Integrar uma floresta existente e uma nova floresta num único inquilino do Microsoft Entra

  • Artigo

Este tutorial orienta você pela adição de sincronização na nuvem a um ambiente de identidade híbrida existente.

Diagrama que mostra o fluxo do Microsoft Entra Cloud Sync.

Você pode usar o ambiente criado neste tutorial para testar ou para se familiarizar com o funcionamento de uma identidade híbrida.

Nesse cenário, há uma floresta existente sincronizada usando o Microsoft Entra Connect Sync para um locatário do Microsoft Entra. E você tem uma nova floresta que deseja sincronizar com o mesmo locatário do Microsoft Entra. Você configurará a sincronização na nuvem para a nova floresta.

Pré-requisitos

No centro de administração do Microsoft Entra

  1. Crie uma conta de Administrador de Identidade Híbrida somente na nuvem em seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário caso os serviços locais falhem ou fiquem indisponíveis. Saiba mais sobre como adicionar uma conta de Administrador de Identidade Híbrida somente na nuvem. Concluir esta etapa é fundamental para garantir que você não fique bloqueado fora do seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao seu locatário do Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.

Em seu ambiente local

  1. Identificar um servidor host associado a um domínio que executa o Windows Server 2012 R2 ou superior com um mínimo de 4 GB de RAM e tempo de execução do .NET 4.7.1+

  2. Se existir uma firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

    • Certifique-se de que os agentes possam fazer solicitações de saída para o ID do Microsoft Entra pelas seguintes portas:

      Número da porta Como é utilizado
      80 Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL
      443 Processa toda a comunicação de saída com o serviço
      8080 (opcional) Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal.

      Se a firewall impuser regras de acordo com os utilizadores de origem, abra estas portas para o tráfego dos serviços Windows que são executados com um serviço de rede.

    • Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

    • Seus agentes precisam de acesso a login.windows.net e login.microsoftonline.com para o registro inicial. Abra também a firewall para estes URLs.

    • Para validação de certificado, desbloqueie as seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Como essas URLs são usadas para validação de certificado com outros produtos da Microsoft, talvez você já tenha essas URLs desbloqueadas.

Instalar o agente de provisionamento do Microsoft Entra

Se você estiver usando o tutorial do ambiente Basic AD e Azure, ele será DC1. Para instalar o agente, siga estes passos:

  1. No portal do Azure, selecione Microsoft Entra ID.
  2. À esquerda, selecione Microsoft Entra Connect.
  3. À esquerda, selecione Cloud sync.

Captura de tela da nova tela UX.

  1. À esquerda, selecione Agente.
  2. Selecione Baixar agente local e selecione Aceitar termos & download.

Screenshot do agente de descarregamento.

  1. Depois que o pacote do Microsoft Entra Connect Provisioning Agent for baixado, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe na pasta de downloads.

Nota

Ao instalar para o uso do US Government Cloud:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.

  1. No ecrã inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.

Captura de tela que mostra a tela inicial do Microsoft Entra Connect Provisioning Agent Package.

  1. Quando a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração. Captura de ecrã do ecrã de boas-vindas.
  2. Na tela Select Extension, selecione HR-driven provisioning (Workday and SuccessFactors) / Microsoft Entra Connect cloud sync e selecione Next. Captura de tela da tela de seleção de extensões.

Nota

Se você estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativo local, selecione Provisionamento de aplicativo local (ID do Microsoft Entra para aplicativo).

  1. Entre com uma conta com, pelo menos, a função de Administrador de Identidade Híbrida . Se você tiver a segurança reforçada do Internet Explorer habilitada, ela bloqueará a entrada. Em caso afirmativo, feche a instalação, desative a segurança reforçada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.

Captura de ecrã do ecrã Connect Microsoft Entra ID.

  1. Na tela Configurar Conta de Serviço, selecione uma Conta de Serviço Gerenciado (gMSA) do grupo. Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciado já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema deteta a conta existente e adiciona as permissões necessárias para que o novo agente use a conta gMSA. Quando solicitado, escolha:
  • Crie gMSA que permite que o agente crie a conta de serviço gerenciado provAgentgMSA$ para você. A conta de serviço gerenciado de grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Ative Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Ative Directory (recomendado).
  • Use gMSA personalizado e forneça o nome da conta de serviço gerenciado que você criou manualmente para essa tarefa.

Para continuar, selecione Seguinte.

Captura de ecrã do ecrã Configurar Conta de Serviço.

  1. No ecrã Ligar o Ative Directory, se o seu nome de domínio aparecer em Domínios configurados, avance para o passo seguinte. Caso contrário, digite seu nome de domínio do Ative Directory e selecione Adicionar diretório.

  2. Entre com sua conta de administrador de domínio do Ative Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com as novas credenciais. Esta operação adiciona o diretório local. Selecione OK e, em seguida, selecione Avançar para continuar.

Captura de ecrã que mostra como introduzir as credenciais de administrador do domínio.

  1. A captura de tela a seguir mostra um exemplo de contoso.com domínio configurado. Selecione Seguinte para continuar.

Captura de ecrã do ecrã Ligar o Ative Directory.

  1. Na tela Configuração concluída, selecione Confirmar. Esta operação registra e reinicia o agente.

  2. Quando essa operação for concluída, você deverá ser notificado de que a configuração do seu agente foi verificada com êxito. Você pode selecionar Sair.

Captura de tela que mostra a tela de conclusão.

  1. Se você ainda receber a tela inicial inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.

Verificação do agente do portal do Azure

Para verificar se o agente está a ser registado pelo Microsoft Entra ID, siga estes passos:

  1. Inicie sessão no portal do Azure.
  2. Selecione Microsoft Entra ID.
  3. Selecione Microsoft Entra Connect e, em seguida, selecione Cloud sync. Captura de tela da nova tela UX.
  4. Na página de sincronização na nuvem, você verá os agentes instalados. Verifique se o agente é exibido e se o status está íntegro.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.
  2. Abra Serviços navegando até ele ou indo para Start/Run/Services.msc.
  3. Em Serviços, verifique se o Microsoft Entra Connect Agent Updater e o Microsoft Entra Connect Provisioning Agent estão presentes e se o status é Em Execução. Captura de ecrã que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente que está sendo executada, execute estas etapas:

  1. Navegue até 'C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent'
  2. Clique com o botão direito do rato em 'AADConnectProvisioningAgent.exe' e selecione as propriedades.
  3. Clique na guia de detalhes e o número da versão será exibido ao lado de Versão do produto.

Configurar o Microsoft Entra Cloud Sync

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Use as seguintes etapas para configurar o provisionamento:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.
  1. Selecione Nova Configuração
  2. Na tela de configuração, insira um e-mail de notificação, mova o seletor para Ativar e selecione Salvar.
  3. O status da configuração agora deve ser Íntegro.

Verifique se os usuários foram criados e se a sincronização está ocorrendo

Agora você verificará se os usuários que você tinha em nosso diretório local foram sincronizados e agora existem em nosso locatário do Microsoft Entra. Este processo pode levar algumas horas para ser concluído. Para verificar se os usuários estão sincronizados, faça o seguinte:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Identidade>de usuários.
  3. Verifique se você vê os novos usuários em nosso locatário

Teste o início de sessão com um dos nossos utilizadores

  1. Navegue para https://myapps.microsoft.com

  2. Inicie sessão com uma conta de utilizador que foi criada no nosso novo inquilino. Terá de iniciar sessão utilizando o seguinte formato: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar no local.

    Captura de ecrã que mostra o portal As minhas aplicações com utilizadores com sessão iniciada.

Agora você configurou com êxito um ambiente de identidade híbrida que pode usar para testar e se familiarizar com o que o Azure tem a oferecer.

Próximos passos