Compartilhar via

Controlar usuários e grupos de nuvem provisionados do Active Directory usando o Microsoft Entra Connect Sync

Cenário: Gerencie usuários e grupos na nuvem que são provisionados do Active Directory usando a sincronização do Microsoft Entra Connect.

Pré-requisitos

Observação

Este tutorial usa scripts do PowerShell para criar rapidamente o ambiente do tutorial. Cada script usa variáveis que são declaradas no início do script. Certifique-se de alterar as variáveis para refletir seu ambiente.

Os scripts do tutorial criam um ambiente geral do Windows Server AD (Windows Server Active Directory) antes de instalarem o Microsoft Entra Connect. Os scripts também são usados em tutoriais relacionados.

Os scripts do PowerShell usados neste tutorial estão disponíveis no GitHub.

Criar uma máquina virtual

Para criar um ambiente de identidade híbrida, a primeira tarefa é criar uma máquina virtual a ser usada como um servidor local do Windows Server AD.

Observação

Se você nunca executou um script no PowerShell em seu computador host, antes de executar scripts, abra o Windows PowerShell ISE como administrador e execute Set-ExecutionPolicy remotesigned. Na caixa de diálogo Alterar Política de Execução , selecione Sim.

Para criar a máquina virtual:

  1. Abra o Windows PowerShell ISE como administrador.

  2. Execute o seguinte script:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Instalar o sistema operacional

Para concluir a criação da máquina virtual, instale o sistema operacional:

  1. No Gerente Hyper-V, clique duas vezes na máquina virtual.
  2. Selecione Iniciar.
  3. No prompt, pressione qualquer tecla para inicializar do CD ou DVD.
  4. Na janela inicial do Windows Server, selecione seu idioma e selecione Avançar.
  5. Selecione Instalar Agora.
  6. Insira sua chave de licença e selecione Avançar.
  7. Selecione a caixa de seleção Eu aceito os termos de licença e selecione Avançar.
  8. Selecione Personalizado: Instalar somente o Windows (Avançado).
  9. Selecione Avançar.
  10. Quando a instalação for concluída, reinicie a máquina virtual. Entre e verifique o Windows Update. Instale todas as atualizações para garantir que a VM esteja totalmente atualizada.

Instalar os pré-requisitos do Windows Server AD

Antes de instalar o Windows Server AD, execute um script que instale os pré-requisitos:

  1. Abra o Windows PowerShell ISE como administrador.

  2. Execute Set-ExecutionPolicy remotesigned. Na caixa de diálogo Alterar Política de Execução , selecione Sim para Todos.

  3. Execute o seguinte script:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Criar um ambiente AD do Windows Server

Agora, instale e configure o Active Directory Domain Services para criar o ambiente:

  1. Abra o Windows PowerShell ISE como administrador.

  2. Execute o seguinte script:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Criar um usuário do AD do Windows Server

Em seguida, crie uma conta de usuário de teste. Crie essa conta em seu ambiente local do Active Directory. Em seguida, a conta será sincronizada com a ID do Microsoft Entra.

  1. Abra o Windows PowerShell ISE como administrador.

  2. Execute o seguinte script:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Criar um tenant do Microsoft Entra

Se você não tiver um, siga as etapas no artigo Criar um novo tenant no Microsoft Entra ID para criar um novo tenant.

Criar um administrador de identidade híbrida no Microsoft Entra ID

A próxima tarefa é criar uma conta de administrador de identidade híbrida. Essa conta é usada para criar a conta do Microsoft Entra Connector durante a instalação do Microsoft Entra Connect. A conta do Microsoft Entra Connect é usada para gravar informações na ID do Microsoft Entra.

Para criar a conta de administrador de identidade híbrida:

  1. Entre no Centro de administração do Microsoft Entra.
  2. Navegue para Entra ID>Usuários
  3. Selecione Novo usuário>Criar novo usuário.
  4. No painel Criar novo usuário , insira um nome de exibição e um nome de entidade de usuário para o novo usuário. Você está criando sua conta de administrador de identidade híbrida para o locatário. Você pode mostrar e copiar a senha temporária.
    1. Em Atribuições, selecione Adicionar função e selecione Administrador de Identidade Híbrida.
  5. Em seguida, selecione Examinar + criar>Criar.
  6. Em uma nova janela do navegador da Web, entre em myapps.microsoft.com usando a nova conta de administrador de identidade híbrida e a senha temporária.

Baixar e instalar o Microsoft Entra Connect

Agora é hora de baixar e instalar o Microsoft Entra Connect. Depois de instalado, você usará a instalação rápida.

  1. Baixe o Microsoft Entra Connect.

  2. Vá para AzureADConnect.msi e clique duas vezes para abrir o arquivo de instalação.

  3. Em Bem-vindo, marque a caixa de seleção para concordar com os termos de licenciamento e selecione Continuar.

  4. Nas configurações do Express, selecione Usar configurações expressas.

  5. Em Conectar-se à ID do Microsoft Entra, insira o nome de usuário e a senha da conta do Administrador de Identidade Híbrida para a ID do Microsoft Entra. Selecione Avançar.

  6. Em Conectar-se ao AD DS, insira o nome de usuário e a senha de uma conta de administrador empresarial. Selecione Avançar.

  7. Em Pronto para configurar, selecioneInstalar.

  8. Quando a instalação for concluída, selecione Sair.

  9. Antes de usar o Synchronization Service Manager ou o Editor de Regra de Sincronização, saia e entre novamente.

Verificar se há usuários no portal

Agora você verificará se os usuários do locatário do Active Directory local foram sincronizados e estão agora no locatário do Microsoft Entra. A conclusão desta seção pode demorar algumas horas.

Para verificar se os usuários estão sincronizados:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue para Entra ID>Usuários

  3. Verifique se os novos usuários aparecem no seu locatário.

    Captura de tela que mostra a verificação de que os usuários foram sincronizados na ID do Microsoft Entra.

Entre com uma conta de usuário para testar a sincronização

Para testar se os usuários do seu locatário do Windows Server AD estão sincronizados com o locatário do Microsoft Entra, entre como um dos usuários:

  1. Ir para https://myapps.microsoft.com.

  2. Entre com uma conta de usuário que foi criada no novo locatário.

    Para o nome de usuário, use o formato user@domain.onmicrosoft.com. Utilize a mesma senha que o usuário usa para entrar no Active Directory local.

Você configurou com êxito um ambiente de identidade híbrida que pode ser usado para testes e para se familiarizar com o que o Azure tem a oferecer.

Próximas etapas

  • Last updated on