Preparar-se para a sincronização de diretórios com o Microsoft 365

Este artigo se aplica tanto ao Microsoft 365 Enterprise quanto ao Office 365 Enterprise.

Se você escolheu o modelo de identidade híbrida e configurou a proteção para contas de administrador na Etapa 2 e contas de usuário na Etapa 3 desta solução, a próxima tarefa é implantar a sincronização de diretório. Os benefícios da sincronização de diretórios para sua organização incluem:

  • Reduzindo os programas administrativos em sua organização
  • Opcionalmente, habilitar o cenário de logon único
  • Automatizar alterações de conta no Microsoft 365

Para obter mais informações sobre as vantagens de usar a sincronização de diretório, consulte a identidade híbrida com o Azure Active Directory (Azure AD).

No entanto, a sincronização de diretório requer planejamento e preparação para garantir que o Active Directory Domain Services (AD DS) seja sincronizado com o locatário do Azure AD de sua assinatura do Microsoft 365 com um mínimo de erros.

Siga estas etapas para obter os melhores resultados.

Observação

Caracteres não ASCII não são sincronizados para nenhum atributo na conta de usuário do AD DS.

Preparação do AD DS

Para ajudar a garantir uma transição perfeita para o Microsoft 365 usando a sincronização, você deve preparar sua floresta do AD DS antes de iniciar a implantação Microsoft 365 sincronização de diretório.

A preparação do diretório deve se concentrar nas seguintes tarefas:

  • Remova os atributos proxyAddress e userPrincipalName duplicados .

  • Atualize atributos userPrincipalName em branco e inválidos com atributos userPrincipalName válidos .

  • Remova caracteres inválidos e questionáveis nos atributos givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname e userPrincipalName . Para obter detalhes sobre como preparar atributos, consulte a Lista de atributos que são sincronizados pela Azure Active Directory De sincronização.

    Observação

    Esses são os mesmos atributos que o Azure AD Conexão sincroniza.

Considerações sobre a implantação de várias florestas

Para várias florestas e opções de SSO, use uma instalação personalizada do Azure AD Conexão.

Se sua organização tiver várias florestas para autenticação (florestas de logon), é altamente recomendável o seguinte:

  • Considere consolidar suas florestas. Em geral, há mais sobrecarga necessária para manter várias florestas. A menos que sua organização tenha restrições de segurança que determinam a necessidade de florestas separadas, considere simplificar seu ambiente local.
  • Use somente em sua floresta de logon principal. Considere implantar Microsoft 365 somente em sua floresta de logon principal para a distribuição inicial de Microsoft 365.

Se você não puder consolidar sua implantação do AD DS de várias florestas ou estiver usando outros serviços de diretório para gerenciar identidades, poderá sincronize-as com a ajuda da Microsoft ou de um parceiro.

Consulte Topologias do Azure AD Conexão para obter mais informações.

Recursos que dependem da sincronização de diretório

A sincronização de diretório é necessária para os seguintes recursos e funcionalidades:

  • SSO (Sign-On logon único) contínuo do Azure AD
  • Skype coexistência
  • Exchange implantação híbrida, incluindo:
    • GAL (lista de endereços global) totalmente compartilhada entre seu ambiente Exchange local e Microsoft 365.
    • Sincronizar informação de GAL de sistemas de email diferentes.
    • A capacidade de adicionar usuários e remover usuários de Microsoft 365 de serviço. Isto exige o seguinte:
    • A sincronização bidirecional deve ser configurada durante a configuração de sincronização de diretório. Por padrão, as ferramentas de sincronização de diretório gravam informações de diretório somente na nuvem. Ao configurar a sincronização bidirecional, você habilita a funcionalidade de write-back para que um número limitado de atributos de objeto seja copiado da nuvem e, em seguida, gravados de volta no AD DS local. O write-back também é conhecido como Exchange modo híbrido.
    • Uma implantação híbrida Exchange local
    • A capacidade de mover algumas caixas de correio de usuário para Microsoft 365 enquanto mantém outras caixas de correio de usuário locais.
    • Cofre remetentes e remetentes bloqueados no local são replicados para Microsoft 365.
    • Delegação básica e funcionalidade de email enviar em nome de.
    • Você tem um cartão inteligente local integrado ou uma solução de autenticação multifator.
  • Sincronização de fotos, miniaturas, salas de conferência e grupos de segurança

1. Tarefas de limpeza de diretório

Antes de sincronizar o AD DS com seu locatário do Azure AD, você precisa limpar o AD DS.

Importante

Se você não executar a limpeza do AD DS antes de sincronizar, isso poderá levar a um impacto negativo significativo no processo de implantação. Pode levar dias ou até mesmo semanas para percorrer o ciclo de sincronização de diretório, identificar erros e sincronizar novamente.

No AD DS, conclua as seguintes tarefas de limpeza para cada conta de usuário que receberá uma licença Microsoft 365 serviço:

  1. Verifique se um endereço de email válido e exclusivo no atributo proxyAddresses .

  2. Remova todos os valores duplicados no atributo proxyAddresses .

  3. Se possível, garanta um valor válido e exclusivo para o atributo userPrincipalName no objeto de usuário do usuário. Para obter a melhor experiência de sincronização, verifique se o UPN do AD DS corresponde ao UPN do Azure AD. Se um usuário não tiver um valor para o atributo userPrincipalName, o objeto de usuário deverá conter um valor válido e exclusivo para o atributo sAMAccountName. Remova quaisquer valores duplicados no atributo userPrincipalName .

  4. Para um uso ideal da GAL (lista de endereços global), verifique se as informações nos seguintes atributos da conta de usuário do AD DS estão corretas:

    • givenName
    • surname
    • displayName
    • Cargo
    • Departamento
    • Escritório
    • Telefone comercial
    • Telefone celular
    • Número do fax
    • Endereço
    • Cidade
    • Estado
    • CEP
    • País

2. Preparação de atributo e objeto de diretório

A sincronização de diretório bem-sucedida entre o AD DS e Microsoft 365 requer que os atributos do AD DS estejam preparados corretamente. Por exemplo, você precisa garantir que caracteres específicos não sejam usados em determinados atributos que são sincronizados com o ambiente Microsoft 365 ambiente. Caracteres inesperados não causam falha na sincronização de diretório, mas podem retornar um aviso. Caracteres inválidos causarão falha na sincronização de diretório.

A sincronização de diretório também falhará se alguns dos usuários do AD DS tiverem um ou mais atributos duplicados. Cada usuário deve ter atributos exclusivos.

Os atributos que você precisa preparar estão listados aqui:

  • displayName

    • Se o atributo existir no objeto de usuário, ele será sincronizado com Microsoft 365.
    • Se esse atributo existir no objeto de usuário, deverá haver um valor para ele. Ou seja, o atributo não deve estar em branco.
    • Número máximo de caracteres: 256
  • givenName

    • Se o atributo existir no objeto de usuário, ele será sincronizado com Microsoft 365, mas Microsoft 365 não exigirá nem o usará.
    • Número máximo de caracteres: 64
  • email

    • O valor do atributo deve ser exclusivo dentro do diretório.

      Observação

      Se houver valores duplicados, o primeiro usuário com o valor será sincronizado. Os usuários subsequentes não aparecerão Microsoft 365. Você deve modificar o valor em Microsoft 365 ou modificar ambos os valores no AD DS para que ambos os usuários apareçam no Microsoft 365.

  • mailNickname (Exchange alias)

    • O valor do atributo não pode começar com um ponto (.).

    • O valor do atributo deve ser exclusivo dentro do diretório.

      Observação

      Sublinhado ("_") no nome sincronizado indica que o valor original desse atributo contém caracteres inválidos. Para obter mais informações sobre esse atributo, consulte Exchange atributo de alias.

  • proxyAddresses

    • Atributo de vários valores

    • Número máximo de caracteres por valor: 256

    • O valor do atributo não deve conter um espaço.

    • O valor do atributo deve ser exclusivo dentro do diretório.

    • Caracteres inválidos: < > ( ) ; , [ ] "

    • Letras com marcas diacríticas, como umlauts, acentos e blocos, são caracteres inválidos.

      Observe que os caracteres inválidos se aplicam aos caracteres após o delimitador de tipo e ":", de modo que SMTP:User@contso.com é permitido, mas SMTP:user:M@contoso.com não é.

      Importante

      Todos os endereços SMTP devem estar em conformidade com os padrões de mensagens de email. Remova endereços duplicados ou indesejados se eles existirem.

  • Samaccountname

    • Número máximo de caracteres: 20
    • O valor do atributo deve ser exclusivo dentro do diretório.
    • Caracteres inválidos: [ \ " | , / : < > + = ; ? * ']
    • Se um usuário tiver um atributo sAMAccountName inválido, mas tiver um atributo userPrincipalName válido, a conta de usuário será criada em Microsoft 365.
    • Se sAMAccountName e userPrincipalName forem inválidos, o atributo userPrincipalName do AD DS deverá ser atualizado.
  • sn (sobrenome)

    • Se o atributo existir no objeto de usuário, ele será sincronizado com Microsoft 365, mas Microsoft 365 não exigirá nem o usará.
  • Targetaddress

    É necessário que o atributo targetAddress (por exemplo, SMTP:tom@contoso.com) preenchido para o usuário deve aparecer no Microsoft 365 GAL. Em cenários de migração de mensagens de terceiros, isso exigiria a Microsoft 365 de esquema para o AD DS. A Microsoft 365 de esquema também adicionaria outros atributos úteis para gerenciar objetos Microsoft 365 que são preenchidos usando uma ferramenta de sincronização de diretório do AD DS. Por exemplo, o atributo msExchHideFromAddressLists para gerenciar caixas de correio ocultas ou grupos de distribuição seria adicionado.

    • Número máximo de caracteres: 256
    • O valor do atributo não deve conter um espaço.
    • O valor do atributo deve ser exclusivo dentro do diretório.
    • Caracteres inválidos: \ < > ( ) ; , [ ] "
    • Todos os endereços SMTP devem estar em conformidade com os padrões de mensagens de email.
  • userPrincipalName

    • O atributo userPrincipalName deve estar no formato de entrada no estilo da Internet, em que o nome de usuário é seguido pelo sinal de arroba (@) e um nome de domínio: por exemplo, user@contoso.com. Todos os endereços SMTP devem estar em conformidade com os padrões de mensagens de email.
    • O número máximo de caracteres para o atributo userPrincipalName é 113. Um número específico de caracteres é permitido antes e depois do sinal de arroba (@), da seguinte maneira:
    • Número máximo de caracteres para o nome de usuário que está na frente do sinal de arroba (@): 64
    • Número máximo de caracteres para o nome de domínio após o sinal de arroba (@): 48
    • Caracteres inválidos: \ % & * + / = ? { } | < > ( ) ; : , [ ] "
    • Caracteres permitidos: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Letras com marcas diacríticas, como umlauts, acentos e blocos, são caracteres inválidos.
    • O caractere @ é necessário em cada valor userPrincipalName .
    • O caractere @ não pode ser o primeiro caractere em cada valor userPrincipalName .
    • O nome de usuário não pode terminar com um ponto (.), um e comercial (&), um espaço ou um sinal de arroba (@).
    • O nome de usuário não pode conter espaços.
    • Domínios roteáveis devem ser usados; por exemplo, domínios locais ou internos não podem ser usados.
    • Unicode é convertido em caracteres de sublinhado.
    • userPrincipalName não pode conter nenhum valor duplicado no diretório.

3. Preparar o atributo userPrincipalName

O Active Directory foi projetado para permitir que os usuários finais em sua organização se conectem ao seu diretório usando sAMAccountName ou userPrincipalName. Da mesma forma, os usuários finais podem entrar no Microsoft 365 usando o UPN (nome UPN) de sua conta corporativa ou de estudante. A sincronização de diretório tenta criar novos usuários no Azure Active Directory usando o mesmo UPN que está no AD DS. O UPN é formatado como um endereço de email.

No Microsoft 365, o UPN é o atributo padrão usado para gerar o endereço de email. É fácil obter userPrincipalName (no AD DS e no Azure AD) e o endereço de email primário em proxyAddresses definido com valores diferentes. Quando eles são definidos com valores diferentes, pode haver confusão para administradores e usuários finais.

É melhor alinhar esses atributos para reduzir a confusão. Para atender aos requisitos de logon único com o Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0, você precisa garantir que os UPNs no Azure Active Directory e seu AD DS correspondam e estejam usando um namespace de domínio válido.

4. Adicionar um sufixo UPN alternativo ao AD DS

Talvez seja necessário adicionar um sufixo UPN alternativo para associar as credenciais corporativas do usuário ao Microsoft 365 ambiente. Um sufixo UPN é a parte do UPN à direita do caractere @. UPNs usados para logon único podem conter letras, números, pontos, traços e sublinhados, mas nenhum outro tipo de caracteres.

Para obter mais informações sobre como adicionar um sufixo UPN alternativo ao Active Directory, consulte Preparar para sincronização de diretório.

5. Corresponder o UPN do AD DS ao UPN Microsoft 365 usuário

Se você já tiver configurado a sincronização de diretório, o UPN do usuário para Microsoft 365 poderá não corresponder ao UPN do AD DS do usuário definido no AD DS. Isso pode ocorrer quando uma licença foi atribuída ao usuário antes da verificação do domínio. Para corrigir isso, use o PowerShell para corrigir o UPN duplicado para atualizar o UPN do usuário para garantir que o UPN do Microsoft 365 corresponda ao nome de usuário corporativo e ao domínio. Se você estiver atualizando o UPN no AD DS e quiser que ele sincronize com a identidade do Azure Active Directory, será necessário remover a licença do usuário no Microsoft 365 antes de fazer as alterações no AD DS.

Consulte também Como preparar um domínio não roteável (como domínio .local) para sincronização de diretório.

Próximas etapas

Depois de fazer de 1 a 5 acima, consulte Configurar a sincronização de diretório.