Instalar o agente de provisionamento do Microsoft Entra

  • Artigo

Este artigo descreve o processo de instalação do agente de provisionamento do Microsoft Entra e como configurá-lo inicialmente no centro de administração do Microsoft Entra.

Importante

As instruções de instalação a seguir consideram que você atendeu a todos os pré-requisitos.

Observação

Este artigo trata da instalação do agente de provisionamento usando o assistente. Para saber mais sobre como instalar o Agente de Provisionamento do Microsoft Entra usando uma CLI, confira Instalar o agente de provisionamento do Microsoft Entra usando uma CLI e o PowerShell.

Para obter mais informações e um exemplo, veja o seguinte vídeo:

Group Managed Service Accounts

Uma gMSA (Conta de Serviço Gerenciado de grupo) é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento de SPN (nome da entidade de serviço) simplificado e a capacidade de delegar o gerenciamento para outros administradores. Uma gMSA também estende essa funcionalidade para vários servidores. A Sincronização na Nuvem do Microsoft Entra dá suporte e recomenda o uso de uma gMSA para executar o agente. Para obter mais informações, consulte Contas de Serviço Gerenciado de Grupo.

Atualizar um agente existente para usar a gMSA

Para atualizar um agente existente para usar a conta de serviço gerenciado de grupo durante a instalação, atualize o serviço do agente para a versão mais recente executando AADConnectProvisioningAgent.msi. Agora execute o assistente de instalação novamente e forneça as credenciais para criar a conta quando solicitado.

Instalar o agente

  1. No portal do Azure, selecione Microsoft Entra ID.
  2. À esquerda, selecione Microsoft Entra Connect.
  3. À esquerda, selecione Sincronização na nuvem.

Captura de tela da nova tela de Experiência de Usuário.

  1. À esquerda, selecione Agente.
  2. Selecione Baixar agente local e selecione Aceitar os termos e baixar.

Captura de tela do agente de download.

  1. Depois que o Pacote do Agente de Provisionamento do Microsoft Entra Connect for baixado, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.

Observação

Ao instalar para o uso da Nuvem do Governo dos EUA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.

  1. Na tela inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.

Captura de tela que mostra a tela inicial do pacote do agente de provisionamento do Microsoft Entra Connect.

  1. Depois que a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração. Captura de tela da tela de boas-vindas.
  2. Na tela Selecionar extensão, selecione provisionamento controlado por RH (Workday e SuccessFactors) / Sincronização de nuvem do Microsoft Entra Connect e selecione Avançar. Captura de tela da tela de seleção de extensões.

Observação

Se estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativos no local, selecione Provisionamento de aplicativo local (Microsoft Entra ID para aplicativo).

  1. Entre com uma conta com pelo menos a função Administrador de identidade híbrida. Se você tiver a segurança aprimorada do Internet Explorer habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.

Captura de tela da tela Conectar do Microsoft Entra ID.

  1. Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema detecta a conta existente e adiciona as permissões necessárias para o novo agente usar a conta gMSA. Quando solicitado, escolha:
  • Criar a gMSA que permite que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciada do grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Active Directory em que o servidor de host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
  • Use gMSA personalizado e forneça o nome da conta de serviço gerenciada que você criou manualmente para essa tarefa.

Para continuar, selecione Avançar.

Captura de tela da tela Configurar Conta de Serviço.

  1. Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, digite o nome de domínio do Active Directory e selecione Adicionar diretório.

  2. Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com as novas credenciais. Esta operação adiciona seu diretório local. Selecione OK e, em seguida, Avançar para continuar.

Captura de tela que mostra como inserir as credenciais de administrador de domínio.

  1. A captura de tela a seguir mostra um exemplo do contoso.com de domínio configurado. Selecione Avançar para continuar.

Captura de tela da tela Conectar o Active Directory.

  1. Na tela Configuração concluída, selecione Confirmar. Esta operação registra e reinicia o agente.

  2. Depois de concluir a operação, você deverá ser notificado de que A configuração do agente foi verificada com sucesso. Você pode selecionar Sair.

Captura de tela que mostra a tela de conclusão.

  1. Se você ainda visualizar a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.

Verificação do agente de portal do Azure

Para verificar se o agente está registrado no Microsoft Entra ID, siga estas etapas:

  1. Entre no portal do Azure.
  2. Selecione ID do Microsoft Entra.
  3. Selecione Microsoft Entra Connect e, em seguida, Sincronização na nuvem. Captura de tela da nova tela de Experiência de Usuário.
  4. Na página de sincronização na nuvem, você verá os agentes que instalou. Verifique se o agente é exibido e se o status é íntegro.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.
  2. Abra Serviços navegando até essa opção ou acessando Iniciar/Executar/Services.msc.
  3. Em Serviços, verifique se o Atualizador do Agente do Microsoft Entra Connect e o Agente de Provisionamento do Microsoft Entra Connect estão presentes e se o status é Em execução. Captura de tela que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga essas etapas:

  1. Navegue até "C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect"
  2. Clique com o botão direito do mouse em "AADConnectProvisioningAgent.exe" e selecione propriedades.
  3. Clique na guia Detalhes e o número da versão será exibido ao lado da versão do Produto.

Importante

Depois de instalar o agente, você precisará configurá-lo e habilitá-lo para que ele inicie a sincronização de usuários. Consulte Criar uma nova configuração para a Sincronização na Nuvem do Microsoft Entra para configurar um novo agente.

Habilitar write-back de senha na sincronização de nuvem

Você pode habilitar o write-back de senha no SSPR diretamente no portal ou por meio do PowerShell.

Habilitar write-back de senha no portal do Azure

Para usar o write-back de senha e habilitar o serviço de redefinição de senha de autoatendimento (SSPR) para detectar o agente de sincronização de nuvem, usando o portal, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. À esquerda, selecione Proteção, Redefinição de senha e Integração local.
  3. Marque a opção para Habilitar o write-back de senha para usuários sincronizados.
  4. (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá marcar a opção Fazer write-back de senhas com a Sincronização na Nuvem do Microsoft Entra.
  5. Marque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha como Sim.
  6. Quando estiver pronto, selecione Salvar.

Usando o PowerShell

Para usar o write-back da senha e habilitar o serviço de redefinição de senha por autoatendimento (SSPR) para detectar o agente de sincronização na nuvem, use o cmdlet Set-AADCloudSyncPasswordWritebackConfiguration e as credenciais de Administrador Global do locatário:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Para obter mais informações sobre como usar o write-back de senha com o Microsoft Entra Cloud Sync, consulte Tutorial: Habilitar o write-back de redefinição de senha de autoatendimento da sincronização de nuvem em um ambiente local .

Instalar um agente na nuvem do governo dos EUA

Por padrão, o agente de provisionamento do Microsoft Entra é instalado no ambiente padrão do Azure. Se você estiver instalando o agente para uso do governo dos EUA, faça esta alteração na etapa 7 do procedimento de instalação anterior:

  • Em vez de selecionar Abrir arquivo, selecione Iniciar>Executar e acesse o arquivo AADConnectProvisioningAgentSetup.exe. Na caixa Executar, após o executável, insira ENVIRONMENTNAME=AzureUSGovernment e selecione OK.

    Captura de tela que mostra como instalar um agente na nuvem do governo dos EUA.

Sincronização de hash de senha e FIPS com sincronização de nuvem

Se o servidor tiver sido bloqueado de acordo com o padrão FIPS, o MD5 (message-digest algorithm 5) estará desabilitado.

Para habilitar o MD5 para a sincronização de hash de senha, execute as seguintes etapas:

  1. Acesse o Agente de Provisionamento do %programfiles%\Microsoft Azure AD Connect.
  2. Abra AADConnectProvisioningAgent.exe.config.
  3. Acesse o nó de configuração/runtime parte superior do arquivo.
  4. Adicione o nó <enforceFIPSPolicy enabled="false"/>.
  5. Salve suas alterações.

O código deve ser semelhante ao seguinte snippet:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Para obter informações sobre segurança e FIPS, consulte Sincronização de hash de senha, criptografia e conformidade FIPS do Microsoft Entra.

Próximas etapas