Partilhar via


Roteiro de instalação do Microsoft Entra Connect e do Microsoft Entra Connect Health

Instalar o Microsoft Entra Connect

Importante

A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect Sync fora das ações formalmente documentadas. Qualquer uma dessas ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode fornecer suporte técnico para essas implantações.

Você pode encontrar o download para o Microsoft Entra Connect no Centro de Download da Microsoft.

Solução Cenário
Antes de iniciar – Hardware e pré-requisitos
  • Etapas a serem concluídas antes de começar a instalar o Microsoft Entra Connect.
  • Definições rápidas
  • Se tiver uma única floresta do AD, é esta a opção que se recomenda utilizar.
  • Início de sessão do utilizador com a mesma palavra-passe, utilizando a sincronização de palavra-passe.
  • Definições personalizadas
  • Utilizadas se tiver várias florestas. Suporta muitas topologias no local.
  • Personalize a sua opção de início de sessão, como a autenticação pass-through, o ADFS para federação ou utilize um fornecedor de identidade de terceiros.
  • Personalize as funcionalidades de sincronização, como a filtragem e repetição de escrita.
  • Atualizar do DirSync
  • Utilizada se tiver um servidor existente do DirSync já em execução.
  • Atualização do Azure AD Sync ou do Microsoft Entra Connect
  • Há vários métodos diferentes, consoante a sua preferência.
  • Após a instalação, deve verificar se está a funcionar de acordo com o esperado e atribuir licenças aos utilizadores.

    Próximos passos para instalar o Microsoft Entra Connect

    Tópico Ligação
    Baixar Microsoft Entra Connect Baixar Microsoft Entra Connect
    Instalar utilizando as definições rápidas Instalação expressa do Microsoft Entra Connect
    Instalar utilizando as definições personalizadas Instalação personalizada do Microsoft Entra Connect
    Upgrade from DirSync (Azure AD Connect: Atualizar do DirSync) Atualização da ferramenta de sincronização do Azure AD (DirSync)
    Após a instalação Verificar a instalação e atribuir licenças

    Saiba mais sobre Instalar o Microsoft Entra Connect

    Terá também de se preparar para questões operacionais. Pode pretender ter um servidor de reserva a que possa efetuar a ativação pós-falha facilmente em caso de desastre. Se planear efetuar alterações frequentes na configuração, deverá planear um servidor no modo de teste.

    Tópico Ligação
    Topologias suportadas Topologias para o Microsoft Entra Connect
    Conceitos de design Conceitos de design do Microsoft Entra Connect
    Contas utilizadas para a instalação Mais sobre credenciais e permissões do Microsoft Entra Connect
    Planeamento operacional Microsoft Entra Connect Sync: Tarefas operacionais e considerações
    Opções de início de sessão do utilizador Opções de início de sessão do utilizador do Microsoft Entra Connect

    Configurar funcionalidades de sincronização

    O Microsoft Entra Connect vem com vários recursos que você pode ativar opcionalmente ou estão habilitados por padrão. Algumas das funcionalidades poderão requerer, às vezes, mais configuração em determinados cenários e topologias.

    A filtragem é usada quando você deseja limitar quais objetos são sincronizados com o Microsoft Entra ID. Por predefinição, são sincronizados todos os utilizadores, contactos, grupos e computadores com Windows 10. Pode alterar a filtragem com base em domínios, UOs ou atributos.

    A sincronização de hash de senha sincroniza o hash de senha no Ative Directory com o Microsoft Entra ID. O utilizador final pode utilizar a mesma palavra-passe no local e na nuvem, mas geri-la apenas numa única localização. Uma vez que utiliza o Active Directory no local como autoridade,pode também utilizar a sua própria política de palavras-passe.

    A repetição de escrita de palavras-passe permitirá que os utilizadores alterem e reponham as respetivas palavras-passe na nuvem e a aplicação da sua política de palavras-passe no local.

    O write-back do dispositivo permitirá que um dispositivo registrado no Microsoft Entra ID seja gravado novamente no Ative Directory local para que possa ser usado para Acesso Condicional.

    A funcionalidade impedir eliminações acidentais está ativada por predefinição e protege o diretório na nuvem de sofrer várias eliminações ao mesmo tempo. Por predefinição, permite 500 eliminações por execução. Pode alterar esta definição consoante o tamanho da sua organização.

    A atualização automática é ativada por padrão para instalações de configurações expressas e garante que seu Microsoft Entra Connect esteja sempre atualizado com a versão mais recente.

    Passos seguintes para configurar as funcionalidades de sincronização

    Tópico Ligação
    Configurar a Filtragem Microsoft Entra Connect Sync: Configurar filtragem
    Sincronização de hash de palavra-passe Sincronização de hash de palavra-passe
    Autenticação pass-through Autenticação pass-through
    Repetição de escrita de palavras-passe Introdução à gestão de palavras-passe
    Repetição de escrita do dispositivo Ativando o write-back do dispositivo no Microsoft Entra Connect
    Prevent accidental deletes (Sincronização do Azure AD Connect: Impedir eliminações acidentais) Microsoft Entra Connect Sync: Evite exclusões acidentais
    Atualização automática Microsoft Entra Connect: Atualização automática

    Personalizar o Microsoft Entra Connect Sync

    O Microsoft Entra Connect Sync vem com uma configuração padrão que se destina a funcionar para a maioria dos clientes e topologias. Mas há sempre situações em que a configuração predefinida não funciona e deve ser ajustada. É suportada para efetuar alterações, como documentado nesta secção e tópicos ligados.

    Se nunca trabalhou com uma topologia de sincronização, será boa ideia começar por entender as noções básicas e os termos utilizados, descritos nos conceitos técnicos. Mesmo que algumas coisas sejam semelhantes, muita coisa mudou também.

    A configuração predefinida presume que pode existir mais do que uma floresta na configuração. Nessas topologias, um objeto de utilizador pode ser representado como um contacto noutra floresta. O utilizador pode também ter uma caixa de correio ligada noutra floresta de recursos. O comportamento da configuração predefinida está descrito em utilizadores e contactos.

    O modelo de configuração em sincronização é designado por aprovisionamento declarativo. Os fluxos de atributos avançadas utilizam funções para expressar transformações de atributos. Você pode ver e examinar toda a configuração usando ferramentas que vêm com o Microsoft Entra Connect. Se precisar de efetuar alterações na configuração, certifique-se de que segue as melhores práticas, para que seja mais fácil adotar novas versões.

    Próximas etapas para personalizar o Microsoft Entra Connect Sync

    Tópico Ligação
    Todos os artigos do Microsoft Entra Connect Sync Sincronização do Microsoft Entra Connect
    Conceitos técnicos Microsoft Entra Connect Sync: Conceitos Técnicos
    Understanding the default configuration (Sincronização do Azure AD Connect: Compreender a configuração predefinida) Microsoft Entra Connect Sync: Compreender a configuração predefinida
    Entender utilizadores e contactos Microsoft Entra Connect Sync: Noções básicas sobre usuários e contatos
    Aprovisionamento declarativo Microsoft Entra Connect Sync: Compreender as Expressões do Aprovisionamento Declarativo
    Alterar a configuração predefinida Melhores práticas para alterar a configuração predefinida

    Configurar as funcionalidades de federação

    O Microsoft Entra Connect fornece vários recursos que simplificam a federação com o ID do Microsoft Entra usando o AD FS e gerenciando sua confiança de federação. O Microsoft Entra Connect suporta AD FS no Windows Server 2012R2 ou posterior.

    Atualize o certificado TLS/SSL do farm do AD FS mesmo que você não esteja usando o Microsoft Entra Connect para gerenciar sua confiança de federação.

    Adicione um servidor do AD FS ao seu farm para expandir o farm conforme necessário.

    Repare a confiança com o Microsoft Entra ID em apenas alguns cliques.

    O ADFS pode ser configurado para suportar vários domínios. Pode, por exemplo, ter vários domínios superiores que precisa de utilizar para a federação.

    Se o servidor ADFS não tiver sido configurado para atualizar automaticamente certificados do Microsoft Entra ID ou se você usar uma solução que não seja ADFS, será notificado quando precisar atualizar certificados.

    Passos seguintes para configurar as funcionalidades de federação

    Tópico Ligação
    Todos os artigos do AD FS Microsoft Entra Connect e federação
    Configuração do ADFS com subdomínios Suporte a vários domínios para federação com o ID do Microsoft Entra
    Gerir o farm do AD FS Gerenciamento e personalização do AD FS com o Microsoft Entra Connect
    Atualizar manualmente certificados de federação Renovando certificados de federação para Microsoft 365 e Microsoft Entra ID

    Introdução ao Microsoft Entra Connect Health

    Para começar a usar o Microsoft Entra Connect Health, use as seguintes etapas:

    1. Obtenha o Microsoft Entra ID P1 ou P2 ou inicie uma versão experimental.
    2. Transfira e instale os Agentes de Saúde do Microsoft Entra Connect nos seus servidores de identidade.
    3. Veja o painel do Microsoft Entra Connect Health em https://aka.ms/aadconnecthealth.

    Nota

    Lembre-se de que, antes de ver os dados no painel de integridade do Microsoft Entra Connect, você precisa instalar os agentes de saúde do Microsoft Entra Connect nos servidores de destino.

    Baixe e instale o Microsoft Entra Connect Health Agent

    Portal Microsoft Entra Connect Health

    O portal Microsoft Entra Connect Health mostra exibições de alertas, monitoramento de desempenho e análise de uso. A https://aka.ms/aadconnecthealth URL leva você para a folha principal do Microsoft Entra Connect Health. Pode considerar um painel como uma janela. Na folha principal, você vê Início Rápido, serviços no Microsoft Entra Connect Health e opções de configuração adicionais. Veja a captura de ecrã seguinte e as breves explicações a seguir à captura de ecrã. Depois de implantar os agentes, o serviço de integridade identifica automaticamente os serviços que o Microsoft Entra Connect Health está monitorando.

    Nota

    Para obter informações sobre licenciamento, consulte as Perguntas frequentes sobre integridade do Microsoft Entra ou a página de preços do Microsoft Entra.

    Portal de Saúde do Microsoft Entra Connect

    • Início Rápido: ao selecionar esta opção, o painel Início Rápido abre. Você pode baixar o Microsoft Entra Connect Health Agent selecionando Obter ferramentas. Também pode aceder à documentação e fornecer comentários.
    • Microsoft Entra Connect (sincronização): esta opção mostra os servidores do Microsoft Entra Connect que o Microsoft Entra Connect Health está monitorando no momento. A entrada Erros de sincronização irá mostrar erros de sincronização básicos do primeiro serviço de sincronização integrado por categorias. Quando você seleciona a entrada Serviços de sincronização , a folha que é aberta mostra informações sobre seus servidores Microsoft Entra Connect. Leia mais sobre os recursos em Usando o Microsoft Entra Connect Health para sincronização.
    • Serviços de Federação do Ative Directory: esta opção mostra todos os serviços do AD FS que o Microsoft Entra Connect Health está monitorando no momento. Quando seleciona uma instância, o painel que aparece mostra informações sobre essa instância de serviço. Estas informações incluem uma descrição geral, as propriedades, os alertas, a monitorização e a análise da utilização. Leia mais sobre os recursos em Usando o Microsoft Entra Connect Health com AD FS.
    • Serviços de Domínio Ative Directory: esta opção mostra todas as florestas do AD DS que o Microsoft Entra Connect Health está monitorando no momento. Quando seleciona uma floresta, o painel que aparece mostra informações sobre essa floresta. Estas informações incluem uma descrição geral de informações essenciais, o dashboard de Controladores de Domínio, o dashboard de Estado de Replicação, alertas e monitorização. Leia mais sobre os recursos em Usando o Microsoft Entra Connect Health com AD DS.
    • Configurar: esta seção inclui opções para ativar ou desativar o seguinte:
      • Acesso aos dados da integridade do diretório Microsoft Entra pela Microsoft apenas para fins de solução de problemas: se essa opção estiver habilitada, a Microsoft poderá acessar os mesmos dados exibidos pelo usuário. Essas informações podem ser úteis para solucionar problemas e fornecer a assistência necessária. Esta opção está desativada por padrão
    • O Controlo de acesso baseado em funções (IAM) é a secção para gerir o acesso aos dados do Connect Health na base da função.

    Passos Seguintes