Partilhar via

Instalar o agente de provisionamento do Microsoft Entra

Este artigo orienta você pelo processo de instalação do agente de provisionamento do Microsoft Entra e como configurá-lo inicialmente no centro de administração do Microsoft Entra.

Importante

As instruções de instalação a seguir pressupõem que você atendeu a todos os pré-requisitos.

Nota

Este artigo trata da instalação do agente de provisionamento usando o assistente. Para obter informações sobre como instalar o agente de provisionamento do Microsoft Entra usando uma CLI, consulte Instalar o agente de provisionamento do Microsoft Entra usando uma CLI e o PowerShell.

Para obter mais informações e um exemplo, veja o seguinte vídeo:

Contas de Serviço Geridas pelo Grupo

Uma Conta de Serviço Gerenciado de grupo (gMSA) é uma conta de domínio gerenciado que fornece gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome da entidade de serviço) e a capacidade de delegar o gerenciamento a outros administradores. Um gMSA também estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e recomenda o uso de um gMSA para executar o agente. Para obter mais informações, consulte Contas de serviço gerenciado de grupo.

Atualizar um agente existente para usar o gMSA

Para atualizar um agente existente para usar a Conta de Serviço Gerenciado de Grupo criada durante a instalação, atualize o serviço do agente para a versão mais recente executando AADConnectProvisioningAgent.msi. Agora execute o assistente de instalação novamente e forneça as credenciais para criar a conta quando for solicitado.

Instalar o agente

Nota

Por padrão, o agente de provisionamento do Microsoft Entra é instalado no ambiente padrão do Azure.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. No painel esquerdo, selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. No painel esquerdo, selecione Agentes.

  4. Selecione Baixar agente local e, em seguida, selecione Aceitar termos & download.

    Captura de tela que mostra o download do agente.

  5. Depois de baixar o Microsoft Entra Connect Provisioning Agent Package, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe na pasta de downloads.

  6. No ecrã que se abre, selecione a caixa de verificação Concordo com os termos e condições da licença e, em seguida, selecione Instalar.

    Captura de tela que mostra os termos de licenciamento do Microsoft Entra Provisioning Agent Package.

  7. Após a conclusão da instalação, o assistente de configuração é aberto. Selecione Avançar para iniciar a configuração.

    Captura de tela que mostra a tela de boas-vindas.

  8. Entre com uma conta com, pelo menos, a função de administrador de Identidade Híbrida . Se você tiver a segurança reforçada do Internet Explorer habilitada, ela bloqueará a entrada. Em caso afirmativo, feche a instalação, desative a segurança reforçada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra.

    Captura de ecrã que mostra o ecrã Connect Microsoft Entra ID.

  9. Na tela Configurar Conta de Serviço , selecione uma Conta de Serviço Gerenciado (gMSA) do grupo. Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciado já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA. O sistema deteta a conta existente e adiciona as permissões necessárias para que o novo agente use a conta gMSA. Quando lhe for pedido, escolha uma de duas opções:

    • Criar gMSA: Deixe o agente criar a conta de serviço gerenciado provAgentgMSA$ para você. A conta de serviço gerenciado de grupo (por exemplo, CONTOSO\provAgentgMSA$) é criada no mesmo domínio do Ative Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Ative Directory (recomendado).
    • Usar gMSA personalizado: forneça o nome da conta de serviço gerenciado que você criou manualmente para esta tarefa.

    Captura de tela que mostra como configurar a Conta de Serviço Gerenciado do grupo.

  10. Para continuar, selecione Avançar.

  11. No ecrã Ligar o Ative Directory , se o seu nome de domínio aparecer em Domínios configurados, avance para o passo seguinte. Caso contrário, insira o nome de domínio do Ative Directory e selecione Adicionar diretório .

    Captura de tela que mostra domínios configurados.

  12. Entre com sua conta de administrador de domínio do Ative Directory. A conta de administrador de domínio não deve ter uma senha expirada. Se a senha tiver expirado ou for alterada durante a instalação do agente, reconfigure o agente com as novas credenciais. Esta operação adiciona o seu diretório local. Selecione OK e, em seguida, selecione Avançar para continuar.

  13. Selecione Avançar para continuar.

  14. Na tela Configuração concluída , selecione Confirmar. Esta operação registra e reinicia o agente.

    Captura de tela que mostra a tela de conclusão.

  15. Após a conclusão da operação, você verá uma notificação de que a configuração do agente foi verificada com êxito. Selecione Sair. Se você ainda receber a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que executa o agente.

Verificar o agente no portal do Azure

Para verificar se o Microsoft Entra ID registra o agente, execute estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. Na página Cloud Sync , clique em Agentes para ver os agentes que você instalou. Verifique se o agente aparece e se o status está ativo.

Verifique o agente no servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.

  2. Vá para Serviços. Você também pode usar Start/Run/Services.msc para acessá-lo.

  3. Em Serviços, verifique se o Microsoft Azure AD Connect Agent Updater e o Microsoft Azure AD Connect Provisioning Agent estão presentes e se o status é Em Execução.

    Captura de ecrã que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga estas etapas:

  1. Vá para C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent.
  2. Clique com o botão direito do mouse emAADConnectProvisioningAgent.exe e selecione Propriedades.
  3. Selecione a guia Detalhes . O número da versão aparece ao lado da versão do produto.

Importante

Depois de instalar o agente, você deve configurá-lo e habilitá-lo antes que ele comece a sincronizar os usuários. Para configurar um novo agente, consulte Criar uma nova configuração para o Microsoft Entra Cloud Sync.

Ativar a reposição de palavra-passe na sincronização com a nuvem

Você pode habilitar o write-back de senha no SSPR diretamente no portal ou por meio do PowerShell.

Ativar a retrogravação de senhas no portal

Para usar a reversão de senha e ativar o serviço de redefinição de palavra-passe de autoatendimento (SSPR) para detetar o agente de sincronização na nuvem através do portal, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>Redefinição de senha>a Integração no local.
  3. Marque a opção Ativar gravação de senha para usuários sincronizados .
  4. (facultativo) Se os agentes de provisionamento do Microsoft Entra Connect forem detetados, você também poderá marcar a opção Gravar senhas de volta com o Microsoft Entra Cloud Sync.
  5. Marque a opção Permitir que os usuários desbloqueiem contas sem redefinir a senha para Sim.
  6. Quando estiver pronto, selecione Salvar.

Através do PowerShell

Para usar escrita de volta da palavra-passe e habilitar o serviço de redefinição de palavra-passe de autoatendimento (SSPR) para detetar o agente de sincronização da nuvem, use o Set-AADCloudSyncPasswordWritebackConfiguration cmdlet e as credenciais de Administrador Global do aluguer:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Para obter mais informações sobre como usar a escrita de volta de senhas com o Microsoft Entra Cloud Sync, consulte Tutorial: Ativar autoatualização de escrita de volta de senhas de sincronização na nuvem para um ambiente local .

Sincronização de hash de palavras-passe e FIPS com sincronização na nuvem

Se o servidor tiver sido bloqueado de acordo com o Federal Information Processing Standard (FIPS), o MD5 (algoritmo de resumo de mensagens 5) será desativado.

Para habilitar o MD5 para sincronização de hash de senha, faça o seguinte:

  1. Vá para %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Abra AADConnectProvisioningAgent.exe.config.
  3. Vá para o nó de configuração/runtime no topo do arquivo.
  4. Adicione o nó <enforceFIPSPolicy enabled="false"/>.
  5. Guardar as suas alterações.

Para referência, seu código deve se parecer com o seguinte trecho:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Para obter informações sobre segurança e FIPS, consulte Sincronização de hash de senha do Microsoft Entra, criptografia e conformidade com FIPS.

Próximos passos

  • Last updated on