Compartilhar via

Instalar o agente de provisionamento do Microsoft Entra

Este artigo descreve o processo de instalação do agente de provisionamento do Microsoft Entra e como configurá-lo inicialmente no centro de administração do Microsoft Entra.

Importante

As instruções de instalação a seguir consideram que você atendeu a todos os pré-requisitos.

Observação

Este artigo trata da instalação do agente de provisionamento usando o assistente. Para saber mais sobre como instalar o Agente de Provisionamento do Microsoft Entra usando uma CLI, confira Instalar o agente de provisionamento do Microsoft Entra usando uma CLI e o PowerShell.

Para obter mais informações e um exemplo, veja o seguinte vídeo:

Contas de serviço gerenciado de grupo

Uma gMSA (Conta de Serviço Gerenciado de grupo) é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento de SPN (nome da entidade de serviço) simplificado e a capacidade de delegar o gerenciamento para outros administradores. Uma gMSA também estende essa funcionalidade para vários servidores. A Sincronização na Nuvem do Microsoft Entra dá suporte e recomenda o uso de uma gMSA para executar o agente. Para obter mais informações, consulte Contas de Serviço Gerenciado de Grupo.

Atualizar um agente existente para usar a gMSA

Para atualizar um agente existente para usar a conta de serviço gerenciado de grupo durante a instalação, atualize o serviço do agente para a versão mais recente executando AADConnectProvisioningAgent.msi. Agora execute o assistente de instalação novamente e forneça as credenciais para criar a conta quando solicitado.

Instalar o agente

Observação

Por padrão, o agente de provisionamento do Microsoft Entra é instalado no ambiente padrão do Azure.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

  2. No painel esquerdo, selecione Entra Connect e selecione Sincronização de Nuvem.

    Captura de tela que mostra a tela Introdução.

  3. No painel esquerdo, selecione Agentes.

  4. Selecione Baixar agente local e selecione Aceitar termos e baixar.

    Captura de tela que mostra o download do agente.

  5. Depois de baixar o Pacote do Agente de Provisionamento do Microsoft Entra Connect, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.

  6. Na tela que é aberta, selecione a caixa de seleção Eu concordo com os termos e condições da licença e, em seguida, selecione Instalar.

    Captura de tela que mostra os termos de licenciamento do Pacote do Agente de Provisionamento do Microsoft Entra.

  7. Após a conclusão da instalação, o assistente de configuração será aberto. Selecione Avançar para iniciar a configuração.

    Captura de tela que mostra a tela de boas-vindas.

  8. Entre com uma conta com pelo menos a função de administrador de Identidade Híbrida . Se você tiver a segurança aprimorada do Internet Explorer habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra.

    Captura de tela mostrando a tela Conectar-se ao Microsoft Entra ID.

  9. Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA. O sistema detecta a conta existente e adiciona as permissões necessárias para o novo agente usar a conta gMSA. Quando for solicitado, escolha uma das duas opções:

    • Crie gMSA: permitir que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciado do grupo (por exemplo, CONTOSO\provAgentgMSA$) é criada no mesmo domínio do Active Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
    • Usar gMSA personalizado: Forneça o nome da conta de serviço gerenciado que você criou manualmente para essa tarefa.

    Captura de tela que mostra como configurar a Conta de Serviço Gerenciado do grupo.

  10. Para continuar, selecione Avançar.

  11. Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, insira o nome de domínio do Active Directory e selecione Adicionar diretório.

    Captura de tela que mostra domínios configurados.

  12. Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Se a senha tiver expirado ou for alterada durante a instalação do agente, reconfigure o agente com as novas credenciais. Esta operação adiciona seu diretório local. Selecione OK e selecione Avançar para continuar.

  13. Selecione Avançar para continuar.

  14. Na tela Configuração concluída, selecione Confirmar. Essa operação registra e reinicia o agente.

    Captura de tela que mostra a tela de conclusão.

  15. Após a conclusão da operação, você verá uma notificação informando que a configuração do agente foi verificada com êxito. Selecione Sair. Se você ainda receber a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que executa o agente.

Verificar o agente no portal do Azure

Para verificar se a ID do Microsoft Entra registra o agente, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

  2. Selecione Entra Connect e selecione Sincronização de Nuvem.

    Captura de tela que mostra a tela Introdução.

  3. Na página Sincronização de Nuvem , clique em Agentes para ver os agentes que você instalou. Verifique se o agente aparece e se o status está ativo.

Verificar o agente no servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.

  2. Vá para Os Serviços. Você também pode usar Start/Run/Services.msc para acessar isso.

  3. Em Serviços, verifique se o Microsoft Azure AD Connect Agent Updater e o Agente de Provisionamento do Microsoft Azure AD Connect estão presentes e se o status está em execução.

    Captura de tela que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga estas etapas:

  1. Vá para C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect.
  2. Clique com o botão direito do mouse emAADConnectProvisioningAgent.exe e selecione Propriedades.
  3. Selecione a guia Detalhes . O número da versão aparece ao lado da versão do produto.

Importante

Depois de instalar o agente, você precisará configurá-lo e habilitá-lo para que ele inicie a sincronização de usuários. Consulte Criar uma nova configuração para a Sincronização na Nuvem do Microsoft Entra para configurar um novo agente.

Habilitar write-back de senha na sincronização de nuvem

Você pode habilitar o write-back de senha no SSPR diretamente no portal ou por meio do PowerShell.

Habilitar o write-back de senha no portal do Azure

Para usar o write-back de senha e habilitar o serviço de redefinição de senha self-service (SSPR) para detectar o agente de sincronização de nuvem, usando o portal, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue até Entra ID>Redefinição de senha>Integração local.
  3. Marque a opção para Habilitar o write-back de senha para usuários sincronizados.
  4. (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá marcar a opção Fazer write-back de senhas com a Sincronização na Nuvem do Microsoft Entra.
  5. Marque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha como Sim.
  6. Quando estiver pronto, selecione Salvar.

Usando o PowerShell

Para usar o write-back de senha e habilitar o serviço de redefinição de senha self-service (SSPR) para detectar o agente de sincronização na nuvem, use o cmdlet Set-AADCloudSyncPasswordWritebackConfiguration e as credenciais de Administrador Global do locatário:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Para obter mais informações sobre como usar o write-back de senha com a Sincronização na Nuvem do Microsoft Entra, confira Tutorial: Habilitar o write-back de redefinição de senha self-service da sincronização na nuvem em um ambiente local.

Sincronização de hash de senha e FIPS com sincronização de nuvem

Se o servidor tiver sido bloqueado de acordo com o padrão FIPS, o MD5 (message-digest algorithm 5) estará desabilitado.

Para habilitar o MD5 para a sincronização de hash de senha, execute as seguintes etapas:

  1. Acesse o Agente de Provisionamento do %programfiles%\Microsoft Azure AD Connect.
  2. Abra AADConnectProvisioningAgent.exe.config.
  3. Acesse o nó de configuração/runtime parte superior do arquivo.
  4. Adicione o nó <enforceFIPSPolicy enabled="false"/>.
  5. Salve suas alterações.

O código deve ser semelhante ao seguinte snippet:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Para obter informações sobre segurança e FIPS, consulte Sincronização de hash de senha, criptografia e conformidade FIPS do Microsoft Entra.

Próximas etapas

  • Last updated on