Instalar e configurar a sincronização de diretórios com o Microsoft Entra Connect
O Microsoft Entra Connect requer um computador associado a um domínio para hospedar o serviço de sincronização. A maioria das organizações implanta um servidor de sincronização dedicado.
Requisitos
Depois de configurar o Azure com um locatário do Ative Directory, você deve concluir as tarefas principais para implantar a sincronização de diretórios usando as seguintes etapas:
- Adicione seu domínio do AD DS ao Azure, verifique o domínio e defina o domínio como o domínio principal.
- Transfira e instale o Microsoft Entra Connect.
- Execute o Assistente de Configuração do Microsoft Entra Connect. (Opcionalmente, você pode configurar o Microsoft Entra Connect para sincronizar UOs específicas no ambiente AD DS local).
- Ative funcionalidades opcionais como sincronização hash de palavra-passe, repetição de escrita de palavras-passe e implementação híbrida do Exchange.
- Execute o Microsoft Entra Connect e deixe que ele configure o ambiente para sincronização de diretórios
- Valide os resultados da sincronização.
Depois de configurar o Microsoft Entra Connect e executar a sincronização inicial, você pode reconfigurar as opções de sincronização, se necessário. A instalação do software Microsoft Entra Connect inclui várias aplicações relacionadas com a sincronização de diretórios. Ao executar o Microsoft Entra Connect, você tem a opção de usar as configurações de instalação Express, que configura a sincronização de diretórios com as configurações mais comumente usadas, ou pode optar por personalizar as opções de instalação.
Se você optar por usar a instalação personalizada, no início da instalação poderá optar por usar um servidor SQL personalizado em vez de um banco de dados local. Você também pode optar por usar uma conta de serviço existente, em vez daquela criada pelo processo de configuração automática. Além disso, você pode especificar grupos de sincronização personalizados. Por padrão, os grupos Administradores, Operadores, Procurar e Redefinição de Senha são criados pelo Microsoft Entra Connect, mas você pode optar por usar seus próprios grupos personalizados para essa finalidade.
Por padrão, o Microsoft Entra Connect configura a sincronização de hash de senha para o modo de sincronização de diretórios. Se você escolher a instalação personalizada, também poderá escolher a opção Federação com AD FS ou autenticação de passagem. Como alternativa, você pode configurar manualmente a sincronização de diretórios se tiver um servidor de federação que não seja da Microsoft ou outra solução existente implantada.
A instalação personalizada do Microsoft Entra Connect também permite que você escolha a maneira como você identifica seus usuários. Por padrão, a Instalação presume que os usuários são representados apenas uma vez em todos os diretórios. No entanto, se você tiver um cenário em que as identidades de usuário existem em vários diretórios, deverá escolher o atributo correspondente. Você pode escolher entre as opções descritas na tabela a seguir.
| Opção | Description |
|---|---|
| atributo mail | Esta opção associa utilizadores e contactos se o atributo de correio tiver o mesmo valor em florestas diferentes. |
| ObjectSID e msExchangeMasterAccountSID | Essa opção une um usuário habilitado em uma floresta de conta com um usuário desabilitado em uma floresta de recursos do Exchange. No Exchange, isso também é conhecido como caixa de correio vinculada. |
| sAMAccountName e mailNickname | Esta opção une atributos adicionais em locais em um diretório onde se espera que o ID de login do usuário seja encontrado. |
| Meu próprio atributo | Esta opção permite-lhe selecionar o seu próprio atributo. |
| Âncora de Origem | Este é um atributo que permanece imutável durante o tempo de vida de um objeto de usuário. Em outras palavras, esse atributo é a chave primária que vincula o objeto de usuário local com o objeto de usuário no ID do Microsoft Entra. Como esse atributo não pode ser alterado posteriormente, você deve escolher cuidadosamente um atributo para usar para essa finalidade. Uma opção padrão é objectGUID, pois esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas e domínios. |
Você pode configurar o UserPrincipalName atributo na mesma janela. Este é o atributo que os utilizadores utilizam quando iniciam sessão no Microsoft Entra ID. Os domínios usados para essa finalidade, também conhecidos como sufixo UPN, devem ser verificados no Microsoft Entra ID antes de sincronizar os objetos do usuário.
Em alguns casos, talvez você queira sincronizar apenas um subconjunto de usuários do AD DS local. O Microsoft Entra Connect permite que você selecione um grupo específico de usuários que deseja sincronizar com o Microsoft Entra ID. Você deve criar esse grupo antes de executar o Microsoft Entra Connect. Depois de concluir a instalação, você pode adicionar e remover usuários desse grupo para manter a lista de objetos de usuário que devem estar presentes no ID do Microsoft Entra. Você também pode usar UOs do AD DS local como escopo para replicação. Na etapa final, o Microsoft Entra Connect permite configurar alguns recursos opcionais disponíveis no Microsoft Entra ID P1 ou P2.