Planejar, projetar e implementar o Microsoft Entra Connect
O Microsoft Entra Connect é uma solução que faz a ponte entre o Ative Directory local de uma organização e o seu ID do Microsoft Entra baseado na nuvem. A TI pode sincronizar identidades do local para o Azure e garante uma identidade consistente em ambas as plataformas. Essa conexão permite serviços como sincronização de hash de senha, autenticação de passagem e logon único (SSO) contínuo.
O Microsoft Entra Connect é a ferramenta da Microsoft projetada para atender e atingir suas metas de identidade híbrida. Ele fornece os seguintes recursos:
- Sincronização - é responsável pela criação de utilizadores, grupos e outros objetos. Em seguida, certifique-se de que as informações de identidade para seus usuários e grupos locais estejam correspondendo à nuvem. Esta sincronização também inclui hashes de palavra-passe.
- Sincronização de hash de senha - Um método de entrada que sincroniza um hash da senha do AD local de um usuário com a ID do Microsoft Entra.
- Autenticação de passagem - Um método de entrada que permite que os usuários usem a mesma senha no local e na nuvem, mas não requer a infraestrutura extra de um ambiente federado.
- Integração de federação - A federação é uma parte opcional do Microsoft Entra Connect e pode ser usada para configurar um ambiente híbrido usando uma infraestrutura do AD FS local. Ele também fornece recursos de gerenciamento do AD FS, como renovação de certificados e mais implantações de servidor AD FS.
- Monitoramento de integridade - O Microsoft Entra Connect-Health fornece monitoramento robusto.
Por que usar o Microsoft Entra Connect?
A integração de seus diretórios locais com o Microsoft Entra ID torna seus usuários mais produtivos, fornecendo uma identidade comum para acessar recursos locais e na nuvem. Com o Microsoft Entra Connect, os usuários podem usar uma única identidade para acessar aplicativos locais e serviços de nuvem, como o Microsoft 365. Além disso, as organizações podem fornecer uma experiência de implantação fácil para sincronização e entrada usando uma única ferramenta. O Microsoft Entra Connect substitui versões mais antigas das ferramentas de integração de identidade; e está incluído na sua subscrição do Microsoft Entra ID.
Selecione um método de autenticação
A identidade é o novo plano de controle da segurança de TI, portanto, a autenticação é o protetor de acesso de uma organização ao novo mundo da nuvem. As organizações precisam de um plano de controle de identidade que fortaleça sua segurança e mantenha seus aplicativos na nuvem protegidos contra intrusos. Quando a solução de identidade híbrida Microsoft Entra é seu novo plano de controle, a autenticação é a base do acesso à nuvem. Escolher o método de autenticação correto é uma primeira decisão crucial na configuração de uma solução de identidade híbrida Microsoft Entra. Para escolher um método de autenticação, você precisa considerar o tempo, a infraestrutura existente, a complexidade e o custo de implementação de sua escolha. Esses fatores são diferentes para cada organização e podem mudar ao longo do tempo.
Autenticação na nuvem
Quando você escolhe esse método de autenticação, o Microsoft Entra ID lida com o processo de entrada dos usuários. Quando você associa o logon único (SSO) contínuo, os usuários podem entrar em aplicativos na nuvem sem precisar reinserir suas credenciais. Com a autenticação na nuvem, você pode escolher entre duas opções:
Sincronização de hash de senha (PHS) do Microsoft Entra. A maneira mais simples de habilitar a autenticação para objetos de diretório locais no Microsoft Entra. Os usuários podem usar o mesmo nome de usuário e senha que usam no local sem precisar implantar mais infraestrutura.
- Esforço. A sincronização do hash de palavras-passe exige o mínimo esforço no que respeita à implementação, manutenção e infraestrutura. Esse nível de esforço normalmente se aplica a organizações que só precisam que seus usuários entrem no Microsoft 365, aplicativos SaaS e outros recursos baseados em ID do Microsoft Entra. Quando ativada, a sincronização de hash de senha faz parte do processo de sincronização do Microsoft Entra Connect e é executada a cada dois minutos.
- Experiência do usuário. Para melhorar a experiência de início de sessão dos utilizadores, implemente o SSO totalmente integrado com a sincronização do hash de palavras-passe. O SSO contínuo elimina prompts desnecessários quando os usuários estão conectados.
- Cenários avançados. Se as organizações optarem por isso, é possível usar informações de identidades com relatórios de Proteção de Identidade do Microsoft Entra com o Microsoft Entra ID Premium P2. Um exemplo é o relatório de credenciais vazadas. O Windows Hello para Empresas tem requisitos específicos quando utiliza a sincronização do hash de palavras-passe. Os Serviços de Domínio do Microsoft Entra exigem sincronização de hash de senha para criar usuários com suas credenciais corporativas no domínio gerenciado.
- Continuidade de negócios. A utilização da sincronização do hash de palavras-passe com a autenticação na cloud está amplamente disponível como um serviço cloud que é dimensionado para todos os datacenters da Microsoft. Para garantir que a sincronização de hash de senha não fique inativa por longos períodos, implante um segundo servidor Microsoft Entra Connect no modo de preparo em uma configuração de espera.
- Considerações. Atualmente, a sincronização do hash de palavras-passe não aplica imediatamente as alterações nos estados das contas no local. Nessa situação, um usuário tem acesso a aplicativos na nuvem até que o estado da conta de usuário seja sincronizado com o ID do Microsoft Entra. As organizações podem querer superar essa limitação executando um novo ciclo de sincronização depois que os administradores fizerem atualizações em massa para os estados da conta de usuário local. Um exemplo é a desativação de contas.
Autenticação de passagem (PTA) do Microsoft Entra. Fornece uma validação de senha simples para serviços de autenticação do Microsoft Entra usando um agente de software que é executado em um ou mais servidores locais. Os servidores validam os usuários diretamente com o Ative Directory local, o que garante que a validação da senha não aconteça na nuvem. As empresas com um requisito de segurança para aplicar imediatamente estados de conta de usuário local, políticas de senha e horas de entrada podem usar esse método de autenticação.
- Esforço. Para autenticação de passagem, você precisa de um ou mais (recomendamos três) agentes leves instalados em servidores existentes. Esses agentes devem ter acesso aos Serviços de Domínio Ative Directory locais, incluindo os controladores de domínio do AD locais. Eles precisam de acesso de saída à Internet e acesso aos seus controladores de domínio. Por esse motivo, não há suporte para implantar os agentes em uma rede de perímetro.
- Experiência do usuário. Para melhorar a experiência de entrada dos usuários, implante o SSO contínuo com autenticação de passagem. O SSO contínuo elimina solicitações desnecessárias após o login dos usuários.
- Cenários avançados. A autenticação de passagem impõe a política de conta local no momento da entrada. Por exemplo, o acesso é negado quando o estado da conta de um usuário local é desativado, bloqueado ou sua senha expira. O acesso também pode ser negado se a tentativa de início de sessão falhar fora das horas em que o utilizador tem permissão para iniciar sessão.
- Continuidade de negócios. Recomendamos que você implante dois agentes de autenticação de passagem extras. Esses extras são adicionais ao primeiro agente no servidor Microsoft Entra Connect. Essa implantação garante alta disponibilidade de solicitações de autenticação. Quando você tem três agentes implantados, um agente ainda pode falhar quando outro agente está inativo para manutenção.
- Considerações. Você pode usar a sincronização de hash de senha como um método de autenticação de backup para autenticação de passagem quando os agentes não puderem validar as credenciais de um usuário devido a uma falha local significativa. O failover para a sincronização de hash de senha não acontece automaticamente e você deve usar o Microsoft Entra Connect para alternar o método de entrada manualmente.
Autenticação federada
Quando você escolhe esse método de autenticação, o Microsoft Entra ID transfere o processo de autenticação para um sistema de autenticação confiável separado, como os Serviços de Federação do Ative Directory (AD FS) locais, para validar a senha do usuário. O sistema de autenticação pode fornecer outros requisitos de autenticação avançada. Exemplos são a autenticação baseada em cartão inteligente ou a autenticação multifator de terceiros.
Esforço. Um sistema de autenticação federada depende de um sistema externo confiável para autenticar usuários. Algumas empresas querem reutilizar seu investimento existente em sistema federado com sua solução de identidade híbrida Microsoft Entra. A manutenção e gestão do sistema federado está fora do controlo do Microsoft Entra ID. Cabe à organização usar o sistema federado para garantir que ele seja implantado com segurança e possa lidar com a carga de autenticação.
Experiência do usuário. A experiência do usuário da autenticação federada depende da implementação dos recursos, da topologia e da configuração do farm de federação. Algumas organizações precisam dessa flexibilidade para adaptar e configurar o acesso ao farm de federação para atender aos seus requisitos de segurança. Por exemplo, é possível configurar usuários e dispositivos conectados internamente para entrar usuários automaticamente, sem solicitar credenciais. Essa configuração funciona porque eles já entraram em seus dispositivos. Se necessário, algumas funcionalidades de segurança avançadas dificultam o processo de início de sessão dos utilizadores.
Cenários avançados. Uma solução de autenticação federada é necessária quando os clientes têm um requisito de autenticação que o Microsoft Entra ID não suporta nativamente.
- Autenticação que requer cartões inteligentes ou certificados.
- Servidores MFA locais ou provedores multifator de terceiros que exigem um provedor de identidade federada.
- Autenticação usando soluções de autenticação de terceiros.
- Inicie sessão que requer um sAMAccountName, por exemplo DOMAIN\username, em vez de um Nome Principal de Utilizador (UPN), por exemplo, user@domain.com.
Continuidade de negócios. Os sistemas federados normalmente exigem uma matriz de servidores com balanceamento de carga, conhecida como farm. Esse farm é configurado em uma topologia de rede interna e de rede de perímetro para garantir alta disponibilidade para solicitações de autenticação.
Considerações. Os sistemas federados normalmente exigem um investimento mais significativo em infraestrutura local. A maioria das organizações escolhe essa opção se já tiver um investimento de federação local. E se for um forte requisito comercial usar um provedor de identidade única. A federação é mais complexa de operar e solucionar problemas em comparação com as soluções de autenticação em nuvem.
Diagramas de arquitetura
Os diagramas a seguir descrevem os componentes de arquitetura de alto nível necessários para cada método de autenticação que você pode usar com sua solução de identidade híbrida Microsoft Entra. Eles fornecem uma visão geral para ajudá-lo a comparar as diferenças entre as soluções.
Simplicidade de uma solução de sincronização do hash de palavras-passe:
Requisitos do agente de autenticação de passagem, usando dois agentes para redundância:
Componentes necessários para a federação no perímetro e na rede interna da organização:
Recomendações
Seu sistema de identidade garante o acesso de seus usuários a aplicativos na nuvem e aos aplicativos de linha de negócios que você migra e disponibiliza na nuvem. Para manter os usuários autorizados produtivos e os agentes mal-intencionados fora dos dados confidenciais da sua organização, a autenticação controla o acesso aos aplicativos.
Utilize ou ative a sincronização do hash de palavras-passe para o método de autenticação à sua escolha pelas seguintes razões:
Alta disponibilidade e recuperação de desastres. A autenticação de passagem e a federação dependem da infraestrutura local. Para autenticação de passagem, o espaço ocupado no local inclui o hardware do servidor e a rede que os agentes de autenticação de passagem exigem. Para a federação, a pegada local é ainda maior. Ele requer servidores em sua rede de perímetro para solicitações de autenticação de proxy e os servidores de federação internos. Para evitar pontos únicos de falha, implante servidores redundantes. Em seguida, as solicitações de autenticação sempre serão atendidas se algum componente falhar. Tanto a autenticação de passagem quanto a federação também dependem de controladores de domínio para responder a solicitações de autenticação, que também podem falhar. Muitos destes componentes necessitam de manutenção para se manterem saudáveis. As interrupções são mais prováveis quando a manutenção não é planejada e implementada corretamente. Evite interrupções usando a sincronização de hash de senha porque o serviço de autenticação na nuvem Microsoft Entra é dimensionado globalmente e está sempre disponível.
Sobrevivência a interrupções no local. As consequências de uma interrupção no local devido a um ataque cibernético ou desastre podem ser substanciais, variando de danos à reputação da marca até uma organização paralisada incapaz de lidar com o ataque. Recentemente, muitas organizações foram vítimas de ataques de malware, incluindo ransomware direcionado, o que fez com que seus servidores locais caíssem. Quando a Microsoft ajuda os clientes a lidar com esses tipos de ataques, ela vê duas categorias de organizações:
- As organizações que ativaram a sincronização de hash de senha, com autenticação federada ou de passagem, alteram sua autenticação principal. Eles podem usar a sincronização de hash de senha. Eles voltaram a ficar online em questão de horas. Usando o acesso ao email via Microsoft 365, eles trabalharam para resolver problemas e acessar outras cargas de trabalho baseadas em nuvem.
- As organizações que anteriormente não ativavam a sincronização do hash de palavras-passe tinham de recorrer a sistemas de e-mail de clientes externos não fidedignos para as comunicações com vista à resolução dos problemas. Nesses casos, eles levaram semanas para restaurar sua infraestrutura de identidade local antes que os usuários pudessem entrar em aplicativos baseados em nuvem novamente.
Proteção de identidade. Uma das melhores maneiras de proteger os usuários na nuvem é o Microsoft Entra Identity Protection com o Microsoft Entra Premium P2. A Microsoft verifica continuamente a Internet em busca de listas de usuários e senhas que agentes mal-intencionados vendem e disponibilizam na dark web. O Microsoft Entra ID pode usar essas informações para verificar se algum dos nomes de usuário e senhas em sua organização está comprometido. Portanto, é fundamental ativar a sincronização do hash de palavras-passe independentemente do método de autenticação que utilize, seja este a autenticação pass-through ou federada. As credenciais vazadas são apresentadas como um relatório. Use essas informações para bloquear ou forçar os usuários a alterar suas senhas quando tentarem entrar com senhas vazadas.
Conceitos de design do Microsoft Entra Connect
Esta seção descreve as áreas que devem ser pensadas durante o design de implementação do Microsoft Entra Connect. É um mergulho profundo em certas áreas e esses conceitos são brevemente descritos em outros documentos também.
fonteAnchor
O atributo sourceAnchor é definido como um atributo imutável durante o tempo de vida de um objeto. Ele identifica exclusivamente um objeto como sendo o mesmo objeto no local e no Microsoft Entra ID. O atributo também é chamado immutableId e os dois nomes são usados intercambiáveis. O atributo é usado para os seguintes cenários:
- Quando um novo servidor de mecanismo de sincronização é criado ou reconstruído após um cenário de recuperação de desastre, esse atributo vincula objetos existentes no Microsoft Entra ID com objetos locais.
- Se você passar de uma identidade somente na nuvem para um modelo de identidade sincronizado, esse atributo permitirá que os objetos "combinem" objetos existentes no ID do Microsoft Entra com objetos locais.
- Se você usar federação, esse atributo juntamente com userPrincipalName será usado na declaração para identificar exclusivamente um usuário.
O valor do atributo deve seguir as seguintes regras:
Menos de 60 caracteres
- Os caracteres que não são a-z, A-Z ou 0-9 são codificados e contados como três caracteres
Não contêm um caractere especial:
\ ! # $ % & * + / = ? ^ { } | ~ > < ( ) ' ; : , [ ] " @ _
Tem de ser globalmente exclusivo
Deve ser uma cadeia de caracteres, inteiro ou binário
Não deve ser baseado no nome do usuário porque os nomes podem mudar
Não deve diferenciar maiúsculas de minúsculas e evitar valores que variam de acordo com maiúsculas e minúsculas
Deve ser atribuído quando o objeto é criado
Se você tiver uma única floresta local, o atributo que você deve usar é objectGuid. Você também pode usar o atributo objectGuid ao usar configurações expressas no Microsoft Entra Connect. E também o atributo usado pelo DirSync. Se você tiver várias florestas e não mover usuários entre florestas e domínios, o objectGUID é um bom atributo a ser usado. Outra solução é escolher um atributo existente que você sabe que não muda. Os atributos mais usados incluem employeeID. Se você considerar um atributo que contém letras, certifique-se de que não há nenhuma chance de que o caso (maiúsculas versus minúsculas) possa mudar para o valor do atributo. Os atributos incorretos que não devem ser usados incluem esses atributos com o nome do usuário. Depois que o atributo sourceAnchor é decidido, o assistente armazena as informações em seu locatário do Microsoft Entra. As informações serão usadas para futuras instalações do Microsoft Entra Connect.
Entrada no Microsoft Entra
As configurações de sincronização da integração de diretórios locais com o Microsoft Entra ID podem afetar a maneira como o usuário se autentica. O Microsoft Entra usa userPrincipalName (UPN) para autenticar o usuário. No entanto, quando você sincroniza seus usuários, você deve escolher o atributo a ser usado para o valor de userPrincipalName com cuidado. Ao selecionar o atributo para fornecer o valor de UPN a ser usado no Azure, deve-se garantir:
- Os valores de atributo estão em conformidade com a sintaxe UPN (RFC 822), o formato username@domain
- O sufixo nos valores corresponde a um dos domínios personalizados verificados no Microsoft Entra ID
Em configurações expressas, a escolha assumida para o atributo é userPrincipalName. Se o atributo userPrincipalName não contiver o valor que você deseja que seus usuários entrem no Azure, escolha Instalação Personalizada.
Estado de domínio personalizado e Nome Principal do Usuário
Verifique se há um domínio verificado para o sufixo UPN (Nome Principal do Usuário). John é um usuário em contoso.com. Você deseja que John use o UPN john@contoso.com local para entrar no Azure depois de sincronizar os usuários com o diretório do Microsoft Entra contoso.onmicrosoft.com. Para fazer isso, você precisa adicionar e verificar contoso.com como um domínio personalizado no Microsoft Entra ID antes de começar a sincronizar os usuários. Se o sufixo UPN de John, por exemplo contoso.com, não corresponder a um domínio verificado no Microsoft Entra ID, a ferramenta substituirá o sufixo UPN por contoso.onmicrosoft.com.
Algumas organizações têm domínios não roteáveis, como contoso.local, ou domínios simples de rótulo único, como contoso. Não é possível verificar um domínio não roteável. O Microsoft Entra Connect pode sincronizar apenas com um domínio verificado no Microsoft Entra ID. Quando você cria um diretório do Microsoft Entra, ele cria um domínio roteável que se torna o domínio padrão para sua ID do Microsoft Entra, por exemplo, contoso.onmicrosoft.com. Portanto, torna-se necessário verificar qualquer outro domínio roteável em tal cenário, caso você não queira sincronizar com o domínio onmicrosoft.com padrão.
O Microsoft Entra Connect deteta se você está executando em um ambiente de domínio não roteável e o avisaria adequadamente de prosseguir com as configurações expressas. Se você estiver operando em um domínio não roteável, é provável que o UPN, dos usuários, também tenha um sufixo não roteável. Por exemplo, se você estiver executando em contoso.local, o Microsoft Entra Connect sugere que você use configurações personalizadas em vez de usar configurações expressas. Usando configurações personalizadas, você pode especificar o atributo que deve ser usado como UPN para entrar no Azure depois que os usuários forem sincronizados com a ID do Microsoft Entra.
Topologias para o Microsoft Entra Connect
Esta seção descreve várias topologias locais e do Microsoft Entra ID que usam a sincronização do Microsoft Entra Connect como a solução de integração de chaves; Inclui configurações suportadas e não suportadas.
Topologia comum | Descrição |
---|---|
Floresta única, locatário único do Microsoft Entra | A topologia mais comum é uma única floresta local, com um ou vários domínios, e um único locatário do Microsoft Entra. Para autenticação, a sincronização de hash de senha é usada. A instalação expressa do Microsoft Entra Connect suporta apenas esta topologia. |
Várias florestas, um único locatário do Microsoft Entra | Muitas organizações têm ambientes com várias florestas locais do Ative Directory. Há vários motivos para ter mais de uma floresta do Ative Directory local. Exemplos típicos são projetos com florestas de recursos de conta e o resultado de uma fusão ou aquisição. Quando você tem várias florestas, todas as florestas devem ser acessíveis por um único servidor de sincronização do Microsoft Entra Connect. O servidor deve estar associado a um domínio. Se necessário para alcançar todas as florestas, você pode colocar o servidor em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). |
Várias florestas, servidor de sincronização único, os usuários são representados em apenas um diretório | Nesse ambiente, todas as florestas locais são tratadas como entidades separadas. Nenhum usuário está presente em qualquer outra floresta. Cada floresta tem sua própria organização do Exchange, e não há GALSync entre as florestas. Essa topologia pode ser a situação após uma fusão/aquisição ou em uma organização onde cada unidade de negócios opera de forma independente. Essas florestas estão na mesma organização no Microsoft Entra ID e aparecem com uma GAL unificada. Na imagem anterior, cada objeto em cada floresta é representado uma vez no metaverso e agregado no locatário de destino. |
Várias florestas: malha completa com GALSync opcional | Uma topologia de malha completa permite que usuários e recursos estejam localizados em qualquer floresta. Comumente, existem confianças bidirecionais entre as florestas. Se o Exchange estiver presente em mais de uma floresta, pode haver (opcionalmente) uma solução GALSync local. Cada utilizador é, em seguida, representado como um contacto em todas as outras florestas. O GALSync é comumente implementado através do FIM 2010 ou MIM 2016. O Microsoft Entra Connect não pode ser utilizado para a GALSync no local. |
Várias florestas: floresta de recursos de conta | Nesse cenário, uma (ou mais) floresta de recursos confia em todas as florestas de conta. A floresta de recursos normalmente tem um esquema estendido do Ative Directory com o Exchange e o Teams. Todos os serviços do Exchange e do Teams, juntamente com outros serviços compartilhados, estão localizados nessa floresta. Os usuários têm uma conta de usuário desabilitada nessa floresta e a caixa de correio está vinculada à floresta de contas. |
Servidor de preparo | O Microsoft Entra Connect suporta a instalação de um segundo servidor no modo de preparação. Um servidor nesse modo lê dados de todos os diretórios conectados, mas não grava nada nos diretórios conectados. Ele usa o ciclo de sincronização normal e, portanto, tem uma cópia atualizada dos dados de identidade. |
Vários locatários do Microsoft Entra | Há uma relação 1:1 entre um servidor de sincronização do Microsoft Entra Connect e um locatário. Para cada locatário do Microsoft Entra, você precisa de uma instalação do servidor de sincronização do Microsoft Entra Connect. As instâncias de locatário do AD são isoladas por design. Ou seja, os usuários em um locatário não podem ver os usuários no outro locatário. A separação de usuários é uma configuração suportada. Caso contrário, você deve usar o modelo de locatário único do Microsoft Entra. |
Cada objeto apenas uma vez em um locatário do Microsoft Entra | Nessa topologia, um servidor de sincronização do Microsoft Entra Connect é conectado a cada locatário. Os servidores de sincronização do Microsoft Entra Connect devem ser configurados para filtragem para que cada um tenha um conjunto mutuamente exclusivo de objetos para operar. Você pode, por exemplo, definir o escopo de cada servidor para um domínio ou unidade organizacional específico. |
Fatores de componente do Microsoft Entra Connect
O diagrama a seguir mostra uma arquitetura de alto nível do mecanismo de provisionamento conectando-se a uma única floresta, embora várias florestas sejam suportadas. Esta arquitetura mostra como os vários componentes interagem uns com os outros.
O mecanismo de provisionamento se conecta a cada floresta do Ative Directory e à ID do Microsoft Entra. O processo de leitura de informações de cada diretório é chamado de Import. Exportação refere-se à atualização dos diretórios a partir do mecanismo de provisionamento. O Sync avalia as regras de como os objetos fluirão dentro do mecanismo de provisionamento.
O Microsoft Entra Connect usa as seguintes áreas de preparação, regras e processos para permitir a sincronização do Ative Directory para o Microsoft Entra ID:
- Espaço do conector (CS) - Os objetos de cada diretório conectado (CD), os diretórios reais, são preparados aqui primeiro antes de poderem ser processados pelo mecanismo de provisionamento. O Microsoft Entra ID tem seu próprio CS e cada floresta à qual você se conecta terá seu próprio CS.
- Metaverso (MV) - Os objetos que precisam ser sincronizados são criados aqui com base nas regras de sincronização. Os objetos devem existir no MV antes de poderem preencher objetos e atributos para os outros diretórios conectados. Há apenas um MV.
- Regras de sincronização - Eles decidem quais objetos serão criados (projetados) ou conectados (unidos) a objetos na MV. As regras de sincronização também decidem quais valores de atributo serão copiados ou transformados de e para os diretórios.
- Executar perfis - Agrupa as etapas do processo de cópia de objetos e seus valores de atributo de acordo com as regras de sincronização entre as áreas de preparo e os diretórios conectados.
Sincronização na nuvem do Microsoft Entra
A sincronização na nuvem do Microsoft Entra Connect foi projetada para atingir metas de identidade híbrida para sincronização de usuários, grupos e contatos com o Microsoft Entra ID. A sincronização é realizada usando o agente de provisionamento de nuvem em vez do aplicativo Microsoft Entra Connect. Ele pode ser usado junto com a sincronização do Microsoft Entra Connect e oferece os seguintes benefícios:
- Suporte para sincronização com um locatário do Microsoft Entra a partir de um ambiente de floresta do Ative Directory desconectado de várias florestas: os cenários comuns incluem fusão e aquisição. As florestas AD da empresa adquirida são isoladas das florestas AD da empresa-mãe. As empresas que historicamente têm várias florestas AD.
- Instalação simplificada com agentes de provisionamento leves: os agentes atuam como uma ponte do AD para o Microsoft Entra ID, com toda a configuração de sincronização gerenciada na nuvem.
- Vários agentes de provisionamento podem ser usados para simplificar implantações de alta disponibilidade, essenciais para organizações que dependem da sincronização de hash de senha do AD para o ID do Microsoft Entra.
- Apoio a grandes grupos com até cinquenta mil membros. Recomenda-se usar apenas o filtro de escopo da UO ao sincronizar grupos grandes.
Com a sincronização na nuvem do Microsoft Entra Connect, o provisionamento do AD para o ID do Microsoft Entra é orquestrado no Microsoft Online Services. Uma organização só precisa implantar, em seu ambiente local ou hospedado em IaaS, um agente leve que atue como uma ponte entre o Microsoft Entra ID e o AD. A configuração de provisionamento é armazenada e gerenciada como parte do serviço. Lembrete de que a sincronização é executada a cada 2 minutos.