Tutorial: integrar uma única floresta com um único locatário do Microsoft Entra
Esse tutorial descreve a criação de um ambiente de identidade híbrida usando a sincronização de nuvem do Microsoft Entra Connect.
Você pode usar o ambiente criado neste tutorial para testes ou para se familiarizar mais com a sincronização de nuvem.
Pré-requisitos
No centro de administração do Microsoft Entra
- Crie uma conta de Administrador Global somente em nuvem no seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário caso seus serviços locais falhem ou fiquem indisponíveis. Saiba mais sobre adicionar uma conta de Administrador Global somente de nuvem. A conclusão dessa etapa é essencial para garantir que você não seja bloqueado de seu locatário.
- Adicione um ou mais nomes de domínio personalizados ao locatário do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.
Em seu ambiente local
Identifique um servidor de host conectado ao domínio que execute o Windows Server 2016 ou superior com um mínimo de 4 GB de RAM e runtime do .NET 4.7.1+
Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:
Verifique se os agentes podem fazer solicitações de saída ao Microsoft Entra ID nas seguintes portas:
Número da porta Como ele é usado 80 Baixa as listas de CRLs (certificados revogados) enquanto valida o certificado TLS/SSL 443 Lida com toda a comunicação de saída com o serviço 8080 (opcional) Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal. Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.
Se o seu firewall ou proxy permitir a especificação de sufixos seguros, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente.
Seus agentes devem acessar login.windows.net e login.microsoftonline.com para o registro inicial. Abra seu firewall para essas URLs também.
Para validação de certificado, desbloqueie as seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Uma vez que esses URLs são usados para a validação de certificado com outros produtos da Microsoft, você talvez já tenha esses URLs desbloqueados.
Instalar o Agente de Provisionamento do Microsoft Entra
Se você estiver usando o tutorial Ambiente Básico do AD e Azure, será o DC1. Para instalar o agente, siga estas etapas:
- No portal do Azure, selecione Microsoft Entra ID.
- À esquerda, selecione Microsoft Entra Connect.
- À esquerda, selecione Sincronização na nuvem.
- À esquerda, selecione Agente.
- Selecione Baixar agente local e selecione Aceitar os termos e baixar.
- Depois que o Pacote do Agente de Provisionamento do Microsoft Entra Connect for baixado, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.
Observação
Ao instalar para o uso da Nuvem do Governo dos EUA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.
- Na tela inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.
- Depois que a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração.
- Na tela Selecionar extensão, selecione provisionamento controlado por RH (Workday e SuccessFactors) / Sincronização de nuvem do Microsoft Entra Connect e selecione Avançar.
Observação
Se estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativos no local, selecione Provisionamento de aplicativo local (Microsoft Entra ID para aplicativo).
- Entre com uma conta com pelo menos a função Administrador de identidade híbrida. Se você tiver a segurança aprimorada do Internet Explorer habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.
- Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema detecta a conta existente e adiciona as permissões necessárias para o novo agente usar a conta gMSA. Quando solicitado, escolha:
- Criar a gMSA que permite que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciada do grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Active Directory em que o servidor de host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
- Use gMSA personalizado e forneça o nome da conta de serviço gerenciada que você criou manualmente para essa tarefa.
Para continuar, selecione Avançar.
Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, digite o nome de domínio do Active Directory e selecione Adicionar diretório.
Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com as novas credenciais. Esta operação adiciona seu diretório local. Selecione OK e, em seguida, Avançar para continuar.
- A captura de tela a seguir mostra um exemplo do contoso.com de domínio configurado. Selecione Avançar para continuar.
Na tela Configuração concluída, selecione Confirmar. Esta operação registra e reinicia o agente.
Depois de concluir a operação, você deverá ser notificado de que A configuração do agente foi verificada com sucesso. Você pode selecionar Sair.
- Se você ainda visualizar a tela inicial, selecione Fechar.
Verificar a instalação do agente
A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.
Verificação do agente de portal do Azure
Para verificar se o agente está registrado no Microsoft Entra ID, siga estas etapas:
- Entre no portal do Azure.
- Selecione ID do Microsoft Entra.
- Selecione Microsoft Entra Connect e, em seguida, Sincronização na nuvem.
- Na página de sincronização na nuvem, você verá os agentes que instalou. Verifique se o agente é exibido e se o status é íntegro.
No servidor local
Para verificar se o agente está em execução, siga estas etapas:
- Entre no servidor com uma conta de administrador.
- Abra Serviços navegando até essa opção ou acessando Iniciar/Executar/Services.msc.
- Em Serviços, verifique se o Atualizador do Agente do Microsoft Entra Connect e o Agente de Provisionamento do Microsoft Entra Connect estão presentes e se o status é Em execução.
Verificar a versão do agente de provisionamento
Para verificar a versão do agente em execução, siga essas etapas:
- Navegue até "C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect"
- Clique com o botão direito do mouse em "AADConnectProvisioningAgent.exe" e selecione propriedades.
- Clique na guia Detalhes e o número da versão será exibido ao lado da versão do Produto.
Configurar a Sincronização na Nuvem do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Use as etapas a seguir para configurar o provisionamento:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
- Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.
- Selecione Nova configuração
- Na tela de configuração, insira um Email de notificação, mova o seletor para Habilitar e selecione Salvar.
- O status de configuração agora deve ser Íntegro.
Verificar se os usuários foram criados e a sincronização está ocorrendo
Agora você irá verificar se os usuários que você tinha em seu diretório local que estão no escopo da sincronização foram sincronizados e agora existem em seu locatário do Microsoft Entra. A operação de sincronização de dados pode demorar algumas horas para ser concluída. Para verificar se os usuários estão sincronizados, siga estas etapas:
- Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
- Navegue até Identidade>Usuários.
- Verifique se você vê os novos usuários em nosso inquilino
Tente entrar com um de seus usuários
Navegue para https://myapps.microsoft.com
Entre com uma conta de usuário que foi criada no seu locatário. Será necessário entrar usando o formato a seguir: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar localmente.
Você configurou o ambiente de identidade híbrida usando a sincronização de nuvem do Microsoft Entra Connect com sucesso.