Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo fornece orientação sobre como usar o Microsoft Entra Cloud Sync como sua solução de identidade.
Requisitos do agente de provisionamento na nuvem
Você precisa do seguinte para usar o Microsoft Entra Cloud Sync:
Credenciais de Administrador de Domínio ou Administrador da Empresa para criar a conta gMSA (conta de serviço de grupo gerido) de sincronização na nuvem do Microsoft Entra Connect para executar o serviço do agente.
Uma conta de Administrador de Identidade Híbrida para seu locatário do Microsoft Entra que não seja um usuário convidado.
O agente Microsoft Entra Cloud Sync deve ser instalado em um servidor associado a um domínio que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016. Recomendamos o Windows Server 2022. Você pode implantar o Microsoft Entra Cloud Sync no Windows Server 2016, mas como ele está em suporte estendido, talvez precise de um programa de suporte pago se precisar de suporte para essa configuração. A instalação em versões sem suporte do Windows Server pode causar falhas de serviço ou comportamento inesperado.
Importante
O Windows Server 2025 NÃO é suportado. Existe um problema conhecido no Windows Server 2025 que pode causar problemas de sincronização com o Microsoft Entra Cloud Sync. Se atualizou para o Windows Server 2025, certifique-se de que instalou a atualização de 20 de outubro de 2025 - KB5070773 , ou posterior. Depois de instalar esta atualização, reinicie o servidor para que as alterações tenham efeito. O suporte do Windows Server 2025 para o Microsoft Entra Cloud Sync está planejado para uma versão futura.
Este servidor deve ser um servidor de camada 0 baseado no modelo de camada administrativa do Ative Directory . Há suporte para a instalação do agente em um controlador de domínio. Para obter mais informações, consulte Reforçar o servidor do agente de provisionamento do Microsoft Entra
O Esquema do Ative Directory é necessário para ter o atributo msDS-ExternalDirectoryObjectId, que está disponível no Windows Server 2016 e posterior.
O serviço Gerenciador de Credenciais do Windows (VaultSvc) não pode ser desabilitado, pois isso impede a instalação do agente de provisionamento.
Alta disponibilidade refere-se à capacidade do Microsoft Entra Cloud Sync de operar continuamente sem falhas por um longo tempo. Ao ter vários agentes ativos instalados e em execução, o Microsoft Entra Cloud Sync pode continuar a funcionar mesmo se um agente falhar. A Microsoft recomenda ter 3 agentes ativos instalados para alta disponibilidade.
Configurações de firewall local.
Proteja seu servidor de agente de provisionamento do Microsoft Entra
Recomendamos que você proteja o servidor do agente de provisionamento do Microsoft Entra para diminuir a superfície de ataque à segurança desse componente crítico do seu ambiente de TI. Seguir essas recomendações ajuda a mitigar alguns riscos de segurança para sua organização.
- Recomendamos proteger o servidor do agente de provisionamento do Microsoft Entra como um ativo do Plano de Controle (anteriormente Tier 0) seguindo as orientações fornecidas no Secure Privileged Access e modelo de camada administrativa do Ative Directory.
- Restrinja o acesso administrativo ao servidor do agente de provisionamento do Microsoft Entra apenas a administradores de domínio ou outros grupos de segurança rigorosamente controlados.
- Crie uma conta dedicada para todo o pessoal com acesso privilegiado. Os administradores não devem navegar na Web, verificar seus e-mails e fazer tarefas diárias de produtividade com contas altamente privilegiadas.
- Siga as orientações fornecidas em Protegendo o acesso privilegiado.
- Negar o uso da autenticação NTLM com o servidor do agente de provisionamento do Microsoft Entra. Aqui estão algumas maneiras de fazer isso: Restringir NTLM no agente de provisionamento do Microsoft Entra Server e Restringir NTLM num domínio
- Certifique-se de que cada máquina tenha uma senha de administrador local exclusiva. Para obter mais informações, consulte Solução de Senha de Administrador Local (Windows LAPS), que pode configurar senhas aleatórias únicas em cada estação de trabalho e servidor, armazenando-as no Active Directory, protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Orientações adicionais para operar um ambiente com LAPS do Windows e estações de trabalho de acesso privilegiado (PAWs) podem ser encontradas em Padrões operacionais baseados no princípio de fonte limpa.
- Implemente estações de trabalho dedicadas de acesso privilegiado para todo o pessoal com acesso privilegiado aos sistemas de informação da sua organização.
- Siga estas diretrizes adicionais para reduzir a superfície de ataque do seu ambiente do Active Directory.
- Siga a seção Monitorar alterações na configuração de federação para configurar alertas para monitorar alterações na confiança estabelecida entre seu IdP e o ID do Microsoft Entra.
- Habilite a autenticação multifator (MFA) para todos os usuários que têm acesso privilegiado no Microsoft Entra ID ou no AD. Um problema de segurança com o uso do agente de provisionamento do Microsoft Entra é que, se um invasor puder obter controle sobre o servidor do agente de provisionamento do Microsoft Entra, ele poderá manipular os usuários na ID do Microsoft Entra. Para impedir que um invasor use esses recursos para assumir contas do Microsoft Entra, o MFA oferece proteções. Por exemplo, mesmo que um invasor consiga redefinir a senha de um usuário usando o agente de provisionamento do Microsoft Entra, ele ainda não poderá ignorar o segundo fator.
Contas de Serviço Gerenciado de Grupo
Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas e gerenciamento simplificado de SPN (nome principal de serviço). Ele também oferece a capacidade de delegar o gerenciamento a outros administradores e estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e usa um gMSA para executar o agente. Ser-lhe-ão solicitadas credenciais administrativas durante a configuração para criar esta conta. A conta aparece como domain\provAgentgMSA$. Para obter mais informações sobre um gMSA, consulte grupo Contas de Serviço Gerenciado.
Pré-requisitos para gMSA
- O esquema do Ative Directory na floresta do domínio gMSA precisa ser atualizado para o Windows Server 2012 ou posterior.
- módulos RSAT do PowerShell em um controlador de domínio.
- Pelo menos um controlador de domínio no domínio deve estar executando o Windows Server 2012 ou posterior.
- Um servidor associado a um domínio que executa o Windows Server 2022, Windows Server 2019 ou Windows Server 2016 para a instalação do agente.
Conta gMSA personalizada
Se você estiver criando uma conta gMSA personalizada, precisará garantir que a conta tenha as seguintes permissões.
| Tipo | Nome | Acesso | Aplica-se a |
|---|---|---|---|
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos de dispositivo descendentes |
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos InetOrgPerson descendentes |
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos de computador descendentes |
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos descendentes foreignSecurityPrincipal |
| Permitir | Conta gMSA | Controlo total | Objetos do Grupo Descendente |
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos de usuário descendente |
| Permitir | Conta gMSA | Ler todos os imóveis | Objetos de contacto descendentes |
| Permitir | Conta gMSA | Criar/excluir objetos de usuário | Este objeto e todos os objetos descendentes |
Para obter etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte grupo Contas de Serviço Gerenciado.
Para mais informações sobre como preparar o Active Directory para a Conta de Serviço Gerenciado de Grupo, consulte Visão Geral das Contas de Serviço Gerenciado de Grupo e Contas de Serviço Gerenciado de Grupo com Sincronização na Nuvem.
No centro de administração do Microsoft Entra
- Crie uma conta de Administrador de Identidade Híbrida somente na nuvem em seu locatário do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do locatário se os serviços locais falharem ou ficarem indisponíveis. Saiba como adicionar uma conta de Administrador de Identidade Híbrida somente na nuvem. Concluir esta etapa é fundamental para garantir que não perca o acesso ao seu locatário.
- Adicione um ou mais nomes de domínio personalizados à sua instância do Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.
No seu diretório no Active Directory
Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.
No seu ambiente interno
- Identifique um servidor host associado a um domínio que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016 com um mínimo de 4 GB de RAM e tempo de execução do .NET 4.7.1+.
- A política de execução do PowerShell no servidor local deve ser definida como Undefined ou RemoteSigned.
- Se houver um firewall entre seus servidores e o Microsoft Entra ID, consulte Requisitos de firewall e proxy.
Observação
Não há suporte para a instalação do agente de provisionamento de nuvem no Windows Server Core.
Configurar o ID do Microsoft Entra para os Serviços de Domínio Active Directory - Pré-requisitos
Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento nos Serviços de Domínio Ative Directory (AD DS).
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Comparação de recursos geralmente disponíveis do Microsoft Entra ID.
Requisitos gerais
- Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
- Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , disponível no Windows Server 2016 e posterior.
- Agente de provisionamento com a versão de compilação 1.1.3730.0 ou posterior.
Observação
As permissões para a conta de serviço são atribuídas exclusivamente durante uma instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Se as permissões forem definidas manualmente, você precisará atribuir Ler, Gravar, Criar e Excluir todas as propriedades para todos os grupos descendentes e objetos de usuário.
Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte Cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell.
- O agente de provisionamento deve ser instalado em um servidor que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
- O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
- Necessário para a pesquisa do Catálogo Global filtrar referências de associação inválidas
- Microsoft Entra Connect Sync com versão de compilação 2.22.8.0
- Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
- Necessário para sincronizar
AD DS:user:objectGUIDcomAAD DS:user:onPremisesObjectIdentifier
Limites de escala para Provisionamento de grupos para o Active Directory
O desempenho da funcionalidade de Provisão de Grupo para o Active Directory é afetado pelo tamanho do cliente e pelo número de grupos e associações que estão no âmbito para provisionamento no Active Directory. Esta secção fornece orientações sobre como determinar se o GPAD corresponde ao seu requisito de escala e como escolher o modo certo de avaliação de grupos para alcançar ciclos de sincronização inicial e delta mais rápidos.
O que não é suportado?
- Grupos com mais de 50 mil membros não são suportados.
- A utilização do âmbito "Todos os grupos de segurança" sem aplicar filtragem de escopo de atributos não é suportada.
Limites de escala
| Modo de Definição de Escopo | Número de grupos dentro do âmbito | Número de ligações de membros (apenas membros diretos) | Observações |
|---|---|---|---|
| Modo "Grupos de segurança selecionados" | Até 10 mil grupos. O painel CloudSync no portal Microsoft Entra só permite selecionar até 999 grupos, bem como mostrar até 999 grupos. Se precisar de adicionar mais de 1000 grupos ao âmbito, veja: Seleção expandida de grupos via API. | Até 250 mil membros no total, em todos os grupos do âmbito. | Use este modo de definição de âmbito se o seu inquilino exceder QUALQUER um destes limites 1. O inquilino tem mais de 200 mil utilizadores 2. O inquilino tem mais de 40 mil grupos 3. O inquilino tem mais de 1 milhão de membros de grupos. |
| Modo "Todos os Grupos de Segurança" com pelo menos um filtro de escopo de atributos. | Até 20 mil grupos. | Até 500 mil membros no total, em todos os grupos abrangidos. | Use este modo de definição de âmbito se o seu locatário cumprir TODOS os limites abaixo: 1. O inquilino tem menos de 200 mil utilizadores 2. O inquilino tem menos de 40 mil grupos 3. O inquilino tem menos de 1 milhão de filiações a grupos. |
O que fazer se ultrapassar os limites
Ultrapassar os limites recomendados vai abrandar a sincronização inicial e delta, podendo causar erros de sincronização. Se isto acontecer, siga estes passos:
Demasiados grupos ou membros de grupo no modo de definição de escopo de 'Grupos de segurança selecionados':
Reduzir o número de grupos em âmbito, focando em grupos de maior valor, ou dividir o provisionamento em múltiplos trabalhos distintos com âmbitos distintos.
Demasiados grupos ou membros de grupo no modo de delimitação 'Todos os grupos de segurança':
Use o modo de delimitação dos grupos de segurança selecionados conforme recomendado.
Alguns grupos ultrapassam os 50 mil membros:
Dividir a membresia entre vários grupos ou adotar grupos em etapas (por exemplo, por região ou unidade de negócio) para manter cada grupo abaixo do limite.
Seleção alargada de grupos via API
Se precisar de selecionar mais de 999 grupos, deve usar o Grant an appRoleAssignment para uma chamada API de principal de serviço .
Um exemplo das chamadas API é o seguinte:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: ID do objeto do grupo.
- resourceId: ID principal de serviço do Job.
- appRoleId: Identificador do papel da aplicação exposto pelo principal do serviço de recursos.
A tabela seguinte apresenta uma lista de IDs de Funcionalidades de Aplicação para nuvens:
| Nuvem | appRoleId |
|---|---|
| Public | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Mais informações
Aqui estão mais pontos a considerar ao fornecer grupos para o AD DS.
- Os grupos provisionados para o AD DS usando o Cloud Sync só podem conter usuários sincronizados no local ou outros grupos de segurança criados na nuvem.
- Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
- O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD DS de destino.
- Um atributo objectGUID de usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário de nuvem usando qualquer cliente de sincronização.
- Somente locatários globais do Microsoft Entra ID podem provisionar do Microsoft Entra ID para o AD DS. O suporte não está disponível para locatários como B2C.
- O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.
Mais requisitos
Requisitos TLS
Observação
Transport Layer Security (TLS) é um protocolo que fornece comunicações seguras. A alteração das configurações de TLS afeta toda a floresta. Para obter mais informações, consulte Update para habilitar o TLS 1.1 e o TLS 1.2 como protocolos seguros padrão no WinHTTP no Windows.
O servidor Windows que hospeda o agente de provisionamento de nuvem do Microsoft Entra Connect deve ter o TLS 1.2 habilitado antes de instalá-lo.
Para ativar o TLS 1.2, siga estes passos.
Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e, em seguida, execute o arquivo (selecione com o botão direito e escolha Mesclar):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Reinicie o servidor.
Requisitos de firewall e proxy
Se houver um firewall entre seus servidores e o Microsoft Entra ID, configure os seguintes itens:
Certifique-se de que os agentes possam fazer solicitações de saída para o Microsoft Entra ID nas seguintes portas:
Número da porta Descrição 80 Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL. 443 Gere toda a comunicação de saída com o serviço. 8080 (opcional) Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Esse status é exibido no centro de administração do Microsoft Entra. Se o firewall impor regras de acordo com os usuários de origem, abra essas portas para o tráfego de serviços do Windows que são executados como um serviço de rede.
Verifique se o proxy suporta pelo menos o protocolo HTTP 1.1 e se a codificação em partes está habilitada.
Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões:
| URL | Descrição |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
O agente usa essas URLs para se comunicar com o serviço de nuvem Microsoft Entra. |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
O agente usa essas URLs para verificar certificados. |
login.windows.net |
O agente usa essas URLs durante o processo de registro. |
Requisito NTLM
Você não deve habilitar o NTLM no Windows Server que está executando o agente de provisionamento do Microsoft Entra e, se ele estiver habilitado, certifique-se de desativá-lo.
Limitações conhecidas
As seguintes limitações são conhecidas:
Sincronização Delta
- A filtragem de escopo de grupo para sincronização delta não dá suporte a mais de 50.000 membros.
- Quando você exclui um grupo usado como parte de um filtro de escopo de grupo, os usuários que são membros do grupo não são excluídos.
- Quando você renomeia a UO ou o grupo que está no escopo, a sincronização delta não remove os usuários.
Logs de provisionamento
- Os logs de provisionamento não diferenciam claramente entre operações de criação e atualização. Poderá ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.
Renomeação de grupo ou renomeação de OU
- Se você renomear um grupo ou UO no AD que esteja no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não poderá reconhecer a alteração de nome no AD. O trabalho não entra em quarentena e mantém-se em bom estado.
Filtro de escopo
Ao utilizar o filtro de escopo da OU
A configuração de escopo tem uma limitação de 4 MB de comprimento de caracteres. Em um ambiente padrão testado, isso se traduz em aproximadamente 50 Unidades Organizacionais (UOs) ou Grupos de Segurança separados, incluindo seus metadados necessários, para uma determinada configuração.
Há suporte para UOs aninhadas (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).
Sincronização de Hash de Palavra-passe
- Não há suporte para o uso da sincronização de hash de senha com InetOrgPerson.