Pré-requisitos do Microsoft Entra Cloud Sync

Este artigo fornece diretrizes sobre como usar o Microsoft Entra Cloud Sync como sua solução de identidade.

Requisitos do agente de provisionamento de nuvem

Você precisa do seguinte para usar o Microsoft Entra Cloud Sync:

• Credenciais de Administrador de Domínio ou Administrador Corporativo para criar a gMSA de sincronização na nuvem do Microsoft Entra Connect (conta de serviço gerenciado de grupo) para executar o serviço do agente.

• Uma conta de Administrador de Identidade Híbrida para seu locatário do Microsoft Entra que não é um usuário convidado.

• Um servidor local para o agente de provisionamento com Windows 2016 ou posterior. Este servidor deve ser um servidor de camada 0 com base no modelo de camada administrativa do Active Directory. A instalação do agente num controlador de domínio é suportada. Para obter mais informações, consulte Proteger o servidor do agente de provisionamento do Microsoft Entra

  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId

• O serviço Gerenciador de Credenciais do Windows (VaultSvc) não pode ser desabilitado, pois isso impede a instalação do agente de provisionamento.

• A elevada disponibilidade refere-se à capacidade do Microsoft Entra Cloud Sync de operar continuamente sem falhas durante muito tempo. Ao ter vários agentes ativos instalados e em execução, o Microsoft Entra Cloud Sync pode continuar a funcionar mesmo que um agente falhe. A Microsoft recomenda ter 3 agentes ativos instalados para alta disponibilidade.

• Configurações de firewall no local.

Proteger o servidor do agente de provisionamento do Microsoft Entra

Recomendamos que você proteja o servidor do agente de provisionamento do Microsoft Entra para diminuir a superfície de ataque de segurança para esse componente crítico do seu ambiente de TI. Seguir essas recomendações ajuda a reduzir alguns riscos de segurança para sua organização.

• É recomendável reforçar o servidor do agente de provisionamento do Microsoft Entra como um ativo de Painel de Controle (anteriormente, camada 0) seguindo as diretrizes fornecidas em Acesso privilegiado seguro e Modelo de camada administrativa do Active Directory.
• Restrinja o acesso administrativo ao servidor do agente de provisionamento do Microsoft Entra apenas para administradores de domínio ou outros grupos de segurança fortemente controlados.
• Crie uma conta dedicada para todos os funcionários com acesso privilegiado. Os administradores não devem navegar na Web, verificar emails nem realizar tarefas de produtividade cotidianas com contas altamente privilegiadas.
• Siga as orientações fornecidas em Protegendo o acesso privilegiado.
• Negar o uso da autenticação NTLM com o servidor do agente de provisionamento do Microsoft Entra. Aqui estão algumas maneiras de fazer isso: Restringindo o NTLM no servidor do agente de provisionamento do Microsoft Entra e Restringindo o NTLM em um domínio
• Verifique se cada computador tem uma senha de administrador local exclusiva. Para obter mais informações, confira LAPS do Windows (Solução de Senha de Administrador Local), que pode configurar senhas aleatórias exclusivas em cada estação de trabalho e servidor e armazená-las no Active Directory protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Diretrizes adicionais para operar um ambiente com LAPS do Windows e PAWs (estações de trabalho com acesso privilegiado) podem ser encontradas em Padrões operacionais com base no princípio de código-fonte limpo.
• Implemente estações de trabalho de acesso privilegiado dedicadas para todos os funcionários com acesso privilegiado aos sistemas de informações da sua organização.
• Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Active Directory.
• Siga Monitorar alterações na configuração da federação para definir alertas para monitorar alterações na confiança estabelecida entre seu Idp e o Microsoft Entra ID.
• Habilite a MFA (autenticação multifator) para todos os usuários que têm acesso privilegiado na ID do Microsoft Entra ou no AD. Um problema de segurança com o uso do agente de provisionamento do Microsoft Entra é que, se um invasor puder obter controle sobre o servidor do agente de provisionamento do Microsoft Entra, poderá manipular usuários na ID do Microsoft Entra. Para impedir que um invasor use esses recursos para assumir as contas do Microsoft Entra, a MFA oferece proteções. Por exemplo, mesmo que um invasor consiga redefinir a senha de um usuário usando o agente de provisionamento do Microsoft Entra, ele ainda não poderá ignorar o segundo fator.

Contas de serviço gerenciado de grupo

Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas e gerenciamento simplificado de SPN (nome da entidade de serviço). Ele também oferece a capacidade de delegar o gerenciamento a outros administradores e estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync dá suporte e usa uma gMSA para executar o agente. Você será solicitado a fornecer credenciais administrativas durante a configuração para criar essa conta. A conta aparece como domain\provAgentgMSA$. Para obter mais informações sobre uma gMSA, consulte Contas de Serviço Gerenciado do grupo.

Pré-requisitos para gMSA

1. O esquema do Active Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
2. Módulos RSAT do PowerShell em um controlador de domínio.
3. Pelo menos um controlador de domínio no domínio tem de estar a ser executado Windows Server 2012 ou posterior.
4. Um servidor associado a um domínio onde o agente está a ser instalado tem de ser Windows Server 2016 ou posterior.

Conta gMSA personalizada

Se você estiver criando uma conta gMSA personalizada, precisará garantir que a conta tenha as seguintes permissões.

Tipo	Nome	Acesso	Aplica-se a
Permitir	Conta gMSA	Leia todas as propriedades	Objetos de dispositivo descendente
Permitir	Conta gMSA	Leia todas as propriedades	Objetos descendentes de InetOrgPerson
Permitir	Conta gMSA	Leia todas as propriedades	Objetos do computador descendentes
Permitir	Conta gMSA	Leia todas as propriedades	Objetos descendentes de foreignSecurityPrincipal
Permitir	Conta gMSA	Controle total	Objetos de grupo descendentes
Permitir	Conta gMSA	Leia todas as propriedades	Objetos de usuário descendentes
Permitir	Conta gMSA	Leia todas as propriedades	Objetos de contato descendentes
Permitir	Conta gMSA	Criar/excluir objetos de usuário	Este objeto e todos os objetos descendentes

Para obter etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte o grupo Contas de Serviço Gerenciado.

Para obter mais informações sobre como preparar seu Active Directory para a Conta de Serviço Gerenciado de grupo, consulte Visão geral das contas de serviço gerenciado de grupo e Contas de serviço gerenciado de grupo com sincronização na nuvem.

No centro de administração do Microsoft Entra

1. Crie uma conta de Administrador de Identidade Híbrida apenas na nuvem no seu locatário do Microsoft Entra. Desta forma, pode gerir a configuração do seu inquilino se os seus serviços no local falharem ou ficarem indisponíveis. Saiba como adicionar uma conta de administrador de identidade híbrida somente na nuvem. A conclusão desta etapa é fundamental para garantir que você não fique bloqueado no seu locatário.
2. Adicione um ou mais nomes de domínio personalizados ao tenant do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.

No seu diretório no Active Directory

Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.

Em seu ambiente local físico

1. Identifique um servidor anfitrião associado a um domínio com Windows Server 2016 ou superior com um mínimo de 4 GB de RAM e runtime .NET 4.7.1 ou superior.
2. A política de execução do PowerShell no servidor local tem de ser definida como Undefined ou RemoteSigned.
3. Se houver um firewall entre seus servidores e a ID do Microsoft Entra, consulte Requisitos de firewall e proxy.

Observação

Não há suporte para a instalação do agente de provisionamento de nuvem no Windows Server Core.

Provisionar o Microsoft Entra ID no Active Directory – Pré-requisitos

Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.

Requisitos de licença

Usar esse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, confira Comparar os recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de administrador de identidade híbrida.
• Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
• Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.

Observação

As permissões da conta de serviço são atribuídas somente durante uma instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir que Leitura, Gravação, Criação e Exclusão sejam as propriedades de todos os objetos descendentes de Grupos e Usuários.

Essas permissões não são aplicadas aos objetos AdminSDHolder por padrão cmdlets do PowerShell gMSA do agente de provisionamento do Microsoft Entra

• O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para pesquisa de catálogo global para filtrar referências de subscrição inválidas
• Sincronização do Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
  • Necessário para dar suporte a membros de usuários locais sincronizados usando o Microsoft Entra Connect Sync
  • Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier

Grupos com suporte e limites de escala

Há suporte para o seguinte:

• Há suporte apenas para os Grupos de segurança criados na nuvem
• Esses grupos podem ter grupos de associação atribuída ou dinâmica.
• Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
• As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
• Esses grupos são gravados novamente com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
• Não há suporte para grupos com mais de 50.000 membros.
• Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
• Cada grupo aninhado filho direto conta como um membro no grupo de referência
• Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.

Informações adicionais

A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.

• Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
• Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
• O atributo onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
• Atributo objectGUID de usuários locais pode ser sincronizado com o atributo onPremisesObjectIdentifier de usuários na nuvem usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0).
• Se você estiver usando a Sincronização do Microsoft Entra Connect (2.2.8.0) para sincronizar usuários em vez da Sincronização na nuvem do Microsoft Entra e quiser usar o Provisionamento para o AD, deverá usar a versão 2.2.8.0 ou posterior.
• Somente locatários regulares do Microsoft Entra ID têm suporte para provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para locatários como B2C.
• O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.

Mais requisitos

• Mínimo Microsoft .NET Framework 4.7.1

Requisitos de TLS

Observação

Transport Layer Security (TLS) é um protocolo que fornece comunicações seguras. Alterar as configurações de TLS afeta toda a floresta. Para obter mais informações, confira Atualizar para habilitar o TLS 1.1 e o TLS 1.2 como os protocolos seguros padrão em WinHTTP no Windows..

O servidor Windows que hospeda o agente de provisionamento de nuvem do Microsoft Entra Connect deve ter o TLS 1.2 habilitado antes de instalá-lo.

Para habilitar o TLS 1.2, siga estas etapas.

1. Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e execute o arquivo (selecione com o botão direito do mouse e escolha Mesclar):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Reinicie o servidor.

Requisitos de firewall e proxy

Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

• Verifique se os agentes podem fazer solicitações de saída ao Microsoft Entra ID pelas seguintes portas:

  Número da porta	Descrição
  80	Transfere as listas de revogação de certificados (CRLs) ao validar o certificado TLS/SSL.
  443	Processa todas as comunicações de saída com o serviço.
  8080 (opcional)	Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no centro de administração do Microsoft Entra.

• Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

• Certifique-se de que seu proxy dê suporte a pelo menos o protocolo HTTP 1.1 e que a codificação em partes esteja habilitada.

• Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões:

Nuvem pública

URL	Descrição
*.msappproxy.net *.servicebus.windows.net	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
*.microsoftonline.com *.microsoft.com *.msappproxy.com *.windowsazure.com	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80	O agente usa essas URLs para verificar certificados.
login.windows.net	O agente usa esses URLs durante o processo de registro.

Nuvem do Governo dos EUA

URL	Descrição
*.msappproxy.us *.servicebus.usgovcloudapi.net	O agente usa essas URLs para se comunicar com o serviço de nuvem do Microsoft Entra.
mscrl.microsoft.us:80 crl.microsoft.us:80 ocsp.msocsp.us:80 www.microsoft.us:80	O agente usa essas URLs para verificar certificados.
login.windows.us secure.aadcdn.microsoftonline-p.com *.microsoftonline.us *.microsoftonline-p.us *.msauth.net *.msauthimages.net *.msecnd.net *.msftauth.net *.msftauthimages.net *.phonefactor.net enterpriseregistration.windows.net management.azure.com policykeyservice.dc.ad.msft.net ctldl.windowsupdate.us:80 aadcdn.msftauthimages.us *.microsoft.us msauthimages.us mfstauthimages.us	O agente usa esses URLs durante o processo de registro.

• Se você não conseguir adicionar conexões, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

Requisito NTLM

Você não deve habilitar o NTLM no Windows Server que está executando o agente de provisionamento do Microsoft Entra e, se estiver habilitado, certifique-se de desativá-lo.

Limitações conhecidas

Veja a seguir as limitações conhecidas:

Sincronização delta

• A filtragem de âmbito de grupo para sincronização delta não suporta mais de 50 000 membros.
• Quando você exclui um grupo usado como parte de um filtro de escopo de grupo, os usuários que são membros do grupo não são excluídos.
• Quando você renomeia a UO ou o grupo que está no escopo, a sincronização delta não remove os usuários.

Logs de provisionamento

• Os registos de aprovisionamento não diferenciam claramente entre operações de criação e atualização. Você pode ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.

Renomeação de grupo ou renomeação de UO

• Se você renomear um grupo ou UO no AD que está no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não poderá reconhecer a alteração de nome no AD. O trabalho não entra em quarentena e permanece saudável.

Filtro de escopo

Ao usar o filtro de escopo de UO

• A configuração de escopo tem uma limitação de 4 MB no comprimento de caracteres. Em um ambiente testado padrão, isso se traduz em aproximadamente 50 unidades organizacionais (UOs) ou grupos de segurança separados, incluindo seus metadados necessários, para uma determinada configuração.

• Há suporte para UOs aninhadas (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).

Sincronização de Hash de Senha

• Não há suporte para o uso da sincronização de hash de senha com InetOrgPerson.

Próximas etapas

• O que é provisionamento?
• O que é o Microsoft Entra Cloud Sync?