Configurar a sincronização com escopo do Azure AD para Azure Active Directory Domain Services usando o portal do Azure

Para fornecer serviços de autenticação, o Azure Active Directory Domain Services (Azure AD DS) sincroniza usuários e grupos do Azure AD. Em um ambiente híbrido, os usuários e grupos de um ambiente do Active Directory local AD DS (Domain Services) podem ser sincronizados primeiro com o Azure AD usando o Azure AD Connect e, em seguida, sincronizados com um Azure AD DS gerenciado.

Por padrão, todos os usuários e grupos no diretório do Microsoft Azure Active Directory são sincronizados com seu domínio gerenciado. Se você tiver necessidades específicas, poderá optar por sincronizar apenas um conjunto definido de usuários.

Este artigo mostra como configurar a sincronização com escopo e, em seguida, alterar ou desabilitar o conjunto de usuários com escopo usando o portal do Azure. Você também pode completar estas etapas usando o PowerShell.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Visão geral da sincronização com escopo

Por padrão, todos os usuários e grupos no diretório do Microsoft Azure Active Directory são sincronizados com seu domínio gerenciado. Se apenas alguns usuários precisarem acessar o domínio gerenciado, você pode sincronizar apenas essas contas de usuário. Essa sincronização no escopo é baseada em grupo. Quando você configura a sincronização com escopo baseada em grupo, somente as contas de usuário que pertencem aos grupos especificados são sincronizadas com o domínio gerenciado. Grupos aninhados não são sincronizados, somente os grupos específicos selecionados.

Você pode alterar o escopo de sincronização antes ou depois de criar o domínio gerenciado. O escopo da sincronização é definido por uma entidade de serviço com o identificador de aplicativo 2565bd9d-da50-47d4-8b85-4c97f669dc36. Para evitar a perda de escopo, não exclua nem altere a entidade de serviço. Se for excluído acidentalmente, o escopo de sincronização não poderá ser recuperado.

Tenha em mente as seguintes advertências se você alterar o escopo de sincronização:

  • É executado um ciclo de sincronização completo.
  • Os objetos que não forem mais necessários no domínio gerenciado serão excluídos. Novos objetos são criados no domínio gerenciado.

Para saber mais sobre o processo de sincronização, veja Entender a sincronização no Azure AD Domain Services.

Habilitar sincronização com escopo

Para habilitar a sincronização com escopo no portal do Azure, conclua as seguintes etapas:

  1. No portal do Azure, pesquise e selecione Azure AD Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
  2. Selecione Sincronização no menu esquerdo.
  3. Para o Tipo de sincronização, selecione Escopo.
  4. Escolha Selecionar grupos, procure e escolha os grupos a serem adicionados.
  5. Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Modificar sincronização com escopo

Para modificar a lista de grupos cujos usuários devem ser sincronizados com o domínio gerenciado, conclua as seguintes etapas:

  1. No portal do Azure, pesquise e selecione Azure AD Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
  2. Selecione Sincronização no menu esquerdo.
  3. Para adicionar um grupo, escolha + Selecionar grupos na parte superior e, em seguida, escolha os grupos a serem adicionados.
  4. Para remover um grupo do escopo de sincronização, selecione-o na lista de grupos sincronizados no momento e escolha Remover grupos.
  5. Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Desabilitar sincronização com escopo

Conclua as seguintes etapas para desabilitar a sincronização de escopo com base em grupo para um domínio gerenciado:

  1. No portal do Azure, pesquise e selecione Azure AD Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
  2. Selecione Sincronização no menu esquerdo.
  3. Altere o Tipo de sincronização em Escopo para Todose selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Próximas etapas

Para saber mais sobre o processo de sincronização, veja Entender a sincronização no Azure AD Domain Services.