Configure o Azure Active Directory Domain Services para fazer a sincronização de perfil de usuário para o SharePoint Server

O SharePoint Server inclui um serviço para sincronizar perfis de usuário. Esse recurso permite que os perfis de usuário sejam armazenados em um local central e fiquem acessíveis em vários sites e farms do SharePoint. Para configurar o serviço de perfil de usuário do SharePoint Server, as permissões apropriadas devem ser concedidas em um domínio gerenciado do Azure AD DS (Azure Active Directory Domain Services). Para saber mais, confira Sincronização de perfil do usuário no SharePoint Server.

Este artigo mostra como configurar o Azure AD DS para permitir o serviço de sincronização de perfil de usuário do SharePoint Server.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Azure Active Directory associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Azure Active Directory ou associe uma assinatura do Azure à sua conta.
• Um domínio gerenciado do Azure Active Directory Domain Services habilitado e configurado no locatário do Azure AD.
  • Se necessário, conclua o tutorial Criar e configurar um domínio gerenciado do Azure Active Directory Domain Services.
• VM de gerenciamento do Windows Server que está conectada ao domínio gerenciado do Azure AD DS.
  • Se necessário, conclua o tutorial para criar uma VM de gerenciamento.
• Uma conta de usuário que é membro do grupo de administradores do Azure AD DC no locatário do Azure AD.
• O nome da conta de serviço do SharePoint para o serviço de sincronização de perfil do usuário. Para obter mais informações sobre a conta de Sincronização de Perfil,consultePlano para contas de serviço e administrativas no SharePoint Server. Para obter o nome da conta de Sincronização de Perfil no site da Administração Central do SharePoint, clique em Gerenciamento de Aplicativos>Gerenciar aplicativos de serviço>Aplicativo de serviço de Perfil de Usuário. Para obter mais informações, consulte Configurar a sincronização de perfil usando a importação do SharePoint Active Directory para o SharePoint Server.

Visão geral das contas de serviço

Em um domínio gerenciado, um grupo de segurança chamado Contas de Serviço do AAD DC existe como parte da UO (unidade organizacional) dos Usuários. Os membros desse grupo de segurança recebem os seguintes privilégios:

• Privilégio Replicar Alterações de Diretório no DSE raiz.
• Privilégio Replicar Alterações de Diretório no contexto de nomenclatura Configuração (contêiner cn=configuration).

O grupo de segurança Contas de Serviço do AAD DC também é membro do grupo interno Acesso Compatível com o Pré-Windows 2000.

Quando adicionado a esse grupo de segurança, a conta de serviço do serviço de sincronização de perfil de usuário do SharePoint Server recebe os privilégios necessários para funcionar corretamente.

Habilitar a compatibilidade com a sincronização de perfil de usuário do SharePoint Server

A conta de serviço do SharePoint Server precisa de privilégios adequados para replicar as alterações no diretório e permitir que a sincronização de perfil de usuário do SharePoint Server funcione corretamente. Para conceder esses privilégios, adicione a conta de serviço usada para sincronização de perfil de usuário do SharePoint ao grupo Contas de Serviço do AAD DC.

Em sua VM de gerenciamento do Azure AD DS, siga estas etapas:

Observação

Para editar uma associação de grupo em um domínio gerenciado, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

1. Na tela Iniciar, selecione Ferramentas Administrativas. É apresentada uma lista de ferramentas de gerenciamento disponíveis que foram instaladas no tutorial para criar uma VM de gerenciamento.

2. Para gerenciar a associação de grupo, selecione Centro Administrativo do Active Directory na lista de ferramentas administrativas.

3. No painel esquerdo, escolha o domínio gerenciado, como aaddscontoso.com. Uma lista de UOs e recursos existentes é mostrada.

4. Selecione a UO Usuários e, em seguida, escolha o grupo de segurança Contas de Serviço do AAD DC.

5. Selecione Membros e escolha Adicionar... .

6. Insira o nome da conta de serviço do SharePoint e, em seguida, clique em OK. No exemplo a seguir, a conta de serviço do SharePoint é chamada de spadmin: