Instalação personalizada do Microsoft Entra Connect

Use configurações personalizadas no Microsoft Entra Connect quando quiser mais opções para a instalação. Use essas configurações, por exemplo, se você tiver várias florestas ou se quiser configurar recursos opcionais. Use configurações personalizadas em todos os casos em que a instalação expressa não satisfaça suas necessidades de implantação ou topologia.

Pré-requisitos:

Configurações de instalação personalizadas

Para configurar uma instalação personalizada para o Microsoft Entra Connect, percorra as páginas do assistente descritas nas seções a seguir.

Definições rápidas

Na página Configurações Expressas, selecione Personalizar para iniciar uma instalação de configurações personalizadas. O restante deste artigo orienta você pelo processo de instalação personalizada. Use os links a seguir para ir rapidamente para as informações de uma página específica:

Instalar os componentes necessários

Ao instalar os serviços de sincronização, você pode deixar a seção de configuração opcional desmarcada. O Microsoft Entra Connect configura tudo automaticamente. Ele configura uma instância do SQL Server 2019 Express LocalDB, cria os grupos apropriados e atribui permissões. Se quiser alterar os padrões, selecione as caixas apropriadas. A tabela a seguir resume essas opções e fornece links para informações adicionais.

Captura de tela mostrando seleções opcionais para os componentes de instalação necessários no Microsoft Entra Connect.

Configuração opcional Description
Especificar um local de instalação personalizado Permite alterar o caminho de instalação padrão para o Microsoft Entra Connect.
Utilizar um SQL Server existente Permite especificar o nome do SQL Server e o nome da instância. Escolha esta opção se já tiver um servidor de banco de dados que deseja usar. Em Nome da Instância, insira o nome da instância, uma vírgula e o número da porta se a instância do SQL Server não tiver a navegação habilitada. Em seguida, especifique o nome do banco de dados do Microsoft Entra Connect. Seus privilégios SQL determinam se um novo banco de dados pode ser criado ou se o administrador SQL deve criar o banco de dados com antecedência. Se você tiver permissões de administrador (SA) do SQL Server, consulte Instalar o Microsoft Entra Connect usando um banco de dados existente. Se você tiver permissões delegadas (DBO), consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL.
Utilizar uma conta de serviço existente Por padrão, o Microsoft Entra Connect fornece uma conta de serviço virtual para os serviços de sincronização. Se você usar uma instância remota do SQL Server ou usar um proxy que exija autenticação, poderá usar uma conta de serviço gerenciada ou uma conta de serviço protegida por senha no domínio. Nesses casos, insira a conta que deseja usar. Para executar a instalação, você precisa ser uma SA em SQL para poder criar credenciais de entrada para a conta de serviço. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect.

Usando a compilação mais recente, o administrador do SQL agora pode provisionar o banco de dados fora da banda. Em seguida, o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados. Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL.
Especificar grupos de sincronização personalizados Por padrão, quando os serviços de sincronização são instalados, o Microsoft Entra Connect cria quatro grupos que são locais para o servidor. Esses grupos são Administradores, Operadores, Procurar e Redefinição de senha. Pode especificar aqui os seus próprios grupos. Os grupos devem ser locais no servidor. Eles não podem ser localizados no domínio.
Importar configurações de sincronização Permite-lhe importar as definições de outras versões do Microsoft Entra Connect. Para obter mais informações, consulte Importando e exportando definições de configuração do Microsoft Entra Connect.

Início de sessão do utilizador

Depois de instalar os componentes necessários, selecione o método de logon único dos usuários. A tabela a seguir descreve brevemente as opções disponíveis. Para obter uma descrição completa dos métodos de início de sessão, consulte Início de sessão do utilizador.

Captura de ecrã que mostra a página

Opção de logon único Description
Sincronização de hash de palavra-passe Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As senhas de usuário são sincronizadas com o Microsoft Entra ID como um hash de senha. A autenticação ocorre na nuvem. Para obter mais informações, veja Sincronização do hash de palavras-passe.
Autenticação pass-through Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. As senhas de usuário são validadas sendo passadas para o controlador de domínio do Ative Directory local.
Federação com o AD FS Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância local dos Serviços de Federação de Diretório do Azure (AD FS) para entrar. A autenticação ocorre no local.
Federação com o PingFederate Os usuários podem entrar nos serviços de nuvem da Microsoft, como o Microsoft 365, usando a mesma senha que usam em sua rede local. Os usuários são redirecionados para sua instância PingFederate local para entrar. A autenticação ocorre no local.
Não configurar Nenhum recurso de login de usuário está instalado ou configurado. Escolha esta opção se já tiver um servidor de federação de terceiros ou outra solução.
Ativar o início de sessão único Esta opção está disponível na sincronização do hash de palavras-passe e na autenticação pass-through. Ele fornece uma experiência de logon único para usuários de desktop em redes corporativas. Para obter mais informações, consulte Logon único.

Nota: Para clientes do AD FS, esta opção não está disponível. O AD FS já oferece o mesmo nível de logon único.

Conectar-se ao Microsoft Entra ID

Na página Conectar à ID do Microsoft Entra, insira uma conta e senha de Administrador de Identidade Híbrida. Se você selecionou Federação com AD FS na página anterior, não entre com uma conta que esteja em um domínio que você planeja habilitar para federação.

Talvez você queira usar uma conta no domínio onmicrosoft.com padrão, que vem com seu locatário do Microsoft Entra. Esta conta é usada apenas para criar uma conta de serviço no Microsoft Entra ID. Ele não é usado após a conclusão da instalação.

Nota

Uma prática recomendada é evitar o uso de contas sincronizadas locais para atribuições de função do Microsoft Entra. Se a conta local for comprometida, isso também poderá ser usado para comprometer seus recursos do Microsoft Entra. Para obter uma lista completa de práticas recomendadas, consulte Práticas recomendadas para funções do Microsoft Entra

Captura de ecrã a mostrar a página

Se a sua conta de Administrador Global tiver a autenticação multifator ativada, forneça a palavra-passe novamente na janela de início de sessão e tenha de concluir o desafio de autenticação multifator. O desafio poderá ser um código de verificação ou uma chamada telefónica.

Captura de ecrã a mostrar a página

A conta de Administrador Global também pode ter o gerenciamento de identidade privilegiado habilitado.

Para usar o suporte à autenticação para cenários sem senha, como contas federadas, cartões inteligentes e cenários de MFA, você pode fornecer o switch /InteractiveAuth ao iniciar o assistente. O uso dessa opção ignorará a interface do usuário de autenticação do Assistente e usará a interface do usuário da biblioteca MSAL para manipular a autenticação.

Se vir um erro ou tiver problemas com a conectividade, consulte Resolução de problemas de conectividade.

Sincronizar páginas

As seções a seguir descrevem as páginas na seção Sincronização .

Ligar os diretórios

Para se conectar aos Serviços de Domínio Ative Directory (AD DS), o Microsoft Entra Connect precisa do nome da floresta e das credenciais de uma conta que tenha permissões suficientes.

Captura de tela que mostra a página

Depois de inserir o nome da floresta e selecionar Adicionar diretório, uma janela será exibida. A tabela a seguir descreve suas opções.

Opção Description
Criar conta nova Crie a conta do AD DS de que o Microsoft Entra Connect precisa para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Depois de selecionar essa opção, digite o nome de usuário e a senha de uma conta de administrador corporativo. O Microsoft Entra Connect usa a conta de administrador empresarial fornecida para criar a conta do AD DS necessária. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\administrator ou fabrikam.com\administrator.
Utilizar conta existente Forneça uma conta AD DS existente que o Microsoft Entra Connect possa usar para se conectar à floresta do Ative Directory durante a sincronização de diretórios. Você pode inserir a parte do domínio no formato NetBIOS ou no formato FQDN. Ou seja, digite FABRIKAM\syncuser ou fabrikam.com\syncuser. Essa conta pode ser uma conta de usuário regular porque precisa apenas das permissões de leitura padrão. Mas, dependendo do seu cenário, você pode precisar de mais permissões. Para obter mais informações, consulte Contas e permissões do Microsoft Entra Connect.

Captura de tela mostrando a página

Nota

A partir da compilação 1.4.18.0, você não pode usar uma conta de administrador corporativo ou de administrador de domínio como a conta do conector do AD DS. Quando seleciona Utilizar conta existente, se tentar introduzir uma conta de administrador empresarial ou uma conta de administrador de domínio, verá o seguinte erro: "Não é permitido utilizar uma conta de administrador empresarial ou de domínio para a sua conta de floresta do AD. Deixe que o Microsoft Entra Connect crie a conta para si ou especifique uma conta de sincronização com as permissões corretas."

Configuração de início de sessão do Microsoft Entra

Na página de configuração de início de sessão do Microsoft Entra, reveja os domínios UPN (nome principal do utilizador) no AD DS local. Esses domínios UPN foram verificados no Microsoft Entra ID. Nesta página, você configura o atributo a ser usado para o userPrincipalName.

Captura de ecrã a mostrar domínios não verificados na página

Analise todos os domínios marcados como Não adicionado ou Não verificado. Certifique-se de que os domínios que você usa foram verificados no Microsoft Entra ID. Depois de verificar seus domínios, selecione o ícone de atualização circular. Para obter mais informações, consulte Adicionar e verificar o domínio.

Os usuários usam o atributo userPrincipalName quando entram no Microsoft Entra ID e no Microsoft 365. O Microsoft Entra ID deve verificar os domínios, também conhecido como sufixo UPN, antes que os usuários sejam sincronizados. A Microsoft recomenda que você mantenha o atributo padrão userPrincipalName.

Se o atributo userPrincipalName não for roteável e não puder ser verificado, você poderá selecionar outro atributo. Você pode, por exemplo, selecionar e-mail como o atributo que contém a ID de entrada. Quando você usa um atributo diferente de userPrincipalName, ele é conhecido como uma ID alternativa.

O valor do atributo de ID alternativo tem de seguir a norma RFC 822. Pode utilizar um ID alternativo com a sincronização do hash de palavras-passe, a autenticação pass-through e a federação. No Ative Directory, o atributo não pode ser definido como tendo múltiplos valores, mesmo que tenha apenas um único valor. Para obter mais informações sobre a ID alternativa, consulte Autenticação de passagem: perguntas frequentes.

Nota

Ao habilitar a autenticação de passagem, você deve ter pelo menos um domínio verificado para continuar no processo de instalação personalizada.

Aviso

As IDs alternativas não são compatíveis com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, consulte Configurando IDs de entrada alternativas.

Filtragem de domínios e de UOs

Por padrão, todos os domínios e unidades organizacionais (OUs) são sincronizados. Se não quiser sincronizar alguns domínios ou UOs com o Microsoft Entra ID, você pode limpar as seleções apropriadas.

Captura de ecrã a mostrar a página de filtragem Domínio e O U.

Esta página configura a filtragem baseada em domínio e em UO. Se você planeja fazer alterações, consulte Filtragem baseada em domínio e filtragem baseada em UO. Algumas UOs são essenciais para a funcionalidade, por isso deve deixá-las selecionadas.

Se você usar a filtragem baseada em UO com uma versão do Microsoft Entra Connect anterior a 1.1.524.0, as novas UOs serão sincronizadas por padrão. Se você não quiser que novas UOs sejam sincronizadas, poderá ajustar o comportamento padrão após a etapa de filtragem baseada em UO. Para o Microsoft Entra Connect 1.1.524.0 ou posterior, você pode indicar se deseja que novas UOs sejam sincronizadas.

Se você planeja usar a filtragem baseada em grupo, verifique se a UO com o grupo está incluída e não é filtrada usando filtragem de UO. A filtragem de UO é avaliada antes de a filtragem baseada em grupo ser avaliada.

Também é possível que alguns domínios estejam inacessíveis devido a restrições de firewall. Esses domínios são desmarcados por padrão e exibem um aviso.

Captura de ecrã a mostrar domínios inacessíveis.

Se vir este aviso, certifique-se de que estes domínios estão realmente inacessíveis e que o aviso é esperado.

Identificar os utilizadores de forma exclusiva

Na página Identificando usuários, escolha como identificar usuários em seus diretórios locais e como identificá-los usando o atributo sourceAnchor.

Selecione a forma como os utilizadores devem ser identificados nos seus diretórios no local

Usando o recurso Correspondência entre florestas , você pode definir como os usuários de suas florestas do AD DS são representados na ID do Microsoft Entra. Um usuário pode ser representado apenas uma vez em todas as florestas ou pode ter uma combinação de contas habilitadas e desabilitadas. O utilizador também pode ser representado como um contacto em algumas florestas.

Captura de ecrã a mostrar a página onde pode identificar exclusivamente os seus utilizadores.

Definição Descrição
Os usuários são representados apenas uma vez em todas as florestas Todos os usuários são criados como objetos individuais no Microsoft Entra ID. Os objetos não são unidos no metaverso.
Atributo de correio Esta opção associa utilizadores e contactos se o atributo de correio tiver o mesmo valor em florestas diferentes. Use esta opção quando seus contatos foram criados usando GALSync. Se você escolher essa opção, os objetos de usuário cujo atributo de email não está preenchido não serão sincronizados com o Microsoft Entra ID.
Atributos ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID Esta opção associa um utilizador ativado numa floresta conta a um utilizador desativado numa floresta de recursos. No Exchange, esta configuração é conhecida como uma caixa de correio ligada. Pode utilizar esta opção se utilizar apenas o Lync e se o Exchange não estiver presente na floresta de recursos.
Atributos SAMAccountName e MailNickName Esta opção associa-se a atributos onde se espera que o ID de início de sessão do utilizador seja encontrado.
Escolha um atributo específico Esta opção permite-lhe selecionar o seu próprio atributo. Se você escolher essa opção, os objetos de usuário cujo atributo (selecionado) não está preenchido não serão sincronizados com a ID do Microsoft Entra. Limitação: Apenas atributos que já estão no metaverso estão disponíveis para esta opção.

Selecionar como os usuários devem ser identificados usando uma âncora de origem

O atributo sourceAnchor é imutável durante o tempo de vida de um objeto de usuário. É a chave primária que vincula o usuário local ao usuário no Microsoft Entra ID.

Definição Descrição
Permitir que o Azure gerencie a âncora de origem Selecione esta opção se desejar que o Microsoft Entra ID escolha o atributo para você. Se você selecionar essa opção, o Microsoft Entra Connect aplicará a lógica de seleção de atributo sourceAnchor descrita em Usando ms-DS-ConsistencyGuid como sourceAnchor. Após a conclusão da instalação personalizada, você verá qual atributo foi escolhido como o atributo sourceAnchor.
Escolha um atributo específico Selecione essa opção se quiser especificar um atributo do AD existente como o atributo sourceAnchor.

Como o atributo sourceAnchor não pode ser alterado, você deve escolher um atributo apropriado. Um bom candidato é objectGUID. Esse atributo não é alterado, a menos que a conta de usuário seja movida entre florestas ou domínios. Não escolha atributos que podem mudar quando uma pessoa se casa ou muda de tarefas.

Você não pode usar atributos que incluam um sinal de arroba (@), portanto, não pode usar email e userPrincipalName. O atributo também diferencia maiúsculas de minúsculas, portanto, quando você mover um objeto entre florestas, certifique-se de preservar maiúsculas e minúsculas. Os atributos binários são codificados em Base64, mas outros tipos de atributos permanecem em seu estado não codificado.

Em cenários de federação e algumas interfaces de ID do Microsoft Entra, o atributo sourceAnchor também é conhecido como immutableID.

Para obter mais informações sobre a âncora de origem, consulte Conceitos de design.

Filtragem de sincronização baseada em grupos

O recurso de filtragem em grupos permite sincronizar apenas um pequeno subconjunto de objetos para um piloto. Para usar esse recurso, crie um grupo para essa finalidade em sua instância local do Ative Directory. Em seguida, adicione usuários e grupos que devem ser sincronizados com o Microsoft Entra ID como membros diretos. Mais tarde, você pode adicionar usuários ou remover usuários desse grupo para manter a lista de objetos que devem estar presentes no ID do Microsoft Entra.

Todos os objetos que você deseja sincronizar devem ser membros diretos do grupo. Usuários, grupos, contatos e computadores ou dispositivos devem ser membros diretos. A associação a grupos aninhados não foi resolvida. Quando você adiciona um grupo como membro, somente o próprio grupo é adicionado. Seus membros não são adicionados.

Captura de ecrã a mostrar a página onde pode escolher como filtrar utilizadores e dispositivos.

Aviso

Este recurso destina-se a suportar apenas uma implantação piloto. Não o use em uma implantação de produção completa.

Em uma implantação de produção completa, seria difícil manter um único grupo e todos os seus objetos para sincronizar. Em vez do recurso de filtragem em grupos, use um dos métodos descritos em Configurar filtragem.

Funcionalidades opcionais

Na página seguinte, você pode selecionar recursos opcionais para seu cenário.

Aviso

As versões 1.0.8641.0 e anteriores do Microsoft Entra Connect dependem do Serviço de Controle de Acesso do Azure para write-back de senha. Este serviço foi aposentado em 7 de novembro de 2018. Se você usar qualquer uma dessas versões do Microsoft Entra Connect e tiver habilitado o write-back de senha, os usuários poderão perder a capacidade de alterar ou redefinir suas senhas quando o serviço for desativado. Estas versões do Microsoft Entra Connect não suportam write-back de palavra-passe.

Se você quiser usar write-back de senha, baixe a versão mais recente do Microsoft Entra Connect.

Captura de tela mostrando a página

Aviso

Se o Azure AD Sync ou a Sincronização Direta (DirSync) estiverem ativos, não ative nenhum recurso de write-back no Microsoft Entra Connect.

Funcionalidades opcionais Description
Implementação híbrida do Exchange O recurso de implantação híbrida do Exchange permite a coexistência de caixas de correio do Exchange no local e no Microsoft 365. O Microsoft Entra Connect sincroniza um conjunto específico de atributos do Microsoft Entra de volta ao diretório local.
Pastas públicas de email do Exchange O recurso de pastas públicas de email do Exchange permite sincronizar objetos de pasta pública habilitados para email de sua instância local do Ative Directory para o Microsoft Entra ID. Observe que não há suporte para sincronizar grupos que contêm pastas públicas como membros, e tentar fazer isso resultará em um erro de sincronização.
Aplicação Microsoft Entra e filtragem de atributos Ao habilitar o aplicativo Microsoft Entra e a filtragem de atributos, você pode personalizar o conjunto de atributos sincronizados. Esta opção adiciona mais duas páginas de configuração ao assistente. Para obter mais informações, consulte Aplicativo Microsoft Entra e filtragem de atributos.
Sincronização de hash de palavra-passe Se selecionar a federação como solução de início de sessão, poderá ativar a sincronização do hash de palavras-passe. Então você pode usá-lo como uma opção de backup.

Se você selecionou a autenticação de passagem, poderá habilitar essa opção para garantir suporte a clientes herdados e fornecer um backup.

Para obter mais informações, consulte Sincronização de hash de senha.
Repetição de escrita de palavras-passe Use essa opção para garantir que as alterações de senha originadas na ID do Microsoft Entra sejam gravadas novamente no diretório local. Para mais informações, consulte Introdução à gestão de palavras-passe
Repetição de escrita do grupo Se você usar o Microsoft 365 Groups, poderá representar grupos em sua instância local do Ative Directory. Essa opção só estará disponível se você tiver o Exchange em sua instância local do Ative Directory. Para obter mais informações, consulte Write-back do grupo Microsoft Entra Connect.
Repetição de escrita do dispositivo Para cenários de acesso condicional, use essa opção para gravar objetos de dispositivo no ID do Microsoft Entra em sua instância local do Ative Directory. Para obter mais informações, consulte Habilitando write-back de dispositivo no Microsoft Entra Connect.
Sincronização de atributos de extensões de diretórios Selecione esta opção para sincronizar atributos especificados com o ID do Microsoft Entra. Para obter mais informações, consulte Extensões de diretórios.

Aplicação Microsoft Entra e filtragem de atributos

Se você quiser limitar quais atributos são sincronizados com o ID do Microsoft Entra, comece selecionando os serviços que você usa. Se você alterar as seleções nesta página, terá que selecionar explicitamente um novo serviço executando novamente o assistente de instalação.

Captura de ecrã a mostrar funcionalidades opcionais das aplicações Microsoft Entra.

Com base nos serviços selecionados na etapa anterior, esta página mostra todos os atributos sincronizados. Esta lista é uma combinação de todos os tipos de objeto que estão sendo sincronizados. Se você precisar que alguns atributos permaneçam não sincronizados, poderá limpar a seleção desses atributos.

Captura de tela mostrando recursos opcionais de atributos do Microsoft Entra.

Aviso

A remoção de atributos pode afetar a funcionalidade. Para obter práticas recomendadas e recomendações, consulte Atributos a serem sincronizados.

Sincronização de atributos de Extensões de Diretórios

Você pode estender o esquema no Microsoft Entra ID usando atributos personalizados que sua organização adicionou ou usando outros atributos no Ative Directory. Para usar esse recurso, na página Recursos opcionais, selecione Sincronização de atributos de extensão de diretório. Na página Extensões de Diretório , você pode selecionar mais atributos para sincronizar.

Nota

O campo Atributos disponíveis diferencia maiúsculas de minúsculas.

Captura de tela mostrando a página

Para obter mais informações, consulte Extensões de diretórios.

Habilitando o logon único

Na página Logon único, você configura o logon único para uso com sincronização de senha ou autenticação de passagem. Você faz essa etapa uma vez para cada floresta que está sendo sincronizada com o ID do Microsoft Entra. A configuração envolve duas etapas:

  1. Crie a conta de computador necessária em sua instância local do Ative Directory.
  2. Configure a zona da intranet das máquinas cliente para oferecer suporte ao logon único.

Criar a conta de computador no Active Directory

Para cada floresta que foi adicionada no Microsoft Entra Connect, você precisa fornecer credenciais de administrador de domínio para que a conta de computador possa ser criada em cada floresta. As credenciais são usadas apenas para criar a conta. Eles não são armazenados ou usados para qualquer outra operação. Adicione as credenciais na página Habilitar logon único, como mostra a imagem a seguir.

Captura de ecrã a mostrar a página

Nota

Você pode ignorar florestas onde não deseja usar o logon único.

Configurar a zona da intranet para máquinas cliente

Para garantir que o cliente inicie sessão automaticamente na zona da intranet, certifique-se de que o URL faz parte da zona da intranet. Esta etapa garante que o computador associado ao domínio envie automaticamente um tíquete Kerberos para o Microsoft Entra ID quando estiver conectado à rede corporativa.

Em um computador que tenha ferramentas de gerenciamento de Diretiva de Grupo:

  1. Abra as ferramentas de gerenciamento de Diretiva de Grupo.

  2. Edite a política de grupo que será aplicada a todos os usuários. Por exemplo, a política de domínio padrão.

  3. Vá para Configuração do>Usuário, Modelos Administrativos>, Componentes do Windows,>Internet Explorer>, Página de Segurança do Painel de Controle da>Internet. Em seguida, selecione Lista de Atribuição de Site a Zona.

  4. Habilite a política. Em seguida, na caixa de diálogo, insira um nome de valor de https://autologon.microsoftazuread-sso.come https://aadg.windows.net.nsatc.net com um valor de 1 para ambas as URLs. Sua configuração deve se parecer com a imagem a seguir.

    Captura de ecrã a mostrar zonas da intranet.

  5. Selecione OK duas vezes.

Configurar a federação com o AD FS

Você pode configurar o AD FS com o Microsoft Entra Connect em apenas alguns cliques. Antes de começar, você precisa:

  • Windows Server 2012 R2 ou posterior para o servidor de federação. O gerenciamento remoto deve ser habilitado.
  • Windows Server 2012 R2 ou posterior para o servidor Proxy de Aplicativo Web. O gerenciamento remoto deve ser habilitado.
  • Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).

Nota

Você pode atualizar um certificado TLS/SSL para seu farm do AD FS usando o Microsoft Entra Connect mesmo que não o use para gerenciar sua confiança de federação.

Pré-requisitos de configuração do AD FS

Para configurar seu farm do AD FS usando o Microsoft Entra Connect, verifique se o WinRM está habilitado nos servidores remotos. Certifique-se de ter concluído as outras tarefas em Pré-requisitos de federação. Certifique-se também de seguir os requisitos de portas listados na tabela Microsoft Entra Connect e servidores Federation/WAP.

Criar um novo farm do AD FS ou utilizar um existente

Você pode usar um farm do AD FS existente ou criar um novo. Se você optar por criar um novo, deverá fornecer o certificado TLS/SSL. Se o certificado TLS/SSL estiver protegido por uma palavra-passe, ser-lhe-á pedido que forneça a palavra-passe.

Captura de ecrã a mostrar a página

Se você optar por usar um farm do AD FS existente, verá a página onde pode configurar a relação de confiança entre o AD FS e a ID do Microsoft Entra.

Nota

Você pode usar o Microsoft Entra Connect para gerenciar apenas um farm do AD FS. Se você tiver uma confiança de federação existente em que a ID do Microsoft Entra esteja configurada no farm do AD FS selecionado, o Microsoft Entra Connect recriará a confiança do zero.

Especificar os servidores do AD FS

Especifique os servidores onde pretende instalar o AD FS. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade. Antes de configurar essa configuração, associe todos os servidores AD FS ao Ative Directory. Esta etapa não é necessária para os servidores Proxy de Aplicativo Web.

A Microsoft recomenda a instalação de um único servidor do AD FS para implementações de teste e piloto. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente.

Nota

Antes de configurar essa configuração, verifique se todos os seus servidores estão associados a um domínio do Microsoft Entra.

Captura de ecrã a mostrar a página

Especificar os servidores Proxy de Web Apps

Especifique seus servidores Web Application Proxy. O servidor Web Application Proxy é implantado em sua rede de perímetro, de frente para a extranet. Suporta pedidos de autenticação a partir da extranet. Você pode adicionar um ou mais servidores, dependendo das suas necessidades de capacidade.

A Microsoft recomenda a instalação de um único servidor Web Application Proxy para implantações piloto e de teste. Após a configuração inicial, você pode adicionar e implantar mais servidores para atender às suas necessidades de dimensionamento executando o Microsoft Entra Connect novamente. Recomendamos que você tenha um número equivalente de servidores proxy para satisfazer a autenticação da intranet.

Nota

  • Se a conta que você usa não for um administrador local nos servidores Proxy de Aplicativo Web, serão solicitadas credenciais de administrador.
  • Antes de especificar servidores Proxy de Aplicativo Web, verifique se há conectividade HTTP/HTTPS entre o servidor Microsoft Entra Connect e o servidor Proxy de Aplicativo Web.
  • Verifique se há conectividade HTTP/HTTPS entre o Servidor de Aplicativos Web e o servidor AD FS para permitir que as solicitações de autenticação fluam.

Captura de tela mostrando a página Servidores Proxy de Aplicativo Web.

Você será solicitado a inserir credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor AD FS. Essas credenciais devem ser para uma conta de administrador local no servidor AD FS.

Captura de ecrã a mostrar a página

Especifique a conta de serviço para o serviço do AD FS

O serviço AD FS requer uma conta de serviço de domínio para autenticar usuários e pesquisar informações do usuário no Ative Directory. Pode suportar dois tipos de contas de serviço:

  • Conta de serviço gerenciado de grupo: esse tipo de conta foi introduzido no AD DS pelo Windows Server 2012. Esse tipo de conta fornece serviços como o AD FS. É uma conta única na qual você não precisa atualizar a senha regularmente. Utilize esta opção se já tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores do AD FS.
  • Conta de utilizador de domínio: Este tipo de conta requer que forneça uma palavra-passe e atualize-a regularmente quando expirar. Utilize esta opção apenas quando não tiver controladores de domínio do Windows Server 2012 no domínio a que pertencem os servidores AD FS.

Se você selecionou Criar uma Conta de Serviço Gerenciado de grupo e esse recurso nunca foi usado no Ative Directory, insira suas credenciais de administrador corporativo. Estas credenciais são utilizadas para iniciar o armazenamento de chaves e ativar a funcionalidade no Active Directory.

Nota

O Microsoft Entra Connect verifica se o serviço AD FS já está registrado como um SPN (nome da entidade de serviço) no domínio. O AD DS não permite que SPNs duplicados sejam registrados ao mesmo tempo. Se um SPN duplicado for encontrado, você não poderá continuar até que o SPN seja removido.

Captura de ecrã a mostrar a página

Selecione o domínio do Microsoft Entra que você deseja federar

Use a página Domínio do Microsoft Entra para configurar a relação de federação entre o AD FS e a ID do Microsoft Entra. Aqui, você configura o AD FS para fornecer tokens de segurança para o Microsoft Entra ID. Você também configura a ID do Microsoft Entra para confiar nos tokens dessa instância do AD FS.

Nesta página, você pode configurar apenas um único domínio na instalação inicial. Você pode configurar mais domínios posteriormente executando o Microsoft Entra Connect novamente.

Captura de tela que mostra a página

Verifique o domínio do Microsoft Entra selecionado para federação

Quando você seleciona o domínio que deseja federar, o Microsoft Entra Connect fornece informações que você pode usar para verificar um domínio não verificado. Para obter mais informações, consulte Adicionar e verificar o domínio.

Captura de ecrã a mostrar a página

Nota

O Microsoft Entra Connect tenta verificar o domínio durante o estágio de configuração. Se você não adicionar os registros DNS (Sistema de Nomes de Domínio) necessários, a configuração não poderá ser concluída.

Configurar a federação com o PingFederate

Você pode configurar o PingFederate com o Microsoft Entra Connect em apenas alguns cliques. Os seguintes pré-requisitos são necessários:

Verificar o domínio

Depois de optar por configurar a federação usando o PingFederate, você será solicitado a verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.

Captura de tela que mostra a página

Exportar as definições do PingFederate

Configure o PingFederate como o servidor de federação para cada domínio federado do Azure. Selecione Configurações de exportação para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualiza a configuração e, em seguida, fornece a URL do servidor PingFederate e o número da porta para que o Microsoft Entra Connect possa verificar as configurações de metadados.

Captura de tela mostrando a página

Contacte o administrador de PingFederate para resolver quaisquer problemas de validação. A imagem a seguir mostra informações sobre um servidor PingFederate que não tem nenhuma relação de confiança válida com o Azure.

Captura de ecrã a mostrar informações do servidor: O servidor PingFederate foi encontrado, mas a ligação do fornecedor de serviços para o Azure está em falta ou desativada.

Verificar a conectividade da federação

O Microsoft Entra Connect tenta validar os pontos de extremidade de autenticação que recupera dos metadados PingFederate na etapa anterior. O Microsoft Entra Connect primeiro tenta resolver os pontos de extremidade usando seus servidores DNS locais. Em seguida, ele tenta resolver os pontos de extremidade usando um provedor de DNS externo. Contacte o administrador de PingFederate para resolver quaisquer problemas de validação.

Captura de ecrã a mostrar a página

Verificar o início de sessão na federação

Por fim, pode verificar o fluxo de início de sessão federado recém configurado, ao iniciar sessão no domínio federado. Se o início de sessão for bem-sucedido, a federação com PingFederate será configurada com êxito.

Captura de ecrã a mostrar a página

Páginas de configuração e verificação

A configuração acontece na página Configurar .

Nota

Se configurou a federação, certifique-se de que também configurou a resolução de nomes para servidores de federação antes de continuar a instalação.

Captura de ecrã a mostrar a página

Usar o modo de preparo

É possível configurar um novo servidor de sincronização em paralelo com o modo de preparação. Se você quiser usar essa configuração, apenas um servidor de sincronização pode exportar para um diretório na nuvem. Mas se você quiser mover de outro servidor, por exemplo, um servidor executando DirSync, então você pode ativar o Microsoft Entra Connect no modo de preparação.

Quando você habilita a configuração de preparo, o mecanismo de sincronização importa e sincroniza os dados normalmente. Mas não exporta dados para o Microsoft Entra ID ou Ative Directory. No modo de preparação, o recurso de sincronização de senha e o recurso de write-back de senha são desativados.

Captura de ecrã a mostrar a opção

No modo de preparação, você pode fazer as alterações necessárias no mecanismo de sincronização e revisar o que será exportado. Quando lhe parecer que a configuração está boa, execute novamente o assistente de instalação e desative o modo de teste.

Os dados agora são exportados para o Microsoft Entra ID do servidor. Não se esqueça de desativar ao mesmo tempo o outro servidor para que haja apenas um servidor a exportar ativamente.

Para obter mais informações, consulte Modo de teste.

Verificar a configuração de federação

O Microsoft Entra Connect verifica as configurações de DNS quando você seleciona o botão Verificar . Ele verifica as seguintes configurações:

  • Conectividade da intranet
    • Resolver FQDN de federação: o Microsoft Entra Connect verifica se o DNS pode resolver o FQDN de federação para garantir a conectividade. Se o Microsoft Entra Connect não conseguir resolver o FQDN, a verificação falhará. Para concluir a verificação, verifique se um registro DNS está presente para o FQDN do serviço de federação.
    • Registo DNS A: o Microsoft Entra Connect verifica se o serviço de federação tem um registo A. Na ausência de um registo A, a verificação falha. Para concluir a verificação, crie um registro A (não um registro CNAME) para o FQDN de federação.
  • Conectividade de extranet
    • Resolver FQDN de federação: o Microsoft Entra Connect verifica se o DNS pode resolver o FQDN de federação para garantir a conectividade.

      Captura de ecrã a mostrar a página

      Captura de ecrã a mostrar a página

Para validar a autenticação de ponta a ponta, execute manualmente um ou mais dos seguintes testes:

  • Quando a sincronização terminar, no Microsoft Entra Connect, use a tarefa adicional Verificar logon federado para verificar a autenticação de uma conta de usuário local que você escolher.
  • A partir de uma máquina associada a um domínio na intranet, certifique-se de que consegue iniciar sessão a partir de um browser. Conecte-se ao https://myapps.microsoft.com. Em seguida, utilize a sua conta iniciada para verificar o início de sessão. A conta de administrador do AD DS interna não está sincronizada e você não pode usá-la para verificação.
  • Certifique-se de que consegue iniciar sessão a partir de um dispositivo na extranet. Em uma máquina doméstica ou em um dispositivo móvel, conecte-se ao https://myapps.microsoft.com. Em seguida, forneça suas credenciais.
  • Valide o início de sessão de cliente avançado. Conecte-se ao https://testconnectivity.microsoft.com. Em seguida, selecione Office 365>Office 365 Single Sign-On Test.

Resolver problemas

Esta seção contém informações de solução de problemas que você pode usar se tiver um problema durante a instalação do Microsoft Entra Connect.

Ao personalizar uma instalação do Microsoft Entra Connect, na página Instalar componentes necessários, você pode selecionar Usar um SQL Server existente. Você pode ver o seguinte erro: "O banco de dados ADSync já contém dados e não pode ser substituído. Remova o banco de dados existente e tente novamente."

Captura de tela que mostra a página

Você vê esse erro porque um banco de dados chamado ADSync já existe na instância SQL do SQL Server que você especificou.

Normalmente, este erro é apresentado depois de ter desinstalado o Microsoft Entra Connect. O banco de dados não é excluído do computador que executa o SQL Server quando você desinstala o Microsoft Entra Connect.

Para corrigir esse problema:

  1. Verifique o banco de dados ADSync que o Microsoft Entra Connect usava antes de ser desinstalado. Verifique se o banco de dados não está mais sendo usado.

  2. Faça backup do banco de dados.

  3. Exclua o banco de dados:

    1. Use o Microsoft SQL Server Management Studio para se conectar à instância SQL.
    2. Localize o banco de dados ADSync e clique com o botão direito do mouse nele.
    3. No menu de contexto, selecione Excluir.
    4. Selecione OK para excluir o banco de dados.

Captura de tela mostrando o Microsoft SQL Server Management Studio. Uma sincronização D está selecionada.

Depois de excluir o banco de dados ADSync, selecione Instalar para repetir a instalação.

Próximos passos

Após a conclusão da instalação, saia do Windows. Em seguida, entre novamente antes de usar o Gerenciador de Serviço de Sincronização ou o Editor de Regras de Sincronização.

Agora que você instalou o Microsoft Entra Connect, você pode verificar a instalação e atribuir licenças.

Para obter mais informações sobre os recursos habilitados durante a instalação, consulte Impedir exclusões acidentais e Microsoft Entra Connect Health.

Para obter mais informações sobre outros tópicos comuns, consulte Microsoft Entra Connect Sync: Scheduler e Integrar suas identidades locais com o Microsoft Entra ID.