Instalação personalizada do Azure AD ConnectCustom installation of Azure AD Connect

As Configurações personalizadas do Azure AD Connect são usadas quando você deseja mais opções para a instalação.Azure AD Connect Custom settings is used when you want more options for the installation. Essa opção é usada se você tem várias florestas ou se quer configurar recursos opcionais não incluídos na instalação expressa.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Ela é usada em todos os casos em que a opção de instalação expressa não satisfaz à sua implantação ou a topologia.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Antes de iniciar a instalação do Azure AD Connect, baixe o Azure AD Connect e conclua as etapas de pré-requisito em Azure AD Connect: hardware e pré-requisitos.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Também verifique se você tem as contas necessárias disponíveis, conforme descrito em Contas e permissões do Azure AD Connect.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Se as configurações personalizadas não corresponderem à sua topologia, por exemplo, para atualizar o DirSync, confira a documentação relacionada para outros cenários.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Instalação de configurações personalizadas do Azure AD ConnectCustom settings installation of Azure AD Connect

Configurações ExpressasExpress Settings

Nessa página, clique em Personalizar para iniciar uma instalação de configurações personalizadas.On this page, click Customize to start a customized settings installation.

Instalar componentes necessáriosInstall required components

Quando você instala os serviços de sincronização, pode deixar a seção de configuração opcional desmarcada e o Azure AD Connect configura tudo automaticamente.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Ele configura uma instância do LocalDB do SQL Server 2012 Express, cria os grupos apropriados e atribui permissões a eles.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Se quiser alterar os padrões, você poderá usar a tabela a seguir para entender as opções de configuração opcionais disponíveis.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Componentes necessários

Configuração opcionalOptional Configuration DESCRIÇÃODescription
Usar um SQL Server existenteUse an existing SQL Server Permite que você especifique o nome do SQL Server e o nome da instância.Allows you to specify the SQL Server name and the instance name. Escolha essa opção se já tiver um servidor de banco de dados que você quer usar.Choose this option if you already have a database server that you would like to use. Digite o nome da instância, seguido de uma vírgula e do número da porta em Nome da Instância , se o SQL Server não tiver a navegação habilitada.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Em seguida, especifique o nome do banco de dados do Azure AD Connect.Then specify the name of the Azure AD Connect database. Os privilégios SQL determinam se será criado um novo banco de dados ou o administrador do SQL deve criar o banco de dados com antecedência.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Se você tiver permissões de SA do SQL ver como instalar usando um banco de dados.If you have SQL SA permissions see How to install using an existing database. Se você tiver sido delegadas permissões (DBO), consulte instalar o Azure AD Connect com permissões de administrador do SQL delegado.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Usar uma conta de serviço existenteUse an existing service account Por padrão, o Azure AD Connect usa uma conta de serviço virtual para os serviços de sincronização a usar.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Se você usar um SQL Server remoto ou um proxy que requer autenticação, precisará usar uma conta de serviço gerenciado ou uma conta de serviço no domínio e saber a senha.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. Nesses casos, insira a conta a usar.In those cases, enter the account to use. Verifique se o usuário que está executando a instalação é um SA no SQL para que um logon para a conta de serviço possa ser criado.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Confira Contas e permissões do Azure AD Connect.See Azure AD Connect accounts and permissions.
Com a compilação mais recente, o provisionamento do banco de dados agora pode ser executado fora da banda pelo administrador do SQL e, em seguida, instalado pelo administrador do Azure AD Connect com direitos de proprietário de banco de dados.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Para obter mais informações, confira Instale o Azure AD Connect usando permissões de administrador do SQL delegado.For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Especificar grupos de sincronização personalizadosSpecify custom sync groups Por padrão, o Azure Connect AD cria quatro grupos locais para o servidor quando os serviços de sincronização estiverem instalados.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Esses grupos são: grupo de administradores, grupo de operadores, grupo de navegação e grupo de redefinição de senha.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Você pode especificar seus próprios grupos aqui.You can specify your own groups here. Os grupos devem ser locais no servidor e não podem ser localizados no domínio.The groups must be local on the server and cannot be located in the domain.

Entrada do usuárioUser sign-in

Depois de instalar os componentes necessários, será solicitado que você selecione o método de logon único de seus usuários.After installing the required components, you are asked to select your users single sign-on method. A tabela a seguir fornece uma breve descrição das opções disponíveis.The following table provides a brief description of the available options. Para obter uma descrição completa dos métodos de entrada, consulte Entrada do usuário.For a full description of the sign-in methods, see User sign-in.

Entrada do Usuário

Opção de logon únicoSingle Sign On option DESCRIÇÃODescription
Sincronização de hash de senhaPassword Hash Sync Os usuários podem entrar em serviços de nuvem da Microsoft, como o Office 365, usando a mesma senha usada na rede local deles.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. As senhas dos usuários são sincronizadas com o AD do Azure por meio de um hash de senha, e a autenticação ocorre na nuvem.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Para obter mais informações, consulte Sincronização de hash de senha.See Password hash synchronization for more information.
Autenticação de PassagemPass-through Authentication Os usuários podem entrar em serviços de nuvem da Microsoft, como o Office 365, usando a mesma senha usada na rede local deles.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. A senha dos usuários é passada para o controlador de domínio do Active Directory local a ser validado.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Federação com o AD FSFederation with AD FS Os usuários podem entrar em serviços de nuvem da Microsoft, como o Office 365, usando a mesma senha usada na rede local deles.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Os usuários são redirecionados para a instância local do AD FS para entrar e a autenticação ocorre no local.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Federação com PingFederateFederation with PingFederate Os usuários podem entrar em serviços de nuvem da Microsoft, como o Office 365, usando a mesma senha usada na rede local deles.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Os usuários são redirecionados para a instância local do PingFederate para entrar e a autenticação ocorre no local.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Não configurarDo not configure Nenhum recurso de entrada do usuário está instalado e configurado.No user sign-in feature is installed and configured. Escolha essa opção se você já tiver um servidor de federação de terceiros ou outra solução existente em vigor.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Habilitar o Logon ÚnicoEnable Single Sign on Essa opção está disponível com a sincronização de hash de senha e a autenticação de passagem, e fornece uma experiência de logon único para usuários da área de trabalho na rede corporativa.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Para obter mais informações, veja Logon único.See Single sign-on for more information.
Observação para os clientes do AD FS: essa opção não está disponível porque o AD FS já oferece o mesmo nível de logon único.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Conecte-se ao AD do AzureConnect to Azure AD

Na tela Conectar ao AD do Azure, digite uma senha e uma conta de administrador global.On the Connect to Azure AD screen, enter a global admin account and password. Se você tiver selecionado Federação com o AD FS na página anterior, não entre com uma conta de um domínio que planeja habilitar para a federação.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Uma recomendação é usar uma conta no domínio onmicrosoft.com padrão, fornecida com o locatário do Microsoft Azure AD.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Lembre-se de que essa conta é usada apenas para criar uma conta de serviço no Azure AD e não é usada após a conclusão do assistente.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Entrada do Usuário

Se sua conta de administrador global tiver o MFA habilitado, você precisará fornecer a senha novamente no pop-up de entrada e concluir o desafio do MFA.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. O desafio poderia ser fornecer um código de verificação ou uma chamada telefônica.The challenge could be a providing a verification code or a phone call.
Entrada do usuário no MFA

A conta de administrador global também pode ter o Privileged Identity Management habilitado.The global admin account can also have Privileged Identity Management enabled.

Se você encontrar um erro e tiver problemas de conectividade, confira Solucionar problemas de conectividade.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Páginas na seção SincronizaçãoPages under the Sync section

Conectar seus diretóriosConnect your directories

Para se conectar a seu Serviço de Domínio do Active Directory, o Azure AD Connect precisa do nome da floresta e das credenciais de uma conta com permissões suficientes.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Conectar-se ao Diretório

Depois de inserir o nome da floresta e clicar em Adicionar Diretório, uma caixa de diálogo pop-up será exibida e indicará as seguintes opções:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OpçãoOption DESCRIÇÃODescription
Criar nova contaCreate new account Selecione esta opção se deseja que o assistente do Azure AD Connect crie a conta do AD DS exigida pelo Azure AD Connect para se conectar à floresta AD durante a sincronização de diretório.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Quando essa opção é selecionada, insira o nome de usuário e a senha de uma conta do administrador corporativo.When this option is selected, enter the username and password for an enterprise admin account. A conta do administrador corporativo fornecida será usada pelo assistente do Azure AD Connect para criar a conta do AD DS necessária.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Você pode inserir a parte do domínio no formato NetBios ou FQDN, ou seja, FABRIKAM\administrador ou fabrikam.com\administrador.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Usar conta existenteUse existing account Selecione esta opção se você deseja fornecer uma conta existente do AD DS para ser usada pelo Azure AD Connect para se conectar à floresta AD durante a sincronização de diretório.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Você pode inserir a parte do domínio no formato NetBios ou FQDN, ou seja, FABRIKAM\syncuser ou fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Essa conta pode ser uma conta de usuário regular, pois ele precisa apenas de permissões de leitura padrão.This account can be a regular user account because it only needs the default read permissions. No entanto, dependendo do cenário, talvez você precise de mais permissões.However, depending on your scenario, you may need more permissions. Para saber mais, confira Contas e permissões do Azure AD Connect.For more information, see Azure AD Connect Accounts and permissions.

Conectar-se ao Diretório

Configuração de entrada do Azure ADAzure AD sign-in configuration

Essa página permite que você examine os domínios UPN presentes no AD DS local e que foram verificados no Azure AD.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Esta página também permite que você configure o atributo a ser usado para userPrincipalName.This page also allows you to configure the attribute to use for the userPrincipalName.

Domínios não verificadosUnverified domains
Examine cada domínio marcado como Não Adicionado e Não Verificado.Review every domain marked Not Added and Not Verified. Confira se os domínios que você usa foram verificados no Azure AD.Make sure those domains you use have been verified in Azure AD. Clique no símbolo de Atualização quando tiver verificado os domínios.Click the Refresh symbol when you have verified your domains. Para saber mais, confira adicionar e verificar o domínioFor more information, see add and verify the domain

UserPrincipalName ‒ o atributo userPrincipalName é o que os usuários usam ao entrarem no Azure AD e no Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Os domínios usados, também conhecidos como sufixo UPN, devem ser verificados no AD do Azure antes que os usuários sejam sincronizados.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. A Microsoft recomenda manter o atributo padrão userPrincipalName.Microsoft recommends to keep the default attribute userPrincipalName. Se esse atributo não for roteável e não puder ser verificado, será possível selecionar outro atributo.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Por exemplo, você pode selecionar o email como o atributo que contém a ID de entrada.You can for example select email as the attribute holding the sign-in ID. O uso de um atributo diferente de userPrincipalName é conhecido como ID Alternativa.Using another attribute than userPrincipalName is known as Alternate ID. O valor do atributo da ID Alternativa deve seguir o padrão RFC822.The Alternate ID attribute value must follow the RFC822 standard. Uma ID alternativa pode ser usada com a sincronização de hash de senha, autenticação de passagem e federação.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. O atributo não deve ser definido no Active Directory com valores múltiplos, mesmo que tenha apenas um único valor.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value.

Observação

Quando habilitar a autenticação de passagem, você deverá ter pelo menos um domínio verificado para continuar no assistente.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Aviso

Usar uma ID alternativa não é compatível com todas as cargas de trabalho do Office 365.Using an Alternate ID is not compatible with all Office 365 workloads. Para obter mais informações, confira Configurando ID de logon alternativa.For more information, refer to Configuring Alternate Login ID.

Domínio e filtragem de unidade organizacionalDomain and OU filtering

Por padrão, todos os domínios e UOs são sincronizados.By default all domains and OUs are synchronized. Se houver algum domínio ou UO que você não queira sincronizar com o AD do Azure, desmarque-os.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Filtragem de DomainOUDomainOU filtering
Esta página do assistente está configurando a filtragem baseada em domínio e baseada em UO.This page in the wizard is configuring domain-based and OU-based filtering. Se você planeja fazer alterações, consulte filtragem baseada em domínio e filtragem baseada em unidade organizacional antes de fazer essas alterações.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Algumas UOs são essenciais para a funcionalidade e não devem ser desmarcadas.Some OUs are essential for the functionality and should not be unselected.

Se você usar a filtragem baseada em Unidade Organizacional com versão do Azure AD Connect anterior a 1.1.524.0, as novas OUs adicionadas posteriormente serão sincronizadas por padrão.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Se você quiser que as novas UOs não sejam sincronizadas, você pode configurar este comportamento após o assistente concluir a filtragem baseada em unidade organizacional.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Para o Azure AD Connect versão 1.1.524.0 ou posterior, você pode indicar se deseja que as novas OUs sejam sincronizados ou não.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Se você planeja usar a filtragem baseada em grupo, verifique se a UO com o grupo está incluída e não filtrada com filtragem de UO.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. A filtragem de UO é avaliada antes da filtragem baseada em grupo.OU filtering is evaluated before group-based filtering.

Também é possível que alguns domínios não estejam acessíveis devido a restrições de firewall.It is also possible that some domains are not reachable due to firewall restrictions. Esses domínios estão desmarcados por padrão e têm um aviso.These domains are unselected by default and have a warning.
Domínios inacessíveis
Se for mostrado este aviso, verifique se os domínios realmente não podem ser acessados e se o aviso é esperado.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Identificando seus usuários com exclusividadeUniquely identifying your users

Selecione como os usuários devem ser identificados em seus diretórios locaisSelect how users should be identified in your on-premises directories

A correspondência entre os recursos de florestas permite que você defina como os usuários de suas florestas do AD DS são representados no AD do Azure.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Um usuário também pode ser representado somente uma vez em todas as florestas ou ter uma combinação de contas habilitadas e desabilitadas.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. O usuário também pode ser representado como um contato em algumas florestas.The user might also be represented as a contact in some forests.

Exclusivo

ConfiguraçãoSetting DESCRIÇÃODescription
Os usuários são representados apenas uma vez em todas as florestasUsers are only represented once across all forests Todos os usuários são criados como objetos individuais no AD do Azure.All users are created as individual objects in Azure AD. Os objetos não são associados ao metaverso.The objects are not joined in the metaverse.
Atributo de emailMail attribute Essa opção associa usuários e contatos quando o atributo de email tem o mesmo valor em florestas diferentes.This option joins users and contacts if the mail attribute has the same value in different forests. Será recomendável usar essa opção quando seus contatos tiverem sido criados com GALSync.Use this option when your contacts have been created using GALSync. Se esta opção for escolhida, os Objetos de usuário cujo Atributo de email não são preenchidos não serão sincronizados para o Azure AD.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID e msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Essa opção associa um usuário habilitado em uma floresta de conta com um usuário desabilitado em uma floresta de recursos.This option joins an enabled user in an account forest with a disabled user in a resource forest. No Exchange, essa configuração é conhecida como uma caixa de correio vinculada.In Exchange, this configuration is known as a linked mailbox. Essa opção também pode ser usada se você usar somente o Lync e o Exchange não estiver presente na floresta de recursos.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName e MailNickNamesAMAccountName and MailNickName Essa opção une atributos onde é esperada a ID de entrada para que o usuário possa ser encontrado.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Um atributo específicoA specific attribute Essa opção permite que você selecione seu próprio atributo.This option allows you to select your own attribute. Se esta opção for escolhida, os Objetos de usuário cujo Atributo (selecionado) de email não são preenchidos não serão sincronizados para o Azure AD.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Limitação: escolha um atributo que já possa ser encontrado no metaverso.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Se você escolher um atributo personalizado (que não esteja no metaverso), o assistente não poderá ser concluído.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Selecione como os usuários devem ser identificados no Azure AD - âncora de origemSelect how users should be identified with Azure AD - Source Anchor

O atributo sourceAnchor é um atributo imutável durante o tempo de vida de um objeto de usuário.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. É a chave primária de vinculação de usuário local com o usuário no AD do Azure.It is the primary key linking the on-premises user with the user in Azure AD.

ConfiguraçãoSetting DESCRIÇÃODescription
Permitir que o Azure gerencie a âncora de origem para mimLet Azure manage the source anchor for me Selecione esta opção se deseja que Azure AD escolha o atributo para você.Select this option if you want Azure AD to pick the attribute for you. Se você selecionar essa opção, o assistente do Azure AD Connect aplicará a lógica de seleção de atributo sourceAnchor descrita na seção do artigo Azure AD Connect: Conceitos de design – usando ms-DS-ConsistencyGuid como sourceAnchor.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. O assistente informará qual atributo foi selecionado como atributo de âncora de origem após a conclusão da instalação personalizada.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Um atributo específicoA specific attribute Selecione esta opção se você quiser especificar um atributo existente do AD como o atributo sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Como o atributo não pode ser alterado, você deve planejar um bom atributo para usar.Since the attribute cannot be changed, you must plan for a good attribute to use. Um bom candidato é objectGUID.A good candidate is objectGUID. Esse atributo não será alterado, a menos que a conta de usuário seja movida entre florestas/domínios.This attribute is not changed, unless the user account is moved between forests/domains. Evite atributos que seriam alterados quando uma pessoa casasse ou mudasse de cargo.Avoid attributes that would change when a person marries or change assignments. Você não pode usar atributos com um caractere @-sign, portanto, email e userPrincipalName não podem ser usados.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. O atributo também diferencia maiúsculas de minúsculas. Portanto, se você mover um objeto entre florestas, preserve as maiúsculas/minúsculas.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Os atributos binários são codificados em base64, mas outros tipos de atributo permanecem no estado não codificado.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. Em cenários de federação e em algumas interfaces do AD do Azure, esse atributo também é conhecido como immutableID.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Mais informações sobre a âncora de origem podem ser encontradas nos conceitos de design.More information about the source anchor can be found in the design concepts.

Filtragem de sincronização com base em gruposSync filtering based on groups

A filtragem no recurso de grupos permite que você sincronize apenas um pequeno subconjunto de objetos para um piloto.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Para usar esse recurso, crie um grupo para essa finalidade no seu Active Directory local.To use this feature, create a group for this purpose in your on-premises Active Directory. Em seguida, adicione usuários e grupos que devem ser sincronizados ao AD do Azure como membros diretos.Then add users and groups that should be synchronized to Azure AD as direct members. Posteriormente, você pode adicionar e remover usuários nesse grupo para manter a lista de objetos que devem estar presentes no Azure AD.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Todos os objetos que você deseja sincronizar devem ser membros diretos do grupo.All objects you want to synchronize must be a direct member of the group. Isso incluirá os usuários, os grupos, os contatos e os computadores/dispositivos.Users, groups, contacts, and computers/devices must all be direct members. A associação de grupos aninhados não é resolvida.Nested group membership is not resolved. Quando você adiciona um grupo como um membro, o grupo em si é adicionado e não seus membros.When you add a group as a member, only the group itself is added and not its members.

Filtragem de sincronização

Aviso

Esse recurso destina-se somente a oferecer suporte a uma implantação piloto.This feature is only intended to support a pilot deployment. Não o utilize em uma implantação de produção completa.Do not use it in a full-blown production deployment.

Em uma implantação de produção completa, será ser difícil manter um único grupo com todos os objetos a sincronizar.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Em vez disso, use um dos métodos em Configurar filtragem.Instead you should use one of the methods in Configure filtering.

Recursos opcionaisOptional Features

Essa tela permite que você selecione os recursos opcionais para seus cenários específicos.This screen allows you to select the optional features for your specific scenarios.

Aviso

O Azure AD Connect versão 1.0.8641.0 e anteriores se baseia no Serviço de Controle de Acesso do Azure para write-back de senha.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Este serviço será desativado em 7 de novembro de 2018.This service will be retired on November 7th 2018. Se você estiver usando qualquer uma dessas versões do Azure AD Connect e tiver habilitado o write-back de senha, os usuários poderão perder a capacidade de alterar ou redefinir as respectivas senhas depois que o serviço for desativado.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. O write-back de senha com essas versões do Azure AD Connect não será compatível.Password writeback with these versions of Azure AD Connect will not be supported.

Para obter mais informações sobre o serviço de Controle de Acesso do Azure, consulte Como: Migrar do serviço de Controle de Acesso do AzureFor more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Para baixar a versão mais recente do Azure AD Connect, clique aqui.To download the latest version of Azure AD Connect click here.

Recursos opcionais

Aviso

Se você tiver o DirSync ou a Sincronização do AD do Azure ativa, não ative os recursos de write-back no Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Recursos opcionaisOptional Features DESCRIÇÃODescription
Implantação híbrida do ExchangeExchange Hybrid Deployment O recurso de implantação híbrida do Exchange permite a coexistência de caixas de correio do Exchange no local e no Office 365.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. O Azure AD Connect está sincronizando um conjunto específico de atributos do Azure AD em seu diretório local.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Pastas públicas do Exchange MailExchange Mail Public Folders O recurso Pastas públicas do Exchange Mail permite sincronizar objetos de pasta pública habilitada para email do seu Active Directory local com o Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Aplicativo AD do Azure e filtragem de atributosAzure AD app and attribute filtering Ao habilitar o aplicativo AD do Azure e filtragem de atributo, o conjunto de atributos sincronizados pode ser adaptado.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Essa opção adiciona mais duas páginas de configuração ao assistente.This option adds two more configuration pages to the wizard. Para saber mais, confira Aplicativo e filtragem de atributos do Azure AD.For more information, see Azure AD app and attribute filtering.
Sincronização de hash de senhaPassword hash synchronization Se você tiver selecionado a federação como a solução de entrada, então poderá habilitar essa opção.If you selected federation as the sign-in solution, then you can enable this option. A sincronização de hash de senha pode, então, ser usada como uma opção de backup.Password hash synchronization can then be used as a backup option. Para obter mais informações, consulte Sincronização de hash de senha.For additional information, see Password hash synchronization.
Se você selecionou Autenticação de Passagem, essa opção também poderá ser habilitada para garantir suporte para clientes herdados e como uma opção de backup.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Para obter mais informações, consulte Sincronização de hash de senha.For additional information, see Password hash synchronization.
write-back de senhaPassword writeback Ao habilitar o write-back de senha, as alterações de senha que se originam no AD do Azure serão gravadas no diretório local.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Para saber mais, confira Introdução ao gerenciamento de senhas.For more information, see Getting started with password management.
Write-back de grupoGroup writeback Se usar o recurso Grupos do Office 365 , você poderá ter esses grupos representados no Active Directory local.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Essa opção só estará disponível se você tiver o Exchange presente no seu Active Directory local.This option is only available if you have Exchange present in your on-premises Active Directory. Para saber mais, confira Write-back de grupo.For more information, see Group writeback.
Write-back de dispositivoDevice writeback Permite que você os objetos de dispositivo de write-back no Azure AD ao Active Directory local para cenários de acesso condicional.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Para saber mais, confira Habilitar o write-back de dispositivo no Azure AD Connect.For more information, see Enabling device writeback in Azure AD Connect.
Sincronização de atributo de extensão de diretórioDirectory extension attribute sync Ao habilitar a sincronização de atributo de extensão de diretório, os atributos especificados serão sincronizados com o AD do Azure.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Para saber mais, confira Extensões de diretório.For more information, see Directory extensions.

Aplicativo AD do Azure e filtragem de atributosAzure AD app and attribute filtering

Se você quiser limitar quais atributos serão sincronizados ao AD do Azure, comece ao selecionar quais serviços você está usando.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Se você fizer alterações de configuração nesta página, um novo serviço deve ser selecionado explicitamente por meio da de uma nova execução do assistente de instalação.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Recursos opcionais - Aplicativos

De acordo com os serviços selecionados na etapa anterior, essa página mostrará todos os atributos sincronizados.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Esta lista é uma combinação de todos os tipos de objeto que estão sendo sincronizado.This list is a combination of all object types being synchronized. Se houver alguns atributos específicos que não devam ser sincronizados, você poderá desmarcar esses atributos.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Recursos opcionais - Atributos

Aviso

A remoção de atributos pode afetar a funcionalidade.Removing attributes can impact functionality. Para obter práticas recomendadas e recomendações, confira atributos sincronizados.For best practices and recommendations, see attributes synchronized.

Sincronização de atributo de extensão de diretórioDirectory Extension attribute sync

Você pode estender o esquema no AD do Azure com atributos personalizados adicionados por sua organização ou outros atributos no Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Para usar esse recurso, selecione Sincronização do atributo Extensão de Diretório na página Recursos Opcionais.To use this feature, select Directory Extension attribute sync on the Optional Features page. Você pode selecionar mais atributos para sincronizar nesta página.You can select more attributes to sync on this page.

Observação

A caixa Atributos disponíveis diferencia maiúsculas de minúsculas.The Available attributes box is case sensitive.

Extensões de diretório

Para saber mais, confira Extensões de diretório.For more information, see Directory extensions.

Habilitando o SSO (Logon Único)Enabling Single sign on (SSO)

Configurar o logon único para uso com a autenticação de passagem ou sincronização de senha é um processo simples que você só precisa executar uma vez para cada floresta que está sendo sincronizada com o Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. A configuração envolve duas etapas, da seguinte maneira:Configuration involves two steps as follows:

  1. Crie a conta de computador necessária no seu Active Directory local.Create the necessary computer account in your on-premises Active Directory.
  2. Configure a zona da intranet dos computadores cliente para dar suporte a logon único.Configure the intranet zone of the client machines to support single sign on.

Crie a conta de computador no Active DirectoryCreate the computer account in Active Directory

Para cada floresta que tenha sido adicionada por meio do AD Connect do Azure, você precisará fornecer credenciais de administrador de domínio para que a conta de computador possa ser criada em cada floresta.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. As credenciais só são usadas para criar a conta e não são armazenadas nem usadas para nenhuma outra operação.The credentials are only used to create the account and are not stored or used for any other operation. Basta adicionar as credenciais na página Habilitar logon único do assistente Azure AD Connect conforme mostrado:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Habilitar o Logon Único

Observação

Você poderá optar por ignorar uma determinada floresta se não desejar usar o Logon Único com essa floresta.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Configurar a Área da Intranet para computadores clienteConfigure the Intranet Zone for client machines

Para garantir que o cliente entradas automaticamente na zona da intranet, você precisa garantir que a URL é parte da zona da intranet.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Isso garante que o computador que ingressou no domínio envia automaticamente um tíquete Kerberos ao Azure AD quando ele estiver conectado à rede corporativa.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Em um computador que tem as ferramentas de Gerenciamento de Política de Grupo.On a computer that has the Group Policy management tools.

  1. Abrir as ferramentas de Gerenciamento de Política de GrupoOpen the Group Policy Management tools

  2. Edite a política de grupo que será aplicada a todos os usuários.Edit the Group policy that will be applied to all users. Por exemplo, a política de domínio padrão.For example, the Default Domain Policy.

  3. Navegue até Configuração do Usuário\Modelos Administrativos\Componentes do Windows\Internet Explorer\Painel de Controle da Internet\Página de Segurança e selecione Lista de Atribuição de Site para Zona conforme a imagem abaixo.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Habilite a política e insira o item a seguir na caixa de diálogo.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. O arquivo deve ser semelhante ao seguinte:It should look similar to the following:
    Zonas da Intranet

  6. Clique em Ok duas vezes.Click Ok twice.

Configurando a federação com o AD FSConfiguring federation with AD FS

Configurar o AD FS com o Azure AD Connect é simples, exigindo apenas alguns cliques.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. É necessário o seguinte antes da configuração.The following is required before the configuration.

  • Um servidor Windows Server 2012 R2 ou posterior para o servidor de federação com gerenciamento remoto habilitadoA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Um servidor Windows Server 2012 R2 ou posterior para o servidor de proxy de aplicativo Web com gerenciamento remoto habilitadoA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Um certificado SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Observação

Você pode atualizar o certificado SSL para o farm do AD FS usando o Azure AD Connect, mesmo se não usá-lo para gerenciar sua relação de confiança de federação.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Pré-requisitos de configuração do AD FSAD FS configuration pre-requisites

Para configurar o farm do AD FS usando o Azure AD Connect, verifique se o WinRM está habilitado nos servidores remotos.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Verifique se você concluiu as outras tarefas em pré-requisitos de federação.Make sure you have completed the other tasks in federation prerequisites. Além disso, confira o requisito de portas listado na Tabela 3 ‒ Azure AD Connect e Servidores de Federação/WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Criar um novo farm do AD FS ou usar um farm do AD FS existenteCreate a new AD FS farm or use an existing AD FS farm

Você pode usar um farm do AD FS existente ou pode optar por criar um novo farm do AD FS.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Se optar por criar um novo, você precisará fornecer o certificado SSL.If you choose to create a new one, you are required to provide the SSL certificate. Se o certificado SSL estiver protegido por senha, a senha será solicitada.If the SSL certificate is protected by a password, you are prompted for the password.

Farm do AD FS

Se optar por usar um farm existente do AD FS, você será levado diretamente para a tela de configuração da relação de confiança entre o AD FS e o Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Observação

O Azure AD Connect pode ser usado para gerenciar somente um farm do AD FS.Azure AD Connect can be used to manage only one AD FS farm. Se você tiver uma relação de confiança de federação existente com o Azure AD configurada no farm do AD FS selecionado, a relação de confiança será recriada novamente do zero pelo Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Especificar os servidores do AD FSSpecify the AD FS servers

Insira os servidores específicos em que deseja instalar o AD FS.Enter the servers that you want to install AD FS on. Você pode adicionar um ou mais servidores com base em sua necessidades de planejamento de capacidade.You can add one or more servers based on your capacity planning needs. Ingresse todos os servidores do AD FS (não necessário para os servidores WAP) no Active Directory antes de executar essa configuração.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. A Microsoft recomenda instalar um único servidor do AD FS para implantações de teste e piloto.Microsoft recommends installing a single AD FS server for test and pilot deployments. Em seguida, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Azure AD Connect novamente após a configuração inicial.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Observação

Verifique se todos os servidores foram adicionados a um domínio do AD antes de realizar essa configuração.Ensure that all your servers are joined to an AD domain before you do this configuration.

Servidores do AD FS

Especificar os servidores proxy de aplicativo WebSpecify the Web Application Proxy servers

Insira os servidores que deseja definir como os servidores proxy de Aplicativo Web.Enter the servers that you want as your Web Application proxy servers. O servidor proxy de aplicativo Web é implantado em sua rede de DMZ (voltada para a extranet) e dá suporte a solicitações de autenticação da extranet.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Você pode adicionar um ou mais servidores com base em sua necessidades de planejamento de capacidade.You can add one or more servers based on your capacity planning needs. A Microsoft recomenda instalar um único servidor proxy de aplicativo Web para implantações de teste e piloto.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Em seguida, adicione e implante mais servidores para atender às suas necessidades de dimensionamento executando o Azure AD Connect novamente após a configuração inicial.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. É recomendável ter um número equivalente de servidores proxy para satisfazer à autenticação da intranet.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Observação

  • Se a conta usada não for de um administrador local nos servidores WAP, suas credenciais de administrador serão solicitadas.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Verifique se há conectividade HTTP/HTTPS entre o servidor do Azure AD Connect e o servidor de Proxy de Aplicativo Web antes de executar esta etapa.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Verifique se há conectividade HTTP/HTTPS entre o Servidor de Aplicativos Web e o servidor do AD FS para permitir o fluxo de solicitações de autenticação.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Aplicativo Web

    Você deverá inserir as credenciais para que o servidor de aplicativos Web possa estabelecer uma conexão segura com o servidor do AD FS.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Essas credenciais precisam ser um administrador local no servidor do AD FS.These credentials need to be a local administrator on the AD FS server.

    Proxy

    Especifique a conta de serviço para o serviço AD FSSpecify the service account for the AD FS service

    O serviço AD FS requer uma conta de serviço de domínio para autenticar usuários e informações de usuário de pesquisa no Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Ele pode dar suporte a dois tipos de contas de serviço:It can support two types of service accounts:

    • Conta do Serviço Gerenciado de Grupo ‒ introduzida nos Serviços de Domínio do Active Directory com o Windows Server 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Esse tipo de conta fornece serviços como o AD FS, uma única conta sem a necessidade de atualizar a senha da conta regularmente.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Use essa opção se você já tiver controladores de domínio do Windows Server 2012 no domínio ao qual os servidores do AD FS pertencem.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Conta de Usuário de Domínio ‒ esse tipo de conta exige que você forneça uma senha e atualize-a regularmente quando ela for alterada ou expirar.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Use essa opção somente quando você não tiver controladores de domínio do Windows Server 2012 no domínio ao qual os servidores do AD FS pertencem.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Se você tiver selecionado a Conta de Serviço Gerenciado de Grupo e se esse recurso nunca tiver sido usado no Active Directory, suas credenciais de Administrador Corporativo serão solicitadas.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Essas credenciais são usadas para iniciar o repositório de chaves e para habilitar o recurso no Active Directory.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Observação

    O Azure AD Connect executa uma verificação para detectar se o serviço AD FS já está registrado como um SPN no domínio.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. O AD DS não permitirá o registro de SPN duplicado de uma vez.AD DS will not allow duplicate SPN’s to be registered at once. Se um SPN duplicado for encontrado, você não poderá continuar até que o SPN seja removido.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    Conta de serviço do AD FS

    Selecione o domínio do AD do Azure que você deseja federarSelect the Azure AD domain that you wish to federate

    Essa configuração é usada para configurar a relação de federação entre o AD FS e o AD do Azure.This configuration is used to setup the federation relationship between AD FS and Azure AD. Ela configura o AD FS para emitir tokens de segurança para o AD do Azure e configura o AD do Azure para confiar em tokens dessa instância específica do AD FS.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Essa página só permite configurar um único domínio na instalação inicial.This page only allows you to configure a single domain in the initial installation. Você pode configurar mais domínios mais tarde executando novamente o Azure AD Connect.You can configure more domains later by running Azure AD Connect again.

    Domínio do AD do Azure

    Verificar o domínio do Azure AD selecionado para federaçãoVerify the Azure AD domain selected for federation

    Quando você seleciona o domínio a ser federado, o Azure AD Connect fornece informações necessárias para verificar um domínio não verificado.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Confira Adicionar e verificar o domínio para saber como usar essas informações.See Add and verify the domain for how to use this information.

    Domínio do AD do Azure

    Observação

    O AD Connect tenta verificar o domínio durante o estágio de configuração.AD Connect tries to verify the domain during the configure stage. Se você continuar a configurar sem adicionar os registros DNS necessários, o assistente não poderá concluir a configuração.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Configurando a federação com o PingFederateConfiguring federation with PingFederate

    Configurar o PingFederate com o Azure AD Connect é simples, exigindo apenas alguns cliques.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Porém, os seguintes pré-requisitos são necessários.However, the following prerequisites are required.

    Verifique o domínioVerify the domain

    Depois de selecionar a federação com o PingFederate, você deverá verificar o domínio que você deseja agrupar.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Selecione o domínio na caixa de lista suspensa.Select the domain from the drop-down box.

    Verificar domínio

    Exportar configurações do PingFederateExport the PingFederate settings

    O PingFederate deve ser configurado de acordo com o servidor de federação para cada domínio do Microsoft Azure.PingFederate must be configured as the federation server for each federated Azure domain. Clique no botão Exportar Configurações e compartilhe essas informações com o administrador do PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. O administrador do servidor de federação será atualizar a configuração, em seguida, forneça a URL do servidor PingFederate e número da porta para que conexão do Microsoft Azure Active Directory possa verificar se as configurações de metadados.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Verificar domínio

    Entre em contato com o administrador do PingFederate para resolver os problemas de validação.Contact your PingFederate administrator to resolve any validation issues. Este é um exemplo de um servidor de PingFederate que não tem uma relação de confiança válida com o Microsoft Azure:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Confiar

    Verificar conectividade da federaçãoVerify federation connectivity

    Azure AD Connect tentará validar os pontos de extremidade de autenticação recuperados dos metadados de PingFederate na etapa anterior.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Conexão do Microsoft Azure Active Directory e primeiro tentará resolver os pontos de extremidade usando seus servidores DNS locais.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Em seguida, tentará resolver os pontos de extremidade usando um provedor DNS externo.Next it will attempt to resolve the endpoints using an external DNS provider. Entre em contato com o administrador do PingFederate para resolver os problemas de validação.Contact your PingFederate administrator to resolve any validation issues.

    Verificar Conectividade

    Verifique o logon de federaçãoVerify federation login

    Por fim, você pode verificar o fluxo de logon federado recém-configurado ao entrar em um domínio federado.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Quando isso ocorrer, a federação com o PingFederate é configurada com êxito.When this succeeds, the federation with PingFederate is successfully configured. Verificar o logonVerify login

    Configurar e verificar páginasConfigure and verify pages

    A configuração ocorre nesta página.The configuration happens on this page.

    Observação

    Antes de continuar a instalação e se você tiver configurado a federação, verifique se configurou a Resolução de nomes para servidores de federação.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Pronto para configurar

    Modo de preparoStaging mode

    É possível configurar um novo servidor de sincronização em paralelo com o modo de preparo.It is possible to setup a new sync server in parallel with staging mode. Há suporte apenas para ter um servidor de sincronização conectado a um diretório na nuvem.It is only supported to have one sync server exporting to one directory in the cloud. Porém, se você quiser mover de outro servidor, por exemplo, um que esteja executando o DirSync, poderá habilitar o Azure AD Connect no modo de preparo.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Quando habilitado, o mecanismo de sincronização importa e sincroniza dados como normal, mas ele não exportará nada para o AD do Azure ou o AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. Os recursos sincronização de senha e write-back de senha são desabilitados durante o modo de preparo.The features password sync and password writeback are disabled while in staging mode.

    Modo de preparo

    No modo de preparo, é possível fazer as alterações necessárias no mecanismo de sincronização e examinar o que está prestes a ser exportado.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Quando a configuração parecer adequada, execute novamente o assistente de instalação e desabilite o modo de preparo.When the configuration looks good, run the installation wizard again and disable staging mode. Agora, os dados são exportados para o AD do Azure deste servidor.Data is now exported to Azure AD from this server. Desabilite o outro servidor ao mesmo tempo, para que somente um servidor esteja exportando ativamente.Make sure to disable the other server at the same time so only one server is actively exporting.

    Para saber mais, confira Modo de preparo.For more information, see Staging mode.

    Verificar a configuração de federaçãoVerify your federation configuration

    O Azure AD Connect verificará as configurações de DNS para você quando você clicar no botão Verificar.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Verificações de conectividade da intranetIntranet connectivity checks

    • Resolva o FQDN da federação: o Azure AD Connect verifica se o FQDN da federação pode ser resolvido pelo DNS a fim de garantir a conectividade.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Se o Azure AD Connect não puder resolver o FQDN, a verificação falhará.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Certifique-se de que um exista um registro DNS para o FQDN do serviço de federação para concluir com êxito a verificação.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • Registro de DNS A: o Azure AD Connect verifica se há um registro A para seu serviço de federação.DNS A record: Azure AD Connect checks if there is an A record for your federation service. Na ausência de um registro A, a verificação falhará.In the absence of an A record, the verification will fail. Crie um registro A, e não um registro CNAME, para o FQDN da federação a fim de concluir com êxito a verificação.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Verificações de conectividade da extranetExtranet connectivity checks

    • Resolva o FQDN da federação: o Azure AD Connect verifica se o FQDN da federação pode ser resolvido pelo DNS a fim de garantir a conectividade.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Concluído

    Verificar

    Para validar se a autenticação de ponta a ponta é bem-sucedida, execute manualmente um ou mais os seguintes testes:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Uma vez que a sincronização foi concluída, use a tarefa adicional de logon federada Verifique se no Azure AD Connect para verificar a autenticação para uma conta de usuário local de sua escolha.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Confirme se você pode entrar em um navegador de um computador de ingresso no domínio na intranet: Conecte-se ao https://myapps.microsoft.com e verifique a entrada com sua conta conectada.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. A conta interna de administrador do AD DS não está sincronizada e não pode ser usada para a verificação.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Valide que você pode entrar em um dispositivo da extranet.Validate that you can sign in from a device from the extranet. Em um computador doméstico ou em um dispositivo móvel, conecte-se a https://myapps.microsoft.com e forneça suas credenciais.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Valide a entrada do cliente avançado.Validate rich client sign-in. Conecte-se a https://testconnectivity.microsoft.com, escolha a guia Office 365 e escolha o Teste de Logon Único do Office 365.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    solução de problemasTroubleshooting

    A seção a seguir contém solução de problemas e informações que você pode usar se encontrar problemas na hora de instalar o Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    "O banco de dados ADSync já contém dados e não pode ser substituído"“The ADSync database already contains data and cannot be overwritten”

    Quando você faz a instalação personalizada do Azure AD Connect e seleciona a opção Usar um SQL Server existente na página Instalar componentes obrigatórios, pode encontrar um erro afirmando que O banco de dados ADSync já contém dados e não pode ser substituído. Remova o banco de dados existente e tente novamente.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Erro

    Isso ocorre porque já existe um banco de dados denominado ADSync na instância SQL do SQL Server, que você especificou nas caixas de texto acima.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Isso normalmente ocorre depois de se desinstalar o Azure AD Connect.This typically occurs after you have uninstalled Azure AD Connect. O banco de dados não será excluído do SQL Server quando você fizer a desinstalação.The database will not be deleted from the SQL Server when you uninstall.

    Para corrigir o problema, primeiro verifique se o banco de dados ADSync usado pelo Azure AD Connect antes da desinstalação não está sendo usado.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Em seguida, é recomendável que você faça backup do banco de dados antes de excluí-lo.Next, it is recommended that you backup the database prior to deleting it.

    Por fim, você precisará excluir o banco de dados.Finally, you need to delete the database. Você pode fazer isso usando o Microsoft SQL Server Management Studio e conectando-se à instância do SQL.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Localize o banco de dados ADSync, clique com o botão direito do mouse nele e selecione Excluir no menu de contexto.Find the ADSync database, right click on it, and select Delete from the context menu. Em seguida, clique no botão OK para excluí-lo.Then click OK button to delete it.

    Erro

    Depois de excluir o banco de dados ADSync, você pode clicar no botão Instalar para repetir a instalação.After you delete the ADSync database, you can click the install button, to retry installation.

    Próximas etapasNext steps

    Após a instalação, saia e entre novamente no Windows antes de usar o Gerenciador de Serviços de Sincronização ou o Editor de Regra de Sincronização.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Agora que você tem o Azure AD Connect instalado, é possível verificar a instalação e atribuir licenças.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Saiba mais sobre os recursos que foram habilitados com a instalação: Impedir exclusões acidentais e Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Saiba mais sobre estes tópicos comuns: Agendador e como disparar a sincronização.Learn more about these common topics: scheduler and how to trigger sync.

    Saiba mais sobre Como integrar suas identidades locais ao Active Directory do Azure.Learn more about Integrating your on-premises identities with Azure Active Directory.