Tutorial: integrar uma única floresta com um único locatário do Microsoft Entra

  • Artigo

Esse tutorial descreve a criação de um ambiente de identidade híbrida usando a sincronização de nuvem do Microsoft Entra Connect.

Diagrama mostrando o fluxo de Sincronização na Nuvem do Microsoft Entra.

Você pode usar o ambiente criado neste tutorial para testes ou para se familiarizar mais com a sincronização de nuvem.

Pré-requisitos

No centro de administração do Microsoft Entra

  1. Crie uma conta de Administrador Global somente em nuvem no seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário caso seus serviços locais falhem ou fiquem indisponíveis. Saiba mais sobre adicionar uma conta de Administrador Global somente de nuvem. A conclusão dessa etapa é essencial para garantir que você não seja bloqueado de seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao locatário do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.

Em seu ambiente local

  1. Identifique um servidor de host conectado ao domínio que execute o Windows Server 2016 ou superior com um mínimo de 4 GB de RAM e runtime do .NET 4.7.1+

  2. Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

    • Verifique se os agentes podem fazer solicitações de saída ao Microsoft Entra ID nas seguintes portas:

      Número da porta Como ele é usado
      80 Baixa as listas de CRLs (certificados revogados) enquanto valida o certificado TLS/SSL
      443 Lida com toda a comunicação de saída com o serviço
      8080 (opcional) Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal.

      Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

    • Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente.

    • Seus agentes devem acessar login.windows.net e login.microsoftonline.com para o registro inicial. Abra seu firewall para essas URLs também.

    • Para validação de certificado, desbloqueie as seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Uma vez que esses URLs são usados para a validação de certificado com outros produtos da Microsoft, você talvez já tenha esses URLs desbloqueados.

Instalar o Agente de Provisionamento do Microsoft Entra

Se você estiver usando o tutorial Ambiente Básico do AD e Azure, será o DC1. Para instalar o agente, siga estas etapas:

  1. No portal do Azure, selecione Microsoft Entra ID.
  2. À esquerda, selecione Microsoft Entra Connect.
  3. À esquerda, selecione Sincronização na nuvem.

Captura de tela da nova tela de Experiência de Usuário.

  1. À esquerda, selecione Agente.
  2. Selecione Baixar agente local e selecione Aceitar os termos e baixar.

Captura de tela do agente de download.

  1. Depois que o Pacote do Agente de Provisionamento do Microsoft Entra Connect tiver concluído o download, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.

Observação

Ao instalar para o uso da Nuvem do Governo dos EUA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.

  1. Na tela inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.

Captura de tela que mostra a tela inicial do pacote do agente de provisionamento do Microsoft Entra Connect.

  1. Quando a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração. Captura de tela da tela de boas-vindas.
  2. Na tela Selecionar Extensão, selecione Provisionamento controlado por RH (Workday e SuccessFactors)/ Sincronização na nuvem do Microsoft Entra Connect e clique em Avançar. Captura de tela da tela de seleção de extensões.

Observação

Se estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativos no local, selecione Provisionamento de aplicativo local (Microsoft Entra ID para aplicativo).

  1. Entre com sua conta de administrador global do Microsoft Entra ou Administrador de Identidade Híbrida. Se a segurança aprimorada do Internet Explorer estiver habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.

Captura de tela da tela Conectar do Microsoft Entra ID.

  1. Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema detectará a conta existente e adicionará as permissões necessárias para o novo agente usar a conta gMSA. Quando solicitado, escolha:
  • Criar a gMSA que permite que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciada do grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Active Directory em que o servidor de host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
  • Use gMSA personalizado e forneça o nome da conta de serviço gerenciada que você criou manualmente para essa tarefa.

Para continuar, selecione Avançar.

Captura de tela da tela Configurar Conta de Serviço.

  1. Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, digite o nome de domínio do Active Directory e selecione Adicionar diretório.

  2. Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com o novas credenciais. Esta operação adicionará o diretório local. Selecione OK e, em seguida, Avançar para continuar.

Captura de tela que mostra como inserir as credenciais de administrador de domínio.

  1. A captura de tela a seguir mostra um exemplo do contoso.com de domínio configurado. Selecione Avançar para continuar.

Captura de tela da tela Conectar o Active Directory.

  1. Na tela Configuração concluída, selecione Confirmar. Esta operação registrará e reiniciará o agente.

  2. Depois de concluir a operação, você deverá ser notificado de que A configuração do agente foi verificada com sucesso. Você pode selecionar Sair.

Captura de tela que mostra a tela de conclusão.

  1. Se você ainda visualizar a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.

Verificação do agente de portal do Azure

Para verificar se o agente está registrado no Microsoft Entra ID, siga estas etapas:

  1. Entre no portal do Azure.
  2. Selecione ID do Microsoft Entra.
  3. Selecione Microsoft Entra Connect e, em seguida, Sincronização na nuvem. Captura de tela da nova tela de Experiência de Usuário.
  4. Na página de sincronização na nuvem, você verá os agentes que instalou. Verifique se o agente é exibido e se o status é íntegro.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.
  2. Abra Serviços navegando até essa opção ou acessando Iniciar/Executar/Services.msc.
  3. Em Serviços, verifique se o Atualizador do Agente do Microsoft Entra Connect e o Agente de Provisionamento do Microsoft Entra Connect estão presentes e se o status é Em execução. Captura de tela que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga essas etapas:

  1. Navegue até "C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect"
  2. Clique com o botão direito do mouse em "AADConnectProvisioningAgent.exe" e selecione propriedades.
  3. Clique na guia Detalhes e o número da versão será exibido ao lado da versão do Produto.

Configurar a Sincronização na Nuvem do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Use as etapas a seguir para configurar o provisionamento:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
  2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem. Captura de tela da home page da sincronização na nuvem.
  1. Selecione Nova configuração
  2. Na tela de configuração, insira um Email de notificação, mova o seletor para Habilitar e selecione Salvar.
  3. O status de configuração agora deve ser Íntegro.

Verificar se os usuários foram criados e a sincronização está ocorrendo

Agora você irá verificar se os usuários que você tinha em seu diretório local que estão no escopo da sincronização foram sincronizados e agora existem em seu locatário do Microsoft Entra. A operação de sincronização de dados pode demorar algumas horas para ser concluída. Para verificar se os usuários estão sincronizados, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue até Identidade>Usuários.
  3. Verifique se você vê os novos usuários em nosso inquilino

Tente entrar com um de seus usuários

  1. Navegue para https://myapps.microsoft.com

  2. Entre com uma conta de usuário que foi criada no seu locatário. Será necessário entrar usando o formato a seguir: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar localmente.

Captura de tela que mostra o portal meus aplicativos com usuários conectados.

Você configurou o ambiente de identidade híbrida usando a sincronização de nuvem do Microsoft Entra Connect com sucesso.

Próximas etapas