Preparar a sincronização de diretórios com o Microsoft 365

  • Artigo

Este artigo aplica-se tanto a Microsoft 365 Enterprise como a Office 365 Enterprise.

Se escolher o modelo de identidade híbrida e a proteção configurada para contas de administrador no Passo 2 e contas de utilizador no Passo 3 desta solução, a próxima tarefa será implementar a sincronização de diretórios. Os benefícios da sincronização de diretórios para a sua organização incluem:

  • Reduzir os programas administrativos na sua organização
  • Opcionalmente, ativar o cenário de início de sessão único
  • Automatizar alterações de conta no Microsoft 365

Para obter mais informações sobre as vantagens de utilizar a sincronização de diretórios, veja identidade híbrida com Microsoft Entra ID.

No entanto, a sincronização de diretórios requer planeamento e preparação para garantir que o Active Directory Domain Services (AD DS) sincroniza com o inquilino Microsoft Entra da sua subscrição do Microsoft 365 com um mínimo de erros.

Siga estes passos para obter os melhores resultados.

Nota

Os carateres não ASCII não são sincronizados para quaisquer atributos na conta de utilizador do AD DS.

Preparação do AD DS

Para ajudar a garantir uma transição totalmente integrada para o Microsoft 365 através da sincronização, tem de preparar a floresta do AD DS antes de iniciar a implementação da sincronização de diretórios do Microsoft 365.

A preparação do diretório deve focar-se nas seguintes tarefas:

  • Remova os atributos proxyAddress e userPrincipalName duplicados.

  • Atualize atributos userPrincipalName em branco e inválidos com atributos userPrincipalName válidos.

  • Remova carateres inválidos e questionáveis nos atributos givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname e userPrincipalName . Para obter detalhes sobre como preparar atributos, veja Lista de atributos que são sincronizados pela Ferramenta de Sincronização do Azure Active Directory.

    Nota

    Estes são os mesmos atributos que Microsoft Entra o Connect sincroniza.

Considerações de implementação de várias florestas

Para múltiplas florestas e opções de SSO, utilize uma Instalação Personalizada do Microsoft Entra Connect.

Se a sua organização tiver várias florestas para autenticação (florestas de início de sessão), recomendamos vivamente o seguinte:

  • Considere consolidar as suas florestas. Em geral, é necessário um maior overhead para manter múltiplas florestas. A menos que a sua organização tenha restrições de segurança que ditem a necessidade de florestas separadas, considere simplificar o seu ambiente no local.
  • Utilize apenas na floresta de início de sessão principal. Considere implementar o Microsoft 365 apenas na sua floresta de início de sessão principal para a sua implementação inicial do Microsoft 365.

Se não conseguir consolidar a implementação do AD DS de várias florestas ou estiver a utilizar outros serviços de diretório para gerir identidades, poderá conseguir sincronizá-las com a ajuda da Microsoft ou de um parceiro.

Consulte Topologias para Microsoft Entra Ligar para obter mais informações.

Funcionalidades dependentes da sincronização de diretórios

A sincronização de diretórios é necessária para as seguintes funcionalidades:

  • Microsoft Entra início de sessão único (SSO) totalmente integrado
  • Coexistência do Skype
  • Implementação híbrida do Exchange, incluindo:
    • Lista de endereços global (GAL) totalmente partilhada entre o seu ambiente do Exchange no local e o Microsoft 365.
    • Sincronizar informações da GAL a partir de sistemas de correio diferentes.
    • A capacidade de adicionar e remover utilizadores das ofertas de serviço do Microsoft 365. Isto requer o seguinte:
      • A sincronização bidirecional tem de ser configurada durante a configuração da sincronização de diretórios. Por predefinição, as ferramentas de sincronização de diretórios escrevem informações de diretório apenas na cloud. Quando configura a sincronização bidirecional, ativa a funcionalidade write-back para que um número limitado de atributos de objetos seja copiado da cloud e, em seguida, escreva-os novamente no AD DS local. A repetição de escrita também é denominada modo híbrido do Exchange.
    • Uma implementação híbrida do Exchange no local.
    • A capacidade de mover algumas caixas de correio de utilizador para o Microsoft 365, mantendo outras caixas de correio de utilizador no local.
    • Os remetentes seguros e os remetentes bloqueados no local são replicados para o Microsoft 365.
    • Delegação básica e funcionalidade de envio em nome do e-mail.
    • Tem um smart card no local integrado ou uma solução de autenticação multifator.
  • Sincronização de fotografias, miniaturas, salas de conferência e grupos de segurança

1. Tarefas de limpeza de diretórios

Antes de sincronizar o AD DS com o seu inquilino Microsoft Entra, tem de limpar o AD DS.

Importante

Se não efetuar a limpeza do AD DS antes de sincronizar, pode causar um impacto negativo significativo no processo de implementação. Pode demorar dias, ou mesmo semanas, a percorrer o ciclo de sincronização de diretórios, identificar erros e sincronizar novamente.

No AD DS, conclua as seguintes tarefas de limpeza para cada conta de utilizador a que será atribuída uma licença do Microsoft 365:

  1. Confirme um endereço de e-mail exclusivo e válido no atributo proxyAddresses .

  2. Remova quaisquer valores duplicados no atributo proxyAddresses .

  3. Se possível, confirme um valor válido e exclusivo para o atributo userPrincipalName no objeto de utilizador do utilizador. Para obter a melhor experiência de sincronização, certifique-se de que o UPN do AD DS corresponde ao UPN Microsoft Entra. Se um utilizador não tiver um valor para o atributo userPrincipalName , o objeto de utilizador tem de conter um valor exclusivo e válido para o atributo sAMAccountName . Remova quaisquer valores duplicados no atributo userPrincipalName .

  4. Para uma utilização ideal da lista de endereços global (GAL), confirme que as informações nos seguintes atributos da conta de utilizador do AD DS estão corretas:

    • givenName
    • sobrenome
    • Displayname
    • Cargo
    • Departamento
    • Office
    • Telefone do Escritório
    • Telemóvel
    • Número de Fax
    • Street Address
    • Localidade
    • Distrito
    • Código Postal
    • País ou Região

2. Preparação de atributos e objetos de diretório

A sincronização de diretórios com êxito entre o AD DS e o Microsoft 365 requer que os atributos do AD DS estejam devidamente preparados. Por exemplo, tem de garantir que carateres específicos não são utilizados em determinados atributos que são sincronizados com o ambiente do Microsoft 365. Os carateres inesperados não fazem com que a sincronização de diretórios falhe, mas podem devolver um aviso. Os carateres inválidos farão com que a sincronização de diretórios falhe.

A sincronização de diretórios também falhará se alguns dos seus utilizadores do AD DS tiverem um ou mais atributos duplicados. Cada utilizador tem de ter atributos exclusivos.

Os atributos que precisa de preparar estão listados aqui:

  • Displayname

    • Se o atributo existir no objeto de utilizador, será sincronizado com o Microsoft 365.
    • Se este atributo existir no objeto de utilizador, tem de existir um valor para o mesmo. Ou seja, o atributo não pode estar em branco.
    • Número máximo de carateres: 256

  • givenName

    • Se o atributo existir no objeto de utilizador, é sincronizado com o Microsoft 365, mas o Microsoft 365 não necessita nem utiliza.
    • Número máximo de carateres: 64

  • mail

    • O valor do atributo tem de ser exclusivo no diretório.

      Nota

      Se existirem valores duplicados, o primeiro utilizador com o valor é sincronizado. Os utilizadores subsequentes não serão apresentados no Microsoft 365. Tem de modificar o valor no Microsoft 365 ou modificar ambos os valores no AD DS para que ambos os utilizadores apareçam no Microsoft 365.

  • mailNickname (alias do Exchange)

    • O valor do atributo não pode começar com um ponto final (.).

    • O valor do atributo tem de ser exclusivo no diretório.

      Nota

      Os carateres de sublinhado ("_") no nome sincronizado indicam que o valor original deste atributo contém carateres inválidos. Para obter mais informações sobre este atributo, veja Atributo de alias do Exchange.

  • proxyAddresses

    • Atributo de múltiplos valores

    • Número máximo de carateres por valor: 256

    • O valor do atributo não pode conter um espaço.

    • O valor do atributo tem de ser exclusivo no diretório.

    • Carateres inválidos: <> ( ) ; , [ ] "

    • As letras com marcas diacríticas, como umlauts, acentos e til, são carateres inválidos.

      Os carateres inválidos aplicam-se aos carateres que seguem o delimitador de tipo e ":", tal como SMTP:User@contso.com é permitido, mas SMTP:user:M@contoso.com não é.

      Importante

      Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com as normas de mensagens de e-mail. Se existirem, remova endereços duplicados ou indesejados.

  • sAMAccountName

    • Número máximo de carateres: 20
    • O valor do atributo tem de ser exclusivo no diretório.
    • Carateres inválidos: [ \ " | , / : <> + = ; ? * ']
    • Se um utilizador tiver um atributo sAMAccountName inválido, mas tiver um atributo userPrincipalName válido, a conta de utilizador é criada no Microsoft 365.
    • Se sAMAccountName e userPrincipalName forem inválidos, o atributo userPrincipalName do AD DS tem de ser atualizado.

  • sn (sobrenome)

    • Se o atributo existir no objeto de utilizador, é sincronizado com o Microsoft 365, mas o Microsoft 365 não necessita nem utiliza.

  • targetAddress

    É necessário que o atributo targetAddress (por exemplo, SMTP:tom@contoso.com) preenchido para o utilizador tenha de aparecer na GAL do Microsoft 365. Em cenários de migração de mensagens de terceiros, isto exigiria a extensão de esquema do Microsoft 365 para o AD DS. A extensão de esquema do Microsoft 365 também adicionaria outros atributos úteis para gerir objetos do Microsoft 365 que são preenchidos com uma ferramenta de sincronização de diretórios do AD DS. Por exemplo, o atributo msExchHideFromAddressLists para gerir caixas de correio ocultas ou grupos de distribuição seria adicionado.

    • Número máximo de carateres: 256
    • O valor do atributo não pode conter um espaço.
    • O valor do atributo tem de ser exclusivo no diretório.
    • Carateres inválidos: \ <> ( ) ; , [ ] "
    • Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com as normas de mensagens de e-mail.

  • userPrincipalName

    • O atributo userPrincipalName tem de estar no formato de início de sessão estilo Internet, em que o nome de utilizador é seguido pelo sinal de a seguir (@) e um nome de domínio: por exemplo, user@contoso.com. Todos os endereços SMTP (Simple Mail Transport Protocol) devem estar em conformidade com as normas de mensagens de e-mail.
    • O número máximo de carateres para o atributo userPrincipalName é 113. É permitido um número específico de carateres antes e depois do sinal de ação (@), da seguinte forma:
    • Número máximo de carateres para o nome de utilizador que está à frente do sinal de ação (@): 64
    • Número máximo de carateres para o nome de domínio a seguir ao sinal de a seguir (@): 48
    • Carateres inválidos: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Carateres permitidos: A – Z, a - z, 0 – 9; ' . - _ ! # ^ ~
    • As letras com marcas diacríticas, como umlauts, acentos e til, são carateres inválidos.
    • O caráter @ é necessário em cada valor userPrincipalName .
    • O caráter @ não pode ser o primeiro caráter em cada valor userPrincipalName .
    • O nome de utilizador não pode terminar com um ponto final (.), um e comercial (&), um espaço ou um sinal de acionador (@).
    • O nome de utilizador não pode conter espaços.
    • Os domínios encaminháveis têm de ser utilizados; por exemplo, não é possível utilizar domínios locais ou internos.
    • O Unicode é convertido em carateres de sublinhado.
    • userPrincipalName não pode conter quaisquer valores duplicados no diretório.

3. Preparar o atributo userPrincipalName

O Active Directory foi concebido para permitir que os utilizadores finais da sua organização iniciem sessão no seu diretório com sAMAccountName ou userPrincipalName. Da mesma forma, os utilizadores finais podem iniciar sessão no Microsoft 365 com o nome principal de utilizador (UPN) da respetiva conta escolar ou profissional. A sincronização de diretórios tenta criar novos utilizadores no Microsoft Entra ID com o mesmo UPN que está no AD DS. O UPN é formatado como um endereço de e-mail.

No Microsoft 365, o UPN é o atributo predefinido utilizado para gerar o endereço de e-mail. É fácil obter userPrincipalName (no AD DS e no Microsoft Entra ID) e o endereço de e-mail principal em proxyAddresses definido para valores diferentes. Quando estão definidos para valores diferentes, pode haver confusão para administradores e utilizadores finais.

É melhor alinhar estes atributos para reduzir a confusão. Para cumprir os requisitos do início de sessão único com o Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0, tem de garantir que os UPNs no Microsoft Entra ID e no AD DS correspondem e estão a utilizar um espaço de nomes de domínio válido.

4. Adicionar um sufixo UPN alternativo ao AD DS

Poderá ter de adicionar um sufixo UPN alternativo para associar as credenciais empresariais do utilizador ao ambiente do Microsoft 365. Um sufixo UPN é a parte de um UPN à direita do caráter @ . Os UPNs utilizados para o início de sessão único podem conter letras, números, pontos finais, travessões e carateres de sublinhado, mas nenhum outro tipo de carateres.

Para obter mais informações sobre como adicionar um sufixo UPN alternativo ao Active Directory, veja Preparar a sincronização de diretórios.

5. Corresponder o UPN do AD DS ao UPN do Microsoft 365

Se já tiver configurado a sincronização de diretórios, o UPN do utilizador para o Microsoft 365 poderá não corresponder ao UPN do AD DS do utilizador definido no AD DS. Esta condição pode ocorrer quando foi atribuída uma licença a um utilizador antes de o domínio ser verificado. Para corrigir este problema, utilize o PowerShell para corrigir o UPN duplicado para atualizar o UPN do utilizador para garantir que o UPN do Microsoft 365 corresponde ao nome de utilizador e domínio da empresa. Se estiver a atualizar o UPN no AD DS e quiser sincronizar com a identidade do Microsoft Entra, tem de remover a licença do utilizador no Microsoft 365 antes de efetuar as alterações no AD DS.

Veja também Como preparar um domínio não encaminhável (como o domínio .local) para sincronização de diretórios.

Passos seguintes

Depois de concluir os passos 1 a 5, consulte Configurar a sincronização de diretórios.