Pré-requisitos para sincronização de nuvem AZure AD ConnectPrerequisites for Azure AD Connect cloud sync

Este artigo fornece orientações sobre como escolher e usar o Azure Ative Directory (Azure AD) Conecte a sincronização de nuvem como solução de identidade.This article provides guidance on how to choose and use Azure Active Directory (Azure AD) Connect cloud sync as your identity solution.

Requisitos do agente de provisionamento em nuvemCloud provisioning agent requirements

Precisa do seguinte para utilizar a sincronização de nuvem AD Connect Azure:You need the following to use Azure AD Connect cloud sync:

  • Credenciais de Administrador de Domínio ou Administrador Empresarial para criar o Azure AD Connect Cloud Sync gMSA (conta de serviço gerido do grupo) para executar o serviço de agente.Domain Administrator or Enterprise Administrator credentials to create the Azure AD Connect Cloud Sync gMSA (group Managed Service Account) to run the agent service.
  • Um administrador de identidade híbrido conta para o seu inquilino AZure AD que não é um utilizador convidado.A hybrid identity administrator account for your Azure AD tenant that is not a guest user.
  • Um servidor no local para o agente de provisionamento com o Windows 2016 ou mais tarde.An on-premises server for the provisioning agent with Windows 2016 or later. Este servidor deve ser um servidor de nível 0 baseado no modelo de nível administrativo ative directory.This server should be a tier 0 server based on the Active Directory administrative tier model.
  • Configurações de firewall no local.On-premises firewall configurations.

Contas de Serviço Geridas de GrupoGroup Managed Service Accounts

Um grupo Managed Service Account é uma conta de domínio gerida que fornece gestão automática de passwords, gestão de nome principal de serviço simplificado (SPN), a capacidade de delegar a gestão a outros administradores, e também estende esta funcionalidade a vários servidores.A group Managed Service Account is a managed domain account that provides automatic password management, simplified service principal name (SPN) management,the ability to delegate the management to other administrators, and also extends this functionality over multiple servers. Azure AD Connect Cloud Sync suporta e utiliza um gMSA para executar o agente.Azure AD Connect Cloud Sync supports and uses a gMSA for running the agent. Serão solicitados credenciais administrativas durante a configuração, de forma a criar esta conta.You will be prompted for administrative credentials during setup, in order to create this account. A conta aparecerá como (domínio\provAgentgMSA$).The account will appear as (domain\provAgentgMSA$). Para obter mais informações sobre um gMSA, consulte contas de serviço geridas pelo grupoFor more information on a gMSA, see Group Managed Service Accounts

Pré-requisitos para a GMSA:Prerequisites for gMSA:

  1. O esquema de Ative Directory na floresta do domínio gMSA precisa de ser atualizado para o Windows Server 2016.The Active Directory schema in the gMSA domain's forest needs to be updated to Windows Server 2016.
  2. Módulos PowerShell RSAT num controlador de domínioPowerShell RSAT modules on a domain controller
  3. Pelo menos um controlador de domínio no domínio deve estar a executar o Windows Server 2016.At least one domain controller in the domain must be running Windows Server 2016.
  4. Um servidor de união de domínios onde o agente está a ser instalado precisa de ser o Windows Server 2016 ou mais tarde.A domain joined server where the agent is being installed needs to be either Windows Server 2016 or later.

Conta gMSA personalizadaCustom gMSA account

Se estiver a criar uma conta gMSA personalizada, tem de garantir que a conta tem as seguintes permissões.If you are creating a custom gMSA account, you need to ensure that the account has the following permissions.

TipoType NameName AccessAccess Aplica-se AApplies To
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos de dispositivo descendenteDescendant device objects
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos inetOrgperson descendentesDescendant InetOrgPerson objects
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos de computador descendentesDescendant Computer objects
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos de Segurança Estrangeira DescendentesDescendant foreignSecurityPrincipal objects
PermitirAllow conta gMSAgMSA Account Controlo totalFull control Objetos de grupo descendentesDescendant Group objects
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos de utilizador descendentesDescendant User objects
PermitirAllow conta gMSAgMSA Account Ler todas as propriedadesRead all properties Objetos de contacto descendentesDescendant Contact objects
PermitirAllow conta gMSAgMSA Account Criar/eliminar objetos do utilizadorCreate/delete User objects Este objeto e todos os objetos descendentesThis object and all descendant objects

Para etapas sobre como atualizar um agente existente para utilizar uma conta gMSA consulte contas de serviço geridas pelo grupo.For steps on how to upgrade an existing agent to use a gMSA account see Group Managed Service Accounts.

No centro de administração Azure Ative DirectoryIn the Azure Active Directory admin center

  1. Crie uma conta de administrador de identidade híbrida apenas em nuvem no seu inquilino AD Azure.Create a cloud-only hybrid identity administrator account on your Azure AD tenant. Desta forma, pode gerir a configuração do seu inquilino se os seus serviços no local falharem ou ficarem indisponíveis.This way, you can manage the configuration of your tenant if your on-premises services fail or become unavailable. Saiba como adicionar uma conta de administrador de identidade híbrida apenasna nuvem .Learn about how to add a cloud-only hybrid identity administrator account. Terminar este passo é fundamental para garantir que não fique trancado fora do seu inquilino.Finishing this step is critical to ensure that you don't get locked out of your tenant.
  2. Adicione um ou mais nomes de domínio personalizados ao seu inquilino AZure AD.Add one or more custom domain names to your Azure AD tenant. Os seus utilizadores podem iniciar sôms com um destes nomes de domínio.Your users can sign in with one of these domain names.

No seu diretório em Diretório AtivoIn your directory in Active Directory

Executar a ferramenta IdFix para preparar os atributos do diretório para sincronização.Run the IdFix tool to prepare the directory attributes for synchronization.

No seu ambiente no localIn your on-premises environment

  1. Identifique um servidor anfitrião ligado a domínio que executa o Windows Server 2016 ou superior com um mínimo de 4-GB de RAM e .NET 4.7.1+ tempo de execução.Identify a domain-joined host server running Windows Server 2016 or greater with a minimum of 4-GB RAM and .NET 4.7.1+ runtime.

  2. A política de execução PowerShell no servidor local deve ser definida para Undefined ou RemoteSigned.The PowerShell execution policy on the local server must be set to Undefined or RemoteSigned.

  3. Se houver uma firewall entre os seus servidores e Azure AD, configuure os seguintes itens:If there's a firewall between your servers and Azure AD, configure the following items:

    • Certifique-se de que os agentes podem fazer pedidos de saída à Azure AD nas seguintes portas:Ensure that agents can make outbound requests to Azure AD over the following ports:

      Número da portaPort number Como é utilizadoHow it's used
      8080 Descarrega as listas de revogação de certificados (CRLs) ao mesmo tempo que valida o certificado TLS/SSL.Downloads the certificate revocation lists (CRLs) while validating the TLS/SSL certificate.
      443443 Lida com todas as comunicações de saída com o serviço.Handles all outbound communication with the service.
      8080 (opcional)8080 (optional) Os agentes reportam o seu estado a cada 10 minutos sobre o porto 8080, se a porta 443 não estiver disponível.Agents report their status every 10 minutes over port 8080, if port 443 is unavailable. Este estado é apresentado no portal AD Azure.This status is displayed in the Azure AD portal.
    • Se a firewall impuser regras de acordo com os utilizadores de origem, abra estas portas para o tráfego dos serviços Windows que são executados com um serviço de rede.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Se a sua firewall ou proxy permitir que especifique sufixos seguros, adicione ligações a * .msappproxy.net e * .servicebus.windows.net.If your firewall or proxy allows you to specify safe suffixes, add connections to *.msappproxy.net and *.servicebus.windows.net. Caso contrário, permita o acesso aos intervalos IP do datacenter Azure, que são atualizados semanalmente.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Os agentes precisam de acesso a login.windows.net e login.microsoftonline.com para o registo inicial.Your agents need access to login.windows.net and login.microsoftonline.com for initial registration. Abra a firewall para os URLs também.Open your firewall for those URLs as well.

    • Para validação de certificados, desbloqueie os seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www . microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Estes URLs são utilizados na validação de certificados com outros produtos Microsoft, pelo que talvez já tenha estes URLs desbloqueados.These URLs are used for certificate validation with other Microsoft products, so you might already have these URLs unblocked.

    Nota

    A instalação do agente de provisionamento em nuvem no Windows Server Core não é suportada.Installing the cloud provisioning agent on Windows Server Core is not supported.

Requisitos adicionaisAdditional requirements

Requisitos TLSTLS requirements

Nota

Transport Layer Security (TLS) é um protocolo que prevê comunicações seguras.Transport Layer Security (TLS) is a protocol that provides for secure communications. A alteração das definições de TLS afeta toda a floresta.Changing the TLS settings affects the entire forest. Para obter mais informações, consulte Update para ativar os TLS 1.1 e TLS 1.2 como protocolos seguros predefinidos no WinHTTP no Windows.For more information, see Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows.

O servidor Windows que acolhe o agente de provisionamento de nuvem Azure AD Connect deve ter o TLS 1.2 ativado antes de o instalar.The Windows server that hosts the Azure AD Connect cloud provisioning agent must have TLS 1.2 enabled before you install it.

Para ativar o TLS 1.2, siga estes passos.To enable TLS 1.2, follow these steps.

  1. Definir as seguintes chaves de registo:Set the following registry keys:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Reinicie o servidor.Restart the server.

Limitações conhecidasKnown limitations

São conhecidas as seguintes limitações:The following are known limitations:

Sincronização DeltaDelta Synchronization

  • A filtragem de âmbito de grupo para a sincronização delta não suporta mais de 1500 membros.Group scope filtering for delta sync does not support more than 1500 members.
  • Quando eliminar um grupo que é usado como parte de um filtro de deteção de grupo, os utilizadores que são membros do grupo, não sejam eliminados.When you delete a group that's used as part of a group scoping filter, users who are members of the group, don't get deleted.
  • Quando mudar o nome da UO ou do grupo que está no âmbito, a Delta Sync não removerá os utilizadores.When you rename the OU or group that's in scope, delta sync will not remove the users.

Registos de AprovisionamentoProvisioning Logs

  • Os registos de provisionamento não diferenciam claramente entre as operações de criação e atualização.Provisioning logs do not clearly differentiate between create and update operations. Pode ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.You may see a create operation for an update and an update operation for a create.

Renomeação do grupo ou rebatição de UGroup re-naming or OU re-naming

  • Se mudar o nome de um grupo ou ou em AD que está no âmbito de uma determinada configuração, o trabalho de sincronização de nuvem não será capaz de reconhecer a mudança de nome em AD.If you rename a group or OU in AD that's in scope for a given configuration, the cloud sync job will not be able to recognize the name change in AD. O trabalho não vai para a quarentena e permanecerá saudável.The job won't go into quarantine and will remain healthy.

Passos seguintesNext steps