Microsoft Entra Connect: Quando você tem um locatário existente

A maioria dos tópicos sobre como usar o Microsoft Entra Connect pressupõe que você comece com um novo locatário do Microsoft Entra e que não haja usuários ou outros objetos lá. Mas se você começou com um locatário do Microsoft Entra, o preencheu com usuários e outros objetos e agora deseja usar o Connect, este tópico é para você.

Noções básicas

Um objeto no Microsoft Entra ID é gerenciado na nuvem ou localmente. Para um único objeto, você não pode gerenciar alguns atributos no local e alguns outros atributos no Microsoft Entra ID. Cada objeto tem um sinalizador indicando onde o objeto é gerenciado.

Você pode gerenciar alguns usuários no local e outros na nuvem. Um cenário comum para essa configuração é uma organização com uma mistura de trabalhadores contábeis e vendedores. Os profissionais de contabilidade têm uma conta do AD local, mas os vendedores não, mas ambos têm uma conta no Microsoft Entra ID. Você gerenciaria alguns usuários no local e alguns no Microsoft Entra ID.

Há algumas preocupações extras que você precisa considerar quando começou a gerenciar usuários no Microsoft Entra ID, que também estão presentes no local e depois desejam usar o Microsoft Entra Connect.

Sincronizar com utilizadores existentes no Microsoft Entra ID

Quando você inicia a sincronização com o Microsoft Entra Connect, a API de serviço do Microsoft Entra verifica cada novo objeto de entrada e tenta encontrar um objeto existente para corresponder. Há três atributos usados para esse processo: userPrincipalName, proxyAddresses e sourceAnchor/immutableID. Uma correspondência em userPrincipalName ou proxyAddresses é conhecida como "soft-match". Uma correspondência em sourceAnchor é conhecida como "hard=match". Para o atributo proxyAddresses apenas o valor com SMTP:, que é o endereço de e-mail principal, é usado para a avaliação.

A correspondência só é avaliada para novos objetos provenientes do Connect. Se você alterar um objeto existente para que ele corresponda a qualquer um desses atributos, verá um erro.

Se o Microsoft Entra ID encontrar um objeto em que os valores de atributo são os mesmos que o novo objeto de entrada do Microsoft Entra Connect, ele assumirá o objeto no ID do Microsoft Entra e o objeto gerenciado anteriormente na nuvem será convertido em gerenciado localmente. Todos os atributos no Microsoft Entra ID com um valor no AD local são substituídos pelo respetivo valor local.

Aviso

Como todos os atributos no Microsoft Entra ID serão substituídos pelo valor local, verifique se você tem bons dados no local. Por exemplo, se você tiver apenas o endereço de email gerenciado no Microsoft 365 e não o tiver mantido atualizado no AD DS local, perderá quaisquer valores no Microsoft Entra ID / Microsoft 365 não presentes no AD DS.

Importante

Se você usar a sincronização de senha, que é sempre usada pelas configurações expressas, a senha no Microsoft Entra ID será substituída pela senha no AD local. Se os usuários estiverem acostumados a gerenciar senhas diferentes, você precisará informá-los de que eles devem usar a senha local quando você tiver instalado o Connect.

A seção anterior e o aviso devem ser considerados em seu planejamento. Se você fez muitas alterações na ID do Microsoft Entra que não foram refletidas no AD DS local, para evitar a perda de dados, você precisa planejar como preencher o AD DS com os valores atualizados da ID do Microsoft Entra, antes de sincronizar seus objetos com o Microsoft Entra Connect.

Se você correspondeu seus objetos com uma correspondência suave, o sourceAnchor será adicionado ao objeto no ID do Microsoft Entra para que uma correspondência física possa ser usada posteriormente.

Importante

A Microsoft recomenda vivamente que não sincronize contas no local com contas administrativas pré-existentes no Microsoft Entra ID.

Jogo duro vs jogo suave

Por padrão, o valor SourceAnchor de "abcdefghijklmnopqrstuv==" é calculado pelo Microsoft Entra Connect usando o atributo MsDs-ConsistencyGUID (ou ObjectGUID, dependendo da configuração) do Ative Directory local. Esse valor de atributo é o ImmutableId correspondente no ID do Microsoft Entra. Quando o Microsoft Entra Connect (mecanismo de sincronização) adiciona ou atualiza objetos, a ID do Microsoft Entra corresponde ao objeto de entrada usando o valor sourceAnchor correspondente ao atributo ImmutableId do objeto existente no Microsoft Entra ID. Se houver uma correspondência, o Microsoft Entra Connect assumirá esse objeto e o atualizará com as propriedades do objeto Ative Directory local de entrada no que é conhecido como "correspondência física". Quando o Microsoft Entra ID não consegue encontrar nenhum objeto com um ImmutableId que corresponda ao valor SouceAnchor, ele tenta usar userPrincipalName ou ProxyAddress primário do objeto de entrada para encontrar uma correspondência no que é conhecido como *"soft-match". A correspondência flexível tenta fazer a correspondência entre objetos já presentes e gerenciados no Microsoft Entra ID e os novos objetos de entrada que estão sendo adicionados ou atualizados e que representam a mesma entidade local. Se o Microsoft Entra ID não conseguir encontrar um hard-match ou soft-match para o objeto de entrada, ele provisionará um novo objeto no diretório Microsoft Entra ID. Adicionamos uma opção de configuração para desativar o recurso de correspondência física no Microsoft Entra ID. Aconselhamos os clientes a desativar a correspondência rígida, a menos que precisem dela para assumir contas somente na nuvem.

Para desabilitar a correspondência física, use o cmdlet Update-MgDirectoryOnPremiseSynchronization do Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Da mesma forma, adicionamos uma opção de configuração para desativar a opção de correspondência suave no Microsoft Entra ID. Aconselhamos os clientes a desativar a correspondência suave, a menos que precisem dela para assumir contas somente na nuvem.

Para desabilitar a correspondência flexível, use o cmdlet Update-MgDirectoryOnPremiseSynchronization do Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Nota

BlockCloudObjectTakeoverThroughHardMatchEnabled e BlockSoftMatchEnabled são usados para bloquear a correspondência de todos os objetos, se habilitados para o locatário. Os clientes são incentivados a desativar esses recursos apenas durante o período em que um procedimento de correspondência é necessário para sua locação. Esse sinalizador deve ser definido como True novamente depois que qualquer correspondência tiver sido concluída e não for mais necessária.

Outros objetos que não os usuários

Para grupos e contatos habilitados para email, você pode fazer a correspondência suave com base em proxyAddresses. A correspondência rígida não é aplicável, pois você só pode atualizar o sourceAnchor/immutableID (usando o PowerShell) somente em Usuários. Para grupos que não são habilitados para email, atualmente não há suporte para soft match ou hard match.

Considerações sobre a função de administrador

Para proteger de usuários locais não confiáveis, o ID do Microsoft Entra não fará a correspondência entre usuários locais e usuários de nuvem que tenham uma função de administrador. Esse comportamento é por padrão. Para contornar isso, você pode fazer as seguintes etapas:

  1. Remova as funções de diretório do objeto de usuário somente na nuvem.
  2. Exclua o objeto em quarentena na nuvem.
  3. Acione uma sincronização.
  4. Opcionalmente, adicione as funções de diretório de volta ao objeto de usuário na nuvem assim que a correspondência for concluída.

Criar um novo Ative Directory local a partir de dados no Microsoft Entra ID

Alguns clientes começam com uma solução somente na nuvem com o Microsoft Entra ID e não têm um AD local. Mais tarde, eles querem consumir recursos locais e criar um AD local com base nos dados do Microsoft Entra. O Microsoft Entra Connect não pode ajudá-lo neste cenário. Ele não cria usuários no local e não tem nenhuma capacidade de definir a senha local para o mesmo que no Microsoft Entra ID.

Se a única razão pela qual você planeja adicionar AD local é oferecer suporte a LOBs (aplicativos de linha de negócios), talvez você deva considerar usar os Serviços de Domínio Microsoft Entra.

Próximos passos

Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.