Tutorial: Integrar uma única floresta do AD usando a autenticação de passagem (PTA)Tutorial: Integrate a single AD forest using pass-through authentication (PTA)

Criar

O tutorial a seguir o orientará na criação de um ambiente de identidade híbrido usando a autenticação de passagem.The following tutorial will walk you through creating a hybrid identity environment using pass-through authentication. Esse ambiente pode ser usado para testes ou para familiarizar-se mais com o funcionamento de uma identidade híbrida.This environment can then be used for testing or for getting more familiar with how a hybrid identity works.

Pré-requisitosPrerequisites

A seguir estão os pré-requisitos necessários para concluir este tutorialThe following are prerequisites required for completing this tutorial

Observação

Este tutorial usa scripts do PowerShell para que você possa criar o ambiente do tutorial no menor tempo possível.This tutorial uses PowerShell scripts so that you can create the tutorial environment in the quickest amount of time. Cada um dos scripts usa variáveis que são declaradas no início dos scripts.Each of the scripts uses variables that are declared at the beginning of the scripts. Você pode e deve alterar as variáveis para refletir seu ambiente.You can and should change the variables to reflect your environment.

Os scripts usados criam um ambiente geral do Active Directory antes de instalar o Azure AD Connect.The scripts used create a general Active Directory environment prior to installing Azure AD Connect. Eles são relevantes para todos os tutoriais.They are relevant for all of the tutorials.

Cópias dos scripts do PowerShell que são usados neste tutorial estão disponíveis no GitHub aqui.Copies of the PowerShell scripts that are used in this tutorial are available on GitHub here.

Criar uma máquina virtualCreate a virtual machine

A primeira etapa necessária para colocar o ambiente de identidade híbrida em funcionamento é criar uma máquina virtual que será usada como o servidor local do Active Directory.The first thing that we need to do, in order to get our hybrid identity environment up and running is to create a virtual machine that will be used as our on-premises Active Directory server.

Observação

Se você nunca executou um script no PowerShell no computador host, será necessário executar Set-ExecutionPolicy remotesigned e indicar sim no PowerShell, antes de executar os scripts.If you have never run a script in PowerShell on your host machine you will need to run Set-ExecutionPolicy remotesigned and say yes in PowerShell, prior to running scripts.

Faça o seguinte:Do the following:

  1. Abra o ISE do PowerShell como Administrador.Open up the PowerShell ISE as Administrator.
  2. Execute o seguinte script.Run the following script.
#Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create New Virtual Machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add DVD Drive to Virtual Machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount Installation Media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure Virtual Machine to Boot from DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 

Concluir a implantação de sistema operacionalComplete the operating system deployment

Para concluir a criação da máquina virtual, é necessário concluir a instalação do sistema operacional.In order to finish building the virtual machine, you need to finish the operating system installation.

  1. Gerenciador Hyper-V, clique duas vezes na máquina virtualHyper-V Manager, double-click on the virtual machine
  2. Clique no botão Iniciar.Click on the Start button.
  3. Você será solicitado a "Pressionar qualquer tecla para inicializar a partir de um CD ou DVD".You will be prompted to ‘Press any key to boot from CD or DVD’. Prossiga e faça isso.Go ahead and do so.
  4. Na tela de inicialização do Windows Server, selecione o idioma e clique em Avançar.On the Windows Server start up screen select your language and click Next.
  5. Clique em Instalar Agora.Click Install Now.
  6. Insira a chave de licença e clique em Avançar.Enter your license key and click Next.
  7. Marque **Eu aceito os termos da licença e clique em Avançar.Check **I accept the license terms and click Next.
  8. Selecione Personalizado: Instalar somente o Windows (Avançado)Select Custom: Install Windows Only (Advanced)
  9. Clique em AvançarClick Next
  10. Quando a instalação estiver concluída, reinicie a máquina virtual, entre e execute as atualizações do Windows para garantir que a VM seja a mais atualizada.Once the installation has completed, restart the virtual machine, sign-in and run Windows updates to ensure the VM is the most up-to-date. Instale as atualizações mais recentes.Install the latest updates.

Instalar os pré-requisitos do Active DirectoryInstall Active Directory prerequisites

Agora que temos uma máquina virtual ativa, precisamos fazer algumas coisas antes de instalar o Active Directory.Now that we have a virtual machine up, we need to do a few things prior to installing Active Directory. Ou seja, precisamos renomear a máquina virtual, definir um endereço IP estático e informações de DNS e instalar as ferramentas de Administração de Servidor Remoto.That is, we need to rename the virtual machine, set a static IP address and DNS information, and install the Remote Server Administration tools. Faça o seguinte:Do the following:

  1. Abra o ISE do PowerShell como Administrador.Open up the PowerShell ISE as Administrator.
  2. Execute Set-ExecutionPolicy remotesigned e indique sim para todos [A].Run Set-ExecutionPolicy remotesigned and say yes to all [A]. Pressione Enter.Press Enter.
  3. Execute o seguinte script.Run the following script.
#Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "8.8.8.8" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Criar um ambiente AD do Windows ServerCreate a Windows Server AD environment

Agora que temos a VM criada e ela foi renomeada e tem um endereço IP estático, podemos instalar e configurar o Active Directory Domain Services.Now that we have the VM created and it has been renamed and has a static IP address, we can go ahead and install and configure Active Directory Domain Services. Faça o seguinte:Do the following:

  1. Abra o ISE do PowerShell como Administrador.Open up the PowerShell ISE as Administrator.
  2. Execute o seguinte script.Run the following script.
#Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomaninNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install AD DS, DNS and GPMC 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create New AD Forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Criar um usuário do AD do Windows ServerCreate a Windows Server AD user

Agora que temos o ambiente do Active Directory, precisamos de uma conta de teste.Now that we have our Active Directory environment, we need to a test account. Essa conta será criada no ambiente AD local e, em seguida, sincronizada com o Azure AD.This account will be created in our on-premises AD environment and then synchronized to Azure AD. Faça o seguinte:Do the following:

  1. Abra o ISE do PowerShell como Administrador.Open up the PowerShell ISE as Administrator.
  2. Execute o seguinte script.Run the following script.
#Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force


#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Criar um locatário do Azure ADCreate an Azure AD tenant

Agora, é necessário criar um locatário do Azure AD para que seja possível sincronizar os usuários com a nuvem.Now we need to create an Azure AD tenant so that we can synchronize our users to the cloud. Para criar um novo locatário do Azure AD, faça o seguinte.To create a new Azure AD tenant, do the following.

  1. Navegue até o portal do Azure e entre com uma conta que tenha uma assinatura do Azure.Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. Selecione o ícone adição (+) e pesquise Azure Active Directory.Select the plus icon (+) and search for Azure Active Directory.
  3. Selecione Azure Active Directory nos resultados da pesquisa.Select Azure Active Directory in the search results.
  4. Selecione Criar.Select Create.
    CriarCreate
  5. Forneça um nome para a organização juntamente com o nome de domínio inicial.Provide a name for the organization along with the initial domain name. Em seguida, selecione Criar.Then select Create. Isso criará criar o diretório.This will create your directory.
  6. Depois que for concluído, clique no link aqui para gerenciar o diretório.Once this has completed, click the here link, to manage the directory.

Criar um administrador global no Azure ADCreate a global administrator in Azure AD

Agora que temos um locatário do Azure AD, criaremos uma conta de administrador global.Now that we have an Azure AD tenant, we will create a global administrator account. Essa conta é usada para criar a conta do Azure AD Connector durante a instalação do Azure AD Connect.This account is used to create the Azure AD Connector account during Azure AD Connect installation. A conta do Azure AD Connector é usada para gravar informações no Azure AD.The Azure AD Connector account is used to write information to Azure AD. Para criar a conta de administrador global, faça o seguinte.To create the global administrator account do the following.

  1. Em Gerenciar, selecione Usuários.Under Manage, select Users.
    CriarCreate
  2. Selecione Todos os usuários e, em seguida, selecione + Novo usuário.Select All users and then select + New user.
  3. Forneça um nome e um nome de usuário para esse usuário.Provide a name and username for this user. Este será o Administrador Global para o locatário.This will be your Global Admin for the tenant. Convém também alterar a função do diretório para Administrador global.You will also want to change the Directory role to Global administrator. Também é possível mostrar a senha temporária.You can also show the temporary password. Ao concluir, selecione Criar.When you are done, select Create.
    CriarCreate
  4. Depois que isso for concluído, abra um novo navegador da Web e entre em myapps.microsoft.com usando a nova conta de administrador global e a senha temporária.Once this has completed, open a new web browser and sign-in to myapps.microsoft.com using the new global administrator account and the temporary password.
  5. Altere a senha do administrador global para algo que você irá lembrar.Change the password for the global administrator to something that you will remember.

Adicionar o nome de domínio personalizado ao diretórioAdd the custom domain name to your directory

Agora que temos um locatário e um administrador global, precisamos adicionar nosso domínio personalizado para que o Azure possa verificá-lo.Now that we have a tenant and a global administrator, we need to add our custom domain so that Azure can verify it. Faça o seguinte:Do the following:

  1. De volta ao portal do Azure certifique-se de fechar a folha Todos os Usuários.Back in the Azure portal be sure to close the All Users blade.
  2. À esquerda, selecione Personalizar nomes de domínio.On the left, select Custom domain names.
  3. Selecione Adicionar domínio personalizado.Select Add custom domain.
    PersonalizadoCustom
  4. Em Nomes de domínio personalizados, insira o nome do domínio personalizado na caixa e clique em Adicionar Domínio.On Custom domain names, enter the name of your custom domain in the box, and click Add Domain.
  5. Na tela de nome de domínio personalizado, você será fornecido com informações TXT ou MX.On the custom domain name screen you will be supplied with either TXT or MX information. Essas informações devem ser adicionadas às informações de DNS do registrador de domínios em seu domínio.This information must be added to the DNS information of the domain registrar under your domain. Portanto, você precisa acessar o registrador de domínios e inserir as informações de TXT ou MX nas configurações de DNS do seu domínio.So you need to go to your domain registrar, enter either the TXT or MX information in the DNS settings for your domain. Isso permitirá que o Azure verifique o domínio.This will allow Azure to verify your domain. Pode demorar até 24 horas até que o Azure conclua a verificação.This may take up to 24 hours for Azure to verify it. Para obter mais informações, consulte a documentação adicionar um domínio personalizado.For more information, see the add a custom domain documentation.
    PersonalizadoCustom
  6. Para garantir que é verificado, clique no botão Verificar.To ensure that it is verified, click the Verify button.
    PersonalizadoCustom

Baixe e instale o Azure AD ConnectDownload and install Azure AD Connect

Agora é hora de baixar e instalar o Azure AD Connect.Now it is time to download and install Azure AD Connect. Uma vez instalado, vamos executar a instalação expressa.Once it has been installed we will run through the express installation. Faça o seguinte:Do the following:

  1. Baixe o Azure AD ConnectDownload Azure AD Connect
  2. Navegue até AzureADConnect.msie clique duas vezes nessa opção.Navigate to and double-click AzureADConnect.msi.
  3. Na tela de boas-vindas, marque a caixa de concordar com os termos da licença e clique em Continuar.On the Welcome screen, select the box agreeing to the licensing terms and click Continue.
  4. Na tela Configurações Expressas, clique em Personalizar.On the Express settings screen, click Customize.
  5. Na tela Instalar componentes necessários.On the Install required components screen. Clique em Instalar.Click Install.
  6. Na tela Login do usuário, selecione Autenticação de passagem e Habilite o logon único e clique em Próximo.On the User Sign-in screen, select Pass-through authentication and Enable single sign-on and click Next.
    PTAPTA
  7. Na tela Conectar-se ao Azure AD, insira o nome de usuário e a senha do administrador global que criamos acima e clique em Avançar.On the Connect to Azure AD screen, enter the username and password of the global admin we created above and click Next.
  8. Na tela Conectar seus diretórios, clique em Adicionar Diretório.On the Connect your directories screen, click Add Directory. Em seguida, selecione Criar nova conta do AD, insira o nome de usuário e senha do administrador/contoso e clique em OK.Then select Create new AD account and enter the contoso\Administrator username and password and click OK.
  9. Clique em Próximo.Click Next.
  10. Na tela de configuração de entrada do Azure AD, selecione Continuar sem correspondência com todos os sufixos UPN para domínios verificados e clique em Avançar.On the Azure AD sign-in configuration screen, select Continue without matching all UPN suffixes to verified domains and click Next.
  11. Na tela Filtragem de Domínio e UO, clique em Avançar.On the Domain and OU filtering screen, click Next.
  12. Na tela Identificar com exclusividade seus usuários, clique em Avançar.On the Uniquely identifying your users screen, click Next.
  13. Na tela Filtrar usuários e dispositivos, clique em Avançar.On the Filter users and devices screen, click Next.
  14. Na tela de recursos opcionais, clique em próxima.On the Optional features screen, click Next.
  15. Na página Habilitar credenciais de logon único, insira o nome de usuário e senha contoso \ Administrator e clique em Avançar.On the Enable single sign-n credentials page, enter the contoso\Administrator username and password and click Next.
  16. Na tela Pronto para configurar, clique em Instalar.On the Ready to configure screen, click Install.
  17. Quando a instalação for concluída, clique em Sair.When the installation completes, click Exit.
  18. Após a conclusão da instalação, saia e entre novamente antes de usar o Synchronization Service Manager ou o Editor de Regras de Sincronização.After the installation has completed, sign out and sign in again before you use the Synchronization Service Manager or Synchronization Rule Editor.

Verificar se os usuários foram criados e a sincronização está ocorrendoVerify users are created and synchronization is occurring

Nesse momento, verificaremos se os usuários que estavam no diretório local foram sincronizados e agora existem no locatário do Azure AD.We will now verify that the users that we had in our on-premises directory have been synchronized and now exist in out Azure AD tenant. Esteja ciente de que isso pode levar algumas horas para ser concluído.Be aware that this may take a few hours to complete. Para verificar se os usuários estão sincronizados, faça o seguinte.To verify users are synchronized do the following.

  1. Navegue até o portal do Azure e entre com uma conta que tenha uma assinatura do Azure.Browse to the Azure portal and sign in with an account that has an Azure subscription.
  2. Na esquerda, selecione Azure Active DirectoryOn the left, select Azure Active Directory
  3. Em Gerenciar, selecione Usuários.Under Manage, select Users.
  4. Verificar se é possível visualizar os novos usuários na Sincronização de locatárioVerify that you see the new users in our tenant Synch

Testar entrando com um dos usuáriosTest signing in with one of our users

  1. Navegue até https://myapps.microsoft.comBrowse to https://myapps.microsoft.com
  2. Entre com uma conta de usuário que foi criada no novo locatário.Sign-in with a user account that was created in our new tenant. Será necessário entrar usando o formato a seguir: (user@domain.onmicrosoft.com).You will need to sign-in using the following format: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar no local.Use the same password that the user uses to sign-in on-premises. VerificarVerify

Agora você configurou com êxito um ambiente de identidade híbrida que pode ser usado para testar e familiarizar-se com o que o Azure tem a oferecer.You have now successfully setup a hybrid identity environment that you can use to test and familiarize yourself with what Azure has to offer.

Próximas etapasNext Steps