Instalar o Microsoft Entra Connect usando permissões de administrador delegado do SQL
Antes do build mais recente do Microsoft Entra Connect, delegação administrativa, quando não havia suporte para implantar configurações que requeriam o SQL. Os usuários que queriam instalar o Microsoft Entra Connect precisavam ter permissões de administrador do servidor (SA) no servidor SQL.
Com o lançamento da versão mais recente do Microsoft Entra Connect, o provisionamento do banco de dados agora pode ser executado fora da banda pelo administrador do SQL e, em seguida, instalado pelo administrador do Microsoft Entra Connect com direitos de proprietário de banco de dados (dbo).
Antes de começar
Para usar esse recurso, você precisa perceber que há várias partes móveis e cada uma delas pode envolver um administrador diferente em sua organização. A tabela a seguir resume as funções individuais e suas respectivas obrigações na implantação do Microsoft Entra Connect com esse recurso.
Função | Descrição |
---|---|
Administrador do AD do Domínio ou Floresta | Cria a conta de serviço no nível de domínio que é usada pelo Microsoft Entra Connect para executar o serviço de sincronização. Para saber mais, confira Contas e permissões. |
Administrador SQL | Cria o banco de dados do ADSync e concede acesso de login + dbo ao administrador do Microsoft Entra Connect e à conta de serviço criada pelo administrador do domínio/floresta. |
Administrador do Microsoft Entra Connect | Instala o Microsoft Entra Connect e especifica a conta de serviço durante a instalação personalizada. |
Etapas para instalar o Microsoft Entra Connect usando permissões delegadas do SQL
Para provisionar o banco de dados fora da banda e instalar o Microsoft Entra Connect com permissões de proprietário do banco de dados, use as etapas a seguir.
Observação
Embora não seja necessário, é altamente recomendável que a ordenação Latin1_General_CI_AS seja selecionada ao criar o banco de dados.
Peça ao Administrador do SQL para criar o banco de dados ADSync com uma sequência de ordenação sem diferenciar maiúsculas de minúsculas (Latin1_General_CI_AS). O modelo de recuperação, o nível de compatibilidade e o tipo de independência serão atualizados para os valores corretos quando o Microsoft Entra Connect for instalado. No entanto, a sequência de ordenação precisa ser definida corretamente pelo administrador do SQL; caso contrário, o Microsoft Entra Connect bloqueará a instalação. Para recuperar, o SA deve excluir e recriar o banco de dados.
Conceda as seguintes permissões ao administrador do Microsoft Entra Connect e à conta de serviço do domínio:
- Logon do SQL
- Direitos do proprietário do banco de dados (dbo).
Observação
O Microsoft Entra Connect não é compatível com logins com uma associação aninhada. Isso significa que sua conta de administrador do Microsoft Entra Connect e a conta de serviço do domínio devem ser vinculadas a um login ao qual tenham sido concedidos direitos de dbo. Ela não pode simplesmente ser o membro de um grupo atribuído a um logon com direitos do dbo.
Envie um email para o administrador do Microsoft Entra Connect indicando o nome do servidor e da instância do SQL que devem ser usados ao instalar o Microsoft Entra Connect.
Informações adicionais
Assim que o banco de dados tiver sido provisionado, o administrador do Microsoft Entra Connect poderá instalar e configurar a sincronização local quando quiser.
Caso o Administrador do SQL tenha restaurado o banco de dados do ADSync a partir de um backup anterior do Microsoft Entra Connect, você precisará instalar o novo servidor do Microsoft Entra Connect usando um banco de dados existente. Para obter mais informações sobre como instalar o Microsoft Entra Connect com um banco de dados existente, confira Instalar o Microsoft Entra Connect usando um banco de dados do ADSync existente.