Pré-requisitos para o Microsoft Entra Connect

Este artigo descreve os pré-requisitos e os requisitos de hardware para o Microsoft Entra Connect.

Antes de instalar o Microsoft Entra Connect

Antes de instalar o Microsoft Entra Connect, há algumas coisas que você precisa.

Microsoft Entra ID

• Você precisa de um locatário do Microsoft Entra. Você obtém um com uma avaliação gratuita do Azure. Você pode usar um dos seguintes portais para gerenciar o Microsoft Entra Connect:
  • O centro de administração do Microsoft Entra.
  • O portal do Office.
• Adicione e verifique o domínio que você planeja usar no Microsoft Entra ID. Por exemplo, se planeia utilizar contoso.com para os seus utilizadores, certifique-se de que este domínio foi verificado e que não está a utilizar apenas o domínio predefinido contoso.onmicrosoft.com.
• Um locatário do Microsoft Entra permite, por padrão, 50.000 objetos. Quando você verifica seu domínio, o limite aumenta para 300.000 objetos. Se você precisar de ainda mais objetos no Microsoft Entra ID, abra um caso de suporte para que o limite seja aumentado ainda mais. Se você precisar de mais de 500.000 objetos, precisará de uma licença, como Microsoft 365, Microsoft Entra ID P1 ou P2 ou Enterprise Mobility + Security.

Prepare seus dados locais

• Use o IdFix para identificar erros como duplicatas e problemas de formatação em seu diretório antes de sincronizar com o Microsoft Entra ID e o Microsoft 365.
• Analise os recursos de sincronização opcionais que você pode habilitar no Microsoft Entra ID e avalie quais recursos você deve habilitar.

Active Directory no local

• A versão do esquema do AD DS e o nível funcional da floresta devem ser Windows Server 2003 ou posterior. Os controladores de domínio podem executar qualquer versão desde que a versão do esquema e os requisitos ao nível da floresta sejam cumpridos. Poderá necessitar de um programa de suporte pago se necessitar de suporte para controladores de domínio com o Windows Server 2016 ou anterior.
• O controlador de domínio utilizado pelo Microsoft Entra ID deve ser gravável. Não há suporte para o uso de um controlador de domínio somente leitura (RODC) e o Microsoft Entra Connect não segue nenhum direcionamento de gravação.
• Usando florestas ou domínios locais usando "pontilhado" (o nome contém um ponto ".") Não há suporte para nomes NetBIOS.
• Recomendamos que você habilite a lixeira do Ative Directory.

Política de execução do PowerShell

O Microsoft Entra Connect executa scripts assinados do PowerShell como parte da instalação. Certifique-se de que a política de execução do PowerShell permitirá a execução de scripts.

A política de execução recomendada durante a instalação é "RemoteSigned".

Para obter mais informações sobre como definir a política de execução do PowerShell, consulte Set-ExecutionPolicy.

Servidor Microsoft Entra Connect

O servidor Microsoft Entra Connect contém dados de identidade críticos. É importante que o acesso administrativo a este servidor esteja devidamente protegido. Siga as diretrizes em Protegendo acesso privilegiado.

O servidor Microsoft Entra Connect deve ser tratado como um componente de Camada 0, conforme documentado no modelo de camada administrativa do Ative Directory. Recomendamos proteger o servidor Microsoft Entra Connect como um ativo do Plano de Controle seguindo as orientações fornecidas em Acesso Privilegiado Seguro

Para ler mais sobre como proteger seu ambiente do Ative Directory, consulte Práticas recomendadas para proteger o Ative Directory.

Pré-requisitos de instalação

• O Microsoft Entra Connect deve ser instalado em um Windows Server 2016 ou posterior associado a um domínio. Recomendamos o uso do Windows Server 2022 associado a um domínio. Você pode implantar o Microsoft Entra Connect no Windows Server 2016, mas como o Windows Server 2016 está em suporte estendido, você pode precisar de um programa de suporte pago se precisar de suporte para essa configuração.
• A versão mínima do .NET Framework necessária é 4.6.2 e as versões mais recentes do .NET também são suportadas. O .NET versão 4.8 e superior oferece a melhor conformidade de acessibilidade.
• O Microsoft Entra Connect não pode ser instalado no Small Business Server ou no Windows Server Essentials antes de 2019 (o Windows Server Essentials 2019 é suportado). O servidor deve estar usando o Windows Server padrão ou superior.
• O servidor Microsoft Entra Connect deve ter uma GUI completa instalada. Não há suporte para a instalação do Microsoft Entra Connect no Windows Server Core.
• O servidor Microsoft Entra Connect não deve ter a Política de Grupo de Transcrição do PowerShell habilitada se você usar o assistente do Microsoft Entra Connect para gerenciar a configuração dos Serviços de Federação do Ative Directory (AD FS). Você pode habilitar a transcrição do PowerShell se usar o assistente do Microsoft Entra Connect para gerenciar a configuração de sincronização.
• Se o AD FS estiver sendo implantado:
  • Os servidores onde o AD FS ou o Proxy de Aplicativo Web estão instalados devem ser Windows Server 2012 R2 ou posterior. O gerenciamento remoto do Windows deve ser habilitado nesses servidores para instalação remota. Você pode precisar de um programa de suporte pago se precisar de suporte para o Windows Server 2016 e versões anteriores.
  • Você deve configurar certificados TLS/SSL. Para obter mais informações, consulte Gerenciando protocolos SSL/TLS e pacotes de codificação para AD FS e Gerenciando certificados SSL no AD FS.
  • Você deve configurar a resolução de nomes.
• Não há suporte para quebrar e analisar o tráfego entre o Microsoft Entra Connect e o Microsoft Entra ID. Fazer isso pode interromper o serviço.
• Se os Administradores de Identidade Híbrida tiverem MFA habilitada, a URL https://secure.aadcdn.microsoftonline-p.comdeverá estar na lista de sites confiáveis. Você será solicitado a adicionar este site à lista de sites confiáveis quando for solicitado um desafio de MFA e ele não tiver sido adicionado antes. Você pode usar o Internet Explorer para adicioná-lo aos seus sites confiáveis.
• Se você planeja usar o Microsoft Entra Connect Health para sincronização, verifique se os pré-requisitos para o Microsoft Entra Connect Health também foram atendidos. Para obter mais informações, consulte Instalação do agente Microsoft Entra Connect Health.

Proteja o seu servidor Microsoft Entra Connect

Recomendamos que você proteja o servidor Microsoft Entra Connect para diminuir a superfície de ataque à segurança desse componente crítico do ambiente de TI. Seguir essas recomendações ajudará a mitigar alguns riscos de segurança para sua organização.

• Recomendamos proteger o servidor Microsoft Entra Connect como um ativo do Plano de Controle (anteriormente Tier 0) seguindo as orientações fornecidas no Secure Privileged Access e no modelo de camada administrativa do Ative Directory.
• Restrinja o acesso administrativo ao servidor Microsoft Entra Connect apenas a administradores de domínio ou outros grupos de segurança rigorosamente controlados.
• Crie uma conta dedicada para todo o pessoal com acesso privilegiado. Os administradores não devem navegar na Web, verificar seus e-mails e fazer tarefas diárias de produtividade com contas altamente privilegiadas.
• Siga as orientações fornecidas em Protegendo o acesso privilegiado.
• Negar o uso da autenticação NTLM com o servidor Microsoft Entra Connect. Aqui estão algumas maneiras de fazer isso: Restringindo NTLM no Microsoft Entra Connect Server e Restringindo NTLM em um domínio
• Certifique-se de que cada máquina tenha uma senha de administrador local exclusiva. Para obter mais informações, consulte Local Administrator Password Solution (Windows LAPS) pode configurar senhas aleatórias exclusivas em cada estação de trabalho e armazená-las no Ative Directory protegido por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Orientações adicionais para operar um ambiente com LAPS do Windows e estações de trabalho de acesso privilegiado (PAWs) podem ser encontradas em Padrões operacionais baseados no princípio de fonte limpa.
• Implemente estações de trabalho dedicadas de acesso privilegiado para todo o pessoal com acesso privilegiado aos sistemas de informação da sua organização.
• Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Ative Directory.
• Siga a opção Monitorar alterações na configuração de federação para configurar alertas para monitorar alterações na confiança estabelecida entre seu Idp e o ID do Microsoft Entra.
• Habilite a autenticação multifator (MFA) para todos os usuários que têm acesso privilegiado no Microsoft Entra ID ou no AD. Um problema de segurança com o uso do Microsoft Entra Connect é que, se um invasor puder obter controle sobre o servidor Microsoft Entra Connect, ele poderá manipular usuários no Microsoft Entra ID. Para evitar que um invasor use esses recursos para assumir contas do Microsoft Entra, o MFA oferece proteções para que, mesmo que um invasor consiga, por exemplo, redefinir a senha de um usuário usando o Microsoft Entra Connect, ele ainda não possa ignorar o segundo fator.
• Desative a Correspondência Suave no seu inquilino. O Soft Matching é um ótimo recurso para ajudar a transferir a fonte de autoridade para objetos gerenciados na nuvem existentes para o Microsoft Entra Connect, mas vem com certos riscos de segurança. Se você não precisar dele, você deve desativar o Soft Matching.
• Desative o Hard Match Takeover. A aquisição de correspondência rígida permite que o Microsoft Entra Connect assuma o controle de um objeto gerenciado na nuvem e altere a fonte de autoridade do objeto para o Ative Directory. Depois que a fonte de autoridade de um objeto é assumida pelo Microsoft Entra Connect, as alterações feitas no objeto do Ative Directory vinculado ao objeto Microsoft Entra substituirão os dados originais do Microsoft Entra - incluindo o hash de senha, se a Sincronização de Hash de Senha estiver habilitada. Um invasor pode usar esse recurso para assumir o controle de objetos gerenciados na nuvem. Para mitigar esse risco, desative a aquisição de hard match.

SQL Server usado pelo Microsoft Entra Connect

• O Microsoft Entra Connect necessita de uma base de dados do SQL Server para armazenar dados de identidade. Por padrão, um SQL Server 2019 Express LocalDB (uma versão light do SQL Server Express) é instalado. O SQL Server Express tem um limite de tamanho de 10 GB que permite gerenciar aproximadamente 100.000 objetos. Se você precisar gerenciar um volume maior de objetos de diretório, aponte o assistente de instalação para uma instalação diferente do SQL Server. O tipo de instalação do SQL Server pode afetar o desempenho do Microsoft Entra Connect.
• Se você usar uma instalação diferente do SQL Server, estes requisitos se aplicam:
  • O Microsoft Entra Connect suporta todas as principais versões suportadas do SQL Server até o SQL Server 2022 em execução no Windows. Consulte o artigo do ciclo de vida do SQL Server para verificar o status de suporte da sua versão do SQL Server. O SQL Server 2012 não é mais suportado. O Banco de Dados SQL do Azure não tem suporte como um banco de dados. Isso inclui o Banco de Dados SQL do Azure e a Instância Gerenciada SQL do Azure.
  • Você deve usar um agrupamento SQL que não diferencia maiúsculas de minúsculas. Esses agrupamentos são identificados com um _CI_ em seu nome. Não há suporte para o uso de um agrupamento que diferencia maiúsculas de minúsculas identificado por _CS_ em seu nome.
  • Você pode ter apenas um mecanismo de sincronização por instância SQL. Não há suporte para o compartilhamento de uma instância SQL com o MIM Sync, o DirSync ou o Azure AD Sync.

Contas

• Você deve ter uma conta de Administrador Global do Microsoft Entra ou uma conta de Administrador de Identidade Híbrida para o locatário do Microsoft Entra com o qual deseja integrar. Essa conta deve ser uma conta de escola ou organização e não pode ser uma conta da Microsoft.
• Se você usar configurações expressas ou atualizar do DirSync, deverá ter uma conta de Administrador Corporativo para o Ative Directory local.
• Se você usar o caminho de instalação das configurações personalizadas, terá mais opções. Para obter mais informações, consulte Configurações de instalação personalizadas.

Conectividade

• O servidor Microsoft Entra Connect precisa de resolução DNS para intranet e internet. O servidor DNS deve ser capaz de resolver nomes para o Ative Directory local e para os pontos de extremidade do Microsoft Entra.

• O Microsoft Entra Connect requer conectividade de rede para todos os domínios configurados

• O Microsoft Entra Connect requer conectividade de rede com o domínio raiz de todas as florestas configuradas

• Se você tiver firewalls na intranet e precisar abrir portas entre os servidores do Microsoft Entra Connect e os controladores de domínio, consulte Portas do Microsoft Entra Connect para obter mais informações.

• Se o seu proxy ou firewall limitar quais URLs podem ser acessadas, as URLs documentadas em URLs e intervalos de endereços IP do Office 365 deverão ser abertas. Consulte também Safelist os URLs do centro de administração do Microsoft Entra no seu firewall ou servidor proxy.

  • Se você estiver usando a nuvem da Microsoft na Alemanha ou a nuvem do Microsoft Azure Government, consulte Considerações sobre instâncias do serviço Microsoft Entra Connect Sync para URLs.

• O Microsoft Entra Connect (versão 1.1.614.0 e posterior) por padrão usa o TLS 1.2 para criptografar a comunicação entre o mecanismo de sincronização e o Microsoft Entra ID. Se o TLS 1.2 não estiver disponível no sistema operacional subjacente, o Microsoft Entra Connect retornará incrementalmente aos protocolos mais antigos (TLS 1.1 e TLS 1.0). A partir da versão 2.0 do Microsoft Entra Connect. TLS 1.0 e 1.1 não são mais suportados e a instalação falhará se o TLS 1.2 não estiver habilitado.

• Antes da versão 1.1.614.0, o Microsoft Entra Connect usa por padrão o TLS 1.0 para criptografar a comunicação entre o mecanismo de sincronização e a ID do Microsoft Entra. Para mudar para TLS 1.2, siga as etapas em Habilitar TLS 1.2 para Microsoft Entra Connect.

• Se você estiver usando um proxy de saída para se conectar à Internet, a seguinte configuração no arquivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config deve ser adicionada para que o assistente de instalação e o Microsoft Entra Connect Sync possam se conectar à Internet e ao ID do Microsoft Entra. Este texto deve ser inserido na parte inferior do arquivo. Neste código, <PROXYADDRESS> representa o endereço IP do proxy real ou o nome do host.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se o servidor proxy exigir autenticação, a conta de serviço deverá estar localizada no domínio. Use o caminho de instalação de configurações personalizadas para especificar uma conta de serviço personalizada. Você também precisa de uma alteração diferente para machine.config. Com essa alteração em machine.config, o assistente de instalação e o mecanismo de sincronização respondem às solicitações de autenticação do servidor proxy. Em todas as páginas do assistente de instalação, excluindo a página Configurar , as credenciais do usuário conectado são usadas. Na página Configurar no final do assistente de instalação, o contexto é alternado para a conta de serviço que você criou. A seção machine.config deve ter esta aparência:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Se a configuração de proxy estiver sendo feita em uma instalação existente, o serviço Microsoft Entra ID Sync precisará ser reiniciado uma vez para que o Microsoft Entra Connect leia a configuração de proxy e atualize o comportamento.

• Quando o Microsoft Entra Connect envia uma solicitação da Web para o Microsoft Entra ID como parte da sincronização de diretórios, o Microsoft Entra ID pode levar até 5 minutos para responder. É comum que os servidores proxy tenham configuração de tempo limite ocioso de conexão. Verifique se a configuração está definida para pelo menos 6 minutos ou mais.

Para obter mais informações, consulte MSDN sobre o elemento proxy padrão. Para obter mais informações quando você tiver problemas com conectividade, consulte Solucionar problemas de conectividade.

Outro

Opcional: use uma conta de usuário de teste para verificar a sincronização.

Pré-requisitos do componente

PowerShell e .NET Framework

O Microsoft Entra Connect depende do Microsoft PowerShell 5.0 e do .NET Framework 4.5.1. Você precisa desta versão ou de uma versão posterior instalada no seu servidor.

Ativar TLS 1.2 para Microsoft Entra Connect

Antes da versão 1.1.614.0, o Microsoft Entra Connect usa por padrão o TLS 1.0 para criptografar a comunicação entre o servidor do mecanismo de sincronização e a ID do Microsoft Entra. Você pode configurar aplicativos .NET para usar TLS 1.2 por padrão no servidor. Para obter mais informações sobre o TLS 1.2, consulte o Comunicado de Segurança da Microsoft 2960358.

1. Verifique se você tem o hotfix .NET 4.5.1 instalado para seu sistema operacional. Para obter mais informações, consulte o Comunicado de Segurança da Microsoft 2960358. Talvez você já tenha esse hotfix ou uma versão posterior instalada no servidor.

2. Para todos os sistemas operacionais, defina essa chave do Registro e reinicie o servidor.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Se você também quiser habilitar o TLS 1.2 entre o servidor do mecanismo de sincronização e um SQL Server remoto, verifique se você tem as versões necessárias instaladas para o suporte ao TLS 1.2 para o Microsoft SQL Server.

Pré-requisitos DCOM no servidor de sincronização

Durante a instalação do serviço de sincronização, o Microsoft Entra Connect verifica a presença da seguinte chave do Registro:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Sob essa chave do Registro, o Microsoft Entra Connect verificará se os seguintes valores estão presentes e não estão corrompidos:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Pré-requisitos para instalação e configuração de federação

Gestão Remota do Windows

Quando você usa o Microsoft Entra Connect para implantar o AD FS ou o Proxy de Aplicativo Web (WAP), verifique estes requisitos:

• Se o servidor de destino estiver associado ao domínio, verifique se o Windows Remote Managed está habilitado.
  • Em uma janela de comando elevada do PowerShell, use o comando Enable-PSRemoting –force.
• Se o servidor de destino for uma máquina WAP não associada ao domínio, há alguns requisitos adicionais:
  • Na máquina de destino (máquina WAP):
    • Verifique se o serviço Gerenciamento Remoto do Windows/WS-Management (WinRM) está em execução por meio do snap-in Serviços.
    • Em uma janela de comando elevada do PowerShell, use o comando Enable-PSRemoting –force.
  • Na máquina na qual o assistente está sendo executado (se a máquina de destino não ingressar no domínio ou for um domínio não confiável):
    • Em uma janela de comando elevada do PowerShell, use o comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • No gerenciador de servidores:
      • Adicione um host WAP DMZ a um pool de máquinas. No gerenciador do servidor, selecione Gerenciar>Adicionar Servidores e use a guia DNS.
      • Na guia Todos os Servidores do Gerenciador do Servidor , clique com o botão direito do mouse no servidor WAP e selecione Gerenciar como. Insira credenciais locais (não de domínio) para a máquina WAP.
      • Para validar a conectividade do PowerShell remoto, na guia Todos os Servidores do Gerenciador do Servidor, clique com o botão direito do mouse no servidor WAP e selecione Windows PowerShell. Uma sessão remota do PowerShell deve ser aberta para garantir que as sessões remotas do PowerShell possam ser estabelecidas.

Requisitos do certificado TLS/SSL

• Recomendamos que você use o mesmo certificado TLS/SSL em todos os nós do farm do AD FS e em todos os servidores Proxy de Aplicativo Web.
• O certificado deve ser um certificado X509.
• Você pode usar um certificado autoassinado em servidores de federação em um ambiente de laboratório de teste. Para um ambiente de produção, recomendamos que você obtenha o certificado de uma autoridade de certificação pública.
  • Se você estiver usando um certificado que não é publicamente confiável, verifique se o certificado instalado em cada servidor Proxy de Aplicativo Web é confiável no servidor local e em todos os servidores de federação.
• A identidade do certificado deve corresponder ao nome do serviço de federação (por exemplo, sts.contoso.com).
  • A identidade é uma extensão de nome alternativo de entidade (SAN) do tipo dNSName ou, se não houver entradas SAN, o nome da entidade é especificado como um nome comum.
  • Várias entradas SAN podem estar presentes no certificado, desde que uma delas corresponda ao nome do serviço de federação.
  • Se você estiver planejando usar o Ingresso no Local de Trabalho, será necessária uma SAN adicional com o valor enterpriseregistration. seguido pelo sufixo UPN (nome principal do usuário) da sua organização, por exemplo, enterpriseregistration.contoso.com.
• Não há suporte para certificados baseados em chaves CryptoAPI de próxima geração (CNG) e provedores de armazenamento de chaves (KSPs). Como resultado, você deve usar um certificado baseado em um provedor de serviços de criptografia (CSP) e não em um KSP.
• Há suporte para certificados curinga.

Resolução de nomes para servidores de federação

• Configure os registos DNS para o nome AD FS (por exemplo, sts.contoso.com) tanto para a intranet (o seu servidor DNS interno) como para a extranet (DNS público através da sua entidade de registo de domínios). Para o registro DNS da intranet, certifique-se de usar registros A e não registros CNAME. O uso de registros A é necessário para que a autenticação do Windows funcione corretamente a partir de sua máquina associada ao domínio.
• Se você estiver implantando mais de um servidor AD FS ou servidor Proxy de Aplicativo Web, verifique se configurou o balanceador de carga e se os registros DNS para o nome do AD FS (por exemplo, sts.contoso.com) apontam para o balanceador de carga.
• Para que a autenticação integrada do Windows funcione para aplicativos de navegador que usam o Internet Explorer em sua intranet, verifique se o nome do AD FS (por exemplo, sts.contoso.com) foi adicionado à zona da intranet no Internet Explorer. Esse requisito pode ser controlado por meio da Diretiva de Grupo e implantado em todos os computadores que ingressaram no domínio.

Componentes de suporte do Microsoft Entra Connect

O Microsoft Entra Connect instala os seguintes componentes no servidor onde o Microsoft Entra Connect está instalado. Esta lista é para uma instalação básica do Express. Se você optar por usar um SQL Server diferente na página Instalar serviços de sincronização, o SQL Express LocalDB não será instalado localmente.

• Microsoft Entra Connect Health
• Utilitários de linha de comando do Microsoft SQL Server 2022
• Microsoft SQL Server 2022 Express LocalDB
• Cliente nativo do Microsoft SQL Server 2022
• Pacote de redistribuição do Microsoft Visual C++ 14

Requisitos de hardware para o Microsoft Entra Connect

A tabela a seguir mostra os requisitos mínimos para o computador Microsoft Entra Connect Sync.

Número de objetos no Ative Directory	CPU	Memória	Tamanho do disco rígido
Menos de 10.000	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
Para 100.000 ou mais objetos, é necessária a versão completa do SQL Server. Por razões de desempenho, é preferível instalar localmente. Os valores a seguir são válidos apenas para a instalação do Microsoft Entra Connect. Se o SQL Server for instalado no mesmo servidor, será necessária mais memória, unidade e CPU.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
Mais de 600.000	1,6 GHz	32 GB	500 GB

Os requisitos mínimos para computadores que executam servidores AD FS ou Proxy de Aplicativo Web são:

• CPU: Dual core de 1,6 GHz ou superior
• Memória: 2 GB ou superior
• Azure VM: configuração A2 ou superior

Próximos passos

Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.