Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Microsoft Entra Connect permite que os usuários entrem em recursos locais e na nuvem usando as mesmas senhas. Este artigo descreve os principais conceitos para cada modelo de identidade para ajudá-lo a escolher a identidade que você deseja usar para entrar na ID do Microsoft Entra.
Se você já estiver familiarizado com o modelo de identidade do Microsoft Entra e quiser saber mais sobre um método específico, consulte o link apropriado:
- Sincronização de hash de senha com SSO (logon único) contínuo
- Autenticação de passagem com o SSO (logon único) contínuo
- SSO federado (com o AD FS [Serviços de Federação do Active Directory])
- Federação com PingFederate
Observação
É importante lembrar que ao configurar a federação do Microsoft Entra ID, você estabelece relação de confiança entre seu locatário do Microsoft Entra e seus domínios federados. Com essa confiança, os usuários de domínio federados terão acesso aos recursos de nuvem do Microsoft Entra dentro do locatário.
Escolhendo o método de entrada do usuário para sua organização
A primeira decisão de implementar o Microsoft Entra Connect é escolher qual método de autenticação seus usuários usarão para entrar. É importante garantir que você escolha o método certo que atenda à segurança da sua organização e aos requisitos avançados. A autenticação é crítica, pois validará as identidades do usuário para acessar aplicativos e dados na nuvem. Para escolher o método de autenticação correto, você precisa considerar o tempo, a infraestrutura existente, a complexidade e o custo de implementar sua escolha. Esses fatores são diferentes para cada organização e podem mudar ao longo do tempo.
A ID do Microsoft Entra dá suporte aos seguintes métodos de autenticação:
- Autenticação na Nuvem – Quando você escolhe esse método de autenticação, a ID do Microsoft Entra manipula o processo de autenticação para a entrada do usuário. Com a autenticação na nuvem, você pode escolher entre duas opções:
- Sincronização de hash de senha (PHS) - A sincronização de hash de senha permite que os usuários usem o mesmo nome de usuário e senha que usam no local sem precisar implantar nenhuma infraestrutura adicional além do Microsoft Entra Connect.
- Autenticação de passagem (PTA) - essa opção é semelhante à sincronização de hash de senha, mas fornece uma validação de senha simples usando agentes de software locais para organizações com políticas de segurança e conformidade fortes.
- Autenticação federada – quando você escolher esse método de autenticação, a ID do Microsoft Entra entregará o processo de autenticação a um sistema de autenticação confiável separado, como o AD FS ou um sistema de federação de terceiros, para validar a entrada do usuário.
Para a maioria das organizações que só querem habilitar a entrada do usuário no Microsoft 365, aplicativos SaaS e outros recursos baseados em ID do Microsoft Entra, recomendamos a opção de sincronização de hash de senha padrão.
Para obter informações detalhadas sobre como escolher um método de autenticação, consulte Escolher o método de autenticação correto para sua solução de identidade híbrida do Microsoft Entra
Sincronização de hash de senha
Com a sincronização de hash de senha, hashes de senhas de usuário são sincronizados do Active Directory local para o Microsoft Entra ID. Quando as senhas são alteradas ou redefinidas localmente, os novos hashes de senha são sincronizados com a ID do Microsoft Entra imediatamente para que os usuários sempre possam usar a mesma senha para recursos de nuvem e recursos locais. As senhas nunca são enviadas ao Microsoft Entra ID nem armazenadas no Microsoft Entra ID como texto não criptografado. É possível usar a sincronização de hash de senha em conjunto com write-back de senha para habilitar a redefinição de senha self-service no Microsoft Entra ID.
Além disso, você também pode habilitar o SSO contínuo para usuários em computadores conectados ao domínio que estão na rede corporativa. Com o logon único, os usuários habilitados só precisam inserir um nome de usuário para ajudá-los a acessar com segurança os recursos de nuvem.
Para obter mais informações, consulte o artigo de sincronização de hash de senha.
Autenticação de passagem
Com a autenticação de passagem, a senha do usuário é validada no controlador do Active Directory local. A senha não precisa estar presente na ID do Microsoft Entra de qualquer forma. Isso permite que políticas locais, como restrições de hora de entrada, sejam avaliadas durante a autenticação nos serviços de nuvem.
A autenticação de passagem usa um agente simples em um computador ingressado no domínio do Windows Server no ambiente local. Esse agente escuta solicitações de validação de senha. Ele não exige que nenhuma porta de entrada seja aberta para a Internet.
Além disso, você também pode habilitar o logon único para usuários de máquinas que se juntaram ao domínio e estão conectadas à rede corporativa. Com o logon único, os usuários habilitados só precisam inserir um nome de usuário para ajudá-los a acessar com segurança os recursos de nuvem.
Para obter mais informações, consulte:
Federação que usa um farm novo ou existente com o AD FS no Windows Server
Com a entrada federada, os usuários podem entrar nos serviços baseados em ID do Microsoft Entra com suas senhas locais. Enquanto eles estão na rede corporativa, eles nem precisam inserir suas senhas. Usando a opção de federação com o AD FS, você pode implantar um farm novo ou existente com o AD FS no Windows Server 2022. Se você optar por especificar um farm existente, o Microsoft Entra Connect configurará a confiança entre seu farm e o Microsoft Entra ID para que os usuários possam entrar.
Implantar federação com o AD FS no Windows Server 2022
Se você estiver implantando um novo farm, será necessário:
Um servidor do Windows Server 2022 para o servidor de federação.
Um servidor do Windows Server 2022 para o Proxy de Aplicativo Web.
Um arquivo .pfx com um certificado TLS/SSL para o nome do serviço de federação pretendido. Por exemplo: fs.contoso.com.
Se você estiver implantando uma nova fazenda de servidores ou usando uma fazenda de servidores existente, precisará:
- Credenciais de administrador local em seus servidores de federação.
- Credenciais de administrador local em servidores de grupo de trabalho (não ingressados no domínio) nos quais você pretende implantar a função de Proxy de Aplicativo Web.
- O computador no qual você executa o assistente para poder se conectar a outros computadores em que você deseja instalar o AD FS ou o Proxy de Aplicativo Web usando o Gerenciamento Remoto do Windows.
Para obter mais informações, consulte Configurar o SSO com o AD FS.
Federação com PingFederate
Com a entrada federada, os usuários podem entrar nos serviços baseados em ID do Microsoft Entra com suas senhas locais. Enquanto eles estão na rede corporativa, eles nem precisam inserir suas senhas.
Para obter mais informações sobre como configurar o PingFederate para uso com a ID do Microsoft Entra, consulte Ping Identity Support.
Para obter informações sobre como configurar o Microsoft Entra Connect usando PingFederate, consulte a instalação personalizada do Microsoft Entra Connect
Entre usando uma versão anterior do AD FS ou uma solução de terceiros
Se você já configurou a entrada na nuvem usando uma versão anterior do AD FS (como o AD FS 2.0) ou um provedor de federação de terceiros, poderá optar por ignorar a configuração de entrada do usuário por meio do Microsoft Entra Connect. Isso permitirá que você obtenha a sincronização mais recente e outros recursos do Microsoft Entra Connect enquanto ainda usa sua solução existente para entrar.
Para obter mais informações, consulte a lista de compatibilidade de federação de terceiros do Microsoft Entra.
Login do usuário e Nome Principal do Usuário
Noções básicas sobre UserPrincipalName
No Active Directory, o sufixo UPN (UserPrincipalName) padrão é o nome DNS do domínio em que a conta de usuário foi criada. Na maioria dos casos, esse é o nome de domínio registrado como o domínio corporativo na Internet. No entanto, você pode adicionar mais sufixos UPN usando domínios e relações de confiança do Active Directory.
O UPN do usuário tem o formato username@domain. Por exemplo, para um domínio do Active Directory chamado "contoso.com", um usuário chamado John pode ter o UPN "john@contoso.com". O UPN do usuário é baseado no RFC 822. Embora o UPN e o email compartilhem o mesmo formato, o valor do UPN para um usuário pode ou não ser o mesmo que o endereço de email do usuário.
UserPrincipalName no Microsoft Entra ID
O assistente do Microsoft Entra Connect usa o atributo userPrincipalName ou permite que você especifique o atributo (em uma instalação personalizada) a ser usado nos ambientes locais como UserPrincipalName na Microsoft Entra ID. Esse é o valor usado para entrar na ID do Microsoft Entra. Se o valor do atributo userPrincipalName não corresponder a um domínio verificado na ID do Microsoft Entra, a ID do Microsoft Entra o substituirá por um valor .onmicrosoft.com padrão.
Cada diretório na ID do Microsoft Entra vem com um nome de domínio interno, com o formato contoso.onmicrosoft.com, que permite que você comece a usar o Microsoft Entra ou outros serviços online da Microsoft. Você pode melhorar e simplificar a experiência de entrada usando domínios personalizados. Para obter informações sobre nomes de domínio personalizados na ID do Microsoft Entra e como verificar um domínio, consulte Adicionar seu nome de domínio personalizado à ID do Microsoft Entra.
Configuração de login do Microsoft Entra
Configuração de login do Microsoft Entra com o Microsoft Entra Connect
A experiência de entrada do Microsoft Entra depende de se o Microsoft Entra ID pode corresponder ao sufixo do UserPrincipalName de um usuário que está sendo sincronizado com um dos domínios personalizados verificados no diretório do Microsoft Entra. O Microsoft Entra Connect fornece ajuda enquanto você define as configurações de entrada do Microsoft Entra, para que a experiência de entrada do usuário na nuvem seja semelhante à experiência local.
O Microsoft Entra Connect lista os sufixos UPN definidos para os domínios e tenta combiná-los com um domínio personalizado na ID do Microsoft Entra. Em seguida, ele ajuda você com a ação apropriada que precisa ser tomada. A página de entrada do Microsoft Entra lista os sufixos UPN definidos para o Active Directory local e exibe o status correspondente em relação a cada sufixo. Os valores de status podem ser um dos seguintes:
| Estado | Descrição | Ação necessária |
|---|---|---|
| Verificado | O Microsoft Entra Connect encontrou um domínio verificado correspondente na ID do Microsoft Entra. Todos os usuários desse domínio podem entrar usando suas credenciais locais. | Nenhuma ação é necessária. |
| Não verificado | O Microsoft Entra Connect encontrou um domínio personalizado correspondente na ID do Microsoft Entra, mas não foi verificado. O sufixo UPN dos usuários desse domínio será alterado para o sufixo .onmicrosoft.com padrão após a sincronização se o domínio não for verificado. | Verifique o domínio personalizado na ID do Microsoft Entra. |
| Não adicionado | O Microsoft Entra Connect não encontrou um domínio personalizado que correspondesse ao sufixo UPN. O sufixo UPN dos usuários desse domínio será alterado para o sufixo .onmicrosoft.com padrão se o domínio não for adicionado e verificado na ID do Entra. | Adicione e verifique um domínio personalizado que corresponda ao sufixo UPN. |
A página de entrada do Microsoft Entra lista os sufixos UPN definidos para o Active Directory local e o domínio personalizado correspondente na ID do Microsoft Entra com o status de verificação atual. Em uma instalação personalizada, agora você pode selecionar o atributo para o UserPrincipalName na página de entrada do Microsoft Entra .
Você pode clicar no botão atualizar para buscar novamente o status mais recente dos domínios personalizados no Microsoft Entra ID.
Selecionando o atributo para o UserPrincipalName no Microsoft Entra ID
O atributo userPrincipalName é o atributo que os usuários usam quando entram na ID do Microsoft Entra e no Microsoft 365. Você deve verificar os domínios (também conhecidos como sufixos UPN) usados na ID do Microsoft Entra antes que os usuários sejam sincronizados.
É altamente recomendável manter o atributo padrão userPrincipalName. Se esse atributo não for roteável e não puder ser comprovado, será possível selecionar outro atributo (email, por exemplo) para armazenar a ID de entrada. Isso é conhecido como a ID Alternativa. O valor do atributo ID Alternativo deve seguir o padrão RFC 822. Você pode usar uma ID alternativa como solução de entrada tanto para o SSO de senha quanto para o SSO de federação.
Observação
O uso de uma ID alternativa não é compatível com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, consulte Configurando uma ID de logon alternativa.
Estados de domínio personalizados diferentes e seu efeito na experiência de entrada da ID do Entra
É muito importante entender a relação entre os estados de domínio personalizados no diretório do Microsoft Entra e os sufixos UPN definidos localmente. Vamos examinar as diferentes experiências possíveis de entrada do Entra ID quando você estiver configurando a sincronização usando o Microsoft Entra Connect.
Para as informações a seguir, suponhamos que o sufixo UPN contoso.com seja de nosso interesse, que é usado no diretório local como parte do UPN – por exemplo user@contoso.com.
Configurações do Expresso/Sincronização de hash de senha
| Estado | Efeito na experiência de entrada do usuário Entra ID |
|---|---|
| Não adicionado | Nesse caso, nenhum domínio personalizado para contoso.com foi adicionado no diretório do Microsoft Entra. Os usuários que têm UPN local com o sufixo @contoso.com não poderão usar o UPN local para entrar na ID do Entra. Em vez disso, eles precisarão usar um novo UPN fornecido pelo Microsoft Entra ID adicionando o sufixo do diretório padrão do Microsoft Entra. Por exemplo, se você estiver sincronizando usuários com o diretório do Microsoft Entra contoso.onmicrosoft.com, o usuário user@contoso.com local receberá um UPN de user@contoso.onmicrosoft.com. |
| Não verificado | Nesse caso, temos um domínio personalizado contoso.com que é adicionado no diretório do Microsoft Entra. No entanto, ainda não foi verificado. Se você prosseguir com a sincronização de usuários sem verificar o domínio, os usuários receberão um novo UPN pelo Microsoft Entra ID, como no cenário "Não adicionado". |
| Verificado | Nesse caso, temos um domínio personalizado contoso.com que já foi adicionado e verificado na ID do Microsoft Entra para o sufixo UPN. Os usuários poderão usar seu UserPrincipalName local, por exemplo user@contoso.com, para entrar no Entra depois que forem sincronizados com a ID do Microsoft Entra. |
Federação AD FS
Você não pode criar uma federação com o domínio .onmicrosoft.com padrão na ID do Microsoft Entra ou um domínio personalizado não verificado na ID do Microsoft Entra. Quando você executa o assistente do Microsoft Entra Connect, se você selecionar um domínio não verificado para criar uma federação, então o Microsoft Entra Connect solicitará a criação dos registros necessários onde seu DNS está hospedado para o domínio. Para obter mais informações, consulte Verificar o domínio do Microsoft Entra selecionado para federação.
Se você selecionou a opção de credenciais do usuário Federação com o AD FS, você deverá ter um domínio personalizado para continuar a criação de uma federação no Microsoft Entra ID. Para nossa discussão, isso significa que devemos ter um domínio personalizado contoso.com adicionado no diretório do Microsoft Entra.
| Estado | Efeito na experiência de entrada do usuário Entra ID |
|---|---|
| Não adicionado | Nesse caso, o Microsoft Entra Connect não encontrou um domínio personalizado correspondente para o sufixo UPN contoso.com no diretório do Microsoft Entra. Você precisa adicionar um domínio personalizado contoso.com se precisar que os usuários entrem usando o AD FS com o UPN local (como user@contoso.com). |
| Não verificado | Nesse caso, o Microsoft Entra Connect solicita detalhes apropriados sobre como você pode verificar seu domínio em um estágio posterior. |
| Verificado | Nesse caso, você pode prosseguir com a configuração sem nenhuma ação adicional. |
Alterando o método de entrada do usuário
É possível alterar o método de conexão do usuário de federação, sincronização de hash de senha ou autenticação de passagem usando as tarefas disponíveis no Microsoft Entra Connect após a configuração inicial do Microsoft Entra Connect com o assistente. Execute o assistente do Microsoft Entra Connect novamente e você verá uma lista de tarefas que você pode executar. Selecione Alterar login do usuário na lista de tarefas.
Na próxima página, você será solicitado a fornecer as credenciais para a ID do Microsoft Entra.
Na página Entrada do usuário , selecione a entrada do usuário desejada.
Observação
Se estiver fazendo apenas uma mudança temporária para a sincronização de hash de senha, marque a caixa de seleção Não converter contas de usuário. Não marcar a opção fará com que cada usuário seja convertido em federado, e isso pode levar várias horas.
Próximas etapas
- Saiba mais sobre como integrar as identidades locais ao Microsoft Entra ID.
- Saiba mais sobre os conceitos de design do Microsoft Entra Connect.