Microsoft Entra Connect: quando você tiver um locatário existente
A maioria dos tópicos sobre como usar o Microsoft Entra Connect pressupõe que você comece com um novo locatário do Microsoft Entra e que não há usuários ou outros objetos por lá. Mas se você começou com um locatário do Microsoft Entra, preencheu-o com usuários e outros objetos e agora deseja usar o Connect, esse tópico é para você.
Noções básicas
Um objeto no Microsoft Entra ID é gerenciado na nuvem ou no local. Para um único objeto, não é possível gerenciar alguns atributos locais e alguns outros atributos no Microsoft Entra ID. Cada objeto tem um sinalizador que indica onde o objeto é gerenciado.
Você pode gerenciar alguns usuários no local e outros na nuvem. Um cenário comum para essa configuração é uma organização com uma combinação de funcionários de contabilidade e vendedores. Os trabalhadores de contabilidade têm uma conta AD local, mas os vendedores não, mas ambos têm uma conta no Microsoft Entra ID. Você deve gerenciar alguns usuários locais e outros no Microsoft Entra ID.
Há algumas preocupações extras que você precisa considerar quando começou a gerenciar usuários no Microsoft Entra ID, que também estão presentes no local e, posteriormente, deseja usar o Microsoft Entra Connect.
Sincronizar com usuários existentes no Microsoft Entra ID
Quando você inicia a sincronização com o Microsoft Entra Connect, a API do serviço Microsoft Entra verifica cada novo objeto de entrada e tenta encontrar um objeto existente que corresponda. Existem três atributos usados para esse processo: userPrincipalName, proxyAddresses e sourceAnchor/immutableID. Uma correspondência em userPrincipalName ou proxyAddresses é conhecida como "soft-match." Uma correspondência em sourceAnchor é conhecida como "hard=match." Para o atributo proxyAddresses, apenas o valor com SMTP:, que é o email principal, é usado para a avaliação.
A correspondência é avaliada apenas para objetos novos provenientes do Connect. Se você alterar um objeto existente para que corresponda a qualquer um desses atributos, verá um erro.
Se o Microsoft Entra ID encontrar um objeto em que os valores de atributo sejam iguais aos do novo objeto de entrada do Microsoft Entra Connect, ele assumirá o controle do objeto no Microsoft Entra ID e o objeto anteriormente gerenciado na nuvem será convertido em gerenciado localmente. Todos os atributos no Microsoft Entra ID com um valor no AD local são substituídos pelo respectivo valor local.
Aviso
Como todos os atributos no Microsoft Entra ID serão substituídos pelo valor local, verifique se os dados no local estão corretos. Por exemplo, se você só gerenciou emails no Microsoft 365 e não manteve atualizado no AD DS local, você perderá os valores no Microsoft Entra ID / Microsoft 365 não presentes no AD DS.
Importante
Caso use a sincronização de senha, que é sempre usada pelas configurações expressas, a senha no Microsoft Entra ID será substituída pela a senha do AD local. Se seus usuários estão acostumados a gerenciar senhas diferentes, você precisa informá-los de que eles devem usar a senha local quando você instalar o Connect.
A seção anterior e o aviso devem ser considerados no planejamento. Se você fez muitas alterações no Microsoft Entra ID que não foram refletidas no AD DS local, para evitar a perda de dados, você precisa planejar como preencher o AD DS com os valores atualizados do Microsoft Entra ID, antes de sincronizar seus objetos com o Microsoft Entra Connect.
Se você correspondeu os objetos com uma correspondência flexível, o sourceAnchor será adicionado ao objeto no Microsoft Entra ID para que uma correspondência rígida possa ser usada posteriormente.
Importante
A Microsoft não recomenda a sincronização de contas locais com contas administrativas pré-existentes no Microsoft Entra ID.
Correspondência rígida x correspondência flexível
Por padrão, o valor SourceAnchor de "abcdefghijklmnopqrstuv==" é calculado pelo Microsoft Entra Connect usando o atributo MsDs-ConsistencyGUID (ou ObjectGUID dependendo da configuração) do Active Directory local. Esse valor de atributo é o ImmutableId correspondente no Microsoft Entra ID. Quando o Microsoft Entra Connect (mecanismo de sincronização) adiciona ou atualiza objetos, o Microsoft Entra ID corresponde ao objeto de entrada usando o valor sourceAnchor correspondente ao atributo ImmutableId do objeto existente no Microsoft Entra ID. Se houver uma correspondência, o Microsoft Entra Connect assume o controle desse objeto e o atualiza com as propriedades do objeto de entrada do Active Directory local no que é conhecido como "hard=match." Quando o Microsoft Entra ID não consegue encontrar nenhum objeto com um ImmutableId que corresponda ao valor SouceAnchor, ele tenta usar o userPrincipalName ou ProxyAddress primário do objeto recebido para encontrar uma correspondência no que é conhecido como *”soft-match.” A soft match.” tenta combinar objetos já presentes e gerenciados no Microsoft Entra ID com os novos objetos de entrada adicionados ou atualizados que representam a mesma entidade local. Se o Microsoft Entra ID não conseguir encontrar uma hard=match ou soft-match para o objeto de entrada, ele provisionará um novo objeto no diretório Microsoft Entra ID. Adicionamos uma opção de configuração para desabilitar o recurso de correspondência rígida no Microsoft Entra ID. Aconselhamos os clientes a desabilitar a correspondência rígida, a menos que precisem dela para assumir contas somente na nuvem.
Para desabilitar a correspondência rígida, use o cmdlet Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Da mesma forma, adicionamos uma opção de configuração para desabilitar a opção de correspondência flexível no Microsoft Entra ID. Aconselhamos os clientes a desabilitar a correspondência flexível, a menos que precisem dela para assumir contas somente de nuvem.
Para desabilitar a correspondência suave, use o cmdlet Update-MgDirectoryOnPremiseSynchronization Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Observação
BlockCloudObjectTakeoverThroughHardMatchEnabled e BlockSoftMatchEnabled são usados para bloquear a correspondência de todos os objetos, se habilitados para o locatário. Os clientes são incentivados a desabilitar esses recursos apenas durante o período em que um procedimento de correspondência for necessário para sua locação. Esse sinalizador deve ser definido como Verdadeiro novamente após a conclusão de qualquer correspondência e não for mais necessário.
Outros objetos que não são usuários
Para grupos e contatos habilitados para email, você pode fazer a soft match.” com base em proxyAddresses. O hard macht não é aplicável, pois você só pode atualizar o sourceAnchor/immutableID (usando o PowerShell) apenas em usuários. Para grupos que não são habilitados para email, atualmente não há suporte para soft match ou hard match.
Considerações da função de administrador
Para proteger contra usuários locais não confiáveis, o Microsoft Entra ID não combinará usuários locais com usuários na nuvem que tenham uma função de administrador. Esse comportamento é o padrão. Para contornar isso, você pode executar as seguintes etapas:
- Remova as funções de diretório do objeto de usuário somente na nuvem.
- Exclua o objeto em quarentena na nuvem.
- Dispare uma sincronização de dados.
- Opcionalmente, adicione as funções de diretório de volta ao objeto de usuário na nuvem assim que a correspondência for concluída.
Criar um novo Active Directory local com base nos dados no Microsoft Entra ID
Alguns clientes começam com uma solução somente em nuvem com o Microsoft Entra ID e não têm um AD local. Mais tarde, eles desejam consumir recursos locais e criar um AD local com base nos dados do Microsoft Entra. O Microsoft Entra Connect não pode ajudá-lo nesse cenário. Ele não cria usuários locais e não tem capacidade de definir a senha local como a mesma do Microsoft Entra ID.
Se oferecer suporte a LOBs (aplicativos de linha de negócios) é o único motivo para adicionar o AD local, considere usar o Microsoft Entra Domain Services.
Próximas etapas
Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.