Pré-requisitos para o Microsoft Entra Connect

Este artigo descreve os pré-requisitos e os requisitos de hardware para o Microsoft Entra Connect.

Importante

Atualização obrigatória necessária: todos os serviços de sincronização no Microsoft Entra Connect Sync deixarão de funcionar em 30 de setembro de 2026 se você não estiver no pelo menos na versão 2.5.79.0. Em maio de 2025, lançamos essa versão com uma alteração de serviço de back-end que fortalece nossos serviços. Atualize antes desse prazo para evitar qualquer interrupção de serviço.

Se você não conseguir atualizar antes do prazo, todos os serviços de sincronização falharão até que você atualize para a versão mais recente. O arquivo de instalação do Microsoft Entra Connect Sync está disponível exclusivamente no Microsoft Entra Admin Center. Verifique se você atende aos requisitos mínimos, incluindo .NET Framework 4.7.2 e TLS 1.2.

Antes de instalar o Microsoft Entra Connect

Antes de instalar o Microsoft Entra Connect, aqui estão algumas coisas de que você precisará.

Microsoft Entra ID

Você precisa de um "tenant" do Microsoft Entra. Você obtém um teste gratuito do Azure. Você pode usar um dos seguintes portais para gerenciar o Microsoft Entra Connect:
- O Centro de administração do Microsoft Entra.
- O portal do Office.
Adicione e verifique o domínio que você planeja usar no Microsoft Entra ID. Por exemplo, se você planeja usar contoso.com para seus usuários, verifique se esse domínio está verificado e se você não está usando apenas o domínio padrão contoso.onmicrosoft.com.
Um locatário do Microsoft Entra permite, por padrão, 50.000 objetos. Quando você verificar seu domínio, o limite aumentará para 300.000 objetos. Se você precisar de mais objetos no Microsoft Entra ID, abra um caso de suporte para aumentar ainda mais o limite. Se você precisar de mais de 500.000 objetos, precisará de uma licença, como o Microsoft 365, o Microsoft Entra P1 ou P2 ou o Enterprise Mobility + Security.

Prepare seus dados locais

Use IdFix para identificar erros como duplicatas e problemas de formatação no diretório antes de sincronizar para o Microsoft Entra ID e o Microsoft 365.
Examine os recursos de sincronização opcionais que você pode habilitar no Microsoft Entra ID e avalie quais recursos você deve habilitar.

Active Directory local

A versão de esquema do Active Directory e o nível funcional de floresta devem ser o Windows Server 2003 ou posterior. Os controladores de domínio podem executar qualquer versão, desde que os requisitos de versão do esquema e nível de floresta sejam atendidos. Você poderá exigir um programa de suporte pago se precisar de suporte para controladores de domínio que executam Windows Server 2016 ou mais antigos.
O controlador de domínio usado pelo Microsoft Entra ID deve ser gravável. Não há suporte para usar um controlador de domínio somente leitura (RODC), e o Microsoft Entra Connect não segue nenhum redirecionamento de gravação.
Não há suporte para o uso de florestas ou domínios locais com nomes NetBIOS "pontilhados" (nome contém um ponto ".").
É recomendável habilitar a lixeira do Active Directory.

Política de execução de PowerShell

O Microsoft Entra Connect executa scripts do PowerShell assinados como parte da instalação. Verifique se a política de execução do PowerShell permite a execução de scripts.

A política de execução recomendada durante a instalação é "RemoteSigned".

Para obter mais informações sobre como definir a política de execução do PowerShell, confira Set-ExecutionPolicy.

Servidor Microsoft Entra Connect

O servidor do Microsoft Entra Connect contém dados de identidade críticos. É importante que o acesso administrativo a esse servidor seja devidamente protegido. Siga as diretrizes em Proteger o acesso privilegiado.

O servidor do Microsoft Entra Connect deve ser tratado como um componente da camada 0, conforme documentado no modelo de camada administrativa do Active Directory. É recomendável proteger o servidor do Microsoft Entra Connect como um ativo do Plano de Controle seguindo as diretrizes fornecidas no Acesso Privilegiado Seguro

Para saber mais sobre como proteger seu ambiente do Active Directory, confira Práticas recomendadas para proteger o Active Directory.

Pré-requisitos da instalação

O Microsoft Entra Connect deve ser instalado em um servidor ingressado no domínio que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016. Recomendamos o Windows Server 2022. Você pode implantar o Microsoft Entra Connect no Windows Server 2016. No entanto, como o Windows Server 2016 tem suporte estendido, talvez seja necessário um programa de suporte pago se precisar de suporte para essa configuração. A instalação em versões sem suporte do Windows Server pode causar falhas de serviço ou comportamento inesperado.
Importante

Não há suporte para o Windows Server 2025. Há um problema conhecido no Windows Server 2025 com a atualização KB5065426 instalada que fará com que o Microsoft Entra Connect Sync experimente problemas de sincronização. Se você atualizou para o Windows Server 2025 e instalou a atualização KB5065426, aplique a seguinte chave do Registro o mais rápido possível para evitar a interrupção da sincronização.
```
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides]
"2362988687"=dword:00000000
```
Depois de aplicar essa modificação do Registro, você deve reiniciar o servidor para que a alteração entre em vigor. Essa modificação do Registro é uma solução alternativa. O suporte do Windows Server 2025 para o Microsoft Entra Connect Sync está planejado para uma versão futura.
A versão mínima do .NET Framework necessária é a 4.6.2 e também há suporte para versões mais recentes do .NET. O .NET versão 4.8 e superior oferece a melhor conformidade de acessibilidade.
O Microsoft Entra Connect não pode ser instalado no Small Business Server ou no Windows Server Essentials anteriores a 2019 (o Windows Server Essentials 2019 tem suporte). O servidor deve estar usando o Windows Server standard ou superior.
O servidor do Microsoft Entra Connect deve ter uma GUI completa instalada. Não há suporte para a instalação do Microsoft Entra Connect no Windows Server Core.
O servidor do Microsoft Entra Connect não deverá ter a Política de Grupo de Transcrição do PowerShell habilitada se você usar o assistente do Microsoft Entra Connect para gerenciar a configuração do Serviços de Federação do Active Directory (AD FS). Você poderá habilitar a transcrição do PowerShell se usar o assistente do Microsoft Entra Connect para gerenciar a configuração de sincronização.
Se o AD FS estiver sendo implantado:
- Os servidores nos quais o AD FS ou o Proxy de Aplicativo Web está instalado devem ser Windows Server 2012 R2 ou posterior. O gerenciamento remoto do Windows deve estar habilitado nesses servidores para instalação remota. Talvez seja necessário um programa de suporte pago se precisar de suporte para o Windows Server 2016 ou anterior.
- Você deve configurar certificados TLS/SSL. Para obter mais informações, confira Gerenciando protocolos SSL/TLS e conjuntos de codificação para AD FS e Gerenciamento de certificados SSL no AD FS.
- Você deve configurar a resolução de nomes.
- Você precisará de uma conta com a função de administrador global ou uma conta que tenha as funções de administrador de identidade híbrida e de administrador de nomes de domínio . As configurações relacionadas à federação exigem permissões que o administrador de identidade híbrida atualmente não tem, mas que a função de administrador de nomes de domínio tem.
  
  Nota
  
  Para a instalação e a configuração do Microsoft Entra Connect, o administrador global ou a função de administrador de identidade híbrida devem ser atribuídos diretamente ao usuário. Essas funções não podem ser concedidas por meio da associação ao grupo
Não há suporte para interromper e analisar o tráfego entre o Microsoft Entra Connect e a ID do Microsoft Entra. Fazer isso pode interromper o serviço.
Se os Administradores de Identidade Híbrida tiverem uma MFA habilitada, a URL https://secure.aadcdn.microsoftonline-p.comprecisará estar na lista de sites confiáveis. Você deverá adicionar esse site à lista de sites confiáveis quando receber um desafio de MFA e ele não tiver sido adicionado. Você pode usar o Internet Explorer para adicioná-la aos seus sites confiáveis.
Se você planeja usar o Microsoft Entra Connect Health para sincronização, precisará usar uma conta de Administrador Global para instalar o Microsoft Entra Connect Sync. Se você usar uma conta de Administrador de Identidade Híbrida, o agente será instalado, mas em um estado desabilitado. Para obter mais informações, confira Instalação do agente do Microsoft Entra Connect Health.

Proteger seu servidor do Microsoft Entra Connect

Recomendamos que você proteja seu servidor do Microsoft Entra Connect para diminuir a superfície de ataque de segurança desse componente crítico de seu ambiente de TI. Seguir essas recomendações ajuda a reduzir alguns riscos de segurança para sua organização.

É recomendável proteger o servidor do Microsoft Entra Connect como um ativo de Plano de Controle (anteriormente camada 0) seguindo as diretrizes fornecidas no modelo de camada administrativa do Acesso Privilegiado Seguro e do Active Directory.
Restrinja o acesso administrativo ao servidor do Microsoft Entra Connect somente a administradores de domínio ou a outros grupos de segurança rigidamente controlados.
Crie uma conta dedicada para todos os funcionários com acesso privilegiado. Os administradores não devem navegar na Web, verificar emails nem realizar tarefas de produtividade cotidianas com contas altamente privilegiadas.
Siga as orientações fornecidas em Protegendo o acesso privilegiado.
Negar o uso da autenticação NTLM com o servidor Microsoft Entra Connect. Aqui estão algumas maneiras de fazer isso: Restringir o NTLM no servidor Microsoft Entra Connect e Restringir o NTLM em um domínio
Verifique se cada computador tem uma senha de administrador local exclusiva. Para obter mais informações, confira LAPS do Windows (Solução de Senha de Administrador Local), que pode configurar senhas aleatórias exclusivas em cada estação de trabalho e servidor e armazená-las no Active Directory protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Diretrizes adicionais para operar um ambiente com LAPS do Windows e PAWs (estações de trabalho com acesso privilegiado) podem ser encontradas em Padrões operacionais com base no princípio de código-fonte limpo.
Implemente estações de trabalho de acesso privilegiado dedicadas para todos os funcionários com acesso privilegiado aos sistemas de informações da sua organização.
Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Active Directory.
Siga Monitorar alterações na configuração da federação para definir alertas para monitorar alterações na confiança estabelecida entre seu Idp e o Microsoft Entra ID.
Habilite a MFA (Autenticação Multifator) para todos os usuários que têm acesso privilegiado no Microsoft Entra ID ou no AD. Um problema de segurança com o uso do Microsoft Entra Connect é que, se um invasor puder obter controle sobre o servidor do Microsoft Entra Connect, ele poderá manipular usuários no Microsoft Entra ID. Para impedir que um invasor use essas funcionalidades para assumir o controle das contas do Microsoft Entra, a MFA oferece proteções para que, mesmo que um invasor consiga, por exemplo, redefinir a senha de um usuário usando o Microsoft Entra Connect, ele ainda não possa ignorar o segundo fator.
Desabilite a Correspondência reversível no seu locatário. A Correspondência reversível é um ótimo recurso para ajudar a transferir a fonte de autoridade para objetos existentes gerenciados na nuvem para o Microsoft Entra Connect, mas ela apresenta certos riscos de segurança. Se não precisar, você deve desabilitar a Correspondência reversível.
Desabilite a Tomada de Controle por Correspondência. A tomada de controle por correspondência rígida permite que o Microsoft Entra Connect assuma o controle de um objeto gerenciado na nuvem e altere a fonte de autoridade do objeto para o Active Directory. Depois que a fonte de autoridade de um objeto é assumida pelo Microsoft Entra Connect, as alterações feitas no objeto Active Directory vinculado ao objeto Microsoft Entra substituem os dados originais do Microsoft Entra, incluindo o hash de senha, se a Sincronização de Hash de Senha estiver habilitada. Um invasor pode usar essa funcionalidade para assumir o controle de objetos gerenciados na nuvem. Para atenuar esse risco, desabilite a tomada de controle por correspondência.

SQL Server usado pelo Microsoft Entra Connect

O Microsoft Entra Connect requer um banco de dados do SQL Server para armazenar dados de identidade. Por padrão, um SQL Server 2019 Express LocalDB (uma versão leve do SQL Server Express) é instalado. O SQL Server Express tem um limite de tamanho de 10 GB que permite que você gerencie aproximadamente 100.000 objetos. Se precisar gerenciar um volume maior de objetos de diretório, aponte o assistente de instalação para uma instalação diferente do SQL Server. O tipo de instalação do SQL Server pode afetar o desempenho do Microsoft Entra Connect.
Se você usar uma instalação diferente do SQL Server, esses requisitos se aplicarão:
- O Microsoft Entra Connect dá suporte às principais versões do SQL Server com suporte em execução no Windows até o SQL Server 2022. Consulte o artigo sobre o ciclo de vida do SQL Server para verificar o status de suporte da sua versão do SQL Server. O SQL Server 2012 e o SQL Server 2016 não têm mais suporte. O Banco de Dados SQL do Azure não tem suporte como um banco de dados. Isso inclui o Banco de Dados SQL do Azure quanto a Instância Gerenciada de SQL do Azure.
  - Você deve usar uma ordenação de SQL que não diferencia maiúsculas de minúsculas. Esses agrupamentos são identificados com um _CI_ no nome. Não há suporte para usar um agrupamento que diferencia maiúsculas de minúsculas identificado por _CS_ no nome.
  - Você pode ter apenas um mecanismo de sincronização por instância SQL. O compartilhamento de uma instância SQL com MIM Sync, DirSync ou Azure AD Sync não é possível.
  - Mantenha o driver ODBC for SQL Server versão 17 e o driver OLE DB para SQL Server versão 18 que são fornecidos com o Microsoft Entra Connect. Não há suporte para a atualização das versões principais ou secundárias dos drivers ODBC/OLE DB. A equipe do grupo de produtos do Microsoft Entra Connect adiciona novos drivers ODBC/OLE DB à medida que eles se tornam disponíveis e precisam ser atualizados.
  - O Microsoft Entra Connect não dá suporte ao protocolo SQL Named Pipes.

Nota

Se você estiver instalando o SQL no mesmo servidor que o Microsoft Entra Connect, recomendamos configurar o SQL para limitar a memória máxima que ele pode usar do sistema. Siga as práticas recomendadas de SQL para a configuração de memória.

Contas

Você deve ter uma conta de Administrador Global do Microsoft Entra ou uma conta de Administrador de Identidade Híbrida para o locatário do Microsoft Entra com o qual você deseja se integrar. Essa conta deve ser uma conta corporativa ou de estudante e não pode ser uma conta Microsoft.
Se você estiver configurando a federação com o AD FS ou PingFederate, vai precisar de uma conta com a função de administrador global ou uma conta que tenha as funções de administrador de identidade híbrida e de administrador de nomes de domínio . As configurações relacionadas à federação exigem permissões que o administrador de identidade híbrida atualmente não tem, mas que a função de administrador de nomes de domínio tem.
Se você usar a atualização ou as configurações expressas do DirSync, será necessário ter uma conta de Administrador Corporativo para seu Active Directory local.
Se você usar o caminho de instalação de configurações personalizadas, terá mais opções. Para obter mais informações, confira Configurações de instalação personalizadas.

Conectividade

O servidor do Microsoft Entra Connect precisa da resolução de DNS para a intranet e a Internet. O servidor DNS deve conseguir resolver nomes tanto no seu Active Directory local quanto nos pontos de extremidade do Microsoft Entra.
O Microsoft Entra Connect requer a conectividade de rede para todos os domínios configurados
O Microsoft Entra Connect requer conectividade de rede com o domínio raiz de toda a floresta configurada
Se você tiver firewalls na Intranet e precisar abrir portas entre os servidores do Microsoft Entra Connect e seus controladores de domínio, confira Portas do Microsoft Entra Connect para saber mais.
Se o proxy ou o firewall limitar as URLs que podem ser acessadas, as URLs documentadas em URLs e intervalos de endereços IP do Office 365 deverão ser abertas. Confira também Colocar na lista de segurança os URLs do centro de administração do Microsoft Entra no seu firewall ou servidor proxy.
- Se você estiver usando a Microsoft Cloud na Alemanha ou a nuvem do Microsoft Azure Governamental, confira Considerações sobre instâncias de serviço do Microsoft Entra Connect Sync para obter as URLs.
O Microsoft Entra Connect (versão 1.1.614.0 ou superior) usa o TLS 1.2 por padrão para criptografar a comunicação entre o mecanismo de sincronização e o Microsoft Entra ID. Se TLS 1.2 não estiver disponível no sistema operacional subjacente, o Microsoft Entra Connect reverterá progressivamente para protocolos mais antigos (TLS 1.1 e TLS 1.0). A partir da versão 2.0 do Microsoft Entra Connect. O TLS 1.0 e o 1.1 não têm mais suporte e a instalação falhará se o TLS 1.2 não estiver habilitado.
Se você estiver usando um proxy de saída para conectar-se à Internet, a configuração a seguir no arquivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config deverá ser adicionada para que o assistente de instalação e a sincronização do Microsoft Entra Connect possam se conectar à Internet e ao Microsoft Entra ID. Esse texto deve ser inserido na parte inferior do arquivo. Neste código, <PROXYADDRESS> representa o nome de host ou o endereço IP do proxy real.
```
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Se o servidor proxy exigir autenticação, a conta de serviço deverá estar localizada no domínio. Use o caminho de instalação de configurações personalizadas para especificar uma conta de serviço personalizada. Você também precisa de uma alteração diferente em machine.config. Com essa alteração em machine.config, o assistente de instalação e o mecanismo de sincronização respondem às solicitações de autenticação do servidor proxy. Em todas as páginas do assistente de instalação, com exceção da página Configurar, as credenciais do usuário conectado são usadas. Na página Configurar no final do assistente de instalação, o contexto é alternado para a conta de serviço que você criou. A seção machine.config deve ter esta aparência:
```
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
```
Se a configuração de proxy estiver sendo feita em uma instalação existente, o serviço Microsoft Entra Sync precisará ser reiniciado uma vez para que o Microsoft Entra Connect leia a configuração de proxy e atualize o comportamento.
Quando o Microsoft Entra Connect envia uma solicitação da Web para o Microsoft Entra ID como parte da sincronização de diretório, o Microsoft Entra ID pode levar até 5 minutos para responder. É comum que os servidores proxy tenham a configuração de tempo limite de inatividade da conexão. Verifique se a configuração está definida para pelo menos 6 minutos ou mais.

Para obter mais informações, consulte o MSDN sobre o elemento proxy padrão. Para obter mais informações quando você tiver problemas de conectividade, consulte Solucionar problemas de conectividade.

Outros

Opcional: use uma conta de usuário de teste para verificar a sincronização.

Pré-requisitos do componente

PowerShell e .NET Framework

O Microsoft Entra Connect depende do Microsoft PowerShell 5.0 e do .NET Framework 4.5.1. Você precisa desta versão ou de uma versão posterior instalada no seu servidor.

Habilitar o TLS 1.2 para Microsoft Entra Connect

Se você quiser habilitar o TLS 1.2 entre o servidor do mecanismo de sincronização e um SQL Server remoto, verifique se você tem as versões necessárias instaladas para o suporte do TLS 1.2 para o Microsoft SQL Server.

Para obter mais informações, consulte como habilitar o TLS 1.2

Pré-requisitos do DCOM no servidor de sincronização

Durante a instalação do serviço de sincronização, o Microsoft Entra Connect verifica a presença da seguinte chave do Registro:

HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Nesta chave do Registro, o Microsoft Entra Connect verifica se os seguintes valores estão presentes e não corrompidos:

MachineAccessRestriction
Restrição de Lançamento de Máquina
Permissão de Lançamento Padrão (DefaultLaunchPermission)

Pré-requisitos para a configuração e instalação de federação

Importante

Observe que, se você estiver configurando federação com AD FS ou PingFederate, precisará de uma conta com a função de administrador global ou uma conta que tenha as funções de administrador de identidade híbrida e administrador de nomes de domínio . As configurações relacionadas à federação exigem permissões que o administrador de identidade híbrida atualmente não tem, mas que a função de administrador de nomes de domínio tem.

Gerenciamento Remoto do Windows

Ao usar o Microsoft Entra Connect para implantar o AD FS ou o WAP (Proxy de Aplicativo Web), verifique esses requisitos:

Se o servidor de destino for associado ao domínio, verifique se o Windows Remote Managed está habilitado.
- Em uma janela de comando do PowerShell elevada, use o comando Enable-PSRemoting –force.
Se o servidor de destino for um computador WAP não conectado ao domínio, haverá alguns requisitos adicionais:
- No computador de destino (computador WAP):
  - Verifique se o serviço Gerenciamento Remoto do Windows/WS-Management (WinRM) está em execução por meio do snap-in de Serviços.
  - Em uma janela de comando do PowerShell elevada, use o comando Enable-PSRemoting –force.
- No computador em que o assistente está em execução (se o computador de destino não estiver conectado ao domínio ou for um domínio não confiável):
  - Em uma janela de comando do PowerShell elevada, use o comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
  - No gerenciador do servidor:
    - Adicione um host WAP de DMZ a um pool de computadores. No gerenciador do servidor, selecione Gerenciar>Adicionar Servidores e use a guia DNS.
    - Na guia Gerenciador do Servidor - Todos os Servidores, clique com o botão direito do mouse no servidor WAP e selecione Gerenciar Como. Insira as credenciais locais (não domínio) para o computador WAP.
    - Para validar a conectividade do PowerShell remoto, na guia Todos os Servidores do Gerenciador do Servidor, clique com o botão direito do mouse no servidor WAP e selecione Windows PowerShell. Uma sessão remota do PowerShell deverá ser aberta para garantir que sessões remotas do PowerShell possam ser estabelecidas.

Requisitos de certificado TLS/SSL

É recomendável usar o mesmo certificado TLS/SSL em todos os nós do farm do AD FS, bem como em todos os servidores Proxy de Aplicativo Web.
O certificado deve ser um certificado X509.
Você pode usar um certificado autoassinado nos servidores da federação em um ambiente de laboratório de teste. Para um ambiente de produção, recomendamos que você obtenha o certificado de uma autoridade de certificação pública.
- Se usar um certificado que não é confiável publicamente, verifique se o certificado instalado em cada servidor Proxy de Aplicativo Web é confiável no servidor local e em todos os servidores de federação.
A identidade do certificado deve corresponder ao nome do serviço de federação (por exemplo, sts.contoso.com).
- A identidade é uma extensão de nome alternativo do assunto (SAN) do tipo dNSName ou, se não houver entradas SAN, o nome do assunto é especificado como um nome comum.
- Várias entradas de SAN podem estar presentes no certificado, desde que uma delas coincide com o nome do serviço de federação.
- Para usar o Workplace Join, é preciso ter um SAN adicional com o valor enterpriseregistration., seguido pelo sufixo do UPN (nome principal do usuário) de sua organização (por exemplo, enterpriseregistration.contoso.com).
Não há suporte para certificados com base em chaves CNG (CryptoAPI de próxima geração) e KSPs (provedores de armazenamento de chaves). Como resultado, você deve usar um certificado baseado em um CSP (provedor de serviços de criptografia) e não um KSP.
Há suporte para certificados curinga.

Resolução de nomes para servidores de federação

Configure registros DNS para o nome do AD FS (por exemplo, sts.contoso.com) para a intranet (o servidor DNS interno) e a extranet (DNS público por meio do registrador de domínios). Para o registro DNS da intranet, use registros A, não registros CNAME. O uso de registros A é necessário para que a autenticação do Windows funcione corretamente no seu computador conectado ao domínio.
Se você estiver implantando mais de um servidor AD FS ou servidor Proxy de Aplicativo Web, verifique se configurou seu balanceador de carga e se os registros DNS do nome do AD FS (por exemplo, sts.contoso.com) apontam para o balanceador de carga.
Para que a autenticação integrada do Windows funcione com aplicativos de navegador usando o Internet Explorer em sua intranet, verifique se o nome do AD FS (por exemplo, sts.contoso.com) foi adicionado à zona de intranet no Internet Explorer. Esse requisito pode ser controlado por meio da Política de Grupo e implantado a todos os computadores conectados ao domínio.

Componentes de suporte do Microsoft Entra Connect

O Microsoft Entra Connect instala os componentes a seguir no servidor em que o Microsoft Entra Connect está instalado. Esta lista é para uma instalação básica do Express. Se você optar por usar um SQL Server diferente na página Instalar serviços de sincronização, o SQL Express LocalDB não será instalado localmente.

Integridade do Microsoft Entra Connect
Utilitários de linha de comando do Microsoft SQL Server 2019
Microsoft SQL Server 2019 Express LocalDB
Microsoft SQL Server 2019 Native Client
Pacote de redistribuição de Microsoft Visual C++ 14

Requisitos de hardware para o Microsoft Entra Connect

A tabela a seguir mostra os requisitos mínimos para o computador de sincronização do Microsoft Entra Connect.

Número de objetos no Active Directory	CPU	Memória	Tamanho do disco rígido
Menos de 10.000	1,6 GHz	6 GB	70 GB
10.000–50.000	1,6 GHz	6 GB	70 GB
50.000–100.000	1,6 GHz	16 GB	100 GB
Para 100.000 ou mais objetos, é necessária a versão completa do SQL Server. Por motivos de desempenho, é preferível instalar localmente. Os valores a seguir são válidos apenas para a instalação do Microsoft Entra Connect. Se o SQL Server estiver instalado no mesmo servidor, mais memória, unidade e CPU serão necessárias.
100.000–300.000	1,6 GHz	32 GB	300 GB
300.000–600.000	1,6 GHz	32 GB	450 GB
Mais de 600.000	1,6 GHz	32 GB	500 GB

As especificações listadas acima representam requisitos de hardware combinados para o servidor Microsoft Entra Connect que hospeda o aplicativo de sincronização e o banco de dados do SQL Server (o SQL Express interno ou uma instância completa do SQL Server instalada localmente). Se o banco de dados do SQL Server estiver hospedado remotamente em um servidor separado, o servidor de aplicativos Entra Connect poderá exigir menos recursos, enquanto o SQL Server precisará de sua própria capacidade de computação, memória e armazenamento de acordo com as práticas recomendadas de dimensionamento do SQL Server.

Os requisitos mínimos para computadores que executam o AD FS ou servidores de Proxy de Aplicativo Web são:

CPU: Dual-core de 1,6 GHz ou superior
Memória: 2 GB ou superior
VM do Azure: Configuração A2 ou superior

Próximas etapas

Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.

Comentários

Esta página foi útil?

Last updated on 2025-09-29