Integrar seus Serviços de Domínio do Active Directory (AD) locais (e sincronizar) com o Azure AD é feito usando a GUI do Synchronization Service Manager ou via PowerShell.
Existem duas maneiras de usar o Azure AD localmente – autenticação de passagem (envia a solicitação de autenticação diretamente para o Azure AD) ou sincronização de diretório que sincroniza os hashes de senhas entre o AD local e o Azure AD. Neste post, vamos abordar como configurar o software Azure Active Directory Connect para sincronizar hashes de senhas.
Vamos explicar como configurar uma sincronização recorrente e também como usar o Azure AD Connect para forçar uma sincronização de hash de senha.
Resumidamente, para forçar a sincronização com o Azure AD usando o PowerShell, são necessários os seguintes passos:
- Instalar o Azure Active Directory Connect
- Importar o módulo PowerShell do ADSync
- Executar o cmdlet
Start-AdSyncSchedule, que lê os hashes de senhas de um controlador de domínio e sincroniza com o Azure AD.
Se você prefere aprender por meio de vídeos, não deixe de conferir este informativo vídeo da TechSnips.
Instalar o Azure AD Connect
Para sincronizar o Active Directory local com um locatário do Azure AD, você primeiro precisará baixar e instalar o software Azure AD Connect. Para fazer isso, você tem duas opções. Você pode baixá-lo pelo Portal do Azure ou indo diretamente para o pacote de software.
Baixando pelo Portal do Azure
Se você optou por não baixar o pacote do site da Microsoft, precisará obtê-lo pelo Portal do Azure.
Procure por “Azure Active Directory” no portal. Na seção Azure Active Directory, clique em Azure AD Connect. Aqui você encontrará uma seção Status de Sincronização com um link para Baixar Azure AD Connect.
Ferramentas de Sincronização
Ao instalar o Azure AD Connect, ele instalará duas ferramentas principais que você pode usar para agendar uma sincronização ou forçar uma sincronização.
- O módulo PowerShell ADSync
- O Gerenciador do Serviço de Sincronização
Usando essas duas ferramentas, você pode configurar uma sincronização recorrente (agendada) para executar rotineiramente uma sincronização do Azure AD. Ou, você pode usar uma delas para forçar uma sincronização ad hoc. Ambas as ferramentas têm o mesmo comportamento. A única diferença é que uma é via linha de comando (PowerShell) e a outra é um aplicativo GUI.
Configurando o Módulo PowerShell ADSync
Ao instalar o Azure AD Connect, ele instalará um módulo PowerShell chamado ADSync. Este módulo contém comandos que permitem gerenciar o processo de sincronização usando o PowerShell.
Observe que, neste artigo, estou utilizando o Windows PowerShell 5.1. Se você estiver usando uma versão mais antiga, os resultados podem variar.
Assim como todos os módulos do PowerShell, a importação do módulo é direta. No entanto, o módulo não está localizado em uma pasta conhecida de módulos do Windows PowerShell. A instalação coloca o módulo do PowerShell na pasta C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Para importar o módulo, abra um console do PowerShell e insira o seguinte:
Para verificar se o módulo foi importado, utilize Get-Module. Você deverá ver o módulo ADSync listado.
Programação Padrão de Sincronização do Azure AD
Por padrão, o Azure AD Connect cria uma tarefa agendada que executa uma sincronização delta (sincronizando apenas objetos diferentes) a cada 30 minutos. Você pode encontrar o agendamento abrindo o Agendador de Tarefas. Você deverá notar uma tarefa agendada em Microsoft –> Windows chamada Azure AD Sync Scheduler.
Você pode alterar esse agendamento, mas tenha em mente que 30 minutos é o menor intervalo suportado. O objetivo é definir o intervalo de sincronização para que ocorra com frequência suficiente para capturar as alterações. Se a sincronização for muito curta, há o risco de saturar a sua rede.
O agendador lida com duas tarefas:
- Ciclo de Sincronização – O processo de importação, sincronização e exportação de alterações.
- Tarefas de Manutenção – Renova chaves e certificados para redefinições de senha e o Serviço de Registro de Dispositivos (DRS). Também elimina entradas antigas no registro de operações.
O agendador em si está sempre em execução, mas pode ser configurado para executar apenas uma ou nenhuma dessas tarefas.
Forçando uma Sincronização do Azure AD Connect
Pode haver momentos em que você precise forçar a sincronização de seus objetos. Por exemplo, se precisar ter seu próprio processo de ciclo de sincronização, você pode desabilitar essa tarefa no agendador, mas ainda executar a tarefa de manutenção.
Para usar o Azure Active Directory Connect para forçar uma sincronização de senha e outras informações, você pode usar o Synchronization Service Manager ou o PowerShell.
Forçando uma Sincronização com o Synchronization Service Manager
Em um servidor com o Azure AD Connect instalado, vá para o menu Iniciar e selecione AD Connect, depois Serviço de Sincronização.
À primeira vista, pode parecer avassalador, mas você só se preocupa com a guia Conectores e o painel de seleção à direita. Olhando para o painel à direita, você pode ver opções para parar (Parar) e iniciar (Executar) a sincronização.
Observe que, durante a execução de um ciclo de sincronização, você não pode fazer alterações de configuração. Parar o ciclo atual não é prejudicial, e as alterações pendentes serão processadas na próxima execução.
Obtendo o Status de Sincronização com PowerShell
Antes de forçar uma sincronização, é uma boa ideia obter o status do ciclo de sincronização atual. Se você forçar a sincronização durante um ciclo em andamento, poderá enfrentar alguns problemas mais tarde.
Para ver as configurações atuais, abra um console do PowerShell no servidor onde o Azure Active Directory Connect está instalado e execute Get-ADSyncScheduler. Você verá algumas propriedades, cada uma fornecendo informações úteis.
Get-AdSyncSchedulerHá bastante informação para analisar. Vamos passar por linha por linha:
AllowedSyncCycleInterval– Este é o intervalo mais curto entre as sincronizações. Por padrão, está definido como 30 minutos, o intervalo mais curto permitido.CurrentlyEffectiveSyncCycleInterval– O cronograma atualmente em vigor. Tem o mesmo valor queCustomizedSyncInterval(se definido) se não for mais frequente queAllowedSyncInterval. Se você usar uma compilação anterior a 1.1.281 e alterarCustomizedSyncCycleInterval, essa alteração terá efeito após o próximo ciclo de sincronização. A partir da compilação 1.1.281, a alteração tem efeito imediato.CustomizedSyncCycleInterval– Isso é definido se você quiser que o agendador seja executado em uma frequência diferente dos padrões de 30 minutos.NextSyncCyclePolicyType– Este parâmetro define o que deve ser processado na próxima execução. Se a próxima execução for uma sincronização completa, ela será exibida inicialmente.NextSyncCycleStartTimeInUTC– Este é o horário em que o agendador inicia o próximo ciclo de sincronização.PurgeRunHistoryInterval– Define por quanto tempo os logs de operação serão mantidos. O padrão é manter os logs por 7 dias.SyncCycleEnabled– Indica se o agendador está executando os processos de importação, sincronização e exportação como parte de sua operação.MaintenanceEnabled– A manutenção ativada atualiza os certificados/chaves e limpa o log de operações.StagingModeEnabled– Se ativado, suprime as exportações de serem executadas. sincronização.SchedulerSuspended– Define para bloquear temporariamente o agendador de ser executado.
Forçando uma Sincronização com PowerShell
Encontre senhas vazadas e inseguras em seu Active Directory verificando contra a lista de senhas do NCSC.
Você tem algumas opções ao forçar uma sincronização. Você pode forçar uma sincronização completa ou uma sincronização delta. Uma sincronização completa verifica todos os objetos no AD. Uma sincronização delta verifica e sincroniza apenas as alterações desde a última execução.
Para iniciar uma sincronização completa, você pode usar o cmdlet Start-AdSyncSyncCycle. Use o parâmetro PolicyType para escolher entre Full ou Delta dependendo da sincronização que você gostaria de iniciar. Ambos os métodos forçarão uma sincronização do AD para o Office 365, contas de identidade do usuário e todos os outros atributos.
Parando uma Sincronização
Se você gostaria de parar uma sincronização em processo, você também pode usar o cmdlet Stop-ADSyncSyncCycle.
Resumo
Independentemente de você escolher usar a GUI ou PowerShell, você deve agora saber várias maneiras de usar a ferramenta Azure Active Directory Connect para agendar ou forçar uma sincronização com seu ambiente de Active Directory local com o Azure AD.