Azure AD Connect: Conceitos de designAzure AD Connect: Design concepts

O objetivo deste documento é descrever as áreas que devem ser consideradas durante o design de implementação do Azure AD Connect.The purpose of this document is to describe areas that must be thought through during the implementation design of Azure AD Connect. Este documento é um aprofundamento em determinadas áreas e esses conceitos também são descritos brevemente em outros documentos.This document is a deep dive on certain areas and these concepts are briefly described in other documents as well.

sourceAnchorsourceAnchor

O atributo sourceAnchor é definido como um atributo imutável durante o tempo de vida de um objeto.The sourceAnchor attribute is defined as an attribute immutable during the lifetime of an object. Ele identifica de maneira exclusiva um objeto como sendo o mesmo objeto local e no AD do Azure.It uniquely identifies an object as being the same object on-premises and in Azure AD. O atributo também é chamado de immutableId e os dois nomes são usados como sinônimos.The attribute is also called immutableId and the two names are used interchangeable.

A palavra imutável, ou seja, "que não pode ser alterado", é importante neste documento.The word immutable, that is "cannot be changed", is important to this document. Como o valor desse atributo não pode ser alterado depois de ser definido, é importante escolher um design que dê suporte ao seu cenário.Since this attribute’s value cannot be changed after it has been set, it is important to pick a design that supports your scenario.

O atributo é usado para os seguintes cenários:The attribute is used for the following scenarios:

  • Quando um novo servidor de mecanismo de sincronização é compilado ou recompilado após um cenário de recuperação de desastre, esse atributo vincula objetos existentes no Azure AD a objetos locais.When a new sync engine server is built, or rebuilt after a disaster recovery scenario, this attribute links existing objects in Azure AD with objects on-premises.
  • Se você for de uma identidade somente em nuvem para um modelo de identidade sincronizado, esse atributo permitirá que os objetos efetuem o "hard match" dos objetos existentes no Azure AD em relação aos objetos locais.If you move from a cloud-only identity to a synchronized identity model, then this attribute allows objects to "hard match" existing objects in Azure AD with on-premises objects.
  • Se você usar federação, esse atributo, junto com userPrincipalName , é usado na declaração para identificar exclusivamente um usuário.If you use federation, then this attribute together with the userPrincipalName is used in the claim to uniquely identify a user.

Este tópico trata somente de sourceAnchor no que diz respeito aos usuários.This topic only talks about sourceAnchor as it relates to users. As mesmas regras se aplicam a todos os tipos de objeto, mas somente para usuários para os quais esse problema normalmente é uma preocupação.The same rules apply to all object types, but it is only for users this problem usually is a concern.

Selecionando um bom atributo sourceAnchorSelecting a good sourceAnchor attribute

O valor do atributo deve seguir as regras a seguir:The attribute value must follow the following rules:

  • Menos de 60 caracteresFewer than 60 characters in length
    • Caracteres diferentes de a-z, A-Z ou 0-9 são codificados e contados como 3 caracteresCharacters not being a-z, A-Z, or 0-9 are encoded and counted as 3 characters
  • Não conter nenhum caractere especial: \ !Not contain a special character: \ ! # $ % & * + / = ?# $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _^ ` { } | ~ < > ( ) ' ; : , [ ] " @ _
  • Ser globalmente exclusivoMust be globally unique
  • Ser uma cadeia de caracteres, um inteiro ou um binárioMust be either a string, integer, or binary
  • Não deve se basear no nome do usuário, uma vez que ele pode mudarShould not be based on user's name because these can change
  • Não diferenciar maiúsculas de minúsculas e evitar valores que podem variar maiúsculas e minúsculasShould not be case-sensitive and avoid values that may vary by case
  • Ser atribuído quando o objeto é criadoShould be assigned when the object is created

Se o sourceAnchor selecionado não for do tipo de cadeia de caracteres, o Azure AD Connect usará Base64Encode no valor do atributo para assegurar que nenhum caractere especial será exibido.If the selected sourceAnchor is not of type string, then Azure AD Connect Base64Encode the attribute value to ensure no special characters appear. Se você usar outro servidor de federação em vez do ADFS, verifique se o servidor também pode usar Base64Encode para o atributo.If you use another federation server than ADFS, make sure your server can also Base64Encode the attribute.

O atributo sourceAnchor diferencia letras maiúsculas de minúsculas.The sourceAnchor attribute is case-sensitive. Um valor "DaviBarros" não é igual a "davibarros".A value of “JohnDoe” is not the same as “johndoe”. Porém, você não deve ter dois objetos diferentes com apenas uma diferença de uso de maiúsculas.But you should not have two different objects with only a difference in case.

Se você tiver uma única floresta local, o atributo que você deve usar é objectGUID.If you have a single forest on-premises, then the attribute you should use is objectGUID. Esse também é o atributo usado quando você usar configurações expressas no Azure AD Connect, além de ser o atributo usado pelo DirSync.This is also the attribute used when you use express settings in Azure AD Connect and also the attribute used by DirSync.

Se você tem várias florestas e não move usuários entre florestas e domínios, objectGUID é um bom atributo para usar, mesmo nesse caso.If you have multiple forests and do not move users between forests and domains, then objectGUID is a good attribute to use even in this case.

Se você mover os usuários entre domínios e florestas, deve encontrar um atributo que não será alterado ou que não pode ser movido com os usuários durante a movimentação.If you move users between forests and domains, then you must find an attribute that does not change or can be moved with the users during the move. Uma abordagem recomendada é apresentar um atributo sintético.A recommended approach is to introduce a synthetic attribute. Um atributo que contenha algo parecido com um GUID seria adequado.An attribute that could hold something that looks like a GUID would be suitable. Durante a criação do objeto, um novo GUID é criado e carimbado no usuário.During object creation, a new GUID is created and stamped on the user. Uma regra de sincronização personalizada pode ser criada no servidor de mecanismo de sincronização para criar esse valor baseado no objectGUID e atualizar o atributo selecionado no ADDS.A custom sync rule can be created in the sync engine server to create this value based on the objectGUID and update the selected attribute in ADDS. Ao mover o objeto, não se esqueça também de copiar o conteúdo do valor.When you move the object, make sure to also copy the content of this value.

Outra solução é escolher um atributo existente que você sabe que não será alterado.Another solution is to pick an existing attribute you know does not change. Os atributos usados normalmente incluem employeeID.Commonly used attributes include employeeID. Se você considerar um atributo que contenha letras, verifique se não há nenhuma possibilidade da letra (letras maiúsculas ou letras minúsculas) alterar o valor do atributo.If you consider an attribute that contains letters, make sure there is no chance the case (upper case vs. lower case) can change for the attribute's value. Atributos inválidos que não devem ser usados incluem os atributos com o nome do usuário.Bad attributes that should not be used include those attributes with the name of the user. Em um casamento ou divórcio, o nome deve ser alterado, o que não é permitido para esse atributo.In a marriage or divorce, the name is expected to change, which is not allowed for this attribute. Isso também é um dos motivos pelos quais os atributos como userPrincipalName, mail e targetAddress não são nem mesmo possíveis de se selecionar no assistente de instalação do Azure AD Connect.This is also one reason why attributes such as userPrincipalName, mail, and targetAddress are not even possible to select in the Azure AD Connect installation wizard. Esses atributos também contêm o caractere "@", que não é permitido no sourceAnchor.Those attributes also contain the "@" character, which is not allowed in the sourceAnchor.

Alterando o atributo sourceAnchorChanging the sourceAnchor attribute

O valor do atributo sourceAnchor não pode ser alterado após o objeto ser criado no AD do Azure e a identidade ser sincronizada.The sourceAnchor attribute value cannot be changed after the object has been created in Azure AD and the identity is synchronized.

Por esse motivo, as seguintes restrições se aplicam ao Azure AD Connect:For this reason, the following restrictions apply to Azure AD Connect:

  • O atributo sourceAnchor somente pode ser definido durante a instalação inicial.The sourceAnchor attribute can only be set during initial installation. Se você executar o assistente de instalação novamente, essa opção será somente leitura.If you rerun the installation wizard, this option is read-only. Se você precisar alterar essa configuração, desinstale e reinstale.If you need to change this setting, then you must uninstall and reinstall.
  • Se você instalar outro servidor do Azure AD Connect, você deverá selecionar o mesmo atributo sourceAnchor usado anteriormente.If you install another Azure AD Connect server, then you must select the same sourceAnchor attribute as previously used. Se você usava o DirSync anteriormente e mudou para o Azure AD Connect, será preciso usar objectGUID , já que ele é o atributo usado pelo DirSync.If you have earlier been using DirSync and move to Azure AD Connect, then you must use objectGUID since that is the attribute used by DirSync.
  • Se o valor de sourceAnchor for alterado após o objeto ser exportado para o Azure AD, a sincronização do Azure AD Connect gerará um erro e não permitirá nenhuma outra alteração no objeto antes de o problema ser corrigido e o sourceAnchor ser alterado de volta no diretório de origem.If the value for sourceAnchor is changed after the object has been exported to Azure AD, then Azure AD Connect sync throws an error and does not allow any more changes on that object before the issue has been fixed and the sourceAnchor is changed back in the source directory.

Usando ms-DS-ConsistencyGuid as sourceAnchorUsing ms-DS-ConsistencyGuid as sourceAnchor

Por padrão, o Azure AD Connect (versão 1.1.486.0 e anteriores) usa o objectGUID como o atributo sourceAnchor.By default, Azure AD Connect (version 1.1.486.0 and older) uses objectGUID as the sourceAnchor attribute. O ObjectGUID é gerado pelo sistema.ObjectGUID is system-generated. Não é possível especificar seu valor ao criar objetos do AD locais.You cannot specify its value when creating on-premises AD objects. Conforme explicado na seção sourceAnchor, há cenários em que você precisa especificar o valor sourceAnchor.As explained in section sourceAnchor, there are scenarios where you need to specify the sourceAnchor value. Se os cenários forem aplicáveis a você, use um atributo do AD configurável (por exemplo, ms-DS-ConsistencyGuid) como o atributo sourceAnchor.If the scenarios are applicable to you, you must use a configurable AD attribute (for example, ms-DS-ConsistencyGuid) as the sourceAnchor attribute.

O Azure AD Connect (versão 1.1.524.0 e posterior) agora facilita o uso de ms-DS-ConsistencyGuid como o atributo sourceAnchor.Azure AD Connect (version 1.1.524.0 and after) now facilitates the use of ms-DS-ConsistencyGuid as sourceAnchor attribute. Ao usar esse recurso, o Azure AD Connect configura automaticamente as regras de sincronização para:When using this feature, Azure AD Connect automatically configures the synchronization rules to:

  1. Use ms-DS-ConsistencyGuid como o atributo sourceAnchor para objetos do Usuário.Use ms-DS-ConsistencyGuid as the sourceAnchor attribute for User objects. O ObjectGUID é usado para outros tipos de objeto.ObjectGUID is used for other object types.

  2. Para qualquer objeto do Usuário do AD local determinado cujo atributo ms-DS-ConsistencyGuid não esteja preenchido, o Azure AD Connect grava seu valor objectGUID de volta para o atributo ms-DS-ConsistencyGuid no Active Directory local.For any given on-premises AD User object whose ms-DS-ConsistencyGuid attribute isn't populated, Azure AD Connect writes its objectGUID value back to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory. Depois que o atributo ms-DS-ConsistencyGuid é preenchido, o Azure AD Connect exporta o objeto para o Azure AD.After the ms-DS-ConsistencyGuid attribute is populated, Azure AD Connect then exports the object to Azure AD.

Observação

Uma vez que o objeto AD local é importado para o Azure AD Connect (ou seja, importado para o Espaço do AD Connector e projetado no Metaverso), você não pode mais alterar seu valor sourceAnchor.Once an on-premises AD object is imported into Azure AD Connect (that is, imported into the AD Connector Space and projected into the Metaverse), you cannot change its sourceAnchor value anymore. Para especificar o valor de sourceAnchor para um determinado objeto do AD local, configure seu atributo ms-DS-ConsistencyGuid antes de importá-lo para o Azure AD Connect.To specify the sourceAnchor value for a given on-premises AD object, configure its ms-DS-ConsistencyGuid attribute before it is imported into Azure AD Connect.

Permissão necessáriaPermission required

Para esse recurso funcionar, a conta do AD DS usada para sincronizar com o Active Directory local deve receber permissão de gravação para o atributo ms-DS-ConsistencyGuid no Active Directory local.For this feature to work, the AD DS account used to synchronize with on-premises Active Directory must be granted write permission to the ms-DS-ConsistencyGuid attribute in on-premises Active Directory.

Como habilitar o recurso ConsistencyGuid – nova instalaçãoHow to enable the ConsistencyGuid feature - New installation

Você pode habilitar o uso de ConsistencyGuid como sourceAnchor durante uma nova instalação.You can enable the use of ConsistencyGuid as sourceAnchor during new installation. Esta seção aborda tanto a instalação Expressa quanto a Personalizada em detalhes.This section covers both Express and Custom installation in details.

Observação

Apenas as versões mais recentes do Azure AD Connect (1.1.524.0 e posteriores) dão suporte ao uso de ConsistencyGuid como sourceAnchor durante a nova instalação.Only newer versions of Azure AD Connect (1.1.524.0 and after) support the use of ConsistencyGuid as sourceAnchor during new installation.

Como habilitar o recurso ConsistencyGuidHow to enable the ConsistencyGuid feature

Instalação ExpressaExpress Installation

Ao instalar o Azure AD Connect com o modo Expresso, o assistente do Azure AD Connect determina automaticamente o atributo do AD mais apropriado a ser usado como o atributo sourceAnchor usando a seguinte lógica:When installing Azure AD Connect with Express mode, the Azure AD Connect wizard automatically determines the most appropriate AD attribute to use as the sourceAnchor attribute using the following logic:

  • Primeiro, o assistente do Azure AD Connect consulta seu locatário do Azure AD para recuperar o atributo do AD usado como o atributo sourceAnchor na instalação anterior do Azure AD Connect (caso haja algum).First, the Azure AD Connect wizard queries your Azure AD tenant to retrieve the AD attribute used as the sourceAnchor attribute in the previous Azure AD Connect installation (if any). Se essas informações estiverem disponíveis, o Azure AD Connect usará o mesmo atributo do AD.If this information is available, Azure AD Connect uses the same AD attribute.

    Observação

    Apenas as versões mais recentes do Azure AD Connect (1.1.524.0 e posteriores) armazenam informações no seu locatário do Azure AD sobre o atributo sourceAnchor usado durante a instalação.Only newer versions of Azure AD Connect (1.1.524.0 and after) store information in your Azure AD tenant about the sourceAnchor attribute used during installation. Versões mais antigas do Azure AD Connect não fazem isso.Older versions of Azure AD Connect do not.

  • Se as informações sobre o atributo sourceAnchor usado não estiverem disponíveis, o assistente verificará o estado do atributo ms-DS-ConsistencyGuid em seu Active Directory local.If information about the sourceAnchor attribute used isn't available, the wizard checks the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. Se o atributo não estiver configurado em nenhum objeto no diretório, o assistente usará o ms-DS-ConsistencyGuid como o atributo sourceAnchor.If the attribute isn't configured on any object in the directory, the wizard uses the ms-DS-ConsistencyGuid as the sourceAnchor attribute. Se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outros aplicativos e não é adequado como atributo sourceAnchor...If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute...

  • Nesse caso, o assistente fará o fallback usando o objectGUID como o atributo sourceAnchor.In which case, the wizard falls back to using objectGUID as the sourceAnchor attribute.

  • Depois da definição do atributo sourceAnchor, o assistente armazena as informações em seu locatário do Azure AD.Once the sourceAnchor attribute is decided, the wizard stores the information in your Azure AD tenant. As informações serão usadas pela instalação futura do Azure AD Connect.The information will be used by future installation of Azure AD Connect.

Quando a instalação do Expresso estiver concluída, o assistente o informará de qual atributo foi selecionado como o atributo SourceAnchor.Once Express installation completes, the wizard informs you which attribute has been picked as the Source Anchor attribute.

O assistente informa qual atributo do AD foi escolhido como sourceAnchor

Instalação personalizadaCustom installation

Ao instalar o Azure AD Connect com o modo Personalizado, o assistente do Azure AD Connect oferece duas opções ao configurar o atributo sourceAnchor:When installing Azure AD Connect with Custom mode, the Azure AD Connect wizard provides two options when configuring sourceAnchor attribute:

Instalação personalizada – configuração do sourceAnchor

ConfiguraçãoSetting DescriçãoDescription
Permitir que o Azure gerencie a âncora de origem para mimLet Azure manage the source anchor for me Selecione essa opção se desejar que o Azure AD escolha o atributo para você.Select this option if you want Azure AD to pick the attribute for you. Se você selecionar essa opção, o Assistente do Azure AD Connect aplicará a mesma lógica de seleção de atributo sourceAnchor usada durante a instalação do Expresso.If you select this option, Azure AD Connect wizard applies the same sourceAnchor attribute selection logic used during Express installation. De modo semelhante à instalação do Expresso, o assistente informará qual atributo foi selecionado como atributo Source Anchor após a conclusão da instalação Personalizada.Similar to Express installation, the wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Um atributo específicoA specific attribute Selecione esta opção se você quiser especificar um atributo existente do AD como o atributo sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Como habilitar o recurso ConsistencyGuid – implantação existenteHow to enable the ConsistencyGuid feature - Existing deployment

Se você tiver uma implantação existente do Azure AD Connect, que esteja usando o objectGUID como o atributo de Âncora de Origem, você poderá mudar para ela, usando o ConsistencyGuid em vez disso.If you have an existing Azure AD Connect deployment which is using objectGUID as the Source Anchor attribute, you can switch it to using ConsistencyGuid instead.

Observação

Apenas as versões mais recentes do Azure AD Connect (1.1.552.0 e posteriores) dão suporte à comutação de ObjectGuid para ConsistencyGuid como o atributo de Âncora de Origem.Only newer versions of Azure AD Connect (1.1.552.0 and after) support switching from ObjectGuid to ConsistencyGuid as the Source Anchor attribute.

Para trocar de objectGUID para ConsistencyGuid como o atributo de Âncora de Origem:To switch from objectGUID to ConsistencyGuid as the Source Anchor attribute:

  1. Inicie o assistente do Azure AD Connect e clique em Configurar para acessar a tela Tarefas.Start the Azure AD Connect wizard and click Configure to go to the Tasks screen.

  2. Selecione a opção de tarefa Configurar Âncora de Origem e clique em Avançar.Select the Configure Source Anchor task option and click Next.

    Habilitar ConsistencyGuid para implantação existente – etapa 2

  3. Insira suas credenciais de administrador do Azure AD e clique em Avançar.Enter your Azure AD Administrator credentials and click Next.

  4. O assistente do Azure AD Connect analisará o estado do atributo ms-DS-ConsistencyGuid em seu Active Directory local.Azure AD Connect wizard analyzes the state of the ms-DS-ConsistencyGuid attribute in your on-premises Active Directory. Se o atributo não estiver configurado em nenhum objeto no diretório, o Azure AD Connect concluirá que nenhum outro aplicativo está usando o atributo atualmente e é seguro usá-lo como o atributo de Âncora de Origem.If the attribute isn't configured on any object in the directory, Azure AD Connect concludes that no other application is currently using the attribute and is safe to use it as the Source Anchor attribute. Clique em Próximo para continuar.Click Next to continue.

    Habilitar ConsistencyGuid para implantação existente – etapa 4

  5. Na tela Pronto para configurar, clique em Configurar para alterar a configuração.In the Ready to Configure screen, click Configure to make the configuration change.

    Habilitar ConsistencyGuid para implantação existente – etapa 5

  6. Quando a configuração for concluída, o assistente indicará que o ms-DS-ConsistencyGuid agora está sendo usado como o atributo de Âncora de Origem.Once the configuration completes, the wizard indicates that ms-DS-ConsistencyGuid is now being used as the Source Anchor attribute.

    Habilitar ConsistencyGuid para implantação existente – etapa 6

Durante a análise (etapa 4), se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outro aplicativo e retornará um erro, conforme ilustrado no diagrama a seguir.During the analysis (step 4), if the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by another application and returns an error as illustrated in the diagram below. Esse erro também poderá ocorrer se você já tiver habilitado o recurso ConsistencyGuid em seu servidor do Azure AD Connect principal e estiver tentando fazer o mesmo em seu servidor de preparo.This error can also occur if you have previously enabled the ConsistencyGuid feature on your primary Azure AD Connect server and you are trying to do the same on your staging server.

Habilitar ConsistencyGuid para implantação existente – erro

Se você tiver certeza de que o atributo não é usado por outros aplicativos existentes, poderá suprimir o erro reiniciando o assistente de Azure AD Connect com a opção /SkipLdapSearch especificada.If you are certain that the attribute isn't used by other existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified. Para tal, execute o seguinte comando no prompt de comando:To do so, run the following command in command prompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Impacto sobre o AD FS ou a configuração de federação de terceirosImpact on AD FS or third-party federation configuration

Se você estiver usando o Azure AD Connect para gerenciar a implantação do AD FS local, o Azure AD Connect atualizará automaticamente as regras de declaração para usar o mesmo atributo do AD como sourceAnchor.If you are using Azure AD Connect to manage on-premises AD FS deployment, the Azure AD Connect automatically updates the claim rules to use the same AD attribute as sourceAnchor. Isso garante que a declaração ImmutableID gerada pelo ADFS seja consistente com os valores de sourceAnchor exportados para o Azure AD.This ensures that the ImmutableID claim generated by ADFS is consistent with the sourceAnchor values exported to Azure AD.

Se você estiver gerenciando o AD FS fora do Azure AD Connect ou usando servidores de federação de terceiros para autenticação, atualize manualmente as regras de declaração para que a declaração ImmutableID seja consistente com os valores de sourceAnchor exportados para o Azure AD, conforme descrito na seção do artigo Modificar regras de declaração do AD FS.If you are managing AD FS outside of Azure AD Connect or you are using third-party federation servers for authentication, you must manually update the claim rules for ImmutableID claim to be consistent with the sourceAnchor values exported to Azure AD as described in article section Modify AD FS claim rules. O assistente retorna o seguinte aviso após a conclusão da instalação:The wizard returns the following warning after installation completes:

Configuração da federação de terceiros

Adicionando novos diretórios à implantação existenteAdding new directories to existing deployment

Suponha que você tenha implantado o Azure AD Connect com o recurso ConsistencyGuid habilitado e agora deseje adicionar outro diretório à implantação.Suppose you have deployed Azure AD Connect with the ConsistencyGuid feature enabled, and now you would like to add another directory to the deployment. Quando você tenta adicionar o diretório, o assistente do Azure AD Connect verifica o estado do atributo ms-DS-ConsistencyGuid no diretório.When you try to add the directory, Azure AD Connect wizard checks the state of the ms-DS-ConsistencyGuid attribute in the directory. Se o atributo estiver configurado em um ou mais objetos no diretório, o assistente concluirá que o atributo está sendo usado por outros aplicativos e retornará um erro, conforme ilustrado no diagrama a seguir.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and returns an error as illustrated in the diagram below. Se você tiver certeza de que o atributo não é usado por aplicativos existentes, poderá suprimir o erro reiniciando o assistente de Azure AD Connect com a opção /SkipLdapSearch especificada conforme descrito acima ou precisará entrar em contato com o suporte para obter mais informações .If you are certain that the attribute isn't used by existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearch switch specified as described above or you need to contact Support for more information.

Adicionando novos diretórios à implantação existente

Entrar no Azure ADAzure AD sign-in

Ao integrar seu diretório local ao Azure AD, é importante compreender como as configurações de sincronização podem afetar a maneira de autenticar o usuário.While integrating your on-premises directory with Azure AD, it is important to understand how the synchronization settings can affect the way user authenticates. O Azure AD usa userPrincipalName (UPN) para autenticar o usuário.Azure AD uses userPrincipalName (UPN) to authenticate the user. No entanto, ao sincronizar os usuários, você deve escolher o atributo a ser usado para o valor de userPrincipalName cuidadosamente.However, when you synchronize your users, you must choose the attribute to be used for value of userPrincipalName carefully.

Escolher o atributo para userPrincipalNameChoosing the attribute for userPrincipalName

Ao selecionar o atributo para fornecer o valor de UPN a ser usado no Azure, garanta queWhen you are selecting the attribute for providing the value of UPN to be used in Azure one should ensure

  • Os valores de atributo estão de acordo com a sintaxe UPN (RFC 822), ou seja, eles devem estar no formato nomedousuário@domínioThe attribute values conform to the UPN syntax (RFC 822), that is it should be of the format username@domain
  • O sufixo nos valores corresponde a um dos domínios personalizados verificados no Azure ADThe suffix in the values matches to one of the verified custom domains in Azure AD

Em configurações expressas, a opção suposta para o atributo é userPrincipalName.In express settings, the assumed choice for the attribute is userPrincipalName. Se o atributo userPrincipalName não contém o valor que você deseja que os usuários usem para entrar no Azure, escolha Instalação Personalizada.If the userPrincipalName attribute does not contain the value you want your users to sign in to Azure, then you must choose Custom Installation.

Estado de domínio personalizado e UPNCustom domain state and UPN

É importante garantir que haja um domínio verificado para o sufixo UPN.It is important to ensure that there is a verified domain for the UPN suffix.

John é um usuário em contoso.com.John is a user in contoso.com. Você deseja que John use o UPN local john@contoso.com para entrar no Azure depois de ter sincronizado os usuários com o diretório contoso.onmicrosoft.com do Azure AD.You want John to use the on-premises UPN john@contoso.com to sign in to Azure after you have synced users to your Azure AD directory contoso.onmicrosoft.com. Para fazer isso, você precisa adicionar e verificar contoso.com como um domínio personalizado no Azure AD antes de iniciar a sincronização dos usuários.To do so, you need to add and verify contoso.com as a custom domain in Azure AD before you can start syncing the users. Se o sufixo de Pedro, por exemplo, contoso.com, não corresponder a um domínio verificado no Azure AD, o Azure AD substituirá o sufixo UPN por contoso.onmicrosoft.com.If the UPN suffix of John, for example contoso.com, does not match a verified domain in Azure AD, then Azure AD replaces the UPN suffix with contoso.onmicrosoft.com.

Domínios locais não roteáveis e UPN para Azure ADNon-routable on-premises domains and UPN for Azure AD

Algumas organizações têm domínios não roteáveis, como contoso.local ou domínios de rótulo único simples, como contoso.Some organizations have non-routable domains, like contoso.local, or simple single label domains like contoso. Não é possível verificar um domínio não roteável no Azure AD.You are not able to verify a non-routable domain in Azure AD. O Azure AD Connect pode sincronizar apenas um domínio verificado no Azure AD.Azure AD Connect can sync to only a verified domain in Azure AD. Quando você cria um diretório do Azure AD, ele cria um domínio roteável que torna-se o domínio padrão do Azure AD, por exemplo, contoso.onmicrosoft.com.When you create an Azure AD directory, it creates a routable domain that becomes default domain for your Azure AD for example, contoso.onmicrosoft.com. Portanto, é necessário verificar se outros domínios roteáveis nesse cenário, caso você não deseje sincronizar com o domínio padrão onmicrosoft.com.Therefore, it becomes necessary to verify any other routable domain in such a scenario in case you don't want to sync to the default onmicrosoft.com domain.

Leia Adicionar seu nome de domínio personalizado ao Azure Active Directory para obter mais informações sobre como verificar domínios.Read Add your custom domain name to Azure Active Directory for more info on adding and verifying domains.

O Azure AD Connect detecta se você está executando em um ambiente de domínio não roteável e avisa corretamente para não prosseguir com configurações expressas.Azure AD Connect detects if you are running in a non-routable domain environment and would appropriately warn you from going ahead with express settings. Se você está operando em um domínio não roteável, é provável que o UPN dos usuários também tenha sufixos não roteáveis.If you are operating in a non-routable domain, then it is likely that the UPN, of the users, have non-routable suffixes too. Por exemplo, se você estiver executando em contoso.local, o Azure AD Connect vai sugerir o uso de configurações personalizadas em vez de usar as configurações expressas.For example, if you are running under contoso.local, Azure AD Connect suggests you to use custom settings rather than using express settings. Usando as configurações personalizadas, você pode especificar o atributo que deve ser usado como o UPN para entrar no Azure depois que os usuários são sincronizados com o Azure AD.Using custom settings, you are able to specify the attribute that should be used as UPN to sign in to Azure after the users are synced to Azure AD.

Próximas etapasNext steps

Saiba mais sobre Como integrar suas identidades locais ao Active Directory do Azure.Learn more about Integrating your on-premises identities with Azure Active Directory.