Conta do serviço ADSync
O Microsoft Entra ID Connect instala um serviço local que orquestra a sincronização entre o Active Directory e o Microsoft Entra ID. O serviço de sincronização do Microsoft Entra ID Sync (ADSync) é executado em um servidor no seu ambiente local. As credenciais para o serviço são definidas por padrão nas instalações Expressas, mas podem ser personalizadas para atender aos requisitos de segurança organizacional. Essas credenciais não são usadas para se conectar às suas florestas locais ou ao Microsoft Entra ID.
Escolher a conta de serviço do ADSync é uma decisão de planejamento importante a ser feita antes da instalação do Microsoft Entra Connect. Qualquer tentativa de alterar as credenciais após a instalação resultará na falha na inicialização do serviço, na perda do acesso ao banco de dados de sincronização e na falha na autenticação com seus diretórios conectados (Azure e AD DS). Nenhuma sincronização ocorrerá até que as credenciais originais sejam restauradas.
O serviço de sincronização pode ser executado em contas diferentes. Ele pode ser executado em uma VSA (Conta de Serviço Virtual), em uma gMSA/sMSA (Conta de Serviço Gerenciado) ou em uma Conta de Usuário regular. As opções com suporte foram alteradas com a versão de abril de 2017 e a versão de março de 2021 do Microsoft Entra Connect ao fazer uma nova instalação. Se você atualizar a partir de uma versão anterior do Microsoft Entra Connect, essas opções adicionais não estarão disponíveis.
| Tipo de conta | Opção de instalação | Descrição |
|---|---|---|
| Conta de Serviço Virtual | Expressa e personalizada, abril de 2017 e posterior | Uma Conta de Serviço Virtual é a opção usada para todas as instalações expressas, exceto instalações em um Controlador de Domínio. Ao usar uma instalação personalizada, essa será a opção padrão, a menos que outra opção seja usada. |
| Conta de Serviço Gerenciado | Personalizada, abril de 2017 e posterior | Se você usa um SQL Server remoto, é recomendável usar uma conta de serviço gerenciado de grupo. |
| Conta de Serviço Gerenciado | Expressa e personalizada, março de 2021 e versões posteriores | Uma Conta de Serviço Gerenciado independente prefixada com ADSyncMSA_ é criada durante instalações expressas em um Controlador de Domínio. Ao usar uma instalação personalizada, essa será a opção padrão, a menos que outra opção seja usada. |
| Conta de Usuário | Expressa e personalizada, abril de 2017 a março de 2021 | Uma Conta de Usuário prefixada com AAD_ é criada durante instalações expressas em um Controlador de Domínio. Ao usar uma instalação personalizada, essa será a opção padrão, a menos que outra opção seja usada. |
| Conta de Usuário | Expressa e personalizada, março de 2017 e versões anteriores | Uma conta de usuário prefixada com AAD_ é criada durante instalações expressas. Ao usar a instalação personalizada, outra conta pode ser especificada. |
Importante
Se você usar o Connect com um build de março de 2017 ou anterior, a senha da conta de serviço não deverá ser redefinida, pois o Windows destruirá as chaves de criptografia por motivos de segurança. Você não pode alterar a conta para nenhuma outra conta sem reinstalar o Microsoft Entra Connect. Se você atualizar para um build de abril de 2017 ou posterior, haverá suporte para alterar a senha na conta de serviço, mas você não poderá alterar a conta usada.
Importante
Você só pode definir a conta de serviço na primeira instalação. Não há suporte para alterar a conta de serviço após a conclusão da instalação. Se você precisar alterar a senha da conta de serviço, haverá suporte para isso. Encontre as instruções aqui.
Esta é uma tabela das opções padrão, recomendadas e com suporte para a conta de serviço de sincronização.
Legenda:
- Negrito indica a opção padrão e, na maioria dos casos, a opção recomendada.
- Itálico indica a opção recomendada quando ela não é a opção padrão.
- Não negrito – opção com suporte
- Conta local – conta de usuário local no servidor
- Conta do domínio – conta de usuário do domínio
- sMSA – conta de serviço gerenciado autônomo
- gMSA – conta de serviço gerenciado de grupo
| Tipo de computador | LocalDB Express | LocalDB/LocalSQL Personalizado | SQL remoto Personalizado |
|---|---|---|---|
| computador associado ao domínio | VSA | VSAsMSAgMSA Conta local Conta de domínio | gMSA Conta de domínio |
| Controlador de domínio | sMSA | sMSAgMSA Conta de domínio | gMSA Conta de domínio |
Conta de Serviço Virtual
Uma Conta de Serviço Virtual é um tipo especial de conta local gerenciada que não tem uma senha e é gerenciada automaticamente pelo Windows.
A Conta de Serviço Virtual destina-se a ser usada em cenários em que o mecanismo de sincronização e o SQL estão no mesmo servidor. Caso você use um SQL remoto, é recomendável usar uma conta de serviço gerenciado de grupo.
A Conta de Serviço Virtual não pode ser usada em um Controlador de Domínio devido a problemas de DPAPI (API de Proteção de Dados) do Windows.
Conta de Serviço Gerenciado
Caso você use um SQL Server remoto, é recomendável usar uma conta de serviço gerenciado de grupo. Para obter mais informações sobre como preparar o Active Directory para a conta de serviço gerenciado de grupo, confira Visão geral de contas de serviço gerenciado de grupo.
Para usar essa opção, na página Instalar componentes necessários, selecione Usar uma conta de serviço existente e selecione Conta de serviço gerenciado.
Também há suporte para o uso de uma conta de serviço gerenciado autônomo. No entanto, essas contas podem ser usadas apenas no computador local e não há nenhum benefício em usá-las no lugar da Conta de Serviço Virtual padrão.
Conta de Serviço Gerenciado autônoma gerada automaticamente
Se você instalar o Microsoft Entra Connect em um controlador de domínio, uma Conta de Serviço Gerenciado autônoma será criada pelo assistente de instalação (a menos que você especifique a conta a ser usada nas configurações personalizadas). A conta tem o prefixo ADSyncMSA_ e é usada para que o serviço de sincronização real seja executado.
Essa é uma conta de domínio gerenciado que não tem uma senha e é gerenciada automaticamente pelo Windows.
Ela se destina a ser usada em cenários em que o mecanismo de sincronização e o SQL estão no mesmo Controlador de Domínio.
Conta de Usuário
Uma conta de serviço local é criada pelo assistente de instalação (a menos que você especifique a conta a ser usada em configurações personalizadas). A conta prefixada com AAD_ é usada com o serviço de sincronização real para ser executada como. Se você instalar o Microsoft Entra Connect em um Controlador de Domínio, a conta será criada no domínio. A conta de serviço AAD_ deve estar localizada no domínio se:
- Você usa um servidor remoto executando o SQL Server
- Você usa um proxy que exija autenticação
A conta é criada com uma senha longa complexa que não expira.
Essa conta é usada para armazenar as senhas das outras contas de maneira segura. As senhas dessas outras contas são armazenadas criptografadas no banco de dados. As chaves privadas das chaves de criptografia são protegidas com a criptografia de chave secreta dos serviços de criptografia usando a DPAPI (API de Proteção de Dados) do Windows.
Se você usar um SQL Server completo, a conta de serviço será o DBO do banco de dados criado para o mecanismo de sincronização. O serviço não funcionará conforme esperado com qualquer outra permissão. Um logon do SQL também é criado.
A conta também recebe uma permissão para arquivos, chaves do registro e outros objetos relacionados ao mecanismo de sincronização.
Próximas etapas
Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.