Pré-requisites for Microsoft Entra Connect

Artigo
02/26/2024

Este artigo fornece orientação sobre como escolher e usar o Microsoft Entra Cloud Sync como sua solução de identidade.

Requisitos do agente de provisionamento na nuvem

Você precisa do seguinte para usar o Microsoft Entra Cloud Sync:

Credenciais de Administrador de Domínio ou Administrador Empresarial para criar a sincronização na nuvem do Microsoft Entra Connect gMSA (conta de serviço gerenciado de grupo) para executar o serviço de agente.
Uma conta de administrador de identidade híbrida para seu locatário do Microsoft Entra que não seja um usuário convidado.
Um servidor local para o agente de provisionamento com Windows 2016 ou posterior. Este servidor deve ser um servidor de camada 0 com base no modelo de camada administrativa do Ative Directory. Há suporte para a instalação do agente em um controlador de domínio.
Alta disponibilidade refere-se à capacidade do Microsoft Entra Cloud Sync de operar continuamente sem falhas por um longo tempo. Ao ter vários agentes ativos instalados e em execução, o Microsoft Entra Cloud Sync pode continuar a funcionar mesmo se um agente falhar. A Microsoft recomenda ter 3 agentes ativos instalados para alta disponibilidade.
Configurações de firewall local.

Contas de Serviço Geridas de Grupo

Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço), a capacidade de delegar o gerenciamento a outros administradores e também estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e usa um gMSA para executar o agente. Ser-lhe-ão solicitadas credenciais administrativas durante a configuração para criar esta conta. A conta aparecerá como domain\provAgentgMSA$. Para obter mais informações sobre um gMSA, consulte Contas de serviço gerenciado de grupo.

Pré-requisitos para gMSA

O esquema do Ative Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
Módulos RSAT do PowerShell em um controlador de domínio.
Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
Um servidor ingressado no domínio onde o agente está sendo instalado precisa ser o Windows Server 2016 ou posterior.

Conta gMSA personalizada

Se você estiver criando uma conta gMSA personalizada, precisará garantir que a conta tenha as seguintes permissões.

Type	Nome	Access	Aplica-se A
Permitir	Conta gMSA	Ler todos os imóveis	Objetos de dispositivo descendentes
Permitir	Conta gMSA	Ler todos os imóveis	Descendentes de objetos InetOrgPerson
Permitir	Conta gMSA	Ler todos os imóveis	Objetos de computador descendentes
Permitir	Conta gMSA	Ler todos os imóveis	Descendente foreignSecurityPrincipal objetos
Permitir	Conta gMSA	Controlo completo	Objetos do Grupo Descendente
Permitir	Conta gMSA	Ler todos os imóveis	Objetos de usuário descendente
Permitir	Conta gMSA	Ler todos os imóveis	Objetos de contato descendentes
Permitir	Conta gMSA	Criar/excluir objetos de usuário	Este objeto e todos os objetos descendentes

Para conhecer as etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte Contas de serviço gerenciado do grupo.

Para obter mais informações sobre como preparar o Ative Directory para a Conta de Serviço Gerenciado do grupo, consulte Visão geral das Contas de Serviço Gerenciado do grupo.

No centro de administração do Microsoft Entra

Crie uma conta de administrador de identidade híbrida somente na nuvem em seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do locatário se os serviços locais falharem ou ficarem indisponíveis. Saiba como adicionar uma conta de administrador de identidade híbrida somente na nuvem. Concluir esta etapa é fundamental para garantir que você não fique bloqueado fora do seu inquilino.
Adicione um ou mais nomes de domínio personalizados ao seu locatário do Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.

No seu diretório no Ative Directory

Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.

Em seu ambiente local

Identifique um servidor host associado a um domínio que executa o Windows Server 2016 ou superior com um mínimo de 4 GB de RAM e tempo de execução do .NET 4.7.1+.
A política de execução do PowerShell no servidor local deve ser definida como Undefined ou RemoteSigned.
Se houver um firewall entre seus servidores e o ID do Microsoft Entra, consulte Requisitos de firewall e proxy abaixo.

Nota

Não há suporte para a instalação do agente de provisionamento de nuvem no Windows Server Core.

Requisitos adicionais

Mínimo Microsoft .NET Framework 4.7.1

Requisitos TLS

Nota

Transport Layer Security (TLS) é um protocolo que fornece comunicações seguras. A alteração das configurações de TLS afeta toda a floresta. Para obter mais informações, consulte Atualização para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.

O servidor Windows que hospeda o agente de provisionamento de nuvem do Microsoft Entra Connect deve ter o TLS 1.2 habilitado antes de instalá-lo.

Para ativar o TLS 1.2, siga estes passos.

Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e, em seguida, execute o arquivo (clique com o botão direito do mouse e escolha Mesclar):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

Reinicie o servidor.

Requisitos de firewall e proxy

Se existir uma firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

Certifique-se de que os agentes possam fazer solicitações de saída para o ID do Microsoft Entra pelas seguintes portas:

Número da porta	Como é utilizado
80	Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL.
443	Lida com toda a comunicação de saída com o serviço.
8080 (opcional)	Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Este estado é apresentado no centro de administração Microsoft Entra.

Se a firewall impuser regras de acordo com os utilizadores de origem, abra estas portas para o tráfego dos serviços Windows que são executados com um serviço de rede.
Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões:

Nuvem pública
Nuvem do governo dos EUA

URL	Como é utilizado
`.msappproxy.net` `.servicebus.windows.net`	O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra.
`.microsoftonline.com` `.microsoft.com` `.msappproxy.com` `.windowsazure.com`	O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra.
`mscrl.microsoft.com:80` `crl.microsoft.com:80` `ocsp.msocsp.com:80` `www.microsoft.com:80`	O agente usa essas URLs para verificar certificados.
`login.windows.net`	O agente usa essas URLs durante o processo de registro.

URL	Como é utilizado
`.msappproxy.us` `.servicebus.usgovcloudapi.net`	O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra.
`mscrl.microsoft.us:80` `crl.microsoft.us:80` `ocsp.msocsp.us:80` `www.microsoft.us:80`	O agente usa essas URLs para verificar certificados.
`login.windows.us` `secure.aadcdn.microsoftonline-p.com` `.microsoftonline.us` `.microsoftonline-p.us` `.msauth.net` `.msauthimages.net` `.msecnd.net` `.msftauth.net` `.msftauthimages.net` `.phonefactor.net` `enterpriseregistration.windows.net` `management.azure.com` `policykeyservice.dc.ad.msft.net` `ctldl.windowsupdate.us:80` `aadcdn.msftauthimages.us` `*.microsoft.us` `msauthimages.us` `mfstauthimages.us`	O agente usa essas URLs durante o processo de registro.

Se você não conseguir adicionar conexões, permita o acesso aos intervalos de IP do datacenter do Azure, que são atualizados semanalmente.

Requisito NTLM

Você não deve habilitar o NTLM no Windows Server que está executando o agente de provisionamento do Microsoft Entra e, se ele estiver habilitado, certifique-se de desativá-lo.

Limitações conhecidas

As seguintes limitações são conhecidas:

Sincronização Delta

A filtragem de escopo de grupo para sincronização delta não suporta mais de 50.000 membros.
Quando você exclui um grupo usado como parte de um filtro de escopo de grupo, os usuários que são membros do grupo não são excluídos.
Quando você renomeia a UO ou grupo que está no escopo, a sincronização delta não removerá os usuários.

Registos de Aprovisionamento

Os logs de provisionamento não diferenciam claramente entre operações de criação e atualização. Você pode ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.

Renomeação de grupo ou renomeação de UO

Se você renomear um grupo ou UO no AD que esteja no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não poderá reconhecer a alteração de nome no AD. O trabalho não entrará em quarentena e permanecerá saudável.

Filtro de escopo

Ao usar o filtro de escopo da UO

Você só pode sincronizar até 59 UOs ou grupos de segurança separados para uma determinada configuração.
Há suporte para UOs aninhadas (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).

Sincronização do Hash de Palavras-passe

Não há suporte para o uso da sincronização de hash de senha com InetOrgPerson.