Microsoft Entra Connect: contas e permissões
Saiba mais sobre as contas usadas e criadas, e as permissões necessárias para instalar e usar o Microsoft Entra Connect.
Contas usadas para o Microsoft Entra Connect
O Microsoft Entra Connect utiliza três contas para sincronizar as informações do Windows Server Active Directory (Windows Server AD) local com o Microsoft Entra Connect:
Conta do conector do AD DS: usada para leitura e gravação de informações no Windows Server AD usando o Active Directory Domain Services (AD DS).
Conta de serviço ADSync: usada para executar o serviço de sincronização e acessar o banco de dados do SQL Server.
Conta do Microsoft Entra Connect: usada para gravar informações no Microsoft Entra ID.
Você precisa também das seguintes contas para instalar o Microsoft Entra Connect:
Conta de administrador local: o administrador que está instalando o Microsoft Entra Connect e tem permissões locais de administrador no computador.
Conta de administrador corporativo do AD DS: usada de forma opcional para criar a conta necessária do conector do AD DS.
Conta de administrador global do Microsoft Entra: usada para criar a conta do Microsoft Entra Connect e configurar o Microsoft Entra ID. Você pode exibir as contas Administrator Global e Administrador de Identidade Híbrida no centro de administração do Microsoft Entra. Confira Listar atribuições de função do Microsoft Entra.
Conta de SA da linguagem SQL (opcional): usada para criar o banco de dados do ADSync ao utilizar a versão completa do SQL Server. A instância do SQL Server pode ser local ou remota para a instalação do Microsoft Entra Connect. Essa conta pode ser a mesma do administrador corporativo.
O provisionamento do banco de dados agora pode ser realizado fora da banda pelo administrador do SQL Server e instalado pelo administrador do Microsoft Entra Connect se a conta tem permissões de proprietário do banco de dados (PBD). Para obter mais informações, consulte Instalar o Microsoft Entra Connect usando permissões de administrador delegadas do SQL.
Importante
A partir da compilação 1.4.###.#, você não pode mais usar uma conta de administrador corporativo ou uma conta do administrador de domínio como a conta do conector do AD DS. Se você tentar inserir uma conta que seja administrador corporativo ou administrador de domínio em Usar conta existente, o assistente exibirá uma mensagem de erro e você não poderá continuar.
Observação
Você pode gerenciar as contas administrativas usadas no Microsoft Entra Connect utilizando um modelo de acesso corporativo. Uma organização pode usar um modelo de acesso corporativo para hospedar contas administrativas, estações de trabalho e grupos em um ambiente que tenha controles de segurança mais fortes do que o ambiente de produção. Para obter mais informações, confira Modelo de acesso Enterprise.
A função Administrador global não é necessária após a configuração inicial. Após a configuração, a única conta necessária é a conta de função Contas de Sincronização de Diretório. Em vez de remover a conta que tem a função Administrador global, recomendamos que você altere a função para uma que tenha um nível mais baixo de permissões. A remoção completa da conta poderá apresentar problemas se você precisar executar novamente o assistente. Poderá adicionar permissões se precisar usar novamente o assistente do Microsoft Entra Connect.
Instalação do Microsoft Entra Connect
O assistente de instalação do Microsoft Entra Connect oferece dois caminhos:
- Configurações expressas: nas configurações expressas do Microsoft Entra Connect, o assistente precisa de mais permissões para que possa configurar facilmente sua instalação. O assistente cria usuários e configura permissões para que você não precise realizar essas ações.
- Configurações personalizadas: nas configurações personalizadas do Microsoft Entra Connect, você tem mais opções no assistente. No entanto, para alguns cenários, é importante garantir que você tenha por conta própria as permissões corretas.
Configurações expressas
Nas configurações expressas, você insere essas informações no assistente de instalação:
- Credenciais de administrador de empresa do AD DS
- Credenciais de administrador global do Microsoft Entra
Credenciais de administrador de empresa do AD DS
A conta de Administrador corporativo do AD DS é usada para configurar o Windows Server AD. Essas credenciais são usadas somente durante a instalação. O administrador corporativo, e não o administrador de domínio, deve garantir que as permissões no Windows Server AD possam ser definidas em todos os domínios.
Se você estiver atualizando a partir do DirSync, as credenciais de administrador corporativo do AD DS são usadas para redefinir a senha da conta usada pelo DirSync. As credenciais de administrador global do Microsoft Entra também são necessárias.
Credenciais de administrador global do Microsoft Entra
As credenciais para a conta de administrador global do Microsoft Entra Connect são usadas somente durante a instalação. A conta é usada para criar a conta do Microsoft Entra Connect que sincroniza as alterações com o Microsoft Entra ID. A conta também habilita a sincronização como um recurso no Microsoft Entra ID.
Para saber mais, confira administrador global.
Permissões necessárias para a conta do AD DS conector para configurações expressas
A conta do conector do AD DS é criada para leitura e gravação no Windows Server AD. A conta tem as seguintes permissões quando é criada durante a instalação de configurações expressas:
| Permissão | Usado para |
|---|---|
| - Replicar alterações de diretório - Replicar todas as alterações de diretório |
Sincronização de hash de senha |
| Ler/Gravar todas as propriedades Usuário | Importação e Exchange híbrido |
| Ler/Gravar todas as propriedades iNetOrgPerson | Importação e Exchange híbrido |
| Ler/Gravar todas as propriedades Grupo | Importação e Exchange híbrido |
| Ler/Gravar todas as propriedades Contato | Importação e Exchange híbrido |
| Redefinir senha | Preparação para habilitar write-back de senha |
Assistente de configurações expressas
No caso de uma instalação de configurações expressas, o assistente cria algumas contas e configurações para você.
A tabela a seguir é um resumo das páginas do assistente de configurações expressas, das credenciais coletadas e para que são usadas:
| Página do assistente | Credenciais coletadas | Permissões necessárias | Finalidade |
|---|---|---|---|
| N/D | O usuário que está executando o assistente de instalação. | Administrador do servidor local. | Usado para criar a conta de serviço do ADSync usada para executar o serviço de sincronização de dados. |
| Conectar Microsoft Entra ID | Credenciais de diretório do Microsoft Entra. | Função de administrador global no Microsoft Entra ID. | - Usado para habilitar a sincronização no diretório do Microsoft Entra. - Usado para criar a conta do Microsoft Entra Connect usada para operações de sincronização contínuas no Microsoft Entra ID. |
| Conectar-se ao AD DS | Credenciais do Windows Server AD. | Membro do grupo de Administradores Corporativos no Windows Server AD. | Usado para criar a conta do conector do AD DS no Windows Server AD e conceder permissões a ela. Essa conta criada é usada para leitura e gravação de informações do diretório durante a sincronização. |
Configurações Personalizadas
Em uma instalação de configurações personalizadas, você tem mais opções no assistente.
Assistente de configurações personalizadas
A tabela a seguir é um resumo das páginas do assistente de configurações personalizadas, das credenciais coletadas e para que são usadas:
| Página do assistente | Credenciais coletadas | Permissões necessárias | Finalidade |
|---|---|---|---|
| N/D | O usuário que está executando o assistente de instalação. | - Administrador do servidor local. - Se estiver usando uma instância de SQL Server completa, o usuário deve ser Administrador do Sistema (sysadmin) no SQL Server. |
Por padrão, usado para criar a conta local que é usada como conta de serviço do mecanismo de sincronização. A conta é criada somente quando o administrador não especifica uma conta. |
| Instalar serviços de sincronização, opção de conta de serviço | As credenciais do Windows Server AD ou da conta de usuário local. | Usuário e permissões são concedidas pelo assistente de instalação. | Se o administrador especificar uma conta, essa conta será usada como a conta de serviço para o serviço de sincronização. |
| Conectar Microsoft Entra ID | Credenciais de diretório do Microsoft Entra. | Função de administrador global no Microsoft Entra ID. | - Usado para habilitar a sincronização no diretório do Microsoft Entra. - Usado para criar a conta do Microsoft Entra Connect usada para operações de sincronização contínuas no Microsoft Entra ID. |
| Conectar seus diretórios | Credenciais do Windows Server AD para cada floresta conectada ao Microsoft Entra ID. | As permissões dependem de quais recursos você habilita e podem ser encontradas em Criar a conta do conector do AD DS. | Essa conta é usada para leitura e gravação de informações do diretório durante a sincronização. |
| Servidores do AD FS | Para cada servidor na lista, o assistente coleta credenciais quando o credenciamento de credenciais do usuário que executa o assistente não são suficientes para realizar a conexão. | A conta do administrador de domínio. | Usado durante a instalação e a configuração da função de servidor dos Serviços de Federação do Active Directory (AD FS). |
| Servidores proxy de aplicativo Web | Para cada servidor na lista, o assistente coleta credenciais quando o credenciamento de credenciais do usuário que executa o assistente não são suficientes para realizar a conexão. | Administrador local no computador de destino. | Usado durante a instalação e a configuração da função de servidor do proxy de aplicativo Web (WAP). |
| Credenciais de confiança de proxy | As credenciais de confiança do serviço de federação (as credenciais que o proxy usa para se inscrever em um certificado de confiança dos serviços de federação (FS)). | A conta de domínio que é administrador local do servidor do AD FS. | Registro inicial do certificado de confiança do FS-WAP. |
| Página da conta de serviço do AD FS Usar uma opção de conta de usuário do domínio | As credenciais de conta de usuário do Windows Server AD. | Um usuário de domínio. | A conta de usuário do Microsoft Entra cujas credenciais são fornecidas é usada como a conta de conexão do serviço do AD FS. |
Criar a conta do conector do AD DS
Importante
Um novo módulo do PowerShell chamado ADSyncConfig.psm1 foi introduzido com a compilação 1.1.880.0 (lançado em agosto de 2018). O módulo inclui uma coleção de cmdlets que ajudam você a configurar as permissões corretas do Windows Server AD para a conta do Microsoft Entra Domain Services Connector.
Para saber mais, consulte Microsoft Entra Connect: configurar as permissões de conta do AD DS Connector.
A conta que você especificar na página Conectar seus diretórios precisa ser criada no Windows Server AD antes da instalação como um objeto de usuário normal (VSA, MSA ou gMSA não são compatíveis). A versão 1.1.524.0 e posterior do Microsoft Entra Connect tem a opção de permitir que o assistente do Microsoft Entra Connect crie a conta do AD DS Connect usada para se conectar ao Windows Server AD.
A conta especificada também deve ter as permissões necessárias. O assistente de instalação não verifica as permissões e quaisquer problemas são encontrados somente durante o processo de sincronização.
As permissões de que você precisa dependem dos recursos opcionais que habilitar. Se você tiver vários domínios, as permissões devem ser concedidas para todos os domínios na floresta. Se você não habilitar nenhum desses recursos, as permissões padrão do Usuário de domínio serão suficientes.
| Recurso | Permissões |
|---|---|
| recurso ms-DS-ConsistencyGuid | Permissões de gravação para o ms-DS-ConsistencyGuidatributo documentado em Conceitos de Design - Usar ms-DS-ConsistencyGuid como sourceAnchor. |
| Sincronização de hash de senha | - Replicar alterações de diretório - Replicar todas as alterações de diretório |
| Implantação híbrida do Exchange | Permissões de gravação para os atributos documentados em Write-back híbrido do Exchange para usuários, grupos e contatos. |
| Pasta pública do Exchange Mail | Permissões de leitura para os atributos documentados na Pasta pública do Exchange Mail para pastas públicas. |
| write-back de senha | Permissões de gravação para os atributos documentados em Introdução ao gerenciamento de senhas para usuários. |
| Write-back de dispositivo | Permissões concedidas com um script do PowerShell, conforme descrito em Write-back do dispositivo. |
| Write-back de grupo | Permite write-back dos Grupos do Microsoft 365 em uma floresta com Exchange instalado. |
Permissões necessárias para atualização
Ao atualizar de uma versão do Microsoft Entra Connect para uma nova versão, você precisa das seguintes permissões:
| Principal | Permissões necessárias | Finalidade |
|---|---|---|
| O usuário que está executando o assistente de instalação | Administrador do servidor local | Usado para atualizar binários. |
| O usuário que está executando o assistente de instalação | Membro do ADSyncAdmins | Usado para fazer alterações em regras de sincronização e outras configurações. |
| O usuário que está executando o assistente de instalação | Se você usa uma instância completa do SQL Server: DBO (ou semelhante) do banco de dados do mecanismo de sincronização | Usado para fazer alterações no nível de banco de dados, como a atualização de tabelas com novas colunas. |
Importante
Na compilação 1.1.484, um bug de regressão foi introduzido no Microsoft Entra Connect. O bug requer permissões de sysadmin para atualizar o banco de dados do SQL Server. O bug foi corrigido na compilação 1.1.647. Para atualizar para essa compilação, você deve ter permissões de sysadmin. Nesse cenário, as permissões do DBO não são suficientes. Se você tentar atualizar o Microsoft Entra Connect sem as permissões de sysadmin, a atualização falhará e o Microsoft Entra Connect deixará de funcionar corretamente.
Detalhes das contas criadas
As seções a seguir fornecem mais informações sobre contas criadas no Microsoft Entra Connect.
Conta do AD DS conector
Se você usar configurações expressas, uma conta usada para sincronização é criada no Windows Server AD. A conta criada está localizada no domínio raiz da floresta no contêiner Usuários. O nome da conta tem o prefixo MSOL_. A conta é criada com uma senha longa e complexa que não expira. Se você tiver uma política de senhas em seu domínio, verifique se senhas longas e complexas são permitidas para esta conta.
Se você usar configurações personalizadas, você será responsável por criar a conta antes de iniciar a instalação. Ver criar a conta do conector do AD DS.
Conta do serviço ADSync
O serviço de sincronização pode ser executado em contas diferentes. Ele pode ser executado em uma conta de serviço virtual (VSA), uma conta de serviço gerenciado de grupo (gMSA), um serviço gerenciado autônomo (sMSA) ou uma conta de usuário regular. As opções com suporte foram alteradas com a versão de abril de 2017 do Microsoft Entra Connect ao fazer uma nova instalação. Se você atualizar a partir de uma versão anterior do Microsoft Entra Connect, essas opções adicionais não estarão disponíveis.
| Tipo de conta | Opção de instalação | Descrição |
|---|---|---|
| VSA | Expressa e personalizada, abril de 2017 e posterior | Essa é a opção usada para todas as instalações de configurações expressas, exceto para instalações em um controlador de domínio. Para configurações personalizadas, é a opção padrão. |
| gMSA | Personalizada, abril de 2017 e posterior | Se você usar uma instância remota do SQL Server, recomendamos que você use uma gMSA. |
| Conta de usuário | Expressa e personalizada, abril de 2017 e posterior | Uma conta de usuário com prefixo AAD_ é criada durante a instalação apenas quando o Microsoft Entra Connect está instalado no Windows Server 2008 e quando está instalado em um controlador de domínio. |
| Conta de usuário | Expressa e personalizada, março de 2017 e versões anteriores | Uma conta local prefixada com AAD_ é criada durante a instalação. Em uma instalação personalizada, você pode especificar uma conta diferente. |
Se você usar o Microsoft Entra Connect com uma compilação de março de 2017 ou anterior, não redefina a senha na conta de serviço. O Windows destrói as chaves de criptografia por motivos de segurança. Você não pode alterar a conta para nenhuma outra conta sem reinstalar o Microsoft Entra Connect. Se você atualizar para uma compilação de abril de 2017 ou posterior, você poderá alterar a senha na conta de serviço, mas não poderá alterar a conta usada.
Importante
Você pode definir a conta de serviço na primeira instalação apenas. Não é possível alterar a conta de serviço após a conclusão da instalação.
A tabela a seguir descreve as opções padrão, recomendadas e com suporte para a conta de serviço de sincronização.
Legenda:
- Negrito = A opção padrão e, na maioria dos casos, a opção recomendada.
- Itálico = A opção recomendada quando não é a opção padrão.
- 2008 = A opção padrão quando instalado no Windows Server 2008
- Sem negrito = Uma opção com suporte
- Conta local = Conta de usuário local no servidor
- Conta do domínio = Conta de usuário do domínio
- sMSA = conta de serviço gerenciado autônomo
- gMSA = conta de serviço gerenciado de grupo
| Banco de dados local Express |
Banco de dados local/SQL Server local Personalizado |
SQL Server Remoto Personalizado |
|
|---|---|---|---|
| computador associado ao domínio | VSA Conta local (2008) |
VSA Conta local (2008) Conta local Conta do domínio sMSA, gMSA |
gMSA Conta do domínio |
| Controlador de domínio | Conta do domínio | gMSA Conta do domínio sMSA |
gMSA Conta do domínio |
VSA
Uma VSA é um tipo especial de conta que não tem uma senha e é gerenciada pelo Windows.
A VSA destina-se a ser usada em cenários em que o mecanismo de sincronização e o SQL estão no mesmo servidor. Se você usar o SQL Server remoto, recomendamos que use uma gMSA em vez de uma VSA.
O recurso de VSA requer o Windows Server 2008 R2 ou posterior. Se você instalar o Microsoft Entra Connect no Windows Server 2008, a instalação voltará a usar uma conta de usuário em vez de uma VSA.
gMSA
Se você usar uma instância remota do SQL Server, recomendamos que você use uma gMSA. Para obter mais informações sobre como preparar o Windows Server AD para gMSA, consulte Visão geral das contas de serviço gerenciado de grupo.
Para usar essa opção, na página Instalar componentes necessários, selecione Usar uma conta de serviço existente e selecione Conta de serviço gerenciado.
Você pode usar também uma sMSA nesse cenário. No entanto, você pode usar uma sMSA somente no computador local e não há qualquer benefício em usar uma sMSA em vez da VSA padrão.
O recurso de sMSA requer o Windows Server 2012 ou posterior. Se você precisar usar uma versão mais antiga de um sistema operacional e usar o SQL Server remoto, você deve usar uma conta de usuário.
Conta de usuário
Uma conta de serviço local é criada pelo assistente de instalação (a menos que você especifique a conta a ser usada em configurações personalizadas). A conta tem prefixo AAD_ e é usada para o serviço de sincronização real para ser executada como tal. Se você instalar o Microsoft Entra Connect em um controlador de domínio, a conta será criada no domínio. A conta de serviço AAD_ deve estar localizada no domínio se:
- Você usa um servidor remoto executando o SQL Server.
- Você usa um proxy que exige autenticação.
A conta de serviço AAD_ é criada com uma senha longa e complexa que não expira.
Essa conta é usada para armazenar com segurança as senhas das outras contas. As senhas são armazenadas criptografadas no banco de dados. As chaves privadas das chaves de criptografia são protegidas com a criptografia de chave secreta dos serviços de criptografia usando a API de Proteção de Dados (DPAPI) do Windows.
Se você usar uma instância completa do SQL Server, a conta de serviço será a DBO do banco de dados criado para o mecanismo de sincronização. O serviço não funcionará conforme esperado com quaisquer outras permissões. Também é criado um logon do SQL Server.
A conta também recebe permissões para arquivos, chaves do registro e outros objetos relacionados ao mecanismo de sincronização.
Conta do Microsoft Entra Connect
Uma conta no Microsoft Entra ID é criada para o serviço de sincronização a usar. Você pode identificar essa conta pelo nome de exibição.
O nome do servidor no qual a conta é usada pode ser identificado na segunda parte do nome de usuário. Na imagem anterior, o nome do servidor é DC1. Se você tiver servidores de teste, cada servidor terá sua própria conta.
Uma conta do servidor é criada com uma senha longa e complexa que não expira. A conta recebe uma função especial Contas de sincronização de diretório que tem somente permissões para executar tarefas de sincronização de diretório. Essa função interna especial não pode ser concedida fora do assistente do Microsoft Entra Connect. O Centro de administração do Microsoft Entra mostra essa conta com a Função de usuário.
O Microsoft Entra ID tem um limite de 20 contas de serviço de sincronização.
Para obter a lista de contas de serviço do Microsoft Entra existentes na sua instância do Microsoft Entra, execute o seguinte comando:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesPara remover as contas de serviço do Microsoft Entra não utilizadas, execute o seguinte comando:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Observação
Para usar esses comandos do PowerShell, você deve instalar o módulo Microsoft Graph PowerShell e conectar-se à sua instância do Microsoft Entra ID usando Connect-MgGraph.
Para obter mais informações sobre como gerenciar ou redefinir a senha para a conta do Microsoft Entra Connect, consulte Gerenciar conta do Microsoft Entra Connect.
Artigos relacionados
Para saber mais informações sobre o Microsoft Entra Connect, consulte estes artigos:
| Tópico | Link |
|---|---|
| Baixar Microsoft Entra Connect | Baixar o Microsoft Entra Connect |
| Instalar usando configurações expressas | Instalação expressa do Microsoft Entra Connect |
| Instalar usando configurações personalizadas | Instalação personalizada do Microsoft Entra Connect |
| Atualizar do DirSync | Atualizar a partir da ferramenta Azure AD Sync (DirSync) |
| Após a instalação | Verifique a instalação e atribua licenças |
Próximas etapas
Saiba mais sobre a integração de identidades locais com o Microsoft Entra ID.