Partilhar via

Tutorial: Integrar uma única floresta com um único tenant do Microsoft Entra

Este tutorial orienta você na criação de um ambiente de identidade híbrida usando o Microsoft Entra Cloud Sync.

Diagrama que mostra o fluxo do Microsoft Entra Cloud Sync.

Você pode usar o ambiente criado neste tutorial para testar ou para se familiarizar com a sincronização na nuvem.

Pré-requisitos

No centro de administração do Microsoft Entra

  • A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem permanentemente atribuídas à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou de "último recurso", nos quais as contas normais não podem ser acessadas ou todos os outros administradores são acidentalmente bloqueados. Essas contas devem ser criadas seguindo as recomendações para contas de acesso de emergência .
  • Adicione um ou mais nomes de domínio personalizados ao seu locatário do Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.

Em seu ambiente local

  1. Identificar um servidor host associado a um domínio que executa o Windows Server 2016 ou superior com um mínimo de 4 GB de RAM e tempo de execução do .NET 4.7.1+

  2. Se existir uma firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

    • Certifique-se de que os agentes possam fazer solicitações de saída para o ID do Microsoft Entra pelas seguintes portas:

      Número da porta Como é utilizado
      80 Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL
      443 Processa toda a comunicação de saída com o serviço
      8080 (opcional) Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal.

      Se a firewall impuser regras de acordo com os utilizadores de origem, abra estas portas para o tráfego proveniente dos serviços Windows que são executados como serviço de rede.

    • Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

    • Seus agentes precisam de acesso a login.windows.net e login.microsoftonline.com para o registro inicial. Abra também o firewall para esses endereços URL.

    • Para validação de certificado, desbloqueie as seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Como essas URLs são usadas para validação de certificado com outros produtos da Microsoft, talvez você já tenha essas URLs desbloqueadas.

Instalar o agente de provisionamento do Microsoft Entra

Se você estiver usando o tutorial do ambiente Basic AD e Azure , ele será DC1. Para instalar o agente, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. No painel esquerdo, selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. No painel esquerdo, selecione Agentes.

  4. Selecione Baixar agente local e, em seguida, selecione Aceitar termos & download.

    Captura de tela que mostra o download do agente.

  5. Depois de baixar o Microsoft Entra Connect Provisioning Agent Package, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe na pasta de downloads.

  6. No ecrã que se abre, selecione a caixa de verificação Concordo com os termos e condições da licença e, em seguida, selecione Instalar.

    Captura de tela que mostra os termos de licenciamento do Microsoft Entra Provisioning Agent Package.

  7. Após a conclusão da instalação, o assistente de configuração é aberto. Selecione Avançar para iniciar a configuração.

    Captura de tela que mostra a tela de boas-vindas.

  8. Entre com uma conta com, pelo menos, a função de administrador de Identidade Híbrida . Se você tiver a segurança reforçada do Internet Explorer habilitada, ela bloqueará a entrada. Em caso afirmativo, feche a instalação, desative a segurança reforçada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra.

    Captura de ecrã que mostra o ecrã Connect Microsoft Entra ID.

  9. Na tela Configurar Conta de Serviço , selecione uma Conta de Serviço Gerenciado (gMSA) do grupo. Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciado já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA. O sistema deteta a conta existente e adiciona as permissões necessárias para que o novo agente use a conta gMSA. Quando lhe for pedido, escolha uma de duas opções:

    • Criar gMSA: Deixe o agente criar a conta de serviço gerenciado provAgentgMSA$ para você. A conta de serviço gerenciado de grupo (por exemplo, CONTOSO\provAgentgMSA$) é criada no mesmo domínio do Ative Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Ative Directory (recomendado).
    • Usar gMSA personalizado: forneça o nome da conta de serviço gerenciado que você criou manualmente para esta tarefa.

    Captura de tela que mostra como configurar a Conta de Serviço Gerenciado do grupo.

  10. Para continuar, selecione Avançar.

  11. No ecrã Ligar o Ative Directory , se o seu nome de domínio aparecer em Domínios configurados, avance para o passo seguinte. Caso contrário, insira o nome de domínio do Ative Directory e selecione Adicionar diretório .

    Captura de tela que mostra domínios configurados.

  12. Entre com sua conta de administrador de domínio do Ative Directory. A conta de administrador de domínio não deve ter uma senha expirada. Se a senha tiver expirado ou for alterada durante a instalação do agente, reconfigure o agente com as novas credenciais. Esta operação adiciona o seu diretório no local. Selecione OK e, em seguida, selecione Avançar para continuar.

  13. Selecione Avançar para continuar.

  14. Na tela Configuração concluída , selecione Confirmar. Esta operação registra e reinicia o agente.

    Captura de tela que mostra a tela de conclusão.

  15. Após a conclusão da operação, você verá uma notificação de que a configuração do agente foi verificada com êxito. Selecione Sair. Se você ainda receber a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que executa o agente.

Verificar o agente no portal do Azure

Para verificar se o Microsoft Entra ID registra o agente, execute estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. Na página Cloud Sync , clique em Agentes para ver os agentes que você instalou. Verifique se o agente aparece e se o status está ativo.

Verifique o agente no servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.

  2. Vá para Serviços. Você também pode usar Start/Run/Services.msc para acessá-lo.

  3. Em Serviços, verifique se o Microsoft Azure AD Connect Agent Updater e o Microsoft Azure AD Connect Provisioning Agent estão presentes e se o status é Em Execução.

    Captura de ecrã que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga estas etapas:

  1. Vá para C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent.
  2. Clique com o botão direito do mouse emAADConnectProvisioningAgent.exe e selecione Propriedades.
  3. Selecione a guia Detalhes . O número da versão aparece ao lado da versão do produto.

Configurar o Microsoft Entra Cloud Sync

Use as seguintes etapas para configurar e iniciar o provisionamento:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

    Captura de tela que mostra a página inicial do Microsoft Entra Connect Cloud Sync.

  1. Selecione Nova configuração>sincronização de AD para Microsoft Entra ID.
  2. Escolha o domínio que deseja sincronizar e selecione Criar.

Para obter mais informações sobre como configurar o Microsoft Entra Cloud Sync, consulte Provisionar o Ative Directory para o Microsoft Entra ID.

Verifique se os usuários foram criados e se a sincronização está ocorrendo

Agora você verificará se os usuários que você tinha em seu diretório local que estão no escopo de sincronização foram sincronizados e agora existem em seu locatário do Microsoft Entra. A operação de sincronização pode levar algumas horas para ser concluída. Para verificar se os utilizadores estão sincronizados, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>Utilizadores.
  3. Verifique se você vê os novos usuários em seu locatário

Testar iniciar sessão com um dos seus utilizadores

  1. Navegue para https://myapps.microsoft.com

  2. Inicie sessão com uma conta de utilizador que foi criada no seu locatário. Terá de iniciar sessão utilizando o seguinte formato: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar no local.

Captura de ecrã que mostra o portal As minhas aplicações com utilizadores com sessão iniciada.

Agora você configurou com êxito um ambiente de identidade híbrida usando o Microsoft Entra Cloud Sync.

Próximos passos

  • Last updated on