Preparar-se para a sincronização de diretórios com o Microsoft 365
Esse artigo se aplica ao Microsoft 365 Enterprise e ao Office 365 Enterprise.
Se você escolheu o modelo de identidade híbrida e a proteção configurada para contas de administrador na Etapa 2 e contas de usuário na Etapa 3 dessa solução, sua próxima tarefa será implantar a sincronização de diretório. Os benefícios da sincronização de diretório para sua organização incluem:
- Reduzindo os programas administrativos em sua organização
- Opcionalmente habilitando o cenário de logon único
- Automatizando alterações de conta no Microsoft 365
Para obter mais informações sobre as vantagens de usar a sincronização de diretório, consulte identidade híbrida com Microsoft Entra ID.
No entanto, a sincronização de diretório requer planejamento e preparação para garantir que seu Active Directory Domain Services (AD DS) se sincronize com o locatário Microsoft Entra de sua assinatura do Microsoft 365 com um mínimo de erros.
Siga estas etapas para obter os melhores resultados.
Observação
Caracteres não ASCII não sincronizam para nenhum atributo na conta de usuário do AD DS.
Preparação do AD DS
Para ajudar a garantir uma transição contínua para o Microsoft 365 usando a sincronização, você deve preparar sua floresta do AD DS antes de iniciar sua implantação de sincronização de diretório do Microsoft 365.
Sua preparação do diretório deve se concentrar nas seguintes tarefas:
Remova proxy duplicadoAddress e atributos userPrincipalName .
Atualize atributos userPrincipalName em branco e inválidos com atributos userPrincipalName válidos.
Remova caracteres inválidos e questionáveis nos atributos givenName, sobrenome ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname e userPrincipalName . Para obter detalhes sobre como preparar atributos, consulte Lista de atributos sincronizados pela Ferramenta de Sincronização do Azure Active Directory.
Observação
Esses são os mesmos atributos que Microsoft Entra o Connect sincroniza.
Considerações sobre implantação de várias florestas
Para várias florestas e opções de SSO, use uma instalação personalizada do Microsoft Entra Connect.
Se sua organização tiver várias florestas para autenticação (florestas de logon), recomendamos o seguinte:
- Considere consolidar suas florestas. Em geral, há mais sobrecarga necessária para manter várias florestas. A menos que sua organização tenha restrições de segurança que dão a necessidade de florestas separadas, considere simplificar seu ambiente local.
- Use somente na floresta de logon primário. Considere implantar o Microsoft 365 somente na floresta de logon principal para a distribuição inicial do Microsoft 365.
Se você não conseguir consolidar sua implantação do AD DS de várias florestas ou estiver usando outros serviços de diretório para gerenciar identidades, talvez seja possível sincronizá-las com a ajuda da Microsoft ou de um parceiro.
Consulte Topologias para Microsoft Entra Conectar para obter mais informações.
Recursos que dependem da sincronização de diretório
A sincronização do diretório é necessária para os seguintes recursos e funcionalidades:
- Microsoft Entra SSO (logon único) contínuo
- Coexistência do Skype
- Implantação híbrida do Exchange, incluindo:
- GAL (lista de endereços global) totalmente compartilhada entre o ambiente local do Exchange e o Microsoft 365.
- Sincronizar informação de GAL de sistemas de email diferentes.
- A capacidade de adicionar usuários e remover usuários das ofertas de serviços do Microsoft 365. Isto exige o seguinte:
- A sincronização bidirecional deve ser configurada durante a configuração de sincronização de diretório. Por padrão, as ferramentas de sincronização de diretório gravam informações de diretório apenas na nuvem. Ao configurar a sincronização bidirecional, você habilita a funcionalidade de write-back para que um número limitado de atributos de objeto seja copiado da nuvem e, em seguida, escreva-os de volta para o AD DS local. O write-back também é chamado de modo híbrido do Exchange.
- Uma implantação híbrida do Exchange local .
- A capacidade de mover algumas caixas de correio de usuário para o Microsoft 365 mantendo outras caixas de correio do usuário locais.
- Remetentes seguros e remetentes bloqueados no local são replicados para o Microsoft 365.
- Delegação básica e funcionalidade de email enviar em nome de.
- Você tem uma solução integrada de autenticação inteligente ou multifator ou cartão local.
- Sincronização de fotos, miniaturas, salas de conferência e grupos de segurança
1. Tarefas de limpeza de diretório
Antes de sincronizar seu AD DS com seu locatário Microsoft Entra, você precisa limpo seu AD DS.
Importante
Se você não executar a limpeza do AD DS antes de sincronizar, isso poderá causar um impacto negativo significativo no processo de implantação. Pode levar dias ou até semanas para percorrer o ciclo de sincronização do diretório, identificar erros e ressincronização.
Em seu AD DS, conclua as seguintes tarefas limpo para cada conta de usuário que receberá uma licença do Microsoft 365:
Verifique um endereço de email válido e exclusivo no atributo proxyAddresses .
Remover valores duplicados no atributo proxyAddresses.
Se possível, verifique um valor válido e exclusivo para o atributo userPrincipalName no objeto de usuário do usuário. Para obter a melhor experiência de sincronização, verifique se o UPN do AD DS corresponde ao MICROSOFT ENTRA UPN. Se um usuário não tiver um valor para o atributo userPrincipalName , o objeto de usuário deverá conter um valor válido e exclusivo para o atributo sAMAccountName . Remova quaisquer valores duplicados no atributo userPrincipalName.
Para o uso ideal da GAL (lista de endereços global), verifique se as informações nos seguintes atributos da conta de usuário do AD DS estão corretas:
- givenName
- surname
- displayName
- Cargo
- Departamento
- Escritório
- Telefone comercial
- Telefone celular
- Número do fax
- Endereço
- Cidade
- Estado
- CEP
- País
2. Preparação de objeto e atributo do diretório
A sincronização bem-sucedida do diretório entre o AD DS e o Microsoft 365 exige que os atributos do AD DS estejam preparados corretamente. Por exemplo, você precisa garantir que caracteres específicos não sejam usados em determinados atributos sincronizados com o ambiente do Microsoft 365. Caracteres inesperados não fazem com que a sincronização de diretório falhe, mas pode retornar um aviso. Caracteres inválidos farão com que a sincronização de diretório falhe.
A sincronização de diretório também falhará se alguns de seus usuários do AD DS tiverem um ou mais atributos duplicados. Cada usuário deve ter atributos exclusivos.
Os atributos que você precisa preparar estão listados aqui:
displayName
- Se o atributo existir no objeto de usuário, ele será sincronizado com o Microsoft 365.
- Se esse atributo existir no objeto de usuário, deve haver um valor para ele. Ou seja, o atributo não deve estar em branco.
- Número máximo de caracteres: 256
givenName
- Se o atributo existir no objeto de usuário, ele será sincronizado com o Microsoft 365, mas o Microsoft 365 não o exigirá ou o usará.
- Número máximo de caracteres: 64
Correio
O valor do atributo deve ser exclusivo no diretório.
Observação
Se houver valores duplicados, o primeiro usuário com o valor será sincronizado. Os usuários subsequentes não aparecerão no Microsoft 365. Você deve modificar o valor no Microsoft 365 ou modificar ambos os valores no AD DS para que ambos os usuários apareçam no Microsoft 365.
mailNickname (alias do Exchange)
O valor do atributo não pode começar com um período (.).
O valor do atributo deve ser exclusivo no diretório.
Observação
Sublinhados ("_") no nome sincronizado indica que o valor original desse atributo contém caracteres inválidos. Para obter mais informações sobre esse atributo, consulte Atributo de alias do Exchange.
proxyAddresses
Atributo de vários valores
Número máximo de caracteres por valor: 256
O valor do atributo não deve conter um espaço.
O valor do atributo deve ser exclusivo no diretório.
Caracteres inválidos: <> ( ) ; , [ ] "
Letras com marcas diacríticas, como umlauts, acentos e blocos, são caracteres inválidos.
Os caracteres inválidos se aplicam aos caracteres que seguem o delimitador de tipo e ":", de modo que o SMTP:User@contso.com é permitido, mas SMTP:user:M@contoso.com não é.
Importante
Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com os padrões de mensagens de email. Remova endereços duplicados ou indesejados se eles existirem.
Samaccountname
- Número máximo de caracteres: 20
- O valor do atributo deve ser exclusivo no diretório.
- Caracteres inválidos: [ \ " | , / : <> + = ; ? * ']
- Se um usuário tiver um atributo sAMAccountName inválido, mas tiver um atributo userPrincipalName válido, a conta de usuário será criada no Microsoft 365.
- Se sAMAccountName e userPrincipalName forem inválidos, o atributo userPrincipalName do AD DS deverá ser atualizado.
sn (sobrenome)
- Se o atributo existir no objeto de usuário, ele será sincronizado com o Microsoft 365, mas o Microsoft 365 não o exigirá ou o usará.
Targetaddress
É necessário que o atributo targetAddress (por exemplo, SMTP:tom@contoso.com) que é preenchido para o usuário deve aparecer no Microsoft 365 GAL. Em cenários de migração de mensagens de terceiros, isso exigiria a extensão de esquema do Microsoft 365 para o AD DS. A extensão de esquema do Microsoft 365 também adicionaria outros atributos úteis para gerenciar objetos do Microsoft 365 que são preenchidos usando uma ferramenta de sincronização de diretório do AD DS. Por exemplo, o atributo msExchHideFromAddressLists para gerenciar caixas de correio ocultas ou grupos de distribuição seria adicionado.
- Número máximo de caracteres: 256
- O valor do atributo não deve conter um espaço.
- O valor do atributo deve ser exclusivo no diretório.
- Caracteres inválidos: \ <> ( ) ; , [ ] "
- Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com os padrões de mensagens de email.
userPrincipalName
- O atributo userPrincipalName deve estar no formato de entrada no estilo da Internet em que o nome de usuário é seguido pelo sinal (@) e um nome de domínio: por exemplo, user@contoso.com. Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com os padrões de mensagens de email.
- O número máximo de caracteres para o atributo userPrincipalName é 113. Um número específico de caracteres é permitido antes e depois do sinal em (@), da seguinte maneira:
- Número máximo de caracteres para o nome de usuário que está na frente do sinal em (@): 64
- Número máximo de caracteres para o nome de domínio seguindo o sinal em (@): 48
- Caracteres inválidos: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
- Caracteres permitidos: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
- Letras com marcas diacríticas, como umlauts, acentos e blocos, são caracteres inválidos.
- O caractere @ é necessário em cada valor userPrincipalName .
- O caractere @ não pode ser o primeiro caractere em cada valor userPrincipalName .
- O nome de usuário não pode terminar com um período (.), um ampersand (&), um espaço ou um sinal em sinal (@).
- O nome de usuário não pode conter espaços.
- Domínios roteáveis devem ser usados; por exemplo, domínios locais ou internos não podem ser usados.
- O Unicode é convertido em caracteres sublinhados.
- userPrincipalName não pode conter valores duplicados no diretório.
3. Preparar o atributo userPrincipalName
O Active Directory foi projetado para permitir que os usuários finais da sua organização entrem no diretório usando sAMAccountName ou userPrincipalName. Da mesma forma, os usuários finais podem entrar no Microsoft 365 usando o UPN (nome da entidade de usuário) de sua conta corporativa ou de estudante. A sincronização de diretório tenta criar novos usuários no Microsoft Entra ID usando o mesmo UPN que está em seu AD DS. O UPN é formatado como um endereço de email.
No Microsoft 365, o UPN é o atributo padrão usado para gerar o endereço de email. É fácil obter userPrincipalName (no AD DS e em Microsoft Entra ID) e o endereço de email principal em proxyAddresses definidos como valores diferentes. Quando eles são definidos como valores diferentes, pode haver confusão para administradores e usuários finais.
É melhor alinhar esses atributos para reduzir a confusão. Para atender aos requisitos de logon único com Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0, você precisa garantir que as UPNs no Microsoft Entra ID e seu AD DS correspondam e estejam usando um namespace de domínio válido.
4. Adicionar um sufixo UPN alternativo ao AD DS
Talvez seja necessário adicionar um sufixo UPN alternativo para associar as credenciais corporativas do usuário ao ambiente do Microsoft 365. Um sufixo UPN é a parte do UPN à direita do caractere @. UPNs usados para logon único podem conter letras, números, pontos, traços e sublinhados, mas nenhum outro tipo de caracteres.
Para obter mais informações sobre como adicionar um sufixo UPN alternativo ao Active Directory, consulte Preparar para sincronização de diretório.
5. Corresponder o UPN do AD DS com o UPN do Microsoft 365
Se você já tiver configurado a sincronização de diretório, o UPN do usuário para o Microsoft 365 pode não corresponder ao UPN do AD DS do usuário definido em seu AD DS. Essa condição pode ocorrer quando um usuário recebeu uma licença antes de o domínio ser verificado. Para corrigir isso, use o PowerShell para corrigir a UPN duplicada para atualizar a UPN do usuário para garantir que o UPN do Microsoft 365 corresponda ao nome de usuário corporativo e ao domínio. Se você estiver atualizando o UPN no AD DS e quiser que ele seja sincronizado com a identidade Microsoft Entra, precisará remover a licença do usuário no Microsoft 365 antes de fazer as alterações no AD DS.
Consulte Também Como preparar um domínio não roteável (como .local domain) para sincronização de diretório.
Próximas etapas
Depois de concluir as etapas 1 a 5, confira Configurar sincronização de diretório.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de