Topologias para o Microsoft Entra Connect

Este artigo descreve várias topologias locais e do Microsoft Entra que usam o Microsoft Entra Connect Sync como a principal solução de integração. Este artigo inclui configurações suportadas e não suportadas.

Aqui está a legenda para fotos no artigo:

Description Símbolo
Floresta do Ative Directory local Floresta do Ative Directory local
Ative Directory local com importação filtrada Ative Directory com importação filtrada
Servidor de sincronização do Microsoft Entra Connect Servidor de sincronização do Microsoft Entra Connect
Microsoft Entra Connect Sync server "modo de preparação" Microsoft Entra Connect Sync server
GALSync com Microsoft Identity Manager (MIM) 2016 GALSync com MIM 2016
Servidor Microsoft Entra Connect Sync, detalhado Servidor Microsoft Entra Connect Sync, detalhado
Microsoft Entra ID Microsoft Entra ID
Cenário não suportado Cenário não suportado

Importante

A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect Sync fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode fornecer suporte técnico para essas implantações.

Floresta única, locatário único do Microsoft Entra

Topologia para uma única floresta e um único locatário

A topologia mais comum é uma única floresta local, com um ou vários domínios, e um único locatário do Microsoft Entra. Para autenticação do Microsoft Entra, a sincronização de hash de senha é usada. A instalação expressa do Microsoft Entra Connect suporta apenas esta topologia.

Floresta única, vários servidores de sincronização para um locatário do Microsoft Entra

Topologia filtrada sem suporte para uma única floresta

Não há suporte para vários servidores Microsoft Entra Connect Sync conectados ao mesmo locatário do Microsoft Entra, exceto para um servidor de preparo. Não há suporte mesmo se esses servidores estiverem configurados para sincronizar com um conjunto mutuamente exclusivo de objetos. Você pode ter considerado essa topologia se não conseguir acessar todos os domínios na floresta a partir de um único servidor ou se quiser distribuir a carga entre vários servidores. (Nenhum erro ocorre quando um novo Servidor de Sincronização do Azure AD é configurado para uma nova floresta do Microsoft Entra e um novo domínio filho verificado.)

Várias florestas, um único locatário do Microsoft Entra

Topologia para várias florestas e um único locatário

Muitas organizações têm ambientes com várias florestas locais do Ative Directory. Há vários motivos para ter mais de uma floresta do Ative Directory local. Exemplos típicos são projetos com florestas de recursos de conta e o resultado de uma fusão ou aquisição.

Quando você tem várias florestas, todas as florestas devem ser acessíveis por um único servidor Microsoft Entra Connect Sync. O servidor deve estar associado a um domínio. Se necessário para alcançar todas as florestas, você pode colocar o servidor em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada).

O assistente de instalação do Microsoft Entra Connect oferece várias opções para consolidar usuários representados em várias florestas. O objetivo é que um usuário seja representado apenas uma vez no Microsoft Entra ID. Há algumas topologias comuns que você pode configurar no caminho de instalação personalizada no assistente de instalação. Na página Identificando exclusivamente seus usuários, selecione a opção correspondente que representa sua topologia. A consolidação é configurada apenas para usuários. Os grupos duplicados não são consolidados com a configuração padrão.

As topologias comuns são discutidas nas seções sobre topologias separadas, malha completa e topologia de recurso de conta.

A configuração padrão no Microsoft Entra Connect Sync pressupõe:

  • Cada usuário tem apenas uma conta habilitada e a floresta onde essa conta está localizada é usada para autenticar o usuário. Esta suposição destina-se à sincronização do hash de palavras-passe, autenticação pass-through e federação. UserPrincipalName e sourceAnchor/immutableID vêm dessa floresta.
  • Cada utilizador tem apenas uma caixa de correio.
  • A floresta que hospeda a caixa de correio de um usuário tem a melhor qualidade de dados para atributos visíveis na GAL (Lista de Endereços Global) do Exchange. Se não houver caixa de correio para o usuário, qualquer floresta poderá ser usada para contribuir com esses valores de atributo.
  • Se você tiver uma caixa de correio vinculada, também haverá uma conta em uma floresta diferente usada para entrar.

Se o seu ambiente não corresponder a essas suposições, as seguintes coisas acontecem:

  • Se você tiver mais de uma conta ativa ou mais de uma caixa de correio, o mecanismo de sincronização selecionará uma e ignorará a outra.
  • Uma caixa de correio vinculada sem outra conta ativa não é exportada para o Microsoft Entra ID. A conta de usuário não é representada como membro em nenhum grupo. Uma caixa de correio vinculada no DirSync é sempre representada como uma caixa de correio normal. Essa alteração é intencionalmente um comportamento diferente para oferecer melhor suporte a cenários de várias florestas.

Você pode encontrar mais detalhes em Noções básicas sobre a configuração padrão.

Várias florestas, vários servidores de sincronização para um locatário do Microsoft Entra

Topologia sem suporte para várias florestas e vários servidores de sincronização

Não há suporte para ter mais de um servidor Microsoft Entra Connect Sync conectado a um único locatário do Microsoft Entra. A exceção é o uso de um servidor de preparo.

Essa topologia difere da abaixo porque não há suporte para vários servidores de sincronização conectados a um único locatário do Microsoft Entra. (Embora não seja suportado, isso ainda funciona.)

Várias florestas, servidor de sincronização único, os usuários são representados em apenas um diretório

Opção para representar usuários apenas uma vez em todos os diretórios

Representação de várias florestas e topologias separadas

Nesse ambiente, todas as florestas locais são tratadas como entidades separadas. Nenhum usuário está presente em qualquer outra floresta. Cada floresta tem sua própria organização do Exchange, e não há GALSync entre as florestas. Essa topologia pode ser a situação após uma fusão/aquisição ou em uma organização onde cada unidade de negócios opera de forma independente. Essas florestas estão na mesma organização no Microsoft Entra ID e aparecem com uma GAL unificada. Na imagem anterior, cada objeto em cada floresta é representado uma vez no metaverso e agregado no locatário de destino do Microsoft Entra.

Várias florestas: corresponda aos usuários

Comum a todos esses cenários é que os grupos de distribuição e segurança podem conter uma combinação de usuários, contatos e FSPs (Entidades de Segurança Externa). Os FSPs são usados nos Serviços de Domínio Ative Directory (AD DS) para representar membros de outras florestas em um grupo de segurança. Todos os FSPs são resolvidos para o objeto real no Microsoft Entra ID.

Várias florestas: malha completa com GALSync opcional

Opção para usar o atributo mail para correspondência quando identidades de usuário existem em vários diretórios

Topologia de malha completa para várias florestas

Uma topologia de malha completa permite que usuários e recursos estejam localizados em qualquer floresta. Comumente, existem confianças bidirecionais entre as florestas.

Se o Exchange estiver presente em mais de uma floresta, pode haver (opcionalmente) uma solução GALSync local. Cada utilizador é, em seguida, representado como um contacto em todas as outras florestas. O GALSync é normalmente implementado através do Microsoft Identity Manager. O Microsoft Entra Connect não pode ser usado para GALSync local.

Nesse cenário, objetos de identidade são unidos por meio do atributo mail. Um usuário que tem uma caixa de correio em uma floresta é associado aos contatos nas outras florestas.

Várias florestas: floresta de recursos de conta

Opção para usar os atributos ObjectSID e msExchMasterAccountSID para correspondência quando existem identidades em vários diretórios

Topologia de floresta de recursos de conta para várias florestas

Em uma topologia de floresta de recursos de conta, você tem uma ou mais florestas de conta com contas de usuário ativas. Você também tem uma ou mais florestas de recursos com contas desabilitadas.

Nesse cenário, uma (ou mais) floresta de recursos confia em todas as florestas de conta. A floresta de recursos normalmente tem um esquema estendido do Ative Directory com o Exchange e o Lync. Todos os serviços do Exchange e do Lync, juntamente com outros serviços compartilhados, estão localizados nesta floresta. Os usuários têm uma conta de usuário desabilitada nessa floresta e a caixa de correio está vinculada à floresta de contas.

Microsoft 365 e considerações sobre topologia

Algumas cargas de trabalho do Microsoft 365 têm certas restrições em topologias suportadas:

Carga de trabalho Restrições
Exchange Online Para obter mais informações sobre topologias híbridas suportadas pelo Exchange Online, consulte Implantações híbridas com várias florestas do Ative Directory.
Skype para Empresas Quando você estiver usando várias florestas locais, somente a topologia de floresta de recursos de conta é suportada. Para obter mais informações, consulte Requisitos ambientais do Skype for Business Server 2015.

Se você for uma organização maior, considere usar o recurso Microsoft 365 PreferredDataLocation . Ele permite que você defina em qual região de datacenter os recursos do usuário estão localizados.

Servidor de preparo

Servidor de preparo em uma topologia

O Microsoft Entra Connect suporta a instalação de um segundo servidor no modo de preparação. Um servidor neste modo lê dados de todos os diretórios conectados, mas não grava nada em diretórios conectados. Ele usa o ciclo de sincronização normal e, portanto, tem uma cópia atualizada dos dados de identidade.

Em um desastre em que o servidor primário falha, você pode fazer failover para o servidor de preparo. Faça isso no assistente do Microsoft Entra Connect. Esse segundo servidor pode estar localizado em um datacenter diferente porque nenhuma infraestrutura é compartilhada com o servidor primário. Você deve copiar manualmente qualquer alteração de configuração feita no servidor primário para o segundo servidor.

Você pode usar um servidor de preparo para testar uma nova configuração personalizada e o efeito que ela tem em seus dados. Você pode visualizar as alterações e ajustar a configuração. Quando estiver satisfeito com a nova configuração, você poderá tornar o servidor de preparo o servidor ativo e definir o servidor ativo antigo para o modo de preparo.

Você também pode usar esse método para substituir o servidor de sincronização ativo. Prepare o novo servidor e defina-o para o modo de preparação. Verifique se ele está em bom estado, desative o modo de preparo (tornando-o ativo) e desligue o servidor ativo no momento.

É possível ter mais de um servidor de preparo quando você deseja ter vários backups em diferentes datacenters.

Vários locatários do Microsoft Entra

Recomendamos ter um único locatário no Microsoft Entra ID para uma organização. Antes de planejar usar vários locatários do Microsoft Entra, consulte o artigo Gerenciamento de unidades administrativas na ID do Microsoft Entra. Ele abrange cenários comuns em que você pode usar um único locatário.

Sincronizar objetos do AD com vários locatários do Microsoft Entra

Diagrama que mostra uma topologia de vários locatários do Microsoft Entra.

Essa topologia implementa os seguintes casos de uso:

  • O Microsoft Entra Connect pode sincronizar os usuários, grupos e contatos de um único Ative Directory para vários locatários do Microsoft Entra. Esses locatários podem estar em diferentes ambientes do Azure, como o Microsoft Azure operado pelo ambiente 21Vianet ou o ambiente do Azure Government, mas também podem estar no mesmo ambiente do Azure, como dois locatários que estão ambos no Azure Commercial. Para obter mais informações sobre opções, consulte Planejando a identidade para aplicativos do Azure Government.
  • A mesma âncora de origem pode ser usada para um único objeto em locatários separados (mas não para vários objetos no mesmo locatário). (O domínio verificado não pode ser o mesmo em dois inquilinos. Mais detalhes são necessários para permitir que o mesmo objeto tenha dois UPNs.)
  • Você precisará implantar um servidor Microsoft Entra Connect para cada locatário do Microsoft Entra com o qual deseja sincronizar - um servidor Microsoft Entra Connect não pode sincronizar com mais de um locatário do Microsoft Entra.
  • Há suporte para ter escopos de sincronização diferentes e regras de sincronização diferentes para locatários diferentes.
  • Apenas uma sincronização de locatário do Microsoft Entra pode ser configurada para gravar novamente no Ative Directory para o mesmo objeto. Isso inclui write-back de dispositivo e grupo, bem como configurações do Exchange híbrido – esses recursos só podem ser configurados em um locatário. A única exceção aqui é o Writeback de senha – veja abaixo.
  • Há suporte para configurar a Sincronização de Hash de Senha do Ative Directory para vários locatários do Microsoft Entra para o mesmo objeto de usuário. Se a Sincronização de Hash de Senha estiver habilitada para um locatário, o Write-back de Senha também poderá ser habilitado, e isso poderá ser feito em vários locatários: se a senha for alterada em um locatário, o write-back de senha será atualizado no Ative Directory e a Sincronização de Hash de Senha atualizará a senha nos outros locatários.
  • Não há suporte para adicionar e verificar o mesmo nome de domínio personalizado em mais de um locatário do Microsoft Entra, mesmo que esses locatários estejam em ambientes diferentes do Azure.
  • Não há suporte para configurar experiências híbridas que utilizam a configuração de nível de floresta no AD, como SSO contínuo e associação híbrida do Microsoft Entra (abordagem não direcionada), com mais de um locatário. Isso substituiria a configuração do outro locatário, tornando-a não mais utilizável. Você pode encontrar informações adicionais em Planejar sua implantação de ingresso híbrido do Microsoft Entra.
  • Você pode sincronizar objetos de dispositivo com mais de um locatário, mas um dispositivo pode ser híbrido do Microsoft Entra associado a apenas um locatário.
  • Cada instância do Microsoft Entra Connect deve ser executada em uma máquina associada a um domínio.

Nota

A Sincronização da Lista de Endereços Global (GalSync) não é feita automaticamente nessa topologia e requer uma implementação de MIM personalizada adicional para garantir que cada locatário tenha uma Lista de Endereços Global (GAL) completa no Exchange Online e no Skype for Business Online.

GALSync usando write-back

Topologia sem suporte para várias florestas e vários diretórios, com o GALSync focando no Microsoft Entra ID Topologia sem suporte para várias florestas e vários diretórios, com o GALSync se concentrando no Ative Directory local

GALSync com servidor de sincronização local

GALSync em uma topologia para várias florestas e vários diretórios

Você pode usar o Microsoft Identity Manager local para sincronizar usuários (via GALSync) entre duas organizações do Exchange. Os usuários em uma organização aparecem como usuários/contatos estrangeiros na outra organização. Essas diferentes instâncias locais do Ative Directory podem ser sincronizadas com seus próprios locatários do Microsoft Entra.

Usando clientes não autorizados para acessar o back-end do Microsoft Entra Connect

Usando clientes não autorizados para acessar o back-end do Microsoft Entra Connect

O servidor Microsoft Entra Connect comunica com o Microsoft Entra ID através do back-end do Microsoft Entra Connect. O único software que pode ser usado para se comunicar com esse back-end é o Microsoft Entra Connect. Não há suporte para comunicação com o back-end do Microsoft Entra Connect usando qualquer outro software ou método.

Próximos passos

Para saber como instalar o Microsoft Entra Connect para esses cenários, consulte Instalação personalizada do Microsoft Entra Connect.

Saiba mais sobre a configuração do Microsoft Entra Connect Sync .

Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.