Compartilhar via


Pré-requisitos para o Microsoft Entra Connect

Este artigo descreve os pré-requisitos e os requisitos de hardware para o Microsoft Entra Connect.

Antes de instalar o Microsoft Entra Connect

Antes de instalar o Microsoft Entra Connect, aqui estão algumas coisas de que você precisará.

ID do Microsoft Entra

  • Você precisa de um locatário do Microsoft Entra. Você recebe uma avaliação gratuita do Azure. Você pode usar um dos seguintes portais para gerenciar o Microsoft Entra Connect:
  • Adicione e verifique o domínio que você planeja usar no Microsoft Entra ID. Por exemplo, se você planeja usar contoso.com para os usuários, verifique se este domínio foi verificado e se não está usando apenas o domínio padrão contoso.onmicrosoft.com.
  • Um locatário do Microsoft Entra permite, por padrão, 50.000 objetos. Quando você verificar seu domínio, o limite aumentará para 300.000 objetos. Se você precisar de mais objetos no Microsoft Entra ID, abra um caso de suporte para aumentar ainda mais o limite. Se você precisar de mais de 500.000 objetos, precisará de uma licença, como o Microsoft 365, o Microsoft Entra P1 ou P2 ou o Enterprise Mobility + Security.

Preparar seus dados locais

Active Directory local

  • A versão de esquema do Active Directory e o nível funcional de floresta devem ser o Windows Server 2003 ou posterior. Os controladores de domínio podem executar qualquer versão, desde que os requisitos de versão do esquema e nível de floresta sejam atendidos. Você poderá exigir um programa de suporte pago se precisar de suporte para controladores de domínio que executam Windows Server 2016 ou mais antigos.
  • O controlador de domínio usado pelo Microsoft Entra ID deve ser gravável. Não há suporte para o uso de um RODC (controlador de domínio somente leitura) e o Microsoft Entra Connect não segue nenhum redirecionamento de gravação.
  • Não há suporte para o uso de florestas ou domínios locais que usam nomes NetBIOS “com pontos” (nome que contém um ponto “.”).
  • É recomendável habilitar a lixeira do Active Directory.

Política de execução do PowerShell

O Microsoft Entra Connect executa scripts do PowerShell assinados como parte da instalação. Verifique se a política de execução do PowerShell permitirá a execução de scripts.

A política de execução recomendada durante a instalação é "RemoteSigned".

Para obter mais informações sobre como definir a política de execução do PowerShell, confira Set-ExecutionPolicy.

Sincronização do Microsoft Entra Connect

O servidor do Microsoft Entra Connect contém dados de identidade críticos. É importante que o acesso administrativo a esse servidor seja devidamente protegido. Siga as diretrizes em Proteger o acesso privilegiado.

O servidor do Microsoft Entra Connect deve ser tratado como um componente da camada 0, conforme documentado no modelo de camada administrativa do Active Directory. É recomendável proteger o servidor do Microsoft Entra Connect como um ativo do Plano de Controle seguindo as diretrizes fornecidas no Acesso Privilegiado Seguro

Para saber mais sobre como proteger seu ambiente do Active Directory, confira Práticas recomendadas para proteger o Active Directory.

Pré-requisitos da instalação

  • O Microsoft Entra Connect deve ser instalado no Windows Server 2016 ou posterior conectado ao domínio. Recomendamos o uso do Windows Server 2022 ingressado no domínio. Você pode implantar o Microsoft Entra Connect no Windows Server 2016, mas como o Windows Server 2016 está em suporte estendido, você pode solicitar um programa de suporte pago se precisar de suporte para essa configuração.
  • A versão mínima do .NET Framework necessária é a 4.6.2 e também há suporte para versões mais recentes do .NET. O .NET versão 4.8 e superior oferece a melhor conformidade de acessibilidade.
  • O Microsoft Entra Connect não pode ser instalado no Small Business Server ou no Windows Server Essentials anteriores a 2019 (o Windows Server Essentials 2019 tem suporte). O servidor deve estar usando o Windows Server standard ou superior.
  • O servidor do Microsoft Entra Connect deve ter uma GUI completa instalada. Não há suporte para a instalação do Microsoft Entra Connect no Windows Server Core.
  • O servidor do Microsoft Entra Connect não deverá ter a Política de Grupo de Transcrição do PowerShell habilitada se você usar o assistente do Microsoft Entra Connect para gerenciar a configuração do Serviços de Federação do Active Directory (AD FS). Você poderá habilitar a transcrição do PowerShell se usar o assistente do Microsoft Entra Connect para gerenciar a configuração de sincronização.
  • Verifique se o PowerShell do MS Online (MSOL) não está bloqueado no nível do locatário.
  • Se o AD FS estiver sendo implantado:
  • Não há suporte para interromper e analisar o tráfego entre o Microsoft Entra Connect e o Microsoft Entra ID. Isso pode interromper o serviço.
  • Se os Administradores de Identidade Híbrida tiverem uma MFA habilitada, a URL https://secure.aadcdn.microsoftonline-p.com deve estar na lista de sites confiáveis. Você deverá adicionar esse site à lista de sites confiáveis quando receber um desafio de MFA e ele não tiver sido adicionado antes. Você pode usar o Internet Explorer para adicioná-la aos seus sites confiáveis.
  • Se você planeja usar o Microsoft Entra Connect Health para sincronização, verifique se os pré-requisitos do Microsoft Entra Connect Health também são atendidos. Para obter mais informações, confira Instalação do agente do Microsoft Entra Connect Health.

Proteger seu servidor do Microsoft Entra Connect

Recomendamos que você proteja seu servidor do Microsoft Entra Connect para diminuir a superfície de ataque de segurança desse componente crítico de seu ambiente de TI. Seguir essas recomendações ajudará a reduzir alguns riscos de segurança para sua organização.

  • É recomendável proteger o servidor do Microsoft Entra Connect como um ativo de Plano de Controle (anteriormente camada 0) seguindo as diretrizes fornecidas no modelo de camada administrativa do Acesso Privilegiado Seguro e do Active Directory.
  • Restrinja o acesso administrativo ao servidor do Microsoft Entra Connect somente a administradores de domínio ou a outros grupos de segurança rigidamente controlados.
  • Crie uma conta dedicada para todos os funcionários com acesso privilegiado. Os administradores não devem navegar na Web, verificar emails nem realizar tarefas de produtividade cotidianas com contas altamente privilegiadas.
  • Siga as orientações fornecidas em Protegendo o acesso privilegiado.
  • Negar o uso da autenticação NTLM com o servidor Microsoft Entra Connect. Aqui estão algumas maneiras de fazer isso: Restringir o NTLM no servidor Microsoft Entra Connect e Restringir o NTLM em um domínio
  • Verifique se cada computador tem uma senha de administrador local exclusiva. Para obter mais informações, confira LAPS do Windows (Solução de Senha de Administrador Local), que pode configurar senhas aleatórias exclusivas em cada estação de trabalho e servidor e armazená-las no Active Directory protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Diretrizes adicionais para operar um ambiente com LAPS do Windows e PAWs (estações de trabalho com acesso privilegiado) podem ser encontradas em Padrões operacionais com base no princípio de código-fonte limpo.
  • Implemente estações de trabalho de acesso privilegiado dedicadas para todos os funcionários com acesso privilegiado aos sistemas de informações da sua organização.
  • Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Active Directory.
  • Siga Monitorar alterações na configuração de federação para configurar alertas para monitorar alterações na relação de confiança estabelecida entre o Idp e o Microsoft Entra ID.
  • Habilite a MFA (Autenticação Multifator) para todos os usuários que têm acesso privilegiado no Microsoft Entra ID ou no AD. Um problema de segurança com o uso do Microsoft Entra Connect é que, se um invasor puder obter controle sobre o servidor do Microsoft Entra Connect, ele poderá manipular usuários no Microsoft Entra ID. Para impedir que um invasor use essas funcionalidades para assumir o controle das contas do Microsoft Entra, a MFA oferece proteções para que, mesmo que um invasor consiga, por exemplo, redefinir a senha de um usuário usando o Microsoft Entra ID Connect, ele ainda não possa ignorar o segundo fator.
  • Desabilite a Correspondência reversível em seu locatário. A Correspondência reversível é um ótimo recurso para ajudar a transferir a fonte de autoridade para objetos existentes gerenciados na nuvem para o Microsoft Entra Connect, mas ela apresenta certos riscos de segurança. Se não precisar, você deve desabilitar a Correspondência reversível.
  • Desabilite a Tomada de Controle por Correspondência. A tomada de controle por correspondência rígida permite que o Microsoft Entra Connect assuma o controle de um objeto gerenciado na nuvem e altere a fonte de autoridade do objeto para o Active Directory. Depois que Microsoft Entra ID Connect assumir a fonte de autoridade de um objeto, as alterações feitas no objeto do Microsoft Entra Connect que estiver vinculado ao objeto do Microsoft Entra ID substituirão os dados originais do Microsoft Entra Connect, incluindo o hash de senha, se a Sincronização de Hash de Senha estiver habilitada. Um invasor pode usar essa funcionalidade para assumir o controle de objetos gerenciados na nuvem. Para atenuar esse risco, desabilite a tomada de controle por correspondência.

SQL Server usado pelo Microsoft Entra Connect

  • O Microsoft Entra Connect requer um banco de dados do SQL Server para armazenar dados de identidade. Por padrão, um SQL Server 2019 Express LocalDB (uma versão leve do SQL Server Express) é instalado. O SQL Server Express tem um limite de tamanho de 10 GB que permite que você gerencie aproximadamente 100.000 objetos. Se precisar gerenciar um volume maior de objetos de diretório, aponte o assistente de instalação para uma instalação diferente do SQL Server. O tipo de instalação do SQL Server pode afetar o desempenho do Microsoft Entra Connect.
  • Se você usar uma instalação diferente do SQL Server, esses requisitos se aplicarão:
    • O Microsoft Entra Connect dá suporte a todas as principais versões do SQL Server com suporte até o SQL Server 2022 em execução no Windows. Consulte o artigo SQL Server ciclo de vida para verificar o status de suporte da versão do SQL Server. O SQL Server 2012 não é mais suportado. O Banco de Dados SQL do Azure não tem suporte como um banco de dados. Isso inclui o Banco de Dados SQL do Azure quanto a Instância Gerenciada de SQL do Azure.
    • Deve usar uma ordenação de SQL que não diferencia maiúsculas de minúsculas. Esses agrupamentos são identificados com um _CI_ no nome. Não há suporte para o uso de um agrupamento que diferencia maiúsculas de minúsculas identificado por _CS_ no nome.
    • Você pode ter apenas um mecanismo de sincronização por instância SQL. O compartilhamento de uma instância SQL com MIM Sync, DirSync ou Azure AD Sync não é possível.

Contas

  • Você deve ter uma conta de Administrador Global do Microsoft Entra ou uma conta de Administrador de Identidade Híbrida para o locatário do Microsoft Entra com o qual você deseja se integrar. Essa conta deve ser uma conta corporativa ou de estudante e não pode ser uma conta Microsoft.
  • Se você usar a atualização ou as configurações expressas do DirSync, será necessário ter uma conta de Administrador Corporativo para seu Active Directory local.
  • Se você usar o caminho de instalação de configurações personalizadas, terá mais opções. Para obter mais informações, confira Configurações de instalação personalizadas.

Conectividade

  • O servidor do Microsoft Entra Connect precisa da resolução de DNS para a intranet e a Internet. O servidor DNS deve conseguir resolver nomes tanto para o Active Directory local quanto para os pontos de extremidade do Microsoft Entra.

  • O Microsoft Entra Connect requer a conectividade de rede para todos os domínios configurados

  • O Microsoft Entra Connect requer conectividade de rede com o domínio raiz de toda a floresta configurada

  • Se você tiver firewalls na Intranet e precisar abrir portas entre os servidores do Microsoft Entra Connect e seus controladores de domínio, confira Portas do Microsoft Entra Connect para saber mais.

  • Se o proxy ou o firewall limitar as URLs que podem ser acessadas, as URLs documentadas em URLs e intervalos de endereços IP do Office 365 deverão ser abertas. Consulte também Colocar as URLs do centro de administração do Microsoft Entra em seu firewall ou servidor proxy em uma lista segura.

  • O Microsoft Entra Connect (versão 1.1.614.0 ou superior) usa o TLS 1.2 por padrão para criptografar a comunicação entre o mecanismo de sincronização e o Microsoft Entra ID. Se TLS 1.2 não estiver disponível no sistema operacional subjacente, o Microsoft Entra Connect reverterá progressivamente para protocolos mais antigos (TLS 1.1 e TLS 1.0). Do Microsoft Entra Connect versão 2.0 em diante. O TLS 1.0 e o 1.1 não são mais compatíveis, e a instalação falhará se o TLS 1.2 não estiver habilitado.

  • Antes da versão 1.1.614.0, o Microsoft Entra Connect usa TLS 1.0 por padrão para criptografar a comunicação entre o mecanismo de sincronização e o Microsoft Entra ID. Para mudar para TLS 1.2, siga as etapas em Habilitar TLS 1.2 no Microsoft Entra AD.

  • Se você estiver usando um proxy de saída para conectar-se à Internet, a configuração a seguir no arquivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config deverá ser adicionada para que o assistente de instalação e a sincronização do Microsoft Entra Connect possam se conectar à Internet e ao Microsoft Entra ID. Esse texto deve ser inserido na parte inferior do arquivo. Neste código, <PROXYADDRESS> representa o nome de host ou o endereço IP do proxy real.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se o servidor proxy exigir autenticação, a conta de serviço deverá estar localizada no domínio. Use o caminho de instalação de configurações personalizadas para especificar uma conta de serviço personalizada. Você também precisa de uma alteração diferente em machine.config. Com essa alteração em machine.config, o assistente de instalação e o mecanismo de sincronização responderão às solicitações de autenticação do servidor proxy. Em todas as páginas do assistente de instalação, com exceção da página Configurar, as credenciais do usuário conectado são usadas. Na página Configurar no final do assistente de instalação, o contexto é alternado para a conta de serviço que você criou. A seção machine.config deve ter esta aparência:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se a configuração de proxy estiver sendo feita em uma instalação existente, o serviço Microsoft Entra Sync precisará ser reiniciado uma vez para que o Microsoft Entra Connect leia a configuração de proxy e atualize o comportamento.

  • Quando o Microsoft Entra Connect envia uma solicitação da Web para o Microsoft Entra ID como parte da sincronização de diretório, o Microsoft Entra ID pode levar até 5 minutos para responder. É comum que servidores de proxy tenham uma configuração de tempo limite ocioso da conexão. A configuração deve ser definida em pelo menos 6 minutos.

Para obter mais informações, consulte o MSDN sobre o elemento proxy padrão. Para obter mais informações quando você tiver problemas de conectividade, consulte Solucionar problemas de conectividade.

Outro

Opcional: use uma conta de usuário de teste para verificar a sincronização.

Pré-requisitos do componente

PowerShell e .NET Framework

O Microsoft Entra Connect depende do Microsoft PowerShell 5.0 e do .NET Framework 4.5.1. Você precisa desta versão ou de uma versão posterior instalada no seu servidor.

Habilitar o TLS 1.2 para Microsoft Entra Connect

Antes da versão 1.1.614.0, o Microsoft Entra ID Connect usa TLS 1.0 por padrão para criptografar a comunicação entre o servidor do mecanismo de sincronização e o Microsoft Entra ID. Você pode configurar aplicativos .NET para usar o TLS 1.2 por padrão no servidor. Para obter mais informações sobre TLS 1.2, confira Microsoft Security Advisory 2960358.

  1. Verifique se você tem o hotfix do .NET 4.5.1 instalado no seu sistema operacional. Para obter mais informações, consulte Microsoft Security Advisory 2960358. É possível ter esse hotfix ou uma versão posterior já instalada no servidor.

  2. Para todos os sistemas operacionais, defina essa chave do registro e reinicie o servidor.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Se você também deseja habilitar o TLS 1.2 entre o servidor do mecanismo de sincronização e um SQL Server remoto, verifique se você tem as versões necessárias instaladas para o suporte do TLS 1.2 para o Microsoft SQL Server.

Pré-requisitos do DCOM no servidor de sincronização

Durante a instalação do serviço de sincronização, o Microsoft Entra Connect verifica a presença da seguinte chave do Registro:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Nessa chave do Registro, o Microsoft Entra Connect verificará se os seguintes valores estão presentes e não corrompidos:

Pré-requisitos para a configuração e instalação de federação

Windows Remote Management

Ao usar o Microsoft Entra Connect para implantar o AD FS ou o WAP (Proxy de Aplicativo Web), verifique esses requisitos:

  • Se o servidor de destino for associado ao domínio, verifique se o Windows Remote Managed está habilitado.
    • Em uma janela Comando do PowerShell com privilégio elevado, use o comando Enable-PSRemoting –force.
  • Se o servidor de destino for um computador WAP não conectado ao domínio, haverá alguns requisitos adicionais:
    • No computador de destino (computador WAP):
      • Verifique se o serviço WinRM (Gerenciamento Remoto do Windows/protocolo WS-Management) está em execução por meio do snap-in de Serviços.
      • Em uma janela Comando do PowerShell com privilégio elevado, use o comando Enable-PSRemoting –force.
    • No computador que está executando o assistente (se o computador de destino não for associado ao domínio ou for de um domínio não confiável):
      • Em uma janela Comando do PowerShell com privilégio elevado, use o comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • No gerenciador do servidor:
        • Adicione um host WAP de DMZ a um pool de computadores. No gerenciador do servidor, selecione Gerenciar>Adicionar Servidores e use a guia DNS.
        • Na guia Todos os Servidores do Gerenciador do Servidor, clique com o botão direito do mouse no servidor WAP e selecione Gerenciar Como. Insira as credenciais locais (não domínio) para o computador WAP.
        • Para validar a conectividade do PowerShell remoto, na guia Todos os Servidores do Gerenciador do Servidor, clique com o botão direito do mouse no servidor WAP e selecione Windows PowerShell. Uma sessão remota do PowerShell deverá ser aberta para garantir que sessões remotas do PowerShell possam ser estabelecidas.

Requisitos de certificado TLS/SSL

  • É recomendável usar o mesmo certificado TLS/SSL em todos os nós do farm do AD FS, bem como em todos os servidores Proxy de Aplicativo Web.
  • O certificado deve ser um certificado X509.
  • Você pode usar um certificado autoassinado nos servidores da federação em um ambiente de laboratório de teste. Para um ambiente de produção, recomendamos que você obtenha o certificado de uma autoridade de certificação pública.
    • Se usar um certificado que não é confiável publicamente, verifique se o certificado instalado em cada servidor Proxy de Aplicativo Web é confiável no servidor local e em todos os servidores de federação.
  • A identidade do certificado deve corresponder ao nome do serviço de federação (por exemplo, sts.contoso.com).
    • A identidade é uma extensão SAN (nome alternativo da entidade) do tipo dNSName ou, se não houver entradas de SAN, o nome de entidade será especificado como um nome comum.
    • Várias entradas de SAN podem estar presentes no certificado, desde que uma delas coincide com o nome do serviço de federação.
    • Para usar o Workplace Join, é preciso ter um SAN adicional com o valor enterpriseregistration., seguido pelo sufixo do UPN (nome principal do usuário) de sua organização (por exemplo, enterpriseregistration.contoso.com).
  • Não há suporte para certificados com base em chaves CNG (CryptoAPI de próxima geração) e KSPs (provedores de armazenamento de chaves). Como resultado, você deve usar um certificado baseado em um CSP (provedor de serviços de criptografia) e não um KSP.
  • Há suporte para certificados curinga.

Resolução de nome para servidores de federação

  • Configure registros DNS para o nome do AD FS (por exemplo, sts.contoso.com) para a intranet (o servidor DNS interno) e a extranet (DNS público por meio do registrador de domínios). Para o registro DNS da intranet, use registros A, não registros CNAME. O uso de registros A é necessário para que autenticação do Windows funcione corretamente em seu computador conectado ao domínio.
  • Se você estiver implantando mais de um servidor AD FS ou servidor Proxy de Aplicativo Web, verifique se configurou seu balanceador de carga e se os registros DNS do nome do AD FS (por exemplo, sts.contoso.com) apontam para o balanceador de carga.
  • Para que a autenticação integrada do Windows funcione com aplicativos de navegador usando o Internet Explorer em sua intranet, verifique se o nome do AD FS (por exemplo, sts.contoso.com) foi adicionado à zona de intranet no Internet Explorer. Esse requisito pode ser controlado por meio da Política de Grupo e implantado a todos os computadores conectados ao domínio.

Componentes de suporte do Microsoft Entra Connect

O Microsoft Entra Connect instala os componentes a seguir no servidor em que o Microsoft Entra Connect está instalado. Esta lista é para uma instalação básica do Express. Se você optar por usar um SQL Server diferente na página Instalar serviços de sincronização, o SQL Express LocalDB não será instalado localmente.

  • Integridade do Microsoft Entra Connect
  • Utilitários de linha de comando do Microsoft SQL Server 2022
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Pacote de redistribuição de Microsoft Visual C++ 14

Requisitos de hardware para o Microsoft Entra Connect

A tabela a seguir mostra os requisitos mínimos para o computador de sincronização do Microsoft Entra Connect.

Número de objetos no Active Directory CPU Memória Tamanho do disco rígido
Menos de 10.000 1,6 GHz 6 GB 70 GB
10.000–50.000 1,6 GHz 6 GB 70 GB
50.000–100.000 1,6 GHz 16 GB 100 GB
Para 100.000 ou mais objetos, é necessária a versão completa do SQL Server. Por motivos de desempenho, é preferível instalar localmente. Os valores a seguir são válidos apenas para a instalação do Microsoft Entra Connect. Se o SQL Server for ser instalado no mesmo servidor, mais memória, unidade e CPU serão necessárias.
100.000–300.000 1,6 GHz 32 GB 300 GB
300.000–600.000 1,6 GHz 32 GB 450 GB
Mais de 600.000 1,6 GHz 32 GB 500 GB

Os requisitos mínimos para computadores que executam o AD FS ou servidores de Proxy de Aplicativo Web são:

  • CPU: Dual-core de 1,6 GHz ou superior
  • Memória: 2 GB ou superior
  • VM do Azure: Configuração A2 ou superior

Próximas etapas

Saiba mais sobre Integrar suas identidades locais com o Microsoft Entra ID.