Pré-requisitos para a Sincronização na Nuvem do Microsoft Entra

Este artigo fornece diretrizes sobre o uso do Microsoft Entra Cloud Sync como solução de identidade.

Requisitos do agente de provisionamento de nuvem

Você precisa dos seguintes itens para usar a Sincronização na Nuvem do Microsoft Entra:

• Credenciais de Administrador de Domínio ou Administrador Corporativo para criar a gMSA (conta de serviço gerenciado de grupo) da sincronização na nuvem do Microsoft Entra Connect para executar o serviço do agente.
• Uma conta de administrador de identidade híbrida para seu locatário do Microsoft Entra que não seja um usuário convidado.
• Um servidor local para o agente de provisionamento com o Windows 2016 ou posterior. Esse servidor deve ser de camada 0 e baseado no modelo de camada administrativa do Active Directory. Há suporte para a instalação do agente em um controlador de domínio.
  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
• Alta disponibilidade refere-se à capacidade da Sincronização na Nuvem do Microsoft Entra de operar continuamente sem falhas por um longo período. Ao ter vários agentes ativos instalados e em execução, a Sincronização na Nuvem do Microsoft Entra pode continuar funcionando mesmo que um agente falhe. A Microsoft recomenda ter três agentes ativos instalados para garantir a alta disponibilidade.
• Configurações de firewall local.

Group Managed Service Accounts

Uma Conta de Serviço Gerenciada de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço) e a capacidade de delegar o gerenciamento para outros administradores, além de estender essa funcionalidade para vários servidores. A Sincronização na Nuvem do Microsoft Entra dá suporte e usa uma gMSA para executar o agente. Você será solicitado a fornecer credenciais administrativas durante a configuração, a fim de criar essa conta. A conta aparece como domain\provAgentgMSA$. Para obter mais informações sobre uma gMSA, confira Contas de Serviço Gerenciado de grupo.

Pré-requisitos da gMSA

1. O esquema do Active Directory na floresta de domínio da gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
2. Módulos das Ferramentas de Administração de Servidor Remoto do PowerShell em um controlador de domínio.
3. Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
4. Um servidor conectado ao domínio em que o agente está sendo instalado precisa ser o Windows Server 2016 ou posterior.

Conta gMSA personalizada

Se estiver criando uma conta gMSA personalizada, é necessário garantir que a conta tenha as seguintes permissões.

Tipo	Nome	Acesso	Aplica-se A
Allow	Conta gMSA	Leia todas as propriedades	Objetos de dispositivo descendente
Allow	Conta gMSA	Leia todas as propriedades	Objetos descendentes de InetOrgPerson
Allow	Conta gMSA	Leia todas as propriedades	Objetos de computador descendentes
Allow	Conta gMSA	Leia todas as propriedades	Objetos descendentes de foreignSecurityPrincipal
Allow	Conta gMSA	Controle total	Objetos de grupo descendentes
Allow	Conta gMSA	Leia todas as propriedades	Objetos de usuário descendentes
Allow	Conta gMSA	Leia todas as propriedades	Objetos de contato descendentes
Allow	Conta gMSA	Criar/excluir objetos de usuário	Este objeto e todos os objetos descendentes

Para ver as etapas sobre como atualizar um agente existente para usar uma conta gMSA, confira Contas de Serviço Gerenciadas de grupo.

Para obter mais informações sobre como preparar o Active Directory para a Conta de Serviço Gerenciada de grupo, confira Visão geral das Contas de Serviço Gerenciadas de grupo.

No centro de administração do Microsoft Entra

1. Crie uma conta de administrador de identidade híbrida somente em nuvem no seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário se seus serviços locais falhem ou ficarem indisponíveis. Saiba mais sobre como adicionar uma conta de administrador de identidade híbrida somente em nuvem. Finalizar essa etapa é essencial para garantir que você não seja bloqueado de seu locatário.
2. Adicione um ou mais nomes de domínio personalizados ao locatário do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.

No seu diretório no Active Directory

Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.

Em seu ambiente local

1. Identifique um servidor de host conectado ao domínio que executa o Windows Server 2016 ou superior com o mínimo de 4 GB de RAM e o runtime do .NET 4.7.1+.
2. A política de execução do PowerShell no servidor local deve ser definida como Undefined ou RemoteSigned.
3. Se houver um firewall entre seus servidores e o Microsoft Entra ID, consulte Requisitos de firewall e proxy.

Observação

Não há suporte para a instalação do agente de provisionamento de nuvem no Windows Server Core.

Provisionar o Microsoft Entra ID no Active Directory - Pré-requisitos

Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de Administrador Híbrido.
• Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
• Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir a definição todas as propriedades de Leitura, Gravação, Criação e Exclusão para todos os Grupos e objetos de usuário descendentes.

Essas permissões não são aplicadas aos objetos AdminSDHolder por padrão Cmdlets do PowerShell do agente gMSA de provisionamento do Microsoft Entra

• O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
• Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
  • Necessário para dar suporte à associação de usuário local sincronizada usando o Microsoft Entra Connect
  • Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier

Grupos com suporte

Só há suporte para o seguinte:

• Somente há suporte para os Grupos de segurança criados na nuvem
• Esses grupos podem ter uma associação atribuída ou dinâmica.
• Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
• As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
• Esses grupos são gravados novamente com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
• Não há suporte para grupos com mais de 50.000 membros.
• Cada grupo aninhado filho direto conta como um membro no grupo de referência
• Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.

Informações adicionais

A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.

• Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
• Todos esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
• O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
• Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários na nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
• Se você estiver usando o Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuários, em vez do Microsoft Entra Cloud Sync, e quiser usar o Provisionamento para o AD, ele deverá ser 2.2.8.0 ou posterior.
• Há suporte somente para locatários regulares do Microsoft Entra ID para o provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para Locatários como B2C.
• O trabalho de provisionamento de grupos está agendado para ser executado a cada 20 minutos.

Mais requisitos

• No mínimo, Microsoft .NET Framework 4.7.1

Requisitos de TLS

Observação

O protocolo TLS fornece comunicações seguras. A alteração das configurações de TLS afeta toda a floresta. Para obter mais informações, consulte Atualizar para habilitar TLS 1.1 e TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.

O Windows Server que hospeda o agente de provisionamento de nuvem do Microsoft Entra Connect precisa ter o TLS 1.2 habilitado antes da instalação.

Para habilitar o TLS 1.2, siga estas etapas.

1. Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e execute o arquivo (clique com o botão direito do mouse e escolha Mesclar):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Reinicie o servidor.

Requisitos de firewall e proxy

Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

• Verifique se os agentes podem fazer solicitações de saída ao Microsoft Entra ID nas seguintes portas:

  Número da porta	Descrição
  80	Baixa as listas de CRLs (certificados revogados) enquanto valida o certificado TLS/SSL.
  443	Lida com toda a comunicação de saída com o serviço.
  8080 (opcional)	Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no centro de administração do Microsoft Entra.

• Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

• Se o firewall ou proxy permitir a especificação de sufixos seguros, adicione conexões:

Nuvem pública

URL	Descrição
*.msappproxy.net *.servicebus.windows.net	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	O agente usa essas URLs para verificar certificados.
login.windows.net	O agente usa essas URLs durante o processo de registro.

Nuvem do Governo dos EUA

URL	Descrição
*.msappproxy.us *.servicebus.usgovcloudapi.net	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	O agente usa essas URLs para verificar certificados.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	O agente usa essas URLs durante o processo de registro.

• Se não for possível adicionar conexões, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

Requisito de NTLM

Você não deve habilitar o NTLM no Windows Server que está executando o agente de provisionamento do Microsoft Entra e, se estiver habilitado, deve certificar-se de desabilitá-lo.

Limitações conhecidas

Veja a seguir as limitações conhecidas:

Sincronização de delta

• A filtragem de escopo de grupo para sincronização delta não dá suporte para mais de 50.000 membros.
• Quando você exclui um grupo que é usado como parte de um filtro de escopo de grupo, os usuários membros do grupo não são excluídos.
• Quando você renomeia a UO ou o grupo que está no escopo, a sincronização delta não remove os usuários.

Logs de provisionamento

• Os registros de provisionamento não diferenciam claramente as operações de criação e atualização. Você pode ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.

Renomeação de grupo ou renomeação de UO

• Se você renomear um grupo ou uma UO no AD que esteja no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não conseguirá reconhecer a alteração do nome no AD. O trabalho não entrará em quarentena e permanecerá íntegro.

Filtro de escopo

Quando usar o filtro de escopo UO

• Você só pode sincronizar até 59 UOs ou Grupos de Segurança separadas para uma determinada configuração.
• As UOs aninhadas têm suporte (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).

Sincronização de hash de senha

• Não há suporte para o uso de sincronização de hash de senha com InetOrgPerson.

Próximas etapas

• O que é provisionamento?
• O que é a Sincronização na Nuvem do Microsoft Entra?