Compartilhar via

Integrar uma floresta existente e uma nova a um locatário individual do Microsoft Entra

Este tutorial descreve a adição da sincronização de nuvem a um ambiente de identidade híbrida existente.

Diagrama mostrando o fluxo de Sincronização na Nuvem do Microsoft Entra.

Você pode usar o ambiente criado neste tutorial para testes ou para se familiarizar mais com o funcionamento de uma identidade híbrida.

Nesse cenário, há uma floresta sincronizada usando a Sincronização do Microsoft Entra Connect para um locatário do Microsoft Entra. Além disso, você tem uma nova floresta que quer sincronizar com o mesmo locatário do Microsoft Entra. Você configurará a sincronização de nuvem para a nova floresta.

Pré-requisitos

No Centro de administração do Microsoft Entra

  1. Crie uma conta de Administrador de Identidade Híbrida apenas na nuvem no seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do seu locatário caso seus serviços locais falhem ou fiquem indisponíveis. Saiba como adicionar uma conta de administrador de identidade híbrida somente em nuvem. A conclusão dessa etapa é fundamental para garantir que você não fique sem acesso ao seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao locatário do Microsoft Entra. Os usuários podem entrar com um desses nomes de domínio.

No seu ambiente local

  1. Identificar um servidor de host conectado ao domínio que executa o Windows Server 2012 R2 ou superior com pelo menos 4 GB de RAM e o runtime do .NET 4.7.1+

  2. Se houver um firewall entre os servidores e o Microsoft Entra ID, configure os seguintes itens:

    • Verifique se os agentes podem fazer solicitações de saída para o Microsoft Entra ID nas seguintes portas:

      Número da porta Como ele é usado
      80 Baixa as listas de CRLs (certificados revogados) enquanto valida o certificado TLS/SSL
      443 Gerencia toda a comunicação de saída com o serviço
      8080 (opcional) Agentes relatarão seu status a cada 10 minutos através da porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no portal.

      Se o firewall impõe as regras de acordo com os usuários originadores, abra essas portas para o tráfego proveniente dos serviços Windows que são executados como um serviço de rede.

    • Se o seu firewall ou proxy permitir a especificação de sufixos seguros, adicione conexões a *.msappproxy.net e *.servicebus.windows.net. Caso contrário, permita o acesso aos Intervalos de IP do datacenter do Azure, os quais são atualizados semanalmente.

    • Seus agentes devem acessar login.windows.net e login.microsoftonline.com para o registro inicial. Abra seu firewall para essas URLs também.

    • Para validação de certificado, desbloqueie as seguintes URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Uma vez que esses URLs são usados para a validação de certificado com outros produtos da Microsoft, você talvez já tenha esses URLs desbloqueados.

Instalar o Agente de Provisionamento do Microsoft Entra

Se você estiver usando o tutorial Ambiente Básico do AD e do Azure, será o DC1. Para instalar o agente, siga estas etapas:

  1. No portal do Azure, selecione Microsoft Entra ID.

  2. No painel esquerdo, selecione Microsoft Entra Connect e selecione Sincronização de Nuvem.

    Captura de tela que mostra a tela Introdução.

  3. No painel esquerdo, selecione Agentes.

  4. Selecione Baixar agente local e selecione Aceitar termos e baixar.

    Captura de tela que mostra o download do agente.

  5. Depois de baixar o Pacote do Agente de Provisionamento do Microsoft Entra Connect, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe da pasta de downloads.

  6. Na tela que é aberta, selecione a caixa de seleção Eu concordo com os termos e condições da licença e, em seguida, selecione Instalar.

    Captura de tela que mostra os termos de licenciamento do Pacote do Agente de Provisionamento do Microsoft Entra.

  7. Após a conclusão da instalação, o assistente de configuração será aberto. Selecione Avançar para iniciar a configuração.

    Captura de tela que mostra a tela de boas-vindas.

  8. Entre com uma conta com pelo menos a função de administrador de Identidade Híbrida . Se você tiver a segurança aprimorada do Internet Explorer habilitada, ela bloqueará a entrada. Nesse caso, feche a instalação, desabilite a segurança aprimorada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra.

    Captura de tela mostrando a tela Conectar-se ao Microsoft Entra ID.

  9. Na tela Configurar Conta de Serviço, selecione uma gMSA (Conta de Serviço Gerenciada de grupo). Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciada já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA. O sistema detecta a conta existente e adiciona as permissões necessárias para o novo agente usar a conta gMSA. Quando for solicitado, escolha uma das duas opções:

    • Crie gMSA: permitir que o agente crie a conta de serviço gerenciada provAgentgMSA$ para você. A conta de serviço gerenciado do grupo (por exemplo, CONTOSO\provAgentgMSA$) é criada no mesmo domínio do Active Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Active Directory (recomendado).
    • Usar gMSA personalizado: Forneça o nome da conta de serviço gerenciado que você criou manualmente para essa tarefa.

    Captura de tela que mostra como configurar a Conta de Serviço Gerenciado do grupo.

  10. Para continuar, selecione Avançar.

  11. Na tela Conectar o Active Directory, se o nome de domínio aparecer em Domínios configurados, pule para a próxima etapa. Caso contrário, insira o nome de domínio do Active Directory e selecione Adicionar diretório.

    Captura de tela que mostra domínios configurados.

  12. Entre com sua conta de administrador de domínio do Active Directory. A conta de administrador de domínio não deve ter uma senha expirada. Se a senha tiver expirado ou for alterada durante a instalação do agente, reconfigure o agente com as novas credenciais. Essa operação adicionará seu diretório local. Selecione OK e selecione Avançar para continuar.

  13. Selecione Avançar para continuar.

  14. Na tela Configuração concluída, selecione Confirmar. Essa operação registrará e reiniciará o agente.

    Captura de tela que mostra a tela de conclusão.

  15. Após a conclusão da operação, você verá uma notificação informando que a configuração do agente foi verificada com êxito. Selecione Sair. Se você ainda receber a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que executa o agente.

Verificar o agente no portal do Azure

Para verificar se a ID do Microsoft Entra registra o agente, siga estas etapas:

  1. Entre no portal do Azure.

  2. Selecione ID do Microsoft Entra.

  3. Selecione Microsoft Entra Connect e selecione Sincronização na Nuvem.

    Captura de tela que mostra a tela Introdução.

  4. Na página Sincronização de Nuvem , você verá os agentes instalados. Verifique se o agente aparece e se o status é íntegro.

Verificar o agente no servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.

  2. Vá para Os Serviços. Você também pode usar Start/Run/Services.msc para acessá-lo.

  3. Em Serviços, verifique se o Microsoft Entra Connect Agent Updater e o Microsoft Entra Connect Provisioning Agent estão presentes e se o status está em execução.

    Captura de tela que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga estas etapas:

  1. Vá para C:\Arquivos de Programas\Agente de Provisionamento do Microsoft Azure AD Connect.
  2. Clique com o botão direito do mouse emAADConnectProvisioningAgent.exe e selecione Propriedades.
  3. Selecione a guia Detalhes . O número da versão aparece ao lado da versão do produto.

Configurar a Sincronização na Nuvem do Microsoft Entra

Use as seguintes etapas para configurar o provisionamento:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um administrador de identidade híbrida.

  2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

    Captura de tela que mostra a home page do Microsoft Entra Connect Cloud Sync.

  1. Selecione Nova configuração
  2. Na tela de configuração, insira um Email de notificação, mova o seletor para Habilitar e selecione Salvar.
  3. O status de configuração agora deve ser Saudável.

Verificar se os usuários foram criados e a sincronização está ocorrendo

Agora, você verificará se os usuários que estavam em nosso diretório local foram sincronizados e se agora eles existem em nosso locatário do Microsoft Entra. A conclusão desse processo pode levar algumas horas. Para verificar se os usuários estão sincronizados, faça o seguinte:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue até Entra ID>Usuários.
  3. Verifique se você vê os novos usuários em nosso locatário

Teste fazer login com um dos nossos usuários

  1. Navegue até https://myapps.microsoft.com

  2. Entre com uma conta de usuário que foi criada no novo locatário. Será necessário entrar usando o formato a seguir: (user@domain.onmicrosoft.com). Use a mesma senha que o usuário usa para entrar localmente.

    Captura de tela que mostra o portal meus aplicativos com usuários conectados.

Agora você configurou com êxito um ambiente de identidade híbrida que pode ser usado para testes e para se familiarizar com o que o Azure tem a oferecer.

Próximas etapas

  • Last updated on