Microsoft Entra Connect: Contas e permissões
Saiba mais sobre as contas que são usadas e criadas e as permissões necessárias para instalar e usar o Microsoft Entra Connect.
Contas usadas para o Microsoft Entra Connect
O Microsoft Entra Connect usa três contas para sincronizar informações do Ative Directory do Windows Server local (Windows Server AD) para o Microsoft Entra ID:
Conta do Conector AD DS: usada para ler e gravar informações no AD do Windows Server usando os Serviços de Domínio Ative Directory (AD DS).
Conta de serviço ADSync: usada para executar o serviço de sincronização e acessar o banco de dados do SQL Server.
Conta do Microsoft Entra Connector: usada para gravar informações no Microsoft Entra ID.
Você também precisa das seguintes contas para instalar o Microsoft Entra Connect:
Conta de Administrador Local: O administrador que está instalando o Microsoft Entra Connect e que tem permissões de Administrador local no computador.
Conta de Administrador Empresarial do AD DS: Opcionalmente usada para criar a conta necessária do AD DS Connector.
Conta de Administrador de Identidade Híbrida do Microsoft Entra: Usada para criar a conta do Microsoft Entra Connector e para configurar a ID do Microsoft Entra. Você pode exibir o Administrador de Identidade Híbrida no centro de administração do Microsoft Entra. Consulte Listar atribuições de função do Microsoft Entra.
Conta SQL SA (opcional): usada para criar o banco de dados ADSync quando você usa a versão completa do SQL Server. A instância do SQL Server pode ser local ou remota para a instalação do Microsoft Entra Connect. Esta conta pode ser a mesma conta que a conta de Administrador Empresarial.
O provisionamento do banco de dados agora pode ser executado fora de banda pelo administrador do SQL Server e, em seguida, instalado pelo administrador do Microsoft Entra Connect se a conta tiver permissões de proprietário do banco de dados (DBO). Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL.
Importante
A partir da compilação 1.4.###.#, você não poderá mais usar uma conta de Administrador Corporativo ou uma conta de Administrador de Domínio como a conta do Conector AD DS. Se você tentar inserir uma conta que seja um Administrador Corporativo ou Administrador de Domínio para Usar conta existente, o assistente exibirá uma mensagem de erro e você não poderá continuar.
Observação
Você pode gerenciar as contas administrativas usadas no Microsoft Entra Connect usando um modelo de acesso corporativo. Uma organização pode usar um modelo de acesso corporativo para hospedar contas administrativas, estações de trabalho e grupos em um ambiente que tenha controles de segurança mais fortes do que um ambiente de produção. Para obter mais informações, consulte Modelo de acesso corporativo.
A função de Administrador de Identidade Híbrida não é necessária após a configuração inicial. Após a configuração, a única conta necessária é a conta de função Contas de Sincronização de Diretórios. Em vez de remover a conta que tem a função de Administrador de Identidade Híbrida, recomendamos que você altere a função para uma função que tenha um nível mais baixo de permissões. Remover completamente a conta pode introduzir problemas se você precisar executar o assistente novamente. Você pode adicionar permissões se precisar usar o assistente do Microsoft Entra Connect novamente.
Instalação do Microsoft Entra Connect
O assistente de instalação do Microsoft Entra Connect oferece dois caminhos:
- Configurações expressas: nas configurações expressas do Microsoft Entra Connect, o assistente requer mais permissões para que possa configurar facilmente sua instalação. O assistente cria usuários e configura permissões para que você não precise fazê-lo.
- Configurações personalizadas: nas configurações personalizadas do Microsoft Entra Connect, você tem mais opções no assistente. No entanto, para alguns cenários, é importante garantir que você mesmo tenha as permissões corretas.
Configurações expressas
Nas configurações expressas, insira essas informações no assistente de instalação:
- Credenciais de Administrador Empresarial do AD DS
- Credenciais do Microsoft Entra Hybrid Identity Administrator
Credenciais de Administrador Empresarial do AD DS
A conta de Administrador Empresarial do AD DS é usada para configurar o Windows Server AD. Essas credenciais são usadas somente durante a instalação. O Administrador Empresarial, não o Administrador de Domínio, deve certificar-se de que as permissões no Windows Server AD podem ser definidas em todos os domínios.
Se você estiver atualizando do DirSync, as credenciais do Administrador Empresarial do AD DS serão usadas para redefinir a senha da conta usada pelo DirSync. As credenciais do Microsoft Entra Hybrid Identity Administrator também são necessárias.
Credenciais do Microsoft Entra Hybrid Identity Administrator
As credenciais para a conta de Administrador de Identidade Híbrida do Microsoft Entra são usadas somente durante a instalação. A conta é usada para criar a conta do Microsoft Entra Connector que sincroniza as alterações com a ID do Microsoft Entra. A conta também permite a sincronização como um recurso no Microsoft Entra ID.
Para obter mais informações, consulte Administrador de identidade híbrida.
A conta do Conector AD DS exigia permissões para configurações expressas
A conta do Conector AD DS é criada para ler e gravar no Windows Server AD. A conta tem as seguintes permissões quando é criada durante a instalação das configurações expressas:
Permissão | Usado para |
---|---|
- Replicar alterações de diretório - Replicar alterações de diretório tudo |
Sincronização de hash de senha |
Ler/Gravar todas as propriedades Usuário | Importação e troca híbrida |
Ler/gravar todas as propriedades iNetOrgPerson | Importação e troca híbrida |
Grupo de Leitura/Gravação de Todas as Propriedades | Importação e troca híbrida |
Ler/Gravar todas as propriedades Contato | Importação e troca híbrida |
Repor palavra-passe | Preparação para habilitar o write-back de senha |
Assistente de configurações expressas
Em uma instalação de configurações expressas, o assistente cria algumas contas e configurações para você.
A tabela a seguir é um resumo das páginas do assistente de configurações expressas, as credenciais coletadas e para que elas são usadas:
Página do assistente | Credenciais recolhidas | Permissões necessárias | Finalidade |
---|---|---|---|
N/A | O usuário que está executando o assistente de instalação. | Administrador do servidor local. | Usado para criar a conta de serviço ADSync usada para executar o serviço de sincronização. |
Conectar-se ao Microsoft Entra ID | Credenciais do diretório Microsoft Entra. | Função de Administrador de Identidade Híbrida no Microsoft Entra ID. | - Usado para ativar a sincronização no diretório Microsoft Entra. - Usado para criar a conta do Microsoft Entra Connector que é usada para operações de sincronização contínuas no Microsoft Entra ID. |
Conectar-se ao AD DS | Credenciais do Windows Server AD. | Membro do grupo Administradores de Empresa no Windows Server AD. | Usado para criar a conta do Conector AD DS no AD do Windows Server e conceder permissões a ela. Essa conta criada é usada para ler e gravar informações de diretório durante a sincronização. |
Configurações personalizadas
Em uma instalação de configurações personalizadas, você tem mais opções e opções no assistente.
Assistente de configurações personalizadas
A tabela a seguir é um resumo das páginas do assistente de configurações personalizadas, as credenciais coletadas e para que elas são usadas:
Página do assistente | Credenciais recolhidas | Permissões necessárias | Finalidade |
---|---|---|---|
N/A | O usuário que está executando o assistente de instalação. | - Administrador do servidor local. - Se estiver usando uma instância do SQL Server completo, o usuário deve ser Administrador do Sistema (sysadmin) no SQL Server. |
Por padrão, usado para criar a conta local que é usada como a conta de serviço do mecanismo de sincronização. A conta é criada apenas quando o administrador não especifica uma conta. |
Instalar serviços de sincronização, opção de conta de serviço | As credenciais do Windows Server AD ou da conta de usuário local. | Usuário e permissões são concedidos pelo assistente de instalação. | Se o administrador especificar uma conta, essa conta será usada como a conta de serviço para o serviço de sincronização. |
Conectar-se ao Microsoft Entra ID | Credenciais do diretório Microsoft Entra. | Função de Administrador de Identidade Híbrida no Microsoft Entra ID. | - Usado para ativar a sincronização no diretório Microsoft Entra. - Usado para criar a conta do Microsoft Entra Connector que é usada para operações de sincronização contínuas no Microsoft Entra ID. |
Conecte seus diretórios | Credenciais do Windows Server AD para cada floresta conectada à ID do Microsoft Entra. | As permissões dependem de quais recursos você habilita e podem ser encontradas em Criar a conta do Conector AD DS. | Essa conta é usada para ler e gravar informações de diretório durante a sincronização. |
Servidores AD FS | Para cada servidor na lista, o assistente coleta credenciais quando as credenciais de entrada do usuário que executa o assistente são insuficientes para se conectar. | A conta de Administrador de Domínio. | Usado durante a instalação e configuração da função de servidor Serviços de Federação do Ative Directory (AD FS). |
Servidores proxy de aplicativos Web | Para cada servidor na lista, o assistente coleta credenciais quando as credenciais de entrada do usuário que executa o assistente são insuficientes para se conectar. | Administrador local na máquina de destino. | Usado durante a instalação e configuração da função de servidor WAP (proxy de aplicativo Web). |
Credenciais de confiança de proxy | Credenciais de confiança do serviço de federação (as credenciais que o proxy usa para se inscrever para obter um certificado de confiança dos serviços de federação (FS)). | A conta de domínio que é um Administrador Local do servidor AD FS. | Inscrição inicial do certificado de confiança FS-WAP. |
Página Conta de Serviço do AD FS Usar uma opção de conta de usuário de domínio | As credenciais da conta de usuário do Windows Server AD. | Um usuário de domínio. | A conta de usuário do Microsoft Entra cujas credenciais são fornecidas é usada como a conta de entrada do serviço AD FS. |
Criar a conta do AD DS Connector
Importante
Um novo módulo do PowerShell chamado ADSyncConfig.psm1 foi introduzido com a compilação 1.1.880.0 (lançada em agosto de 2018). O módulo inclui uma coleção de cmdlets que ajudam a configurar as permissões corretas do Windows Server AD para a conta do Microsoft Entra Domain Services Connector.
Para obter mais informações, consulte Microsoft Entra Connect: Configurar a permissão da conta do Conector AD DS.
A conta especificada na página Conectar seus diretórios deve ser criada no AD do Windows Server como um objeto de usuário normal (VSA, MSA ou gMSA não são suportados) antes da instalação. O Microsoft Entra Connect versão 1.1.524.0 e posterior tem a opção de permitir que o assistente do Microsoft Entra Connect crie a conta do Conector AD DS usada para se conectar ao Windows Server AD.
A conta especificada também deve ter as permissões necessárias. O assistente de instalação não verifica as permissões e quaisquer problemas são encontrados apenas durante o processo de sincronização.
As permissões necessárias dependem dos recursos opcionais habilitados. Se você tiver vários domínios, as permissões deverão ser concedidas para todos os domínios na floresta. Se você não habilitar nenhum desses recursos, as permissões padrão de Usuário do Domínio serão suficientes.
Funcionalidade | Permissões |
---|---|
Recurso ms-DS-ConsistencyGuid | Permissões de gravação para o atributo documentado ms-DS-ConsistencyGuid em Conceitos de design - Usando ms-DS-ConsistencyGuid como sourceAnchor. |
Sincronização de hash de senha | - Replicar alterações de diretório - Replicar alterações de diretório tudo |
Implantação híbrida do Exchange | Permissões de gravação para os atributos documentados no write-back híbrido do Exchange para usuários, grupos e contatos. |
Pasta Pública de Correio do Exchange | Permissões de leitura para os atributos documentados na Pasta Pública do Exchange Mail para pastas públicas. |
Write-back de senha | Permissões de gravação para os atributos documentados em Introdução ao gerenciamento de senhas para usuários. |
Write-back do dispositivo | Permissões concedidas com um script do PowerShell, conforme descrito em Write-back de dispositivo. |
Write-back de grupo | Permite que você faça write-back do Microsoft 365 Groups em uma floresta que tenha o Exchange instalado. |
Permissões necessárias para atualizar
Quando você atualiza de uma versão do Microsoft Entra Connect para uma nova versão, você precisa das seguintes permissões:
Mandante | Permissões necessárias | Finalidade |
---|---|---|
O usuário que está executando o assistente de instalação | Administrador do servidor local | Usado para atualizar binários. |
O usuário que está executando o assistente de instalação | Membro do ADSyncAdmins | Usado para fazer alterações em regras de sincronização e outras configurações. |
O usuário que está executando o assistente de instalação | Se você usar uma instância completa do SQL Server: DBO (ou similar) do banco de dados do mecanismo de sincronização | Usado para fazer alterações no nível do banco de dados, como atualizar tabelas com novas colunas. |
Importante
Na compilação 1.1.484, um bug de regressão foi introduzido no Microsoft Entra Connect. O bug requer permissões sysadmin para atualizar o banco de dados do SQL Server. O bug foi corrigido na compilação 1.1.647. Para atualizar para esta compilação, você deve ter permissões sysadmin. Nesse cenário, as permissões de DBO não são suficientes. Se você tentar atualizar o Microsoft Entra Connect sem permissões sysadmin, a atualização falhará e o Microsoft Entra Connect não funcionará mais corretamente.
Detalhes das contas criadas
As seções a seguir fornecem mais informações sobre contas criadas no Microsoft Entra Connect.
Conta do Conector AD DS
Se você usar configurações expressas, uma conta usada para sincronização será criada no Windows Server AD. A conta criada está localizada no domínio raiz da floresta no contêiner Usuários. O nome da conta é prefixado com MSOL_. A conta é criada com uma senha longa e complexa que não expira. Se tiver uma política de palavras-passe no seu domínio, certifique-se de que são permitidas palavras-passe longas e complexas para esta conta.
Se você usar configurações personalizadas, será responsável por criar a conta antes de iniciar a instalação. Consulte Criar a conta do AD DS Connector.
Conta de serviço ADSync
O serviço de sincronização pode ser executado em contas diferentes. Ele pode ser executado em uma conta de serviço virtual (VSA), uma conta de serviço gerenciado de grupo (gMSA), um serviço gerenciado autônomo (sMSA) ou uma conta de usuário regular. As opções suportadas foram alteradas com a versão de abril de 2017 do Microsoft Entra Connect quando você faz uma nova instalação. Se você atualizar de uma versão anterior do Microsoft Entra Connect, essas outras opções não estarão disponíveis.
Tipo de conta | Opção de instalação | Descrição |
---|---|---|
VSA | Expresso e personalizado, abril de 2017 e seguintes | Esta opção é usada para todas as instalações de configurações expressas, exceto para instalações em um controlador de domínio. Para configurações personalizadas, é a opção padrão. |
gMSA | Custom, abril de 2017 e seguintes | Se você usar uma instância remota do SQL Server, recomendamos que use um gMSA. |
Conta de utilizador | Expresso e personalizado, abril de 2017 e seguintes | Uma conta de usuário prefixada com AAD_ é criada durante a instalação somente quando o Microsoft Entra Connect é instalado no Windows Server 2008 e quando é instalado em um controlador de domínio. |
Conta de utilizador | Expresso e personalizado, março de 2017 e anteriores | Uma conta local prefixada com AAD_ é criada durante a instalação. Em uma instalação personalizada, você pode especificar uma conta diferente. |
Se você usa o Microsoft Entra Connect com uma compilação de março de 2017 ou anterior, não redefina a senha na conta de serviço. O Windows destrói as chaves de encriptação por razões de segurança. Não é possível alterar a conta para qualquer outra conta sem reinstalar o Microsoft Entra Connect. Se você atualizar para uma compilação de abril de 2017 ou posterior, poderá alterar a senha na conta de serviço, mas não poderá alterar a conta usada.
Importante
Você pode definir a conta de serviço somente na primeira instalação. Não é possível alterar a conta de serviço após a conclusão da instalação.
A tabela a seguir descreve as opções padrão, recomendadas e com suporte para a conta de serviço de sincronização.
Legenda:
- Negrito= A opção padrão e, na maioria dos casos, a opção recomendada.
- Itálico = A opção recomendada quando não é a opção padrão.
- 2008 = A opção padrão quando instalado no Windows Server 2008
- Sem negrito = Uma opção suportada
- Conta local = Conta de usuário local no servidor
- Conta de domínio = Conta de usuário de domínio
- sMSA = conta de serviço gerenciada autônoma
- gMSA = conta de serviço gerenciada do grupo
Base de dados local Expresso |
Banco de dados local/SQL Server local Personalizado |
SQL Server remoto Personalizado |
|
---|---|---|---|
máquina associada ao domínio | VSA Conta local (2008) |
VSA Conta local (2008) Conta local Conta de domínio sMSA, gMSA |
gMSA Conta de domínio |
Controlador de domínio | Conta de domínio | gMSA Conta de domínio sMSA |
gMSA Conta de domínio |
VSA
Um VSA é um tipo especial de conta que não tem uma senha e é gerenciado pelo Windows.
O VSA destina-se a ser usado com cenários em que o mecanismo de sincronização e o SQL Server estão no mesmo servidor. Se você usar o SQL Server remoto, recomendamos que use um gMSA em vez de um VSA.
O recurso VSA requer o Windows Server 2008 R2 ou posterior. Se você instalar o Microsoft Entra Connect no Windows Server 2008, a instalação voltará a usar uma conta de usuário em vez de um VSA.
gMSA
Se você usar uma instância remota do SQL Server, recomendamos que use um gMSA. Para obter mais informações sobre como preparar o Windows Server AD para gMSA, consulte Visão geral de contas de serviço gerenciado de grupo.
Para usar essa opção, na página Instalar componentes necessários, selecione Usar uma conta de serviço existente e, em seguida, selecione Conta de Serviço Gerenciado.
Você também pode usar um sMSA nesse cenário. No entanto, você pode usar um sMSA somente no computador local e não há nenhum benefício em usar um sMSA em vez do VSA padrão.
O recurso sMSA requer o Windows Server 2012 ou posterior. Se você precisar usar uma versão anterior de um sistema operacional e usar o SQL Server remoto, deverá usar uma conta de usuário.
Conta de utilizador
Uma conta de serviço local é criada pelo assistente de instalação (a menos que você especifique nas configurações personalizadas a conta a ser usada). A conta é prefixada com AAD_ e é usada para que o serviço de sincronização real seja executado como. Se você instalar o Microsoft Entra Connect em um controlador de domínio, a conta será criada no domínio. A conta de serviço AAD_ deve estar localizada no domínio se:
- Você usa um servidor remoto que executa o SQL Server.
- Você usa um proxy que requer autenticação.
A conta de serviço AAD_ é criada com uma senha longa e complexa que não expira.
Essa conta é usada para armazenar com segurança as senhas das outras contas. As senhas são armazenadas criptografadas no banco de dados. As chaves privadas para as chaves de criptografia são protegidas com a criptografia de chave secreta dos serviços de criptografia usando a API de Proteção de Dados do Windows (DPAPI).
Se você usar uma instância completa do SQL Server, a conta de serviço será o DBO do banco de dados criado para o mecanismo de sincronização. O serviço não funcionará como pretendido com quaisquer outras permissões. Um logon do SQL Server também é criado.
A conta também recebe permissões para arquivos, chaves do Registro e outros objetos relacionados ao mecanismo de sincronização.
Conta do Microsoft Entra Connector
Uma conta no Microsoft Entra ID é criada para o serviço de sincronização usar. Você pode identificar essa conta por seu nome para exibição.
O nome do servidor no qual a conta é usada pode ser identificado na segunda parte do nome de usuário. Na figura anterior, o nome do servidor é DC1. Se você tiver servidores de preparo, cada servidor terá sua própria conta.
Uma conta de servidor é criada com uma senha longa e complexa que não expira. A conta recebe uma função especial de Contas de Sincronização de Diretórios que tem permissões para executar apenas tarefas de sincronização de diretórios. Essa função interna especial não pode ser concedida fora do assistente do Microsoft Entra Connect. O centro de administração do Microsoft Entra mostra essa conta com a função Usuário.
O Microsoft Entra ID tem um limite de 20 contas de serviço de sincronização.
Para obter a lista de contas de serviço existentes do Microsoft Entra em sua instância do Microsoft Entra, execute o seguinte comando:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalProperties
Para remover contas de serviço do Microsoft Entra não utilizadas, execute o seguinte comando:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Observação
Antes de poder usar esses comandos do PowerShell, você deve instalar o módulo do Microsoft Graph PowerShell e conectar-se à sua instância do Microsoft Entra ID usando o Connect-MgGraph.
Para obter mais informações sobre como gerenciar ou redefinir a senha da conta do Microsoft Entra Connect, consulte Gerenciar a conta do Microsoft Entra Connect.
Artigos relacionados
Para obter mais informações sobre o Microsoft Entra Connect, consulte estes artigos:
Tópico | Ligação |
---|---|
Baixar Microsoft Entra Connect | Baixar Microsoft Entra Connect |
Instalar usando as configurações expressas | Instalação expressa do Microsoft Entra Connect |
Instalar usando configurações personalizadas | Instalação personalizada do Microsoft Entra Connect |
Atualizar a partir do DirSync | Atualização da ferramenta de sincronização do Azure AD (DirSync) |
Após a instalação | Verificar a instalação e atribuir licenças |
Próximos passos
Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.