Implantar a Sincronização do Microsoft 365 Directory no Microsoft Azure
Microsoft Entra Connect (anteriormente conhecido como ferramenta de sincronização de diretório, ferramenta sincronização de diretório ou ferramenta DirSync.exe) é um aplicativo que você instala em um servidor ingressado no domínio para sincronizar seus usuários do AD DS (Active Directory local Domain Services) com o Microsoft Entra locatário de sua assinatura do Microsoft 365. O Microsoft 365 usa Microsoft Entra ID para seu serviço de diretório. Sua assinatura do Microsoft 365 inclui um locatário Microsoft Entra. Esse locatário também pode ser usado para o gerenciamento de identidades da sua organização com outras cargas de trabalho de nuvem, incluindo outros aplicativos SaaS e aplicativos no Azure.
Você pode instalar Microsoft Entra Conectar em um servidor local, mas também pode instalá-lo em uma máquina virtual no Azure por esses motivos:
- Você pode provisionar e configurar servidores baseados na nuvem mais depressa, disponibilizando os serviços aos usuários com mais antecedência.
- O Azure oferece melhor disponibilidade de sites com menos esforço.
- Você pode reduzir o número de servidores locais em sua organização.
Essa solução requer conectividade entre sua rede local e sua rede virtual do Azure. Para saber mais, confira o artigo Conectar uma rede local a uma rede virtual do Microsoft Azure.
Observação
Este artigo descreve a sincronização de um único domínio em uma única floresta. Microsoft Entra Connect sincroniza todos os domínios do AD DS na floresta do Active Directory com o Microsoft 365. Se você tiver várias florestas do Active Directory para sincronizar com o Microsoft 365, consulte Sincronização de Diretório multi-floresta com cenário de Sign-On único.
Visão geral da implantação da sincronização de diretório do Microsoft 365 no Azure
O diagrama a seguir mostra Microsoft Entra Connect em execução em uma máquina virtual no Azure (o servidor de sincronização de diretório) que sincroniza uma floresta do AD DS local com uma assinatura do Microsoft 365.
No diagrama, há duas redes conectadas por meio de uma conexão VPN site a site ou ExpressRoute. Há uma rede local em que os controladores de domínio do AD DS estão localizados e há uma rede virtual do Azure com um servidor de sincronização de diretório, que é uma máquina virtual que executa Microsoft Entra Connect. Há dois fluxos de tráfego main provenientes do servidor de sincronização de diretório:
- Microsoft Entra Conectar consulta um controlador de domínio na rede local para alterações em contas e senhas.
- Microsoft Entra Connect envia as alterações para contas e senhas para a instância Microsoft Entra da assinatura do Microsoft 365. Como o servidor de sincronização de diretório está em uma parte estendida da rede local, essas alterações são enviadas por meio do servidor proxy da rede local.
Observação
Esta solução descreve a sincronização de um único domínio do Active Directory, uma única floresta do Active Directory. Microsoft Entra Connect sincroniza todos os domínios do Active Directory na floresta do Active Directory com o Microsoft 365. Se você tiver várias florestas do Active Directory para sincronizar com o Microsoft 365, consulte Sincronização de Diretório multi-floresta com cenário de Sign-On único.
Há duas etapas principais quando você implanta essa solução:
Criar uma rede virtual do Azure e estabelecer uma conexão VPN de site a site para a sua rede local. Para saber mais, confira o artigo Conectar uma rede local a uma rede virtual do Microsoft Azure.
Instale Microsoft Entra Conectar em uma máquina virtual ingressada no domínio no Azure e sincronize o AD DS local com o Microsoft 365. Isso envolve:
Criando uma Máquina Virtual do Azure para executar Microsoft Entra Connect.
Instalando e configurando Microsoft Entra Connect.
Configurar Microsoft Entra Connect requer as credenciais (nome de usuário e senha) de uma conta de administrador Microsoft Entra e uma conta de administrador empresarial do AD DS. Microsoft Entra Connect é executado imediatamente e continuamente para sincronizar a floresta do AD DS local com o Microsoft 365.
Antes de implantar essa solução em produção, você pode usar as instruções na configuração de base corporativa simulada para configurar essa configuração como uma prova de conceito, para demonstrações ou para experimentação.
Importante
Quando Microsoft Entra a configuração do Connect for concluída, ela não salva as credenciais da conta de administrador empresarial do AD DS.
Observação
Essa solução descreve a sincronização de uma única floresta do AD DS com o Microsoft 365. A topologia abordada neste artigo representa apenas uma das maneiras de implementar essa solução. A topologia de sua organização pode ser diferente, com base em requisitos de rede e considerações de segurança exclusivos.
Planejar a hospedagem de um servidor de sincronização de diretório para o Microsoft 365 no Azure
Pré-requisitos
Antes de começar, examine os seguintes pré-requisitos para essa solução:
Examine o conteúdo de planejamento relacionado em Planejar sua rede virtual do Azure.
Verifique se você atende a todos os pré-requisitos para configurar a Rede Virtual do Azure.
Tenha uma assinatura do Microsoft 365 que inclua o recurso de integração do Active Directory. Para obter informações sobre assinaturas do Microsoft 365, acesse a página de assinatura do Microsoft 365.
Provisione uma Máquina Virtual do Azure que executa Microsoft Entra Conectar para sincronizar sua floresta local do AD DS com o Microsoft 365.
Você deve ter as credenciais (nomes e senhas) para uma conta de administrador empresarial do AD DS e uma conta de administrador Microsoft Entra.
Suposições de design de arquitetura da solução
A lista a seguir descreve as opções de design feitas para essa solução.
Essa solução usa uma única rede virtual do Azure com uma conexão VPN de site a site. A rede virtual do Azure hospeda uma única sub-rede que tem um servidor, o servidor de sincronização de diretório que está executando Microsoft Entra Connect.
Na rede local, existem servidores DNS e um controlador de domínio.
Microsoft Entra Connect executa a sincronização de hash de senha em vez de logon único. Você não precisa implantar uma infraestrutura do AD FS (Serviços de Federação do Active Directory (AD FS)). Para saber mais sobre as opções de sincronização de hash de senha e logon único, confira Escolhendo o método de autenticação correto para sua solução de identidade híbrida Microsoft Entra.
Há outras opções de design que você pode considerar ao implantar essa solução em seu ambiente. Elas incluem o seguinte:
Se houver servidores DNS em uma rede virtual existente do Azure, determine se você deseja que seu servidor de sincronização de diretório os use para resolução de nomes em vez dos servidores DNS da rede local.
Se houver controladores de domínio em uma rede virtual existente do Azure, determine se configurar sites e serviços do Active Directory pode ser uma opção melhor para você. O servidor de sincronização de diretório pode consultar os controladores de domínio na rede virtual do Azure para obter alterações em contas e senhas em vez de controladores de domínio na rede local.
Roteiro de implantação
A implantação do Microsoft Entra Connect em uma máquina virtual no Azure consiste em três fases:
Fase 1: Criar e configurar a rede virtual do Azure
Fase 2: Criar e configurar a máquina virtual do Azure
Fase 3: instalar e configurar Microsoft Entra Connect
Após a implantação, você também deve atribuir locais e licenças para as novas contas de usuário no Microsoft 365.
Fase 1: Criar e configurar a rede virtual do Azure
Para criar e configurar a rede virtual do Azure, conclua a Fase 1: preparar sua rede local e a Fase 2: criar a rede virtual entre locais no Azure no roteiro de implantação de Conectar uma rede local a uma rede virtual do Microsoft Azure.
Esta é a configuração resultante.
Esta figura mostra uma rede local conectada a uma rede virtual do Azure por meio de uma conexão VPN ou ExpressRoute de site a site.
Fase 2: Criar e configurar a máquina virtual do Azure
Criar a máquina virtual no Azure usando as instruções Criar sua primeira máquina virtual do Windows no portal do Azure. Use as seguintes configurações:
No painel Básico, selecione a mesma assinatura, local e grupo de recursos que sua rede virtual. Armazene o nome de usuário e a senha em um local seguro. Você precisará deles mais tarde para se conectar à máquina virtual.
No painel Escolher um tamanho, escolha o tamanho A2 Padrão.
No painel Configurações, na seção Armazenamento, escolha o tipo de armazenamento Padrão. Na seção Rede , selecione o nome da sua rede virtual e a sub-rede para hospedar o servidor de sincronização de diretório (não o GatewaySubnet). Deixe todas as outras configurações com os valores padrão.
Para conferir se o servidor de sincronização de diretório está usando o DNS corretamente, verifique o DNS interno para garantir que um registro de endereço (A) foi adicionado à máquina virtual com o respectivo endereço IP.
Use as instruções em Conectar-se à máquina virtual e entre para se conectar ao servidor de sincronização de diretório com uma Conexão de Área de Trabalho Remota. Depois de entrar, junte a máquina virtual ao domínio do AD DS local.
Para Microsoft Entra Conectar para obter acesso aos recursos da Internet, você deve configurar o servidor de sincronização de diretório para usar o servidor proxy da rede local. Entre em contato com o administrador da rede para etapas de configuração adicionais para executar.
Esta é a configuração resultante.
Esta figura mostra a máquina virtual do servidor de sincronização de diretório na rede virtual entre locais do Azure.
Fase 3: instalar e configurar Microsoft Entra Connect
Faça o procedimento a seguir:
Conecte-se ao servidor de sincronização de diretório usando uma Conexão de Área de Trabalho Remota com uma conta de domínio do AD DS que tenha privilégios de administrador local. Confira Conectar-se à máquina virtual e fazer login.
No servidor de sincronização de diretório, abra o artigo Configurar sincronização de diretório para o Microsoft 365 e siga as instruções para sincronização de diretório com sincronização de hash de senha.
Cuidado
A instalação cria a conta AAD_xxxxxxxxxxxx na unidade organizacional (UO) Usuários Locais. Não mova nem remova essa conta ou a sincronização falhará.
Esta é a configuração resultante.
Essa figura mostra o servidor de sincronização de diretório com Microsoft Entra Conectar na rede virtual do Azure entre locais.
Atribuir locais e licenças aos usuários no Microsoft 365
Microsoft Entra Connect adiciona contas à sua assinatura do Microsoft 365 do AD DS local, mas para que os usuários entrem no Microsoft 365 e usem seus serviços, as contas devem ser configuradas com um local e licenças. Use essas etapas para adicionar o local e as licenças ativas às devidas contas de usuário:
Entre no Centro de administração do Microsoft 365 e clique em Administração.
Na navegação à esquerda, clique em Usuários Usuários>Ativos.
Na lista das contas de usuário, marque a caixa de seleção ao lado do usuário que você deseja ativar.
Na página do usuário, clique em Editar para Licenças de produto.
Na página Licenças de produto, selecione um local para o usuário em Local e habilite as licenças apropriadas para ele.
Ao concluir, clique em Salvar e, em seguida, clique em Fechar duas vezes.
Volte à etapa 3 para usuários adicionais.
Confira também
Centro de soluções e arquitetura do Microsoft 365
Conectar uma rede local a uma rede virtual do Microsoft Azure
Baixar Microsoft Entra Conectar
Configurar a sincronização de diretório para o Microsoft 365