Tutorial: Usar federação para identidade híbrida em uma única floresta do Ative Directory
Este tutorial mostra como criar um ambiente de identidade híbrida no Azure usando a federação e o Ative Directory do Windows Server (Windows Server AD). Você pode usar o ambiente de identidade híbrida criado para teste ou para se familiarizar com o funcionamento da identidade híbrida.
Neste tutorial, irá aprender a:
- Cria uma máquina virtual.
- Crie um ambiente do Ative Directory do Windows Server.
- Crie um usuário do Ative Directory do Windows Server.
- Crie um certificado.
- Crie um locatário do Microsoft Entra.
- Crie uma conta de Administrador de Identidade Híbrida no Azure.
- Adicione um domínio personalizado ao seu diretório.
- Configure o Microsoft Entra Connect.
- Teste e verifique se os usuários estão sincronizados.
Pré-requisitos
Para concluir o tutorial, você precisa destes itens:
- Um computador com o Hyper-V instalado. Sugerimos que você instale o Hyper-V em um computador com Windows 10 ou Windows Server 2016 .
- Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
- Um adaptador de rede externo, para que a máquina virtual possa se conectar à Internet.
- Uma cópia do Windows Server 2016.
- Um domínio personalizado que pode ser verificado.
Nota
Este tutorial usa scripts do PowerShell para criar rapidamente o ambiente do tutorial. Cada script usa variáveis que são declaradas no início do script. Certifique-se de alterar as variáveis para refletir seu ambiente.
Os scripts no tutorial criam um ambiente geral do Windows Server Ative Directory (Windows Server AD) antes de instalar o Microsoft Entra Connect. Os scripts também são usados em tutoriais relacionados.
Os scripts do PowerShell usados neste tutorial estão disponíveis no GitHub.
Criar uma máquina virtual
Para criar um ambiente de identidade híbrida, a primeira tarefa é criar uma máquina virtual para usar como um servidor AD do Windows Server local.
Nota
Se você nunca executou um script no PowerShell em sua máquina host, antes de executar qualquer script, abra o Windows PowerShell ISE como administrador e execute Set-ExecutionPolicy remotesigned. Na caixa de diálogo Alteração da Política de Execução, selecione Sim.
Para criar a máquina virtual:
Abra o Windows PowerShell ISE como administrador.
Execute o seguintes script:
#Declare variables $VMName = 'DC1' $Switch = 'External' $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso' $Path = 'D:\VM' $VHDPath = 'D:\VM\DC1\DC1.vhdx' $VHDSize = '64424509440' #Create a new virtual machine New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize -Generation 2 -Switch $Switch #Set the memory to be non-dynamic Set-VMMemory $VMName -DynamicMemoryEnabled $false #Add a DVD drive to the virtual machine Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia #Mount installation media $DVDDrive = Get-VMDvdDrive -VMName $VMName #Configure the virtual machine to boot from the DVD Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive
Instalar o sistema operacional
Para concluir a criação da máquina virtual, instale o sistema operacional:
- No Gerenciador do Hyper-V, clique duas vezes na máquina virtual.
- Selecione Iniciar.
- No prompt, pressione qualquer tecla para inicializar a partir do CD ou DVD.
- Na janela Iniciar do Windows Server, selecione seu idioma e selecione Avançar.
- Selecione Instalar agora.
- Introduza a sua chave de licença e selecione Seguinte.
- Marque a caixa de seleção Aceito os termos de licença e selecione Avançar.
- Selecione Personalizado: Instalar somente Windows (Avançado).
- Selecione Seguinte.
- Quando a instalação estiver concluída, reinicie a máquina virtual. Inicie sessão e, em seguida, verifique o Windows Update. Instale todas as atualizações para garantir que a VM esteja totalmente atualizada.
Instalar os pré-requisitos do Windows Server AD
Antes de instalar o Windows Server AD, execute um script que instale os pré-requisitos:
Abra o Windows PowerShell ISE como administrador.
Execute o
Set-ExecutionPolicy remotesigned. Na caixa de diálogo Alteração da Política de Execução, selecione Sim para Todos.Execute o seguintes script:
#Declare variables $ipaddress = "10.0.1.117" $ipprefix = "24" $ipgw = "10.0.1.1" $ipdns = "10.0.1.117" $ipdns2 = "8.8.8.8" $ipif = (Get-NetAdapter).ifIndex $featureLogPath = "c:\poshlog\featurelog.txt" $newname = "DC1" $addsTools = "RSAT-AD-Tools" #Set a static IP address New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw # Set the DNS servers Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2) #Rename the computer Rename-Computer -NewName $newname -force #Install features New-Item $featureLogPath -ItemType file -Force Add-WindowsFeature $addsTools Get-WindowsFeature | Where installed >>$featureLogPath #Restart the computer Restart-Computer
Criar um ambiente do Windows Server AD
Agora, instale e configure os Serviços de Domínio Ative Directory para criar o ambiente:
Abra o Windows PowerShell ISE como administrador.
Execute o seguintes script:
#Declare variables $DatabasePath = "c:\windows\NTDS" $DomainMode = "WinThreshold" $DomainName = "contoso.com" $DomainNetBIOSName = "CONTOSO" $ForestMode = "WinThreshold" $LogPath = "c:\windows\NTDS" $SysVolPath = "c:\windows\SYSVOL" $featureLogPath = "c:\poshlog\featurelog.txt" $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force #Install Active Directory Domain Services, DNS, and Group Policy Management Console start-job -Name addFeature -ScriptBlock { Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } Wait-Job -Name addFeature Get-WindowsFeature | Where installed >>$featureLogPath #Create a new Windows Server AD forest Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
Criar um usuário do Windows Server AD
Em seguida, crie uma conta de usuário de teste. Crie essa conta em seu ambiente local do Ative Directory. A conta é então sincronizada com o Microsoft Entra ID.
Abra o Windows PowerShell ISE como administrador.
Execute o seguintes script:
#Declare variables $Givenname = "Allie" $Surname = "McCray" $Displayname = "Allie McCray" $Name = "amccray" $Password = "Pass1w0rd" $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com" $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force #Create the user New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString #Set the password to never expire Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
Criar um certificado para o AD FS
Você precisa de um certificado TLS ou SSL que os Serviços de Federação do Ative Directory (AD FS) usarão. O certificado é um certificado autoassinado e você o cria para ser usado apenas para teste. Recomendamos que você não use um certificado autoassinado em um ambiente de produção.
Para criar um certificado:
Abra o Windows PowerShell ISE como administrador.
Execute o seguintes script:
#Declare variables $DNSname = "adfs.contoso.com" $Location = "cert:\LocalMachine\My" #Create a certificate New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
Criar um locatário do Microsoft Entra
Se você não tiver um, siga as etapas no artigo Criar um novo locatário no Microsoft Entra ID para criar um novo locatário.
Criar uma conta de Administrador de Identidade Híbrida no Microsoft Entra ID
A próxima tarefa é criar uma conta de Administrador de Identidade Híbrida. Essa conta é usada para criar a conta do Microsoft Entra Connector durante a instalação do Microsoft Entra Connect. A conta do Microsoft Entra Connector é usada para gravar informações no Microsoft Entra ID.
Para criar a conta de Administrador de Identidade Híbrida:
Inicie sessão no centro de administração do Microsoft Entra.
Navegue até Identidade>de usuários>Todos os usuários
Selecione Novo usuário>Criar novo usuário.
No painel Criar novo usuário, insira um Nome para exibição e um Nome principal de usuário para o novo usuário. Você está criando sua conta de Administrador de Identidade Híbrida para o locatário. Você pode mostrar e copiar a senha temporária.
- Em Atribuições, selecione Adicionar função e selecione Administrador de Identidade Híbrida.
Em seguida, selecione Rever + criar>Criar.
Em uma nova janela do navegador da Web, entre
myapps.microsoft.comusando a nova conta de Administrador de Identidade Híbrida e a senha temporária.Escolha uma nova senha para a conta de Administrador de Identidade Híbrida e altere a senha.
Adicionar um nome de domínio personalizado ao seu diretório
Agora que você tem um locatário e uma conta de Administrador de Identidade Híbrida, adicione seu domínio personalizado para que o Azure possa verificá-lo.
Para adicionar um nome de domínio personalizado a um diretório:
No [Centro de administração do Microsoft Entra](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview), certifique-se de fechar o painel Todos os usuários .
No menu à esquerda, em Gerenciar, selecione Nomes de domínio personalizados.
Selecione Adicionar domínio personalizado.
Em Nomes de domínio personalizados, introduza o nome do seu domínio personalizado e, em seguida, selecione Adicionar domínio.
Em Nome de domínio personalizado, as informações TXT ou MX são mostradas. Você deve adicionar essas informações às informações de DNS do registrador de domínios em seu domínio. Vá para o registrador de domínios e insira as informações TXT ou MX nas configurações de DNS do seu domínio.
Adicionar essas informações ao seu registrador de domínios permite que o Azure verifique seu domínio. A verificação do domínio pode demorar até 24 horas.Para obter mais informações, consulte a documentação Adicionar um domínio personalizado.
Para garantir que o domínio seja verificado, selecione Verificar.
Baixe e instale o Microsoft Entra Connect
Agora é hora de baixar e instalar o Microsoft Entra Connect. Depois de instalado, você usará a instalação expressa.
Baixe o Microsoft Entra Connect.
Vá para AzureADConnect.msi e clique duas vezes para abrir o arquivo de instalação.
Em Bem-vindo, marque a caixa de seleção para concordar com os termos de licenciamento e selecione Continuar.
Em Configurações expressas, selecione Personalizar.
Em Instalar componentes necessários, selecione Instalar.
Em Início de sessão de utilizador, selecione Federação com AD FS e, em seguida, selecione Seguinte.
Em Ligar ao ID do Microsoft Entra, introduza o nome de utilizador e a palavra-passe da conta de Administrador de Identidade Híbrida que criou anteriormente e, em seguida, selecione Seguinte.
Em Conectar seus diretórios, selecione Adicionar diretório. Em seguida, selecione Criar nova conta do AD e insira o nome de usuário e a senha contoso\Administrator. Selecione OK.
Selecione Seguinte.
Na configuração de entrada do Microsoft Entra, selecione Continuar sem corresponder todos os sufixos UPN aos domínios verificados. Selecione Seguinte.
Em Filtragem de domínio e UO, selecione Avançar.
Em Identificando exclusivamente seus usuários, selecione Avançar.
Em Filtrar usuários e dispositivos, selecione Avançar.
Em Recursos opcionais, selecione Avançar.
Em Credenciais de Administrador de Domínio, insira o nome de usuário e a senha contoso\Administrator e selecione Avançar.
No farm do AD FS, verifique se Configurar um novo farm do AD FS está selecionado.
Selecione Usar um certificado instalado nos servidores de federação e, em seguida, selecione Procurar.
Na caixa de pesquisa, digite DC1 e selecione-o nos resultados da pesquisa. Selecione OK.
Em Arquivo de certificado, selecione adfs.contoso.com, o certificado que você criou. Selecione Seguinte.
No servidor AD FS, selecione Procurar. Na caixa de pesquisa, digite DC1 e selecione-o nos resultados da pesquisa. Selecione OK e, em seguida, selecione Avançar.
Em Servidores proxy de aplicativos Web, selecione Avançar.
Na conta de serviço do AD FS, introduza o nome de utilizador e a palavra-passe contoso\Administrator e, em seguida, selecione Seguinte.
No Domínio do Microsoft Entra, selecione o domínio personalizado verificado e, em seguida, selecione Avançar.
Em Pronto para configurar, selecione Instalar.
Quando a instalação estiver concluída, selecione Sair.
Antes de usar o Gerenciador de Serviço de Sincronização ou o Editor de Regras de Sincronização, saia e entre novamente.
Verificar a existência de utilizadores no portal
Agora você verificará se os usuários em seu locatário local do Ative Directory sincronizaram e agora estão em seu locatário do Microsoft Entra. Esta seção pode levar algumas horas para ser concluída.
Para verificar se os usuários estão sincronizados:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
Navegue até Identidade>de usuários>Todos os usuários
Verifique se os novos usuários aparecem em seu locatário.
Iniciar sessão com uma conta de utilizador para testar a sincronização
Para testar se os usuários do locatário do Windows Server AD estão sincronizados com o locatário do Microsoft Entra, entre como um dos usuários:
Aceda a https://myapps.microsoft.com.
Inicie sessão com uma conta de utilizador que foi criada no seu novo inquilino.
Para o nome de usuário, use o formato
user@domain.onmicrosoft.com. Use a mesma senha que o usuário usa para entrar no Ative Directory local.
Você configurou com êxito um ambiente de identidade híbrida que pode usar para testar e se familiarizar com o que o Azure tem a oferecer.
Próximos passos
- Consulte o hardware e os pré-requisitos do Microsoft Entra Connect.
- Saiba como usar configurações personalizadas no Microsoft Entra Connect.
- Saiba mais sobre o Microsoft Entra Connect e a federação.