Instalação personalizada do Microsoft Entra Connect
Use configurações personalizadas no Microsoft Entra Connect quando quiser mais opções para a instalação. Use essas configurações, por exemplo, se você tiver várias florestas ou se quiser configurar recursos opcionais. Use configurações personalizadas em todos os casos em que a instalação expressa não atenda às suas necessidades de implantação ou de topologia.
Pré-requisitos:
- Baixar o Microsoft Entra Connect.
- Conclua as etapas de pré-requisito em Microsoft Entra Connect: Hardware e pré-requisitos.
- Verifique se você tem as contas descritas em Contas e permissões do Microsoft Entra Connect.
Configurações de instalação personalizada
Para configurar uma instalação personalizada para o Microsoft Entra Connect, percorra as páginas do assistente que as seções a seguir descrevem.
Configurações expressas
Na página Configurações Expressas, selecione Personalizar para iniciar uma instalação de configurações personalizadas. O restante deste artigo orientará você no processo de instalação personalizada. Use os seguintes links para acessar rapidamente as informações de uma página específica:
Instalar componentes necessários
Quando você instala os serviços de sincronização, pode deixar a seção de configuração opcional desmarcada. O Microsoft Entra Connect configura tudo automaticamente. Ele configura uma instância do LocalDB do SQL Server 2019 Express, cria os grupos apropriados e atribui permissões a eles. Se quiser alterar os padrões, marque as caixas apropriadas. A tabela a seguir resume essas opções e fornece links para informações adicionais.
Configuração opcional | Descrição |
---|---|
Especificar um local de instalação personalizado | Permite que você altere o caminho de instalação padrão para o Microsoft Entra Connect. |
Usar um SQL Server existente | Permite que você especifique o nome do SQL Server e o nome da instância. Escolha essa opção se já tiver um servidor de banco de dados que deseja usar. Para Nome da Instância, insira o nome da instância, uma vírgula e o número da porta se a instância de SQL Server não tiver a navegação habilitada. Em seguida, especifique o nome do banco de dados do Microsoft Entra Connect. Os privilégios SQL determinam se será criado um banco de dados ou se o administrador do SQL deve criar o banco de dados com antecedência. Se você tiver permissões de administrador (SA) do SQL Server, confira Instalar Microsoft Entra Connect usando um banco de dados existente. Se você tiver permissões delegadas (DBO), confira Instalar o Microsoft Entra Connect com permissões de administrador delegado do SQL. |
Usar uma conta de serviço existente | Por padrão, o Microsoft Entra Connect fornece uma conta de serviço virtual para os serviços de sincronização. Se você usa uma instância remota do SQL Server ou usa um proxy que exija autenticação, use uma conta de serviço gerenciado ou uma conta de serviço protegida por senha no domínio. Nesses casos, insira a conta que deseja usar. Para executar a instalação, você precisa ser um SA no SQL para criar as credenciais de entrada para a conta de serviço. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect. Usando a compilação mais recente, o administrador de SQL agora pode provisionar o banco de dados fora da banda. Em seguida, o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados. Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegadas do SQL. |
Especificar grupos de sincronização personalizados | Por padrão, quando os serviços de sincronização estiverem instalados, o Microsoft Entra Connect cria quatro grupos locais para o servidor. Esses grupos são Administradores, Operadores, Navegação e Redefinição de Senha. Você pode especificar seus próprios grupos aqui. Os grupos precisam estar localizados no servidor. Eles não podem estar localizados no domínio. |
Importar as configurações de sincronização | Permite que você importe configurações de outras versões do Microsoft Entra Connect. Para obter mais informações, confira Importar e exportar definições de configuração do Microsoft Entra Connect. |
Entrada do usuário
Depois de instalar os componentes necessários, selecione o método de logon único dos usuários. A tabela a seguir descreve brevemente as opções disponíveis. Para obter uma descrição completa dos métodos de entrada, consulte Entrada do usuário.
Opção de logon único | Descrição |
---|---|
Sincronização de hash de senha | Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local deles. As senhas de usuário são sincronizadas com Microsoft Entra ID como um hash de senha. A autenticação ocorre na nuvem. Para obter mais informações, confira Sincronização de hash de senha. |
Autenticação de passagem | Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local deles. A senha dos usuários é validada ao ser passada pelo controlador de domínio do Active Directory local. |
Federação com o AD FS | Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local deles. Os usuários são redirecionados à instância do AD FS (serviços de Federação do Azure Directory) local para entrar. A autenticação ocorre localmente. |
Federação com PingFederate | Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local deles. Os usuários são redirecionados para a instância local do PingFederate para entrar. A autenticação ocorre localmente. |
Não configurar | Nenhum recurso de entrada do usuário está instalado ou configurado. Escolha essa opção se você já tiver um servidor de federação de terceiros ou outra solução em vigor. |
Habilitar logon único | Essa opção está disponível com a sincronização de hash de senha e a autenticação de passagem. Ele fornece uma experiência de logon único para usuários de desktop em redes corporativas. Para obter mais informações, confira Logon único. essa opção não está disponível para clientes do AD FS. O AD FS já oferece o mesmo nível de logon único. |
Conectar Microsoft Entra ID
Na página Conectar ao Microsoft Entra ID, insira uma conta e uma senha de administrador de identidade híbrida. Se você tiver selecionado Federação com o AD FS na página anterior, não entre com uma conta de um domínio que você planeja habilitar para a federação.
Uma recomendação é usar uma conta no domínio onmicrosoft.com padrão, fornecida com o locatário do Microsoft Entra. Essa conta é usada apenas para criar uma conta de serviço em Microsoft Entra ID. Ela não será usada após a conclusão da instalação.
Observação
A melhor prática é evitar o uso de contas sincronizadas locais para atribuições de função do Microsoft Entra. Se a conta local for comprometida, ela também poderá ser usada para comprometer os recursos do Microsoft Entra. Para obter uma lista completa de melhores práticas, veja Melhores práticas para funções do Microsoft Entra
Se sua conta de Administrador Global tiver a autenticação multifator habilitada, você fornecerá a senha novamente na janela de entrada e deverá concluir o desafio de autenticação multifator. O desafio poderá ser um código de verificação ou uma chamada telefônica.
A conta de Administrador Global também pode ter o Privileged Identity Management habilitado.
Para usar o suporte de autenticação para cenários sem senha, como contas federadas, cartões inteligentes e cenários de MFA, você pode fornecer a opção /InteractiveAuth ao iniciar o assistente. O uso dessa opção ignorará a interface do usuário de autenticação do Assistente e usará a interface do usuário da biblioteca do MSAL para lidar com a autenticação.
Se você encontrar um erro ou tiver problemas de conectividade, confira Solucionar problemas de conectividade.
Sincronizar páginas
As seções a seguir descrevem as páginas na seção Sincronizar.
Conectar seus diretórios
Para se conectar ao AD DS (Active Directory Domain Services), o Microsoft Entra Connect precisa do nome da floresta e das credenciais de uma conta com permissões suficientes.
Depois de inserir o nome da floresta e selecionar Adicionar diretório, uma janela será exibida. A tabela a seguir descreve as opções.
Opção | Descrição |
---|---|
Criar nova conta | Crie a conta do AD DS que o Microsoft Entra Connect precisa para se conectar à floresta do Active Directory durante a sincronização de diretórios. Depois de selecionar essa opção, insira o nome de usuário e a senha de uma conta do admin corporativo. O Microsoft Entra Connect usa a conta de admin corporativo fornecida para criar a conta do AD DS necessária. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, insira FABRIKAM\administrator ou fabrikam.com\administrator. |
Usar conta existente | Forneça uma conta existente do AD DS que o Microsoft Entra Connect possa usar para se conectar à floresta do Active Directory durante a sincronização de diretórios. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, insira FABRIKAM\syncuser ou fabrikam.com\syncuser. Essa conta pode ser uma conta de usuário comum, pois ela só precisa das permissões de leitura padrão. Mas dependendo do cenário, talvez sejam necessárias mais permissões. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect. |
Observação
A partir do Build 1.4.18.0, você não pode usar uma conta de admin corporativo ou de administrador de domínio como a conta do conector do AD DS. Ao selecionar Usar conta existente, se você tentar inserir uma conta de um admin corporativo ou de administrador de domínio, verá o seguinte erro: "Não é permitido usar uma conta de administrador corporativo ou de administrador de domínio para a conta de sua floresta do AD. Permita que o Microsoft Entra Connect crie a conta para você ou especifique uma conta de sincronização com as permissões corretas”.
Configuração de entrada do Microsoft Entra
Na página Configuração de entrada do Microsoft Entra, examine os domínios do nome UPN no AD DS local. Esses domínios UPN foram verificados em Microsoft Entra ID. Nesta página, você configura o atributo a ser usado para userPrincipalName.
Examine cada domínio marcado como Não Adicionado ou Não Verificado. Verifique se os domínios foram verificados no Microsoft Entra ID. Depois de verificar os domínios, selecione o ícone de atualização circular. Para saber mais, confira Adicionar e verificar o domínio.
Os usuários usam o atributo userPrincipalName quando entram no Microsoft Entra ID e no Microsoft 365. O Microsoft Entra ID deve verificar os domínios, também conhecidos como sufixo UPN, antes que os usuários sejam sincronizados. A Microsoft recomenda manter o atributo padrão userPrincipalName.
Se o atributo userPrincipalName for não roteável e não puder ser verificado, você poderá selecionar outro atributo. Por exemplo, você pode selecionar o email como o atributo que contém a ID de entrada. Quando você usa um atributo diferente de userPrincipalName, ele é conhecido como uma ID alternativa.
O valor de atributo da ID alternativa deve seguir o padrão RFC 822. Você pode usar uma ID alternativa com sincronização de hash de senha, autenticação de passagem e federação. No Active Directory, o atributo não pode ser definido como multivalor, mesmo que ele tenha apenas um único valor. Para obter mais informações sobre a ID alternativa, confira Autenticação de passagem: Perguntas frequentes.
Observação
Quando habilitar a autenticação de passagem, você deverá ter pelo menos um domínio verificado para continuar o processo de instalação personalizada.
Aviso
As IDs alternativas não são compatíveis com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, confira Configurando IDs de entrada alternativas.
Domínio e filtragem de unidade organizacional
Por padrão, todos os domínios e UOs (unidades organizacionais) são sincronizados. Se não quiser sincronizar alguns domínios ou UOs com o Microsoft Entra ID, você poderá desmarcar as seleções apropriadas.
Esta página configura a filtragem baseada em domínio e a filtragem baseada em UO. Para saber mais, confira Filtragem baseada em domínio e Filtragem baseada em UO. Algumas UOs são essenciais para a funcionalidade, portanto, você deve deixá-las selecionadas.
Se você usar a filtragem baseada em UO com uma versão do Microsoft Entra Connect mais antiga que 1.1.524.0, as novas UOs serão sincronizadas por padrão. Se você não quiser que novas UOs sejam sincronizadas, poderá ajustar o comportamento padrão após a etapa de Filtragem baseada em UO. Para o Microsoft Entra Connect 1.1.524.0 ou posterior, você pode indicar se deseja que as novas UOs sejam sincronizadas.
Se você planeja usar a filtragem baseada em grupo, verifique se a UO com o grupo está incluída e não filtrada com filtragem de UO. A filtragem de UO é avaliada antes da filtragem baseada em grupo.
Também é possível que alguns domínios estejam inacessíveis devido a restrições de firewall. Esses domínios estão desmarcados por padrão e mostram um aviso.
Se for mostrado este aviso, verifique se os domínios realmente não podem ser acessados e se o aviso é esperado.
Identificando seus usuários com exclusividade
Na página Identificando usuários, escolha como identificar usuários nos diretórios locais e como identificá-los usando o atributo sourceAnchor.
Selecione como os usuários devem ser identificados em seus diretórios locais
Usando o recurso Correspondência entre florestas, você pode definir como os usuários das suas florestas do AD DS são representados no Microsoft Entra ID. Um usuário pode ser representado somente uma vez em todas as florestas ou ter uma combinação de contas habilitadas e desabilitadas. O usuário também pode ser representado como um contato em algumas florestas.
Configuração | Descrição |
---|---|
Os usuários são representados apenas uma vez em todas as florestas | Todos os usuários são criados como objetos individuais no Microsoft Entra ID. Os objetos não são associados ao metaverso. |
Atributo de email | Essa opção associa usuários e contatos quando o atributo de email tem o mesmo valor em florestas diferentes. Use esta opção quando seus contatos forem criados usando GALSync. Se você escolher essa opção, os objetos de usuário cujo atributo de email não estiver preenchido não serão sincronizados com o Microsoft Entra ID. |
ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID | Essa opção associa um usuário habilitado em uma floresta de conta com um usuário desabilitado em uma floresta de recursos. No Exchange, essa configuração é conhecida como uma caixa de correio vinculada. Você pode usar essa opção se usar somente o Lync e se o Exchange não estiver presente na floresta de recursos. |
Atributos SAMAccountName e MailNickName | Essa opção une os atributos em que se espera que a ID de entrada do usuário seja encontrada. |
Escolher um atributo específico | Essa opção permite que você selecione seu próprio atributo. Se você escolher essa opção, os objetos de usuário cujo atributo (selecionado) não estiver preenchido não serão sincronizados com o Microsoft Entra ID. Limitação: Somente os atributos que já estão no metaverso estão disponíveis para essa opção. |
Selecionar como os usuários devem ser identificados usando uma âncora de origem
O atributo sourceAnchor é imutável durante o tempo de vida de um objeto de usuário. É a chave primária que vincula o usuário local com o usuário no Microsoft Entra ID.
Configuração | Descrição |
---|---|
Permitir que o Azure gerencie a âncora de origem | Selecione esta opção se desejar que o Microsoft Entra ID escolha o atributo para você. Se você selecionar essa opção, o Microsoft Entra Connect aplicará a lógica de seleção de atributo sourceAnchor descrita em Usando o atributo ms-DS-ConsistencyGuid como sourceAnchor. Após a conclusão da instalação personalizada, você verá qual atributo foi escolhido como o atributo sourceAnchor. |
Escolher um atributo específico | Selecione esta opção se desejar especificar um atributo existente do AD como o atributo sourceAnchor. |
Como o atributo sourceAnchor não pode ser alterado, você deve escolher um atributo apropriado. Um bom candidato é objectGUID. Esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas ou domínios. Não escolha atributos que podem ser alterados quando uma pessoa se casa ou muda de cargo.
Você não pode usar atributos que incluem um sinal de arroba (@), portanto, você não pode usar email e userPrincipalName. O atributo também diferencia maiúsculas de minúsculas, portanto, se você mover um objeto entre florestas, preserve as maiúsculas e minúsculas. Os atributos binários são codificados em Base64, mas outros tipos de atributo permanecem no estado não codificado.
Em cenários de federação e em algumas interfaces do Microsoft Entra ID, o atributo sourceAnchor também é conhecido como immutableID.
Para obter mais informações sobre a âncora de origem, confira Conceitos de design.
Filtragem de sincronização com base em grupos
O recurso filtrar por grupos permite que você sincronize apenas um pequeno subconjunto de objetos para um piloto. Para usar esse recurso, crie um grupo para essa finalidade em sua instância local do Active Directory. Em seguida, adicione usuários e grupos que devem ser sincronizados ao Microsoft Entra ID como membros diretos. Posteriormente, você pode adicionar e remover usuários nesse grupo para manter a lista de objetos que devem estar presentes no Microsoft Entra ID.
Todos os objetos que você deseja sincronizar devem ser membros diretos do grupo. Usuários, grupos, contatos e computadores ou dispositivos devem ser membros diretos. A associação de grupos aninhados não é resolvida. Quando você adiciona um grupo como um membro, apenas o grupo em si é adicionado. Seus membros não são adicionados.
Aviso
Esse recurso destina-se a oferecer suporte somente a uma implantação piloto. Não o utilize em uma implantação de produção completa.
Em uma implantação de produção completa, será difícil manter um único grupo com todos os objetos a sincronizar. Em vez do recurso de filtragem em grupos, use um dos métodos descritos em Configurar filtragem.
Recursos opcionais
Na próxima página, você pode selecionar recursos opcionais para seu cenário.
Aviso
O Microsoft Entra Connect versão 1.0.8641.0 e anteriores se baseia no Serviço de Controle de Acesso do Azure para write-back de senha. Esse serviço foi desativado em 7 de novembro de 2018. Se você usar qualquer uma dessas versões do Microsoft Entra Connect e tiver habilitado o write-back de senha, os usuários poderão perder a capacidade de alterar ou redefinir suas senhas quando o serviço for desativado. Essas versões do Microsoft Entra Connect não oferecem suporte a write-back de senha.
Se você quiser usar o write-back de senha, baixe a versão mais recente do Microsoft Entra Connect.
Aviso
Se o Microsoft Entra Sync ou a Sincronização Direta (DirSync) estiver ativa, não ative nenhum recurso de write-back no Microsoft Entra Connect.
Recursos opcionais | Descrição |
---|---|
Implantação híbrida do Exchange | O recurso de implantação híbrida do Exchange permite a coexistência de caixas de correio do Exchange no local e no Microsoft 365. O Microsoft Entra Connect sincroniza um conjunto específico de atributosdo Microsoft Entra em seu diretório local. |
Pastas públicas do Exchange Mail | O recurso Pastas públicas do Exchange Mail permite sincronizar objetos de pasta pública habilitada para email do seu Active Directory local para o Microsoft Entra ID. Observe que não há suporte para a sincronização de grupos que contêm pastas públicas como membros; a tentativa de fazer isso resultará em um erro de sincronização. |
Filtragem de aplicativos e atributos do Microsoft Entra | Ao habilitar o aplicativo do Microsoft Entra e a filtragem de atributo, você pode adaptar o conjunto de atributos sincronizados. Essa opção adiciona mais duas páginas de configuração ao assistente. Para saber mais, confira Aplicativo e filtragem de atributos do Microsoft Entra. |
Sincronização de hash de senha | Se você selecionou federação como a solução de entrada, você pode habilitar a sincronização de hash de senha. Em seguida, você pode usá-la como uma opção de backup. Se você tiver selecionado a autenticação de passagem, habilite esta opção para garantir o suporte dos clientes legados e para fornecer um backup. Para saber mais, confira . |
write-back de senha | Use esta opção para garantir que as alterações de senha originadas no Microsoft Entra ID sejam gravadas no diretório local. Para saber mais, confira Introdução ao gerenciamento de senhas. |
Write-back de grupo | Se utiliza o Microsoft 365 Groups, então você pode representar grupos em sua instância local do Active Directory. Essa opção só estará disponível se você tiver o Exchange em sua instância local do Active Directory. Para saber mais, confira Write-back de grupo do Microsoft Entra Connect. |
Write-back de dispositivo | Para cenários de acesso condicional, use esta opção para gravar novamente objetos de dispositivo no Microsoft Entra ID em sua instância local do Active Directory. Para saber mais, confira Habilitar o write-back de dispositivo no Microsoft Entra Connect. |
Sincronização de atributo de extensão de diretório | Selecione esta opção para sincronizar os atributos especificados para o Microsoft Entra ID. Para saber mais, confira Extensões de diretório. |
Filtragem de aplicativos e atributos do Microsoft Entra
Se você quiser limitar quais atributos serão sincronizados com o Microsoft Entra ID, comece selecionando os serviços que você usa. Se você alterar as seleções nesta página, precisará selecionar explicitamente um novo serviço executando novamente o assistente de instalação.
Com base nos serviços que você selecionou na etapa anterior, essa página mostra todos os atributos que são sincronizados. Essa lista é uma combinação de todos os tipos de objetos que estão sendo sincronizados. Se precisar que alguns atributos permaneçam não sincronizados, você poderá limpar a seleção desses atributos.
Aviso
A remoção de atributos pode afetar a funcionalidade. Para obter as práticas recomendadas e recomendações, confira Atributos para sincronizar.
Sincronização de atributo de extensão de diretório
Você pode estender o esquema no Microsoft Entra ID usando atributos personalizados que sua organização adicionou ou usando outros atributos no Active Directory. Para usar esse recurso, na página Recursos Opcionais, selecione Sincronização de atributo de Extensão de Diretório. Na página Extensões de Diretório, você pode selecionar mais atributos para sincronizar.
Observação
O campo Atributos Disponíveis diferencia maiúsculas de minúsculas.
Para saber mais, confira Extensões de diretório.
Habilitando logon único
Na página Logon único, você configura o logon único para uso com a sincronização de senha ou autenticação de passagem. Você faz essa etapa uma vez para cada floresta que está sendo sincronizada com o Microsoft Entra ID. A configuração envolve duas etapas:
- Criar a conta de computador necessária em sua instância local do Active Directory.
- Configurar a zona da intranet dos computadores cliente para dar suporte a logon único.
Crie a conta de computador no Active Directory
Para cada floresta que tenha sido adicionada por meio do Microsoft Entra Connect, você precisará fornecer credenciais de administrador de domínio para que a conta de computador possa ser criada em cada floresta. As credenciais serão usadas somente para criar a conta. Elas não serão armazenadas ou usadas para qualquer outra operação. Adicione as credenciais na página Habilitar logon único, como mostra a imagem a seguir.
Observação
Você poderá ignorar as florestas em que não deseja usar o logon único.
Configurar a zona da intranet para computadores cliente
Para garantir que o cliente entrará automaticamente na zona da intranet, verifique se a URL faz parte da zona da intranet. Isso garantirá que o computador conectado ao domínio enviará automaticamente um tíquete Kerberos ao Microsoft Entra ID quando estiver conectado à rede corporativa.
Em um computador que tem as ferramentas de gerenciamento de Política de Grupo:
Abra as ferramentas de gerenciamento de Política de Grupo.
Edite a política de grupo que será aplicada a todos os usuários. Por exemplo, a política de Domínio Padrão.
Navegue até Configuração do Usuário>Modelos Administrativos>Componentes do Windows>Internet Explorer>Painel de Controle da Internet>Página de Segurança. Em seguida, selecione Lista de atribuição de sites a zonas.
Habilite a política. Em seguida, na caixa de diálogo, insira um nome de valor de
https://autologon.microsoftazuread-sso.com
ehttps://aadg.windows.net.nsatc.net
com um valor de1
para ambas as URLs. Seu setup deve ser semelhante à imagem a seguir.Selecione OK duas vezes.
Configurando a federação com o AD FS
Você pode configurar o AD FS com o Microsoft Entra Connect com apenas alguns cliques. Antes de começar, é necessário:
- Windows Server 2012 R2 ou posterior para o servidor de federação. O gerenciamento remoto deve ser habilitado.
- Windows Server 2012 R2 ou posterior para o servidor proxy de aplicativo Web. O gerenciamento remoto deve ser habilitado.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Observação
Você pode atualizar o certificado TLS/SSL para o farm do AD FS usando o Microsoft Entra Connect, mesmo se não usá-lo para gerenciar sua relação de confiança de federação.
Pré-requisitos de configuração do AD FS
Para configurar o farm do AD FS usando o Microsoft Entra Connect, verifique se o WinRM está habilitado nos servidores remotos. Verifique se você concluiu as outras tarefas em Pré-requisitos de federação. Além disso, verifique se está seguindo os requisitos de portas listados na tabela Microsoft Entra Connect e servidores de federação/WAP.
Criar um novo farm do AD FS ou usar um farm do AD FS existente
Você pode usar um farm do AD FS existente ou criar um. Se optar por criar um, você precisará fornecer o certificado TLS/SSL. Se o certificado TLS/SSL estiver protegido por senha, a senha será solicitada.
Se optar por usar um farm existente do AD FS, você verá a tela de configuração da relação de confiança entre o AD FS e o Microsoft Entra ID.
Observação
O Microsoft Entra Connect pode ser usado para gerenciar somente um farm do AD FS. Se você tiver uma relação de confiança de federação existente com o Microsoft Entra ID configurado no farm do AD FS selecionado, o Microsoft Entra Connect recriará a relação de confiança do zero.
Especificar os servidores do AD FS
Especifique os servidores em que você deseja instalar o AD FS. Você pode adicionar um ou mais servidores com base em suas necessidades de capacidade. Antes de configurar essa configuração, una todos os servidores do AD FS ao Active Directory. Essa etapa não é necessária para os servidores proxy de aplicativo Web.
A Microsoft recomenda instalar um único servidor do AD FS para implantações de teste e piloto. Após a configuração inicial, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.
Observação
Antes de configurar essa configuração, verifique se todos os servidores estão unidos a um domínio do Microsoft Entra.
Especificar os servidores proxy de aplicativo Web
Especificar os servidores proxy de aplicativo Web. O servidor proxy de aplicativo Web é implantado em sua rede de perímetro, voltada para a extranet. Ele dá suporte a solicitações de autenticação da extranet. Você pode adicionar um ou mais servidores com base em suas necessidades de capacidade.
A Microsoft recomenda instalar um único servidor proxy de aplicativo Web para implantações de teste e piloto. Após a configuração inicial, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente. Recomendamos que você tenha um número equivalente de servidores proxy para satisfazer a autenticação da intranet.
Observação
- Se a conta usada não for de um administrador local nos servidores proxy de aplicativo Web, suas credenciais de administrador serão solicitadas.
- Antes de especificar servidores proxy de aplicativo Web, verifique se há conectividade HTTP/HTTPS entre o servidor do Microsoft Entra Connect e o servidor proxy de aplicativo Web.
- Verifique se há conectividade HTTP/HTTPS entre o Servidor de Aplicativo Web e o servidor do AD FS para permitir o fluxo de solicitações de autenticação.
Você deverá inserir as credenciais para que o Servidor de Aplicativo Web possa estabelecer uma conexão segura com o servidor do AD FS. Essas credenciais precisam ser de uma conta de administrador local no servidor do AD FS.
Especifique a conta de serviço para o serviço AD FS
O serviço do AD FS requer uma conta de serviço de domínio para autenticar usuários e procurar informações de usuário no Active Directory. Ele pode dar suporte a dois tipos de contas de serviço:
- Conta de serviço gerenciado de grupo: esse tipo de conta foi introduzido no AD DS pelo Windows Server 2012. Esse tipo de conta fornece serviços como o AD FS. É uma única conta na qual você não precisa atualizar a senha regularmente. Use essa opção se você já tiver controladores de domínio do Windows Server 2012 no domínio ao qual os servidores do AD FS pertencem.
- Conta de usuário de domínio: Esse tipo de conta exige que você forneça uma senha e atualize-a regularmente quando ela expirar. Use essa opção somente quando você não tiver controladores de domínio do Windows Server 2012 no domínio ao qual os servidores do AD FS pertencem.
Se você selecionou Criar uma Conta de Serviço Gerenciado de grupo e esse recurso nunca tiver sido usado no Active Directory, insira suas credenciais de admin corporativo. Essas credenciais são usadas para iniciar o repositório de chaves e para habilitar o recurso no Active Directory.
Observação
O Microsoft Entra Connect verifica se o serviço do AD FS já está registrado como um SPN (nome da entidade de serviço) no domínio. O AD DS não permite que SPNs duplicados sejam registrados ao mesmo tempo. Se um SPN duplicado for encontrado, você não poderá continuar até que o SPN seja removido.
Selecionar o domínio do Microsoft Entra que você deseja federar
Use a página Domínio do Microsoft Entra para configurar a relação de federação entre o AD FS e o Microsoft Entra ID. Aqui, você configura o AD FS para fornecer tokens de segurança ao Microsoft Entra ID. Você também configura o Microsoft Entra ID para confiar nos tokens dessa instância do AD FS.
Nessa página, você pode configurar apenas um único domínio na instalação inicial. Você pode configurar mais domínios mais tarde executando novamente o Microsoft Entra Connect.
Verificar o domínio do Microsoft Entra selecionado para federação
Quando você seleciona o domínio que deseja federar, o Microsoft Entra Connect fornece informações que você pode usar para verificar um domínio não verificado. Para saber mais, confira Adicionar e verificar o domínio.
Observação
O Microsoft Entra Connect tenta verificar o domínio durante o estágio de configuração. Se você não adicionar os registros DNS (sistema de nomes de domínio) necessários, a configuração não poderá ser concluída.
Configurando a federação com o PingFederate
Você pode configurar o PingFederate com o Microsoft Entra Connect com apenas alguns cliques. Os seguintes pré-requisitos são necessários:
- PingFederate 8.4 ou posterior. Para obter mais informações, confira Integração do PingFederate com o Microsoft Entra ID e o Microsoft 365 na documentação da Identidade de Ping.
- Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).
Verifique o domínio
Depois de optar por configurar a federação usando o PingFederate, você deverá verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.
Exportar configurações do PingFederate
Configure o PingFederate como o servidor de federação para cada domínio do Azure federado. Selecione Exportar Configurações para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualizará a configuração e, em seguida, fornecerá a URL do servidor PingFederate e número da porta para que o Microsoft Entra Connect possa verificar as configurações de metadados.
Entre em contato com o administrador do PingFederate para resolver os problemas de validação. A imagem a seguir mostra informações sobre um servidor PingFederate que não tem uma relação de confiança válida com o Azure.
Verificar conectividade da federação
O Microsoft Entra Connect tentará validar os pontos de extremidade de autenticação recuperados dos metadados do PingFederate na etapa anterior. O Microsoft Entra Connect primeiro tentará resolver os pontos de extremidade usando seus servidores DNS locais. Em seguida, tentará resolver os pontos de extremidade usando um provedor DNS externo. Entre em contato com o administrador do PingFederate para resolver os problemas de validação.
Verificar entrada da federação
Por fim, você pode verificar o fluxo de logon federado recém-configurado ao entrar em um domínio federado. Se sua entrada for bem-sucedida, a federação com o PingFederate será configurada com êxito.
Configurar e verificar páginas
A configuração ocorre na página Configurar.
Observação
Se você configurou a federação, verifique se também configurou a Resolução de nomes para servidores de federação antes de continuar a instalação.
Usar o modo de preparo
É possível configurar um novo servidor de sincronização em paralelo com o modo de preparo. Se você quiser usar essa configuração, somente um servidor de sincronização poderá exportar para um diretório na nuvem. Mas se você quiser mover de outro servidor, por exemplo, um que esteja executando o DirSync, poderá habilitar o Microsoft Entra Connect no modo de preparo.
Quando você habilitar a configuração de preparo, o mecanismo de sincronização importará e sincronizará os dados normalmente. Mas não exporta dados para o Microsoft Entra ID ou para o Active Directory. No modo de preparo, o recurso de sincronização de senha e o recurso write-back de senha estão desabilitados.
No modo de preparo, você pode fazer as alterações necessárias no mecanismo de sincronização e examinar o que será exportado. Quando a configuração parecer adequada, execute novamente o assistente de instalação e desabilite o modo de preparo.
Agora, os dados serão exportados para o Microsoft Entra ID deste servidor. Desabilite o outro servidor ao mesmo tempo, para que somente um servidor esteja exportando ativamente.
Para saber mais, confira Modo de preparo.
Verificar a configuração de federação
O Microsoft Entra Connect verificará as configurações de DNS quando você clicar no botão Verificar. Ele verificará as seguintes configurações:
- Conectividade com a intranet
- Resolver o FQDN da federação: o Microsoft Entra Connect verifica se o FQDN da federação pode ser resolvido pelo DNS a fim de garantir a conectividade. Se o Microsoft Entra Connect não puder resolver o FQDN, a verificação falhará. Para concluir a verificação, verifique se existe um registro DNS para o FQDN do serviço de federação.
- Registro A de DNS: O Microsoft Entra Connect verifica se o serviço de federação tem um registro A. Na ausência de um registro A, a verificação falhará. Para concluir a verificação, crie um registro A (não um registro CNAME) para o FQDN da federação.
- Conectividade com a Extranet
Resolver o FQDN da federação: o Microsoft Entra Connect verifica se o FQDN da federação pode ser resolvido pelo DNS a fim de garantir a conectividade.
Para validar a autenticação descentralizada, execute manualmente um ou mais dos seguintes testes:
- Quando a sincronização for concluída, no Microsoft Entra Connect, use a tarefa adicional Verificar logon federado para verificar a autenticação para uma conta de usuário local de sua escolha.
- Em um computador conectado ao domínio na intranet, verifique se você pode entrar em um navegador. Conecte-se ao https://myapps.microsoft.com. Em seguida, use sua conta conectada para verificar a entrada. A conta interna de administrador do AD DS não está sincronizada e você não pode usá-la para verificação.
- Verifique se você pode entrar de um dispositivo na Extranet. Em um computador doméstico ou em um dispositivo móvel, conecte-se a https://myapps.microsoft.com. Em seguida, forneça suas credenciais.
- Valide a entrada do cliente avançado. Conecte-se ao https://testconnectivity.microsoft.com. Em seguida, selecione Office 365>Teste de Logon único do Office 365.
Solucionar problemas
Esta seção contém informações de solução de problemas que podem ser usadas se você tiver um problema durante a instalação do Microsoft Entra Connect.
Ao personalizar uma instalação do Microsoft Entra Connect, na página Instalar componentes necessários, você pode selecionar Usar um SQL Server existente. Você pode ver o seguinte erro: "O banco de dados ADSync já contém dados e não pode ser substituído. Remova o banco de dados existente e tente novamente”.
Você verá esse erro porque um banco de dados chamado ADSync já existe na instância SQL do SQL Server especificado.
Normalmente, você verá esse erro depois de ter desinstalado o Microsoft Entra Connect. O banco de dados não é excluído do computador que executa o SQL Server quando você desinstala o Microsoft Entra Connect.
Para corrigir esse problema:
Verifique o banco de dados ADSync que o Microsoft Entra Connect usou antes de ser desinstalado. Verifique se o banco de dados não está mais sendo usado.
Fazer backup do banco de dados.
Exclua o banco de dados:
- Use o Microsoft SQL Server Management Studio para se conectar à instância do SQL Server.
- Localize o banco de dados ADSync e clique nele com o botão direito do mouse.
- No menu de contexto, selecione Excluir.
- Selecione OK para excluir o banco de dados.
Depois de excluir o banco de dados ADSync, selecione Instalar para repetir a instalação.
Próximas etapas
Após a conclusão da instalação, saia do Windows. Em seguida, entre novamente antes de usar o Synchronization Service Manager ou o Editor de Regra de Sincronização.
Agora que você tem o Microsoft Entra Connect instalado, é possível verificar a instalação e atribuir licenças.
Para obter mais informações sobre os recursos que você habilitou durante a instalação, confira Impedir exclusões acidentais e Microsoft Entra Connect Health.
Para obter mais informações sobre outros tópicos comuns, confira Sincronização do Microsoft Entra Connect: Agendador e Integrar suas identidades locais ao Microsoft Entra ID.