Pré-requisitos do Azure AD ConnectPrerequisites for Azure AD Connect

Este tópico descreve os pré-requisitos e requisitos de hardware para o Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Antes de instalar o Azure AD ConnectBefore you install Azure AD Connect

Antes de instalar o Azure AD Connect, aqui estão algumas coisas de que você precisará.Before you install Azure AD Connect, there are a few things that you need.

AD do AzureAzure AD

  • Um locatário do Azure AD.An Azure AD tenant. Você recebe uma avaliação gratuita do Azure.You get one with an Azure free trial. Você pode usar um dos seguintes portais para gerenciar o Azure AD Connect:You can use one of the following portals to manage Azure AD Connect:
  • Adicione e verifique o domínio que você planeja usar no AD do Azure.Add and verify the domain you plan to use in Azure AD. Por exemplo, se você planeja usar contoso.com para os usuários, em seguida, verifique se este domínio foi verificado e se não está usando apenas o domínio padrão contoso.onmicrosoft.com.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Um locatário do Azure AD pode ter, por padrão, 50 mil objetos.An Azure AD tenant allows by default 50k objects. Quando você verificar seu domínio, o limite aumentará para 300 mil objetos.When you verify your domain, the limit is increased to 300k objects. Se precisar de mais objetos no Azure AD, precisará abrir um caso de suporte para aumentar ainda mais o limite.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Se você precisar de mais de 500 mil objetos, precisará de uma licença, como Office 365, Azure AD Básico, Azure AD Premium ou Enterprise Mobility and Security.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

Preparar seus dados locaisPrepare your on-premises data

Active Directory localOn-premises Active Directory

  • A versão de esquema do AD e o nível funcional de floresta devem ser o Windows Server 2003 ou posterior.The AD schema version and forest functional level must be Windows Server 2003 or later. Os controladores de domínio podem executar qualquer versão, desde os requisitos de nível de floresta e de esquema sejam atendidos.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Se você pretende usar o recurso write-back de senha, os Controladores de Domínio devem estar no Windows Server 2008 R2 ou posterior.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 R2 or later.
  • O controlador de domínio usado pelo Azure AD deve ser gravável.The domain controller used by Azure AD must be writable. Não há suporte para o uso de um RODC (controlador de domínio somente leitura) e o Azure AD Connect não segue redirecionamentos de gravação.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • Não há suporte para o uso de florestas/domínios locais que usam nomes NetBios “com pontos” (nome que contém um ponto “.”).It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • É recomendável habilitar a lixeira do Active Directory.It is recommended to enable the Active Directory recycle bin.

Servidor do Azure AD ConnectAzure AD Connect server

Importante

O servidor do Azure AD Connect contém dados de identidade crítica e deve ser tratado como um componente de camada 0, conforme documentado no o modelo de camadas administrativas do Active DirectoryThe Azure AD Connect server contains critical identity data and should be treated as a Tier 0 component as documented in the Active Directory administrative tier model

  • O Azure AD Connect não pode ser instalado no Small Business Server ou no Windows Server Essentials anteriores a 2019 (o Windows Server Essentials 2019 é compatível).Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). O servidor deve estar usando o Windows Server standard ou superior.The server must be using Windows Server standard or better.
  • Instalando o Azure AD Connect em um controlador de domínio não é recomendado devido a configurações mais restritivas que podem impedir a instalação correta do Azure AD Connect e práticas de segurança.Installing Azure AD Connect on a Domain Controller is not recommended due to security practices and more restrictive settings that can prevent Azure AD Connect from installing correctly.
  • O servidor do Azure AD Connect deve ter uma GUI completa instalada.The Azure AD Connect server must have a full GUI installed. Não há suporte para a instalação no núcleo do servidor.It is not supported to install on server core.

Importante

Não há suporte para a instalação do Azure AD Connect no small business server, o essentials server ou o núcleo do servidor.Installing Azure AD Connect on small business server, server essentials, or server core is not supported.

  • O Azure AD Connect deve ser instalado no Windows Server 2008 R2 ou posterior.Azure AD Connect must be installed on Windows Server 2008 R2 or later. Esse servidor deve estar ingressado no domínio e pode ser um controlador de domínio ou um servidor membro.This server must be domain joined and may be a domain controller or a member server.

  • Se você instalar o Azure AD Connect no Windows Server 2008 R2, lembre-se de aplicar os últimos hotfixes do Windows Update.If you install Azure AD Connect on Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. A instalação não poderá ser iniciada com um servidor sem patch.The installation is not able to start with an unpatched server.

  • Se você pretende usar o recurso sincronização de senha, o servidor do Azure AD Connect deve estar no Windows Server 2008 R2 SP1 ou posterior.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.

  • Se você pretende usar uma conta de serviço gerenciado de grupo, o servidor do Azure AD Connect deve estar no Windows Server 2012 ou posterior.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.

  • O servidor do Azure AD Connect deve ter o .NET Framework 4.5.1 ou posterior e o Microsoft PowerShell 3.0 ou posterior instalados.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.

  • O servidor do Azure AD Connect não deve ter a Política de Grupo de Transcrições do PowerShell habilitada.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.

  • Se os Serviços de Federação do Active Directory estiverem sendo implantados, os servidores onde o AD FS ou Proxy de Aplicativo Web será instalado devem ser Windows Server 2012 R2 ou posterior.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. O gerenciamento remoto do Windows deve estar habilitado nesses servidores para instalação remota.Windows remote management must be enabled on these servers for remote installation.

  • Se o Serviços de Federação do Active Directory estiver sendo implantado, você precisará dos Certificados SSL.If Active Directory Federation Services is being deployed, you need SSL Certificates.

  • Se os Serviços de Federação do Active Directory (AD FS) estiverem sendo implantados, você precisará configurar a resolução de nomes.If Active Directory Federation Services is being deployed, then you need to configure name resolution.

  • Se os administradores globais tiverem uma MFA habilitada, a URL https://secure.aadcdn.microsoftonline-p.com precisará estar na lista de sites confiáveis.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. Você deverá adicionar esse site à lista de sites confiáveis quando receber um desafio de MFA e ele não tiver sido adicionado antes.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. Você pode usar o Internet Explorer para adicioná-la aos seus sites confiáveis.You can use Internet Explorer to add it to your trusted sites.

  • A Microsoft recomenda proteger seu servidor do Azure AD Connect para diminuir a superfície de ataque de segurança para este componente crítico de seu ambiente de TI.Microsoft recommends hardening your Azure AD Connect server to decrease the security attack surface for this critical component of your IT environment. Seguindo as recomendações abaixo irá diminuir os riscos de segurança para sua organização.Following the recommendations below will decrease the security risks to your organization.

  • Implantar o Azure AD Connect em um servidor de ingressado no domínio e restringir o acesso administrativo aos administradores de domínio ou outros grupos de segurança rigidamente controladas.Deploy Azure AD Connect on a domain joined server and restrict administrative access to domain administrators or other tightly controlled security groups.

Para obter mais informações, consulte:To learn more, see:

SQL Server usado pelo Azure AD ConnectSQL Server used by Azure AD Connect

  • O Azure AD Connect requer um banco de dados do SQL Server para armazenar dados de identidade.Azure AD Connect requires a SQL Server database to store identity data. Por padrão, um SQL Server 2012 Express LocalDB (uma versão leve do SQL Server Express) é instalado.By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. O SQL Server Express tem um limite de tamanho de 10GB que permite que você gerencie aproximadamente 100.000 objetos.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Se precisar gerenciar um volume maior de objetos de diretório, você precisa apontar o assistente de instalação para uma instalação diferente do SQL Server.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server. O tipo de instalação do SQL Server pode afetar a desempenho do Azure AD Connect.The type of SQL Server installation can impact the performance of Azure AD Connect.
  • Se você usar uma instalação diferente do SQL Server, esses requisitos se aplicam:If you use a different installation of SQL Server, then these requirements apply:
    • O Azure AD Connect dá suporte a todas as versões do Microsoft SQL Server do 2008 R2 (com Service Pack mais recente) para SQL Server 2019.Azure AD Connect supports all versions of Microsoft SQL Server from 2008 R2 (with latest Service Pack) to SQL Server 2019. O Banco de Dados SQL do Microsoft Azure não tem suporte como banco de dados.Microsoft Azure SQL Database is not supported as a database.
    • Deve usar uma ordenação de SQL que não diferencia maiúsculas de minúsculas.You must use a case-insensitive SQL collation. Essas ordenações são identificadas com um _CI_ no nome.These collations are identified with a _CI_ in their name. Não há suporte para a utilização de uma ordenação de maiúsculas e minúsculas, identificado por _CS_ em seu nome.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • Você só pode ter um mecanismo de sincronização por instância do SQL.You can only have one sync engine per SQL instance. Não há suporte para compartilhar uma instância do SQL com FIM/MIM Sync, DirSync ou Azure AD Sync.It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

ContasAccounts

  • Uma conta de Administrador Global do Azure AD para o locatário do Azure AD ao qual você deseja se integrar.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Essa conta deve ser uma conta corporativa ou de estudante e não pode ser uma conta da Microsoft.This account must be a school or organization account and cannot be a Microsoft account.
  • Se você usar as configurações ou a atualização expressa do DirSync, será necessário ter uma conta de Administrador Corporativo para seu Active Directory local.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your on-premises Active Directory.
  • Contas no Active Directory se você usar o caminho de instalação de configurações personalizadas ou uma conta de Administrador Corporativo para seu Active Directory local.Accounts in Active Directory if you use the custom settings installation path or an Enterprise Administrator account for your on-premises Active Directory.

ConectividadeConnectivity

  • O servidor do Azure AD Connect precisa da resolução de DNS para a intranet e a Internet.The Azure AD Connect server needs DNS resolution for both intranet and internet. O servidor DNS deve conseguir resolver nomes tanto para o Active Directory local quanto para os pontos de extremidade do Azure AD.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Se você tiver firewalls na Intranet e precisar abrir portas entre os servidores do Azure AD Connect e seus controladores de domínio, confira Portas de conexão do Azure AD para saber mais.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Se o proxy ou o firewall limitar as URLs que podem ser acessadas, as URLs documentadas em URLs e intervalos de endereços IP do Office 365 deverão ser abertas.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • O Azure AD Connect (versão 1.1.614.0 ou superior) usa o TLS 1.2 por padrão para criptografar a comunicação entre o mecanismo de sincronização e o Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Se TLS 1.2 não estiver disponível no sistema operacional subjacente, o Azure AD Connect reverterá progressivamente para protocolos mais antigos (TLS 1.1 e TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0).
  • Antes da versão 1.1.614.0, o Azure AD Connect usa TLS 1.0 por padrão para criptografar a comunicação entre o mecanismo de sincronização e o Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Para mudar para TLS 1.2, siga as etapas em Habilitar TLS 1.2 no Azure Connect AD.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Se você estiver usando um proxy de saída para conectar-se à Internet, a seguinte configuração no arquivo C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config deverá ser adicionada para que o assistente de instalação e a sincronização do Azure AD Connect possam se conectar à Internet e ao Azure AD.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Esse texto deve ser inserido na parte inferior do arquivo.This text must be entered at the bottom of the file. Neste código, <PROXYADDRESS> representa o nome de host ou o endereço IP do proxy real.In this code, <PROXYADDRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Se o servidor proxy precisar de autenticação, a conta de serviço deverá estar localizada no domínio e você deverá usar o caminho de instalação das configurações personalizadas para especificar uma conta de serviço personalizada.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. Você também precisa de uma alteração diferente em machine.config. Com essa alteração em machine.config, o assistente de instalação e o mecanismo de sincronização respondem às solicitações de autenticação do servidor proxy.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. Em todas as páginas do assistente de instalação, com exceção da página Configurar, as credenciais do usuário conectado são usadas.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. Na página Configurar no final do assistente de instalação, o contexto é alternado para a conta de serviço que foi criada por você.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. A seção machine.config deve ter esta aparência.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Quando o Azure AD Connect envia uma solicitação da Web ao Azure AD como parte da sincronização de diretório, o Azure AD pode levar até 5 minutos para responder.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. É comum que servidores de proxy tenham uma configuração de tempo limite de ociosidade da conexão.It is common for proxy servers to have connection idle timeout configuration. A configuração deve ser definida em pelo menos 6 minutos.Please ensure the configuration is set to at least 6 minutes or more.

Para obter mais informações, consulte o MSDN sobre o Elemento proxy padrão.For more information, see MSDN about the default proxy Element.
Para obter mais informações quando você tiver problemas de conectividade, consulte Solucionar problemas de conectividade.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

OutrosOther

  • Opcional: Uma conta de usuário de teste para verificar a sincronização.Optional: A test user account to verify synchronization.

Pré-requisitos do componenteComponent prerequisites

PowerShell e do .NET FrameworkPowerShell and .NET Framework

O Azure AD Connect depende do Microsoft PowerShell e do .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. Você precisa desta versão ou de uma versão posterior instalada no seu servidor.You need this version or a later version installed on your server. Dependendo da versão do Windows Server, faça o seguinte:Depending on your Windows Server version, do the following:

  • Windows Server 2012R2Windows Server 2012R2
    • O Microsoft PowerShell é instalado por padrão.Microsoft PowerShell is installed by default. Nenhuma ação é necessária.No action is required.
    • .NET Framework 4.5.1 e versões posteriores são oferecidas pelo Windows Update..NET Framework 4.5.1 and later releases are offered through Windows Update. Verifique se você instalou as atualizações mais recentes para o Windows Server no painel de controle.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 e Windows Server 2012Windows Server 2008 R2 and Windows Server 2012

Habilitar TLS 1.2 no Azure Connect ADEnable TLS 1.2 for Azure AD Connect

Antes da versão 1.1.614.0, o Azure AD Connect usa TLS 1.0 por padrão para criptografar a comunicação entre o servidor do mecanismo de sincronização e o Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. Você pode alterar isso configurando aplicativos .NET para usar o TLS 1.2 por padrão no servidor.You can change this by configuring .NET applications to use TLS 1.2 by default on the server. Saiba mais sobre o TLS 1.2 em Microsoft Security Advisory 2960358 .More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. TLS 1.2 não pode ser habilitado antes do Windows Server 2008 R2 ou posterior.TLS 1.2 cannot be enabled prior to Windows Server 2008 R2 or later. Verifique se você tem o .NET 4.5.1 hotfix instalado no seu sistema operacional, consulte Microsoft Security Advisory 2960358.Make sure you have the .NET 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. É possível ter esse hotfix ou uma versão posterior já instalada no servidor.You might have this hotfix or a later release installed on your server already.
  2. Se você usa o Windows Server 2008 R2, certifique-se de que TLS 1.2 está habilitado.If you use Windows Server 2008 R2, then make sure TLS 1.2 is enabled. No servidor Windows Server 2012 e em versões posteriores, o TLS 1.2 já deve estar habilitado.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    
  3. Para todos os sistemas operacionais, defina essa chave do registro e reinicie o servidor.For all operating systems, set this registry key and restart the server.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  4. Se você também deseja habilitar o TLS 1.2 entre o servidor do mecanismo de sincronização e um SQL Server remoto, verifique se você tem as versões necessárias instaladas para o suporte do TLS 1.2 para o Microsoft SQL Server.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Pré-requisitos para a configuração e instalação de federaçãoPrerequisites for federation installation and configuration

O gerenciamento remoto do WindowsWindows Remote Management

Ao usar o Azure AD Connect para implantar Serviços de Federação do Active Directory ou o Proxy de Aplicativo Web, verifique estes requisitos:When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Se o servidor de destino for ingressado em domínio, verifique se o Windows Remote Managed está habilitadoIf the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • Em uma janela Comando de PSH com privilégio elevado, use o comando Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • Se o servidor de destino for um computador WAP não tiver ingressado em um domínio, haverá alguns requisitos adicionaisIf the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • No computador de destino (computador WAP):On the target machine (WAP machine):
      • Verifique se o serviço winrm (Windows Remote Management/WS-Management) está em execução por meio do snap-in de ServiçosEnsure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • Em uma janela Comando de PSH com privilégio elevado, use o comando Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • No computador que está executando o assistente (se o computador de destino não for associado ao domínio ou for de um domínio não confiável):On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • Em uma janela Comando de PSH com privilégio elevado, use o comando Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • No Gerenciador de Servidores:In Server Manager:
        • adicione o host DMZ WAP ao pool de computadores (gerenciador de servidores -> Gerenciar -> Adicionar Servidores... use a guia DNS)add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • Guia Todos os Servidores do Gerenciador de Servidores: clique com o botão direito do mouse no servidor WAP e escolha Gerenciar como... e digite credenciais locais (não de domínio) para o computador WAPServer Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Para validar a conectividade PSH remota, na guia Todos os Servidores do Gerenciador de Servidores: clique com o botão direito do mouse no servidor WAP e escolha Windows PowerShell.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Uma sessão remota do PSH deverá ser aberta para garantir que sessões remotas do PowerShell possam ser estabelecidas.A remote PSH session should open to ensure remote PowerShell sessions can be established.

Requisitos de Certificado SSLSSL Certificate Requirements

  • É altamente recomendável usar o mesmo certificado SSL em todos os nós do farm do AD FS, bem como em todos os servidores proxy do Aplicativo Web.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • O certificado deve ser um certificado X509.The certificate must be an X509 certificate.
  • Você pode usar um certificado autoassinado nos servidores da federação em um ambiente de laboratório de teste.You can use a self-signed certificate on federation servers in a test lab environment. No entanto, para um ambiente de produção, recomendamos que você obtenha o certificado de uma CA pública.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Se usar um certificado que não é confiável publicamente, verifique se o certificado instalado em cada servidor proxy de aplicativo Web é confiável no servidor local e em todos os servidores de federaçãoIf using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • A identidade do certificado deve corresponder ao nome do serviço de federação (por exemplo, sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • A identidade é uma extensão SAN (nome alternativo da entidade) do tipo dNSName ou, se não houver entradas de SAN, o nome de entidade especificado como um nome comum.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • Várias entradas de SAN podem estar presentes no certificado, desde que uma delas coincide com o nome do serviço de federação.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Se você estiver planejando usar o Workplace Join, será necessário um SAN adicional com o valor enterpriseregistration.If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. seguido pelo sufixo do nome Principal do usuário (UPN) da sua organização, por exemplo, enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • Não há suporte para certificados com base em chaves CNG (CryptoAPI de próxima geração) e provedores de armazenamento de chaves.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Isso significa que você deve usar um certificado baseado em um CSP (provedor de serviços de criptografia) e não um KSP (provedor de armazenamento de chaves).This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • Há suporte para certificados curinga.Wild-card certificates are supported.

Resolução de nome para servidores de federaçãoName resolution for federation servers

  • Configure registros DNS para o nome do serviço de federação do AD FS (por exemplo, sts.contoso.com) para a intranet (o servidor DNS interno) e a extranet (DNS público por meio do registrador de domínios).Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Para o registro DNS da intranet, use registros A, não registros CNAME.For the intranet DNS record, ensure that you use A records and not CNAME records. Isso é necessário para que autenticação do Windows funcione corretamente em seu computador associado ao domínio.This is required for windows authentication to work correctly from your domain joined machine.
  • Se você estiver implantando mais de um servidor AD FS ou servidor proxy de aplicativo Web, verifique se configurou seu balanceador de carga e se os registros DNS do nome do serviço de federação do AD FS (por exemplo, sts.contoso.com) apontam para o balanceador de carga.If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Para que a autenticação integrada do Windows funcione com aplicativos de navegador usando o Internet Explorer em sua intranet, verifique se o nome do serviço de federação do AD FS (por exemplo, sts.contoso.com) foi adicionado à zona de intranet no Internet Explorer.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Isso pode ser controlado por meio da política de grupo e implantado a todos os computadores associados ao domínio.This can be controlled via group policy and deployed to all your domain joined computers.

Componentes de suporte do Azure AD ConnectAzure AD Connect supporting components

Esta é uma lista de componentes que o Azure AD Connect instalará no servidor onde o Azure AD Connect está instalado.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. Esta lista é para uma instalação básica do Express.This list is for a basic Express installation. Se você optar por usar um SQL Server diferente na página de serviços de sincronização de instalação, o SQL Express LocalDB não é instalado localmente.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Utilitários de linha de comando do Microsoft SQL Server 2012Microsoft SQL Server 2012 Command Line Utilities
  • LocalDB do Microsoft SQL Server 2012 ExpressMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Pacote de redistribuição de Microsoft Visual C++ 2013Microsoft Visual C++ 2013 Redistribution Package

Requisitos de hardware para o Azure AD ConnectHardware requirements for Azure AD Connect

A tabela a seguir mostra os requisitos mínimos para o computador de sincronização do Azure AD Connect.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Número de objetos no Active DirectoryNumber of objects in Active Directory CPUCPU MemóriaMemory Tamanho do disco rígidoHard drive size
Menos de 10.000Fewer than 10,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10.000–50.00010,000–50,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50.000–100.00050,000–100,000 1,6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
Para 100.000 ou mais objetos, é necessária a versão completa do SQL ServerFor 100,000 or more objects the full version of SQL Server is required
100.000–300.000100,000–300,000 1,6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300.000–600.000300,000–600,000 1,6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
Mais de 600.000More than 600,000 1,6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

Os requisitos mínimos para computadores que executam o AD FS ou servidores de aplicativos Web são os seguintes:The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • CPU: Dual-core de 1,6 GHz ou superiorCPU: Dual core 1.6 GHz or higher
  • MEMÓRIA: 2 GB ou superiorMEMORY: 2 GB or higher
  • VM do Azure: Configuração A2 ou superiorAzure VM: A2 configuration or higher

Próximas etapasNext steps

Saiba mais sobre Como integrar suas identidades locais ao Active Directory do Azure.Learn more about Integrating your on-premises identities with Azure Active Directory.