Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL

Antes da compilação mais recente do Microsoft Entra Connect, a delegação administrativa, ao implantar configurações que exigiam SQL, não era suportada. Os usuários que queriam instalar o Microsoft Entra Connect precisavam ter permissões de administrador do servidor (SA) no servidor SQL.

Com a versão mais recente do Microsoft Entra Connect, o provisionamento do banco de dados agora pode ser executado fora de banda pelo administrador SQL e, em seguida, instalado pelo administrador do Microsoft Entra Connect com direitos de proprietário do banco de dados.

Antes de começar

Para usar esse recurso, você precisa perceber que existem várias partes móveis e cada uma pode envolver um administrador diferente em sua organização. A tabela a seguir resume as funções individuais e suas respetivas obrigações na implantação do Microsoft Entra Connect com esse recurso.

Função Description
Administrador do AD de Domínio ou Floresta Cria a conta de serviço de nível de domínio usada pelo Microsoft Entra Connect para executar o serviço de sincronização. Para obter mais informações sobre contas de serviço, consulte Contas e permissões.
Administrador SQL Cria o banco de dados ADSync e concede acesso de login + dbo ao administrador do Microsoft Entra Connect e à conta de serviço criada pelo administrador de domínio/floresta.
Administrador do Microsoft Entra Connect Instala o Microsoft Entra Connect e especifica a conta de serviço durante a instalação personalizada.

Etapas para instalar o Microsoft Entra Connect usando permissões delegadas SQL

Para provisionar o banco de dados fora da banda e instalar o Microsoft Entra Connect com permissões de proprietário do banco de dados, use as etapas a seguir.

Nota

Embora não seja necessário, é altamente recomendável que o agrupamento de Latin1_General_CI_AS seja selecionado ao criar o banco de dados.

  1. Peça ao administrador SQL que crie o banco de dados ADSync com uma sequência de agrupamento (Latin1_General_CI_AS) que não diferencia maiúsculas de minúsculas. O modelo de recuperação, o nível de compatibilidade e o tipo de contenção são atualizados para os valores corretos quando o Microsoft Entra Connect é instalado. No entanto, a sequência de agrupamento deve ser definida corretamente pelo administrador do SQL, caso contrário, o Microsoft Entra Connect bloqueará a instalação. Para recuperar a SA deve excluir e recriar o banco de dados.

    Collation

  2. Conceda ao administrador do Microsoft Entra Connect e à conta de serviço de domínio as seguintes permissões:

    • SQL Login: (Início de Sessão do SQL)
    • Direitos do proprietário do banco de dados (DBO).

    Permissions

    Nota

    O Microsoft Entra Connect não suporta inícios de sessão com uma associação aninhada. Isso significa que sua conta de administrador do Microsoft Entra Connect e sua conta de serviço de domínio devem estar vinculadas a um login ao qual são concedidos direitos dbo. Ele não pode ser simplesmente o membro de um grupo que é atribuído a um login com direitos dbo.

  3. Envie um email para o administrador do Microsoft Entra Connect indicando o servidor SQL e o nome da instância que devem ser usados ao instalar o Microsoft Entra Connect.

Informações adicionais

Depois que o banco de dados é provisionado, o administrador do Microsoft Entra Connect pode instalar e configurar a sincronização local de acordo com sua conveniência.

Caso o Administrador SQL tenha restaurado o banco de dados ADSync de um backup anterior do Microsoft Entra Connect, você precisará instalar o novo servidor Microsoft Entra Connect usando um banco de dados existente. Para obter mais informações sobre como instalar o Microsoft Entra Connect com um banco de dados existente, consulte Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente.

Próximos passos