pasta para refazer o processo de instalação com parâmetros.

Para refazer o processo de instalação, execute os seguintes passos:

1. Abra uma solicitação de comando e, em seguida, vá para C:\Program Files\Microsoft Azure AD Connection Tool.

2. Reinicie o assistente com os seguintes parâmetros:

   DirectorySyncTool.exe /sqlserver localhost
                         /sqlserverinstance InstanceName
                         /serviceAccountDomain Azure AD Sync
                         /serviceAccountName Azure AD SyncSvc
                         /serviceAccountPassword VerySecretP@ssw0rd
   

   Nota

   Se quiser utilizar a divisão padrão SQL, então não especifique este parâmetro.

Neste momento, está pronto para completar as páginas de diálogo que estão associadas ao processo de instalação.

Para instalar a ferramenta Azure AD Sync, tem de completar as seguintes páginas de diálogo:

1. Instalar

2. Ligação para Azure Ative Directory

3. Ligação para Ative Directory Domain Services

4. Configure a correspondência do utilizador

5. Funcionalidades opcionais

6. aplicativos Azure AD

7. atributos Azure AD

8. Preparado para configurar

9. Concluída

Instalar

Como primeiro passo do processo de instalação, tem de concordar com os termos e condições da licença e precisa de especificar a localização do Azure AD Sync.

Ligação para Azure Ative Directory

Para se ligar ao seu diretório Azure AD, a ferramenta Azure AD Sync precisa das credenciais de uma conta com permissões suficientes.

Para mais detalhes, consulte Criar uma conta para ligar a Azure AD.

Ligação para Ative Directory Domain Services

Para se ligar ao serviço Domínio do Ative Directory, a ferramenta Azure AD Sync necessita das credenciais de uma conta com permissões suficientes.

Para mais detalhes, consulte Criar uma conta AD para ligar a DS AD.

Configure a correspondência do utilizador

Nesta página, é necessário configurar o seguinte:

1. Combinando entre florestas

2. Combinar com Azure AD

Combinando entre florestas

A funcionalidade Matching across forests permite definir como os utilizadores das suas florestas adds estão representados em Azure AD.
Um utilizador pode ser representado apenas uma vez em todas as florestas ou ter uma combinação de contas ativadas e desativadas.

Definição	Descrição
Os meus utilizadores só são representados uma vez em todas as florestas.	Todos os utilizadores são criados como objetos individuais no Azure AD. Os objetos não estão associados no metaverso.
Atributo de correio	Esta opção associa utilizadores e contactos se o atributo de correio tiver o mesmo valor em florestas diferentes. Recomenda-se utilizar esta opção quando os seus contactos tiverem sido criados utilizando o GALSync.
ObjectSID e msExchangeMasterAccountSID	Esta opção junta-se a um utilizador ativado numa floresta de contas com um utilizador deficiente numa floresta de recursos Exchange. Isto também é conhecido como caixa de correio ligada em Exchange.
sAMAccountName e MailNickName	Esta opção junta-se a atributos onde se espera que o ID de login para o utilizador possa ser encontrado.
O meu próprio atributo	Esta opção permite-lhe selecionar o seu próprio atributo. Limitação na CTP: Certifique-se de escolher um atributo que já existirá no metaverso. Se escolher um atributo personalizado, o assistente não poderá completar.

Combinar com Azure AD

Pode utilizar esta opção para especificar o atributo que pretende utilizar para a Federação de Identidade. O atributo SourceAnchor é um atributo que não está a mudar durante o tempo de vida de um objeto do utilizador. Em mono-florestas e ambientes e onde a conta nunca é movida entre florestas, então o objectGUID é um bom candidato. Se o utilizador for movido entre florestas ou domínios, deve selecionar-se um atributo alternativo.

O atributo UserPrincipalName é o ID de login do utilizador em Azure AD. Por predefinição, é utilizado o atributo UserPrincipalName em ADDS. Se este atributo não for roteado ou não for adequado, uma vez que o ID de login pode ser selecionado no guia de instalação.

Funcionalidades opcionais

Se tiver uma Exchange implantação híbrida, então selecione esta caixa de verificação. Isto irá rescrevê-lo de alguns atributos de Exchange online para o Ative Directory no local.

A desemoção de palavra-passe é uma funcionalidade Azure Ative Directory Premium. Para obter mais informações sobre como configurar isto, consulte https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx.

Se pretender rever ou limitar os atributos sincronizados com Azure AD, selecione Azure AD aplicação e atribua a filtragem. Em seguida, terá duas páginas adicionais no assistente.

Para obter mais informações sobre a sincronização de palavras-passe, consulte implementar a sincronização da palavra-passe com Azure Ative Directory Sync

aplicativos Azure AD

Se pretender limitar quais os atributos para sincronizar a Azure AD, comece por selecionar quais os serviços que está a utilizar, se configurar esta página, qualquer novo serviço tem de ser selecionado explicitamente reencaminho do guia de instalação.

atributos Azure AD

Com base nos serviços selecionados no passo anterior, esta página mostrará todos os atributos que serão sincronizados. Esta lista é uma combinação de todos os tipos de objetos que estão a ser sincronizados. Se houver alguns atributos específicos que precisa de não sincronizar, pode desescolhê-los. Na imagem acima, as atribuições e o homePhone não foram selecionados e não sincronizarão para Azure AD.

Preparado para configurar

Esta página fornece-lhe um resumo da sua configuração. Deve rever cuidadosamente este resumo antes de prosseguir com a página seguinte.

Se este passo falhar com um erro de "Não conseguir comunicar com o serviço Windows Azure Ative Directory" e tiver um servidor proxy configurado, deve adicionar definições de procuração ao ficheiro "machine.config" do computador Azure AD Sync.
Para mais detalhes, consulte <o Elemento de Procuração> (Definições da Rede).

Concluída

Foi agora criada uma configuração padrão e se estiver pronto para iniciar a sincronização, clique em Terminar.
Se precisar de fazer alguma configuração adicional antes de iniciar a sincronização, então desescolh a caixa de verificação Synchronize agora antes de clicar em Terminar. Isto criará uma tarefa desativada no agendador de tarefas. Quando terminar a sua configuração, inicie a sincronização periódica ativando esta tarefa.

Consulte também

Conceitos

Azure Ative Directory Sync
Azure Ative Directory Sync Version Release History
Implementar sincronização de palavras-passe com Azure Ative Directory Sync

Outros Recursos

Azure AD Sync Notas de Lançamento