Implementar a Sincronização de Diretórios do Microsoft 365 no Microsoft Azure

  • Artigo

Microsoft Entra Connect (anteriormente conhecida como ferramenta de Sincronização de Diretórios, ferramenta de Sincronização de Diretórios ou ferramenta de DirSync.exe) é uma aplicação que instala num servidor associado a um domínio para sincronizar os utilizadores do Active Directory no local Domain Services (AD DS) com o Microsoft Entra inquilino da sua subscrição do Microsoft 365. O Microsoft 365 utiliza Microsoft Entra ID para o respetivo serviço de diretório. A sua subscrição do Microsoft 365 inclui um inquilino Microsoft Entra. Este inquilino também pode ser utilizado para a gestão das identidades da sua organização com outras cargas de trabalho na cloud, incluindo outras aplicações e aplicações SaaS no Azure.

Pode instalar o Microsoft Entra Connect num servidor no local, mas também pode instalá-lo numa máquina virtual no Azure por estes motivos:

  • Pode aprovisionar e configurar servidores baseados na cloud mais rapidamente, disponibilizando os serviços aos seus utilizadores mais cedo.
  • O Azure oferece uma melhor disponibilidade do site com menos esforço.
  • Pode reduzir o número de servidores no local na sua organização.

Esta solução requer conectividade entre a rede no local e a rede virtual do Azure. Para obter mais informações, veja Ligar uma rede no local a uma rede virtual do Microsoft Azure.

Nota

Este artigo descreve a sincronização de um único domínio numa única floresta. Microsoft Entra Connect sincroniza todos os domínios do AD DS na sua floresta do Active Directory com o Microsoft 365. Se tiver múltiplas florestas do Active Directory para sincronizar com o Microsoft 365, veja Multi-forest Directory Sync with Single Sign-On Scenario (Sincronização de Diretórios multi-florestas com Cenário de Sign-On Único).

Descrição geral da implementação da sincronização de diretórios do Microsoft 365 no Azure

O diagrama seguinte mostra Microsoft Entra Ligar em execução numa máquina virtual no Azure (o servidor de sincronização de diretórios) que sincroniza uma floresta do AD DS no local com uma subscrição do Microsoft 365.

Microsoft Entra ferramenta Connect numa máquina virtual no Azure a sincronizar contas no local com o inquilino Microsoft Entra de uma subscrição do Microsoft 365 com o fluxo de tráfego.

No diagrama, existem duas redes ligadas por uma ligação VPN site a site ou ExpressRoute. Existe uma rede no local onde estão localizados os controladores de domínio do AD DS e existe uma rede virtual do Azure com um servidor de sincronização de diretórios, que é uma máquina virtual em execução Microsoft Entra Connect. Existem dois fluxos de tráfego principais provenientes do servidor de sincronização de diretórios:

  • Microsoft Entra Connect consulta um controlador de domínio na rede no local para alterações a contas e palavras-passe.
  • Microsoft Entra Connect envia as alterações às contas e palavras-passe para a instância Microsoft Entra da sua subscrição do Microsoft 365. Uma vez que o servidor de sincronização de diretórios está numa parte expandida da sua rede no local, estas alterações são enviadas através do servidor proxy da rede no local.

Nota

Esta solução descreve a sincronização de um único domínio do Active Directory numa única floresta do Active Directory. Microsoft Entra Connect sincroniza todos os domínios do Active Directory na sua floresta do Active Directory com o Microsoft 365. Se tiver múltiplas florestas do Active Directory para sincronizar com o Microsoft 365, veja Multi-forest Directory Sync with Single Sign-On Scenario (Sincronização de Diretórios multi-florestas com Cenário de Sign-On Único).

Existem dois passos principais ao implementar esta solução:

  1. Crie uma rede virtual do Azure e estabeleça uma ligação VPN site a site à sua rede no local. Para obter mais informações, veja Ligar uma rede no local a uma rede virtual do Microsoft Azure.

  2. Instale o Microsoft Entra Connect numa máquina virtual associada a um domínio no Azure e, em seguida, sincronize o AD DS no local com o Microsoft 365. Isto envolve:

    • Criar uma Máquina Virtual do Azure para executar o Microsoft Entra Connect.

    • Instalar e configurar o Microsoft Entra Connect.

    A configuração do Microsoft Entra Connect requer as credenciais (nome de utilizador e palavra-passe) de uma conta de administrador Microsoft Entra e de uma conta de administrador do AD DS Enterprise. O Microsoft Entra Connect é executado de imediato e de forma contínua para sincronizar a floresta do AD DS no local com o Microsoft 365.

Antes de implementar esta solução em produção, pode utilizar as instruções em A configuração da base empresarial simulada para configurar esta configuração como uma prova de conceito, para demonstrações ou para experimentação.

Importante

Quando a configuração do Microsoft Entra Connect for concluída, não guarda as credenciais da conta de administrador empresarial do AD DS.

Nota

Esta solução descreve a sincronização de uma única floresta do AD DS com o Microsoft 365. A topologia abordada neste artigo representa apenas uma forma de implementar esta solução. A topologia da sua organização pode ser diferente com base nos seus requisitos de rede exclusivos e considerações de segurança.

Planear o alojamento de um servidor de sincronização de diretórios para o Microsoft 365 no Azure

Pré-requisitos

Antes de começar, reveja os seguintes pré-requisitos para esta solução:

  • Reveja o conteúdo de planeamento relacionado em Planear a sua rede virtual do Azure.

  • Certifique-se de que cumpre todos os Pré-requisitos para configurar a rede virtual do Azure.

  • Tenha uma subscrição do Microsoft 365 que inclua a funcionalidade de integração do Active Directory. Para obter informações sobre as subscrições do Microsoft 365, aceda à página de subscrição do Microsoft 365.

  • Aprovisione uma Máquina Virtual do Azure que execute Microsoft Entra Ligar para sincronizar a floresta do AD DS no local com o Microsoft 365.

    Tem de ter as credenciais (nomes e palavras-passe) para uma conta de administrador empresarial do AD DS e uma conta de Administrador Microsoft Entra.

Pressupostos de conceção da arquitetura da solução

A lista seguinte descreve as escolhas de estrutura feitas para esta solução.

  • Esta solução utiliza uma única rede virtual do Azure com uma ligação VPN site a site. A rede virtual do Azure aloja uma única sub-rede que tem um servidor, o servidor de sincronização de diretórios que está a ser executado Microsoft Entra Connect.

  • Na rede no local, existem um controlador de domínio e servidores DNS.

  • Microsoft Entra Connect efetua a sincronização do hash de palavras-passe em vez do início de sessão único. Não tem de implementar uma infraestrutura do Serviços de Federação do Active Directory (AD FS) (AD FS). Para saber mais sobre a sincronização do hash de palavras-passe e as opções de início de sessão único, veja Escolher o método de autenticação certo para o seu Microsoft Entra solução de identidade híbrida.

Existem outras opções de design que poderá considerar quando implementar esta solução no seu ambiente. Estas incluem o seguinte:

  • Se existirem servidores DNS numa rede virtual do Azure existente, determine se pretende que o servidor de sincronização de diretórios os utilize para resolução de nomes em vez de servidores DNS na rede no local.

  • Se existirem controladores de domínio numa rede virtual do Azure existente, determine se a configuração dos Serviços e Sites do Active Directory poderá ser uma opção melhor para si. O servidor de sincronização de diretórios pode consultar os controladores de domínio na rede virtual do Azure para obter alterações em contas e palavras-passe em vez de controladores de domínio na rede no local.

Mapa de objetivos de implementação

A implementação do Microsoft Entra Connect numa máquina virtual no Azure consiste em três fases:

  • Fase 1: Criar e configurar a rede virtual do Azure

  • Fase 2: Criar e configurar a máquina virtual do Azure

  • Fase 3: Instalar e configurar o Microsoft Entra Connect

Após a implementação, também tem de atribuir localizações e licenças para as novas contas de utilizador no Microsoft 365.

Fase 1: Criar e configurar a rede virtual do Azure

Para criar e configurar a rede virtual do Azure, conclua a Fase 1: Preparar a rede no local e a Fase 2: Criar a rede virtual em vários locais no Azure no plano de implementação ligar uma rede no local a uma rede virtual do Microsoft Azure.

Esta é a configuração resultante.

Fase 1 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra uma rede no local ligada a uma rede virtual do Azure através de uma ligação VPN site a site ou ExpressRoute.

Fase 2: Criar e configurar a máquina virtual do Azure

Crie a máquina virtual no Azure com as instruções Criar a sua primeira máquina virtual do Windows no portal do Azure. Utilize as seguintes definições:

  1. No painel Noções básicas , selecione a mesma subscrição, localização e grupo de recursos que a sua rede virtual. Registe o nome de utilizador e a palavra-passe numa localização segura. Irá precisar destes mais tarde para ligar à máquina virtual.

  2. No painel Escolher um tamanho , selecione o tamanho A2 Standard .

  3. No painel Definições , na secção Armazenamento , selecione o tipo de armazenamento Standard . Na secção Rede , selecione o nome da sua rede virtual e a sub-rede para alojar o servidor de sincronização de diretórios (não o GatewaySubnet). Deixe todas as outras definições nos valores predefinidos.

Verifique se o servidor de sincronização de diretórios está a utilizar o DNS corretamente ao verificar o DNS interno para se certificar de que foi adicionado um registo de Endereço (A) à máquina virtual com o respetivo endereço IP.

Utilize as instruções em Ligar à máquina virtual e inicie sessão para ligar ao servidor de sincronização de diretórios com uma Ligação ao Ambiente de Trabalho Remoto. Depois de iniciar sessão, associe a máquina virtual ao domínio do AD DS no local.

Para Microsoft Entra Ligar para obter acesso aos recursos da Internet, tem de configurar o servidor de sincronização de diretórios para utilizar o servidor proxy da rede no local. Deve contactar o administrador de rede para obter quaisquer passos de configuração adicionais a executar.

Esta é a configuração resultante.

Fase 2 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra a máquina virtual do servidor de sincronização de diretórios na rede virtual do Azure em vários locais.

Fase 3: Instalar e configurar o Microsoft Entra Connect

Conclua o seguinte procedimento:

  1. Ligue-se ao servidor de sincronização de diretórios através de uma Ligação de Ambiente de Trabalho Remoto com uma conta de domínio do AD DS que tenha privilégios de administrador local. Veja Ligar à máquina virtual e iniciar sessão.

  2. A partir do servidor de sincronização de diretórios, abra o artigo Configurar a sincronização de diretórios para o Microsoft 365 e siga as instruções para a sincronização de diretórios com a sincronização do hash de palavras-passe.

Atenção

A configuração cria a conta AAD_xxxxxxxxxxxx na unidade organizacional (UO) utilizadores locais. Não mova ou remova esta conta ou a sincronização falhará.

Esta é a configuração resultante.

Fase 3 do servidor de sincronização de diretórios do Microsoft 365 alojado no Azure.

Esta figura mostra o servidor de sincronização de diretórios com Microsoft Entra Ligar na rede virtual do Azure em vários locais.

Atribuir localizações e licenças a utilizadores no Microsoft 365

Microsoft Entra Connect adiciona contas à sua subscrição do Microsoft 365 a partir do AD DS no local, mas para que os utilizadores iniciem sessão no Microsoft 365 e utilizem os respetivos serviços, as contas têm de ser configuradas com uma localização e licenças. Utilize estes passos para adicionar a localização e ativar licenças para as contas de utilizador adequadas:

  1. Inicie sessão na centro de administração do Microsoft 365 e, em seguida, clique em Administração.

  2. No painel de navegação esquerdo, clique em Utilizadores Utilizadores>Ativos.

  3. Na lista de contas de utilizador, selecione a caixa de verificação junto ao utilizador que pretende ativar.

  4. Na página do utilizador, clique em Editar para Licenças de produto.

  5. Na página Licenças de produtos , selecione uma localização para o utilizador para Localização e, em seguida, ative as licenças adequadas para o utilizador.

  6. Quando terminar, clique em Guardar e, em seguida, clique em Fechar duas vezes.

  7. Voltar para o passo 3 para utilizadores adicionais.

Consulte também

Centro de arquitetura e soluções do Microsoft 365

Ligar uma rede no local a uma rede virtual do Microsoft Azure

Transferir o Microsoft Entra Connect

Configurar a sincronização de diretórios para o Microsoft 365