Contas necessárias para a configuração e testes do híbrido
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Quando configura um ambiente híbrido do SharePoint Server, precisa de várias contas de utilizador no Active Directory no local e no Microsoft 365. Essas contas também precisam de diferentes permissões e grupo ou associações de função. Algumas dessas contas são utilizadas para implantar e configurar o software, e algumas são utilizadas para testar uma funcionalidade específica para garantir que os sistemas de segurança e autenticação estejam funcionando conforme esperado.
Num ambiente híbrido, algumas ou todas as contas de utilizador no Active Directory são sincronizadas com os serviços de diretório do Microsoft Entra. Chamamos essas contas de usuários federados. O SharePoint Server e o SharePoint no Microsoft 365 estão configurados com uma relação de confiança servidor a servidor (S2S) e as aplicações de serviço podem ser configuradas para permitir que os utilizadores federados acedam a conteúdos e recursos de ambos os farms através de uma única identidade. Uma vez que as contas de utilizador e as credenciais são sincronizadas entre o SharePoint Server e o SharePoint no Microsoft 365, a segurança de conteúdos de listas e bibliotecas pode ser aplicada em ambos os farms através do mesmo conjunto de utilizadores e grupos.
Observação
[!OBSERVAçãO] Esta tabela não inclui contas de serviço, que podem ter requisitos específicos para aplicativos e recursos de serviços em determinadas soluções híbridas do SharePoint Server. Para obter mais informações sobre os requisitos para cada solução com suporte, consulte os artigos de configuração de solução em Configurar uma solução híbrida para o SharePoint Server.
A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Tabela: Contas necessárias para a configuração e teste híbridos do SharePoint
Conta | Provedor de identidade | Função |
---|---|---|
Administrador Global |
Microsoft 365 e Microsoft Entra ID |
Utilize uma conta profissional do Microsoft 365 que tenha sido atribuída à função de Administrador Global para tarefas de configuração do Microsoft 365, como configurar o SharePoint nas funcionalidades do Microsoft 365, executar o Microsoft Entra ID e o SharePoint nos comandos do PowerShell do Microsoft 365 e testar o SharePoint no Microsoft 365. |
Administrador de Domínio do AD |
AD local |
Utilizar uma conta de AD no grupo de Administradores de Domínio para configurar e testar o AD, o ADFS, o DNS e certificados, além de outras tarefas que exijam elevação. |
Administrador do SharePoint no Farm do Microsoft 365 |
AD local |
Utilize uma conta do AD no grupo Admins do Microsoft 365 Farm para tarefas de configuração do SharePoint Server, como executar comandos do PowerShell no SharePoint no Shell de Gestão do Microsoft 365 para configurar confianças S2S, criar e configurar aplicações Web e coleções de sites, implementar e configurar bases de dados do SQL Server e resolver problemas do SharePoint Server. Esta conta também tem de ter privilégios adicionais para utilizar o SharePoint na Shell de Gestão do Microsoft 365: Ser membro na função de servidor fixa securityadmin na instância do SQL Server. Ser membro na função de banco de dados fixa db_owner em todos os bancos de dados que devem ser atualizados. Ser membro do grupo Administradores no servidor no qual você está executando os cmdlets do PowerShell. |
Usuários federados |
AD local |
Utilize contas do AD que foram sincronizadas com o Microsoft 365 para testar o acesso a recursos específicos no SharePoint Server e no SharePoint no Microsoft 365. Estas contas, ou grupos dos quais são membros, têm de ter permissões para coleções de sites e recursos do SharePoint Server em ambos os ambientes e ter as licenças de produto adequadas atribuídas na subscrição do Microsoft 365. Eles também devem ser configurados para utilizar o sufixo UPN de domínio alternativo que você especifica para os usuários federados durante o processo de planejamento. Você pode configurar várias contas federadas com diferentes permissões ou associações de grupo para testar a filtragem de segurança adequada e o acesso aos recursos do site. |