Pré-requisitos do Microsoft Entra Cloud Sync

Este artigo fornece diretrizes sobre como usar o Microsoft Entra Cloud Sync como sua solução de identidade.

Requisitos do agente de provisionamento de nuvem

Você precisa do seguinte para usar o Microsoft Entra Cloud Sync:

• Credenciais de Administrador de Domínio ou Administrador Corporativo para criar a gMSA de sincronização na nuvem do Microsoft Entra Connect (conta de serviço gerenciado de grupo) para executar o serviço do agente.

• Uma conta de Administrador de Identidade Híbrida para seu locatário do Microsoft Entra que não é um usuário convidado.

• O agente do Microsoft Entra Cloud Sync deve ser instalado em um servidor ingressado no domínio que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016. Recomendamos o Windows Server 2022. Você pode implantar o Microsoft Entra Cloud Sync no Windows Server 2016, mas como ele está em suporte estendido, talvez seja necessário um programa de suporte pago se precisar de suporte para essa configuração. A instalação em versões sem suporte do Windows Server pode causar falhas de serviço ou comportamento inesperado.

  Importante

  Não há suporte para o Windows Server 2025. Há um problema conhecido no Windows Server 2025 que pode fazer com que o Microsoft Entra Cloud Sync encontre problemas de sincronização. Se você atualizou para o Windows Server 2025, verifique se instalou 20 de outubro de 2025 – KB5070773 atualização ou posterior. Depois de instalar essa atualização, reinicie o servidor para que as alterações entrem em vigor. O suporte do Windows Server 2025 para o Microsoft Entra Cloud Sync está planejado para uma versão futura.

• Este servidor deve ser um servidor de camada 0 com base no modelo de camada administrativa do Active Directory. A instalação do agente num controlador de domínio é suportada. Para obter mais informações, consulte Proteger o servidor do agente de provisionamento do Microsoft Entra

• O Esquema do Active Directory é necessário para ter o atributo msDS-ExternalDirectoryObjectId, que está disponível no Windows Server 2016 e posterior.

• O serviço Gerenciador de Credenciais do Windows (VaultSvc) não pode ser desabilitado, pois isso impede a instalação do agente de provisionamento.

• A elevada disponibilidade refere-se à capacidade do Microsoft Entra Cloud Sync de operar continuamente sem falhas durante muito tempo. Ao ter vários agentes ativos instalados e em execução, o Microsoft Entra Cloud Sync pode continuar a funcionar mesmo que um agente falhe. A Microsoft recomenda ter 3 agentes ativos instalados para alta disponibilidade.

• Configurações de firewall no local.

Proteger o servidor do agente de provisionamento do Microsoft Entra

Recomendamos que você proteja o servidor do agente de provisionamento do Microsoft Entra para diminuir a superfície de ataque de segurança para esse componente crítico do seu ambiente de TI. Seguir essas recomendações ajuda a reduzir alguns riscos de segurança para sua organização.

• É recomendável reforçar o servidor do agente de provisionamento do Microsoft Entra como um ativo de Painel de Controle (anteriormente, camada 0) seguindo as diretrizes fornecidas em Acesso privilegiado seguro e Modelo de camada administrativa do Active Directory.
• Restrinja o acesso administrativo ao servidor do agente de provisionamento do Microsoft Entra apenas para administradores de domínio ou outros grupos de segurança fortemente controlados.
• Crie uma conta dedicada para todos os funcionários com acesso privilegiado. Os administradores não devem navegar na Web, verificar emails nem realizar tarefas de produtividade cotidianas com contas altamente privilegiadas.
• Siga as orientações fornecidas em Protegendo o acesso privilegiado.
• Negar o uso da autenticação NTLM com o servidor do agente de provisionamento do Microsoft Entra. Aqui estão algumas maneiras de fazer isso: Restringindo o NTLM no servidor do agente de provisionamento do Microsoft Entra e Restringindo o NTLM em um domínio
• Verifique se cada computador tem uma senha de administrador local exclusiva. Para obter mais informações, confira LAPS do Windows (Solução de Senha de Administrador Local), que pode configurar senhas aleatórias exclusivas em cada estação de trabalho e servidor e armazená-las no Active Directory protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Diretrizes adicionais para operar um ambiente com LAPS do Windows e PAWs (estações de trabalho com acesso privilegiado) podem ser encontradas em Padrões operacionais com base no princípio de código-fonte limpo.
• Implemente estações de trabalho de acesso privilegiado dedicadas para todos os funcionários com acesso privilegiado aos sistemas de informações da sua organização.
• Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Active Directory.
• Siga as alterações do Monitor na configuração de federação para configurar alertas para monitorar alterações na confiança estabelecida entre o IdP e a ID do Microsoft Entra.
• Habilite a MFA (autenticação multifator) para todos os usuários que têm acesso privilegiado na ID do Microsoft Entra ou no AD. Um problema de segurança com o uso do agente de provisionamento do Microsoft Entra é que, se um invasor puder obter controle sobre o servidor do agente de provisionamento do Microsoft Entra, poderá manipular usuários na ID do Microsoft Entra. Para impedir que um invasor use esses recursos para assumir as contas do Microsoft Entra, a MFA oferece proteções. Por exemplo, mesmo que um invasor consiga redefinir a senha de um usuário usando o agente de provisionamento do Microsoft Entra, ele ainda não poderá ignorar o segundo fator.

Contas de serviço gerenciado de grupo

Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas e gerenciamento simplificado de SPN (nome da entidade de serviço). Ele também oferece a capacidade de delegar o gerenciamento a outros administradores e estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync dá suporte e usa uma gMSA para executar o agente. Você será solicitado a fornecer credenciais administrativas durante a configuração para criar essa conta. A conta aparece como domain\provAgentgMSA$. Para obter mais informações sobre uma gMSA, consulte Contas de Serviço Gerenciado do grupo.

Pré-requisitos para gMSA

• O esquema do Active Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
• Módulos RSAT do PowerShell em um controlador de domínio.
• Pelo menos um controlador de domínio no domínio tem de estar a ser executado Windows Server 2012 ou posterior.
• Um servidor associado ao domínio que executa Windows Server 2022, Windows Server 2019 ou Windows Server 2016 para instalação do agente.

Conta gMSA personalizada

Se você estiver criando uma conta gMSA personalizada, precisará garantir que a conta tenha as seguintes permissões.

Para obter etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte o grupo Contas de Serviço Gerenciado.

Para obter mais informações sobre como preparar seu Active Directory para a Conta de Serviço Gerenciado de grupo, consulte Visão geral das contas de serviço gerenciado de grupo e Contas de serviço gerenciado de grupo com sincronização na nuvem.

No centro de administração do Microsoft Entra

1. Crie uma conta de Administrador de Identidade Híbrida apenas na nuvem no seu locatário do Microsoft Entra. Desta forma, pode gerir a configuração do seu inquilino se os seus serviços no local falharem ou ficarem indisponíveis. Saiba como adicionar uma conta de administrador de identidade híbrida somente na nuvem. A conclusão desta etapa é fundamental para garantir que você não fique bloqueado no seu locatário.
2. Adicione um ou mais nomes de domínio personalizados ao tenant do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.

No seu diretório no Active Directory

Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.

Em seu ambiente local físico

1. Identifique um servidor host associado ao domínio que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016, com no mínimo 4 GB de RAM e tempo de execução do .NET 4.7.1+.
2. A política de execução do PowerShell no servidor local tem de ser definida como Undefined ou RemoteSigned.
3. Se houver um firewall entre seus servidores e a ID do Microsoft Entra, consulte Requisitos de firewall e proxy.

Provisionar a ID do Microsoft Entra para o Active Directory Domain Services – Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no AD DS (Active Directory Domain Services).

Requisitos de licença

Usar esse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, confira Comparar os recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de administrador de identidade híbrida.
• Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , que está disponível no Windows Server 2016 e posterior.
• Agente de provisionamento com a versão de compilação 1.1.3730.0 ou posterior.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• O agente de provisionamento deve ser instalado em um servidor que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016.
• O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para a pesquisa do Catálogo Global para filtrar referências de associação inválidas
• Microsoft Entra Connect Sync com versão de build 2.22.8.0
  • Necessário para dar suporte a membros de usuários locais sincronizados usando o Microsoft Entra Connect Sync
  • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para Grupos de Provisionamento no Active Directory

O desempenho do recurso Provisionamento de Grupo para Active Directory é afetado pelo tamanho do locatário e pelo número de grupos e associações que estão no escopo do provisionamento para o Active Directory. Esta seção fornece diretrizes sobre como determinar se o GPAD dá suporte ao seu requisito de escalabilidade e como escolher o modo de definição de escopo de grupo certo para acelerar os ciclos de sincronização inicial e delta.

O que não tem suporte?

• Não há suporte para grupos com mais de 50 mil membros.
• Não é oferecido suporte para o uso de "Todos os grupos de segurança" como escopo sem aplicar filtragem de escopo de atributo.

Limites de escala

O que fazer se você exceder os limites

Exceder os limites recomendados diminuirá a sincronização inicial e delta, possivelmente causando erros de sincronização. Se isso acontecer, siga estas etapas:

Muitos grupos ou membros de grupos no modo de escopo 'Grupos de segurança selecionados':

Reduza o número de grupos no escopo (direcione grupos de maior valor) ou divida o provisionamento em vários trabalhos distintos com escopos separados.

Há muitos grupos ou membros de grupos no modo de escopo "Todos os grupos de segurança".

Utilize o modo de escopo grupos de segurança selecionados conforme recomendado.

Alguns grupos excedem 50 mil membros:

Divida a associação entre vários grupos ou adote grupos em etapas (por exemplo, por região ou unidade de negócios) para manter cada grupo sob o limite.

Seleção de grupo expandida por meio da API

Se você precisar selecionar mais de 999 grupos, deverá usar a concessão de um appRoleAssignment para uma chamada à API da entidade de serviço.

Um exemplo das chamadas à API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

onde:

• principalId: ID de objeto de grupo.
• resourceId: ID do principal de serviço da tarefa.
• appRoleId: identificador da função de aplicativo exposta pelo principal de serviço de recurso.

A tabela a seguir é uma lista de IDs de Função de Aplicativo para nuvens computacionais.

Mais informações

Aqui estão mais pontos a serem considerados quando você provisiona grupos para o AD DS.

• Os grupos provisionados para o AD DS usando a Sincronização de Nuvem só podem conter usuários sincronizados locais ou outros grupos de segurança criados na nuvem.
• Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
• O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente do AD DS de destino.
• Um atributo objectGUID do usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário na nuvem usando qualquer cliente de sincronização.
• Somente locatários globais do Microsoft Entra ID podem provisionar da ID do Microsoft Entra para o AD DS. Não há suporte para locatários como B2C.
• O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.

Mais requisitos

• Mínimo Microsoft .NET Framework 4.7.1

Requisitos de TLS

O servidor Windows que hospeda o agente de provisionamento de nuvem do Microsoft Entra Connect deve ter o TLS 1.2 habilitado antes de instalá-lo.

Para habilitar o TLS 1.2, siga estas etapas.

1. Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e execute o arquivo (selecione com o botão direito do mouse e escolha Mesclar):

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
   "DisabledByDefault"=dword:00000000
   "Enabled"=dword:00000001
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
   "SchUseStrongCrypto"=dword:00000001
   

2. Reinicie o servidor.

Requisitos de firewall e proxy

Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

• Verifique se os agentes podem fazer solicitações de saída ao Microsoft Entra ID pelas seguintes portas:

  Número da porta	Descrição
  80	Transfere as listas de revogação de certificados (CRLs) ao validar o certificado TLS/SSL.
  443	Processa todas as comunicações de saída com o serviço.
  8080 (opcional)	Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no centro de administração do Microsoft Entra.

• Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

• Certifique-se de que seu proxy dê suporte a pelo menos o protocolo HTTP 1.1 e que a codificação em partes esteja habilitada.

• Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões:

Requisito NTLM

Você não deve habilitar o NTLM no Windows Server que está executando o agente de provisionamento do Microsoft Entra e, se estiver habilitado, certifique-se de desativá-lo.

Limitações conhecidas

Veja a seguir as limitações conhecidas:

Sincronização delta

• A filtragem de âmbito de grupo para sincronização delta não suporta mais de 50 000 membros.
• Quando você exclui um grupo usado como parte de um filtro de escopo de grupo, os usuários que são membros do grupo não são excluídos.
• Quando você renomeia a UO ou o grupo que está no escopo, a sincronização delta não remove os usuários.

Logs de provisionamento

• Os registos de aprovisionamento não diferenciam claramente entre operações de criação e atualização. Você pode ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.

Renomeação de grupo ou renomeação de UO

• Se você renomear um grupo ou UO no AD que está no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não poderá reconhecer a alteração de nome no AD. O trabalho não entra em quarentena e permanece saudável.

Filtro de escopo

Ao usar o filtro de escopo de UO

• A configuração de escopo tem uma limitação de 4 MB no comprimento de caracteres. Em um ambiente testado padrão, isso se traduz em aproximadamente 50 unidades organizacionais (UOs) ou grupos de segurança separados, incluindo seus metadados necessários, para uma determinada configuração.

• Há suporte para UOs aninhadas (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).

Sincronização de Hash de Senha

• Não há suporte para o uso da sincronização de hash de senha com InetOrgPerson.

Próximas etapas

• O que é provisionamento?
• O que é o Microsoft Entra Cloud Sync?