Muitos de vocês têm usado o Azure Active Directory Connect para gerenciar suas identidades híbridas e sincronização de usuários do Active Directory para o Azure Active Directory (recentemente renomeado Microsoft Entra ID). Essa tecnologia moderna é chamada de Azure AD Connect cloud sync. Neste artigo, vou guiá-lo pela instalação e configuração básica do Azure AD Connect cloud sync e explicar como implementá-lo em sua infraestrutura de Active Directory/Azure AD.
O que é Azure Active Directory Connect cloud sync?
Muitos profissionais de TI estão familiarizados com o Azure AD Connect – o software de sincronização que você usa para sincronizar suas identidades do seu Active Directory local para o Azure Active Directory e oferecer logon único perfeito. A próxima evolução é trazer tudo para a nuvem.
Portanto, a Microsoft passou de um aplicativo de software instalado em um servidor associado a um domínio em seu ambiente local para um agente de provisionamento simples. Uma pegada muito mais leve, pois todo o “trabalho pesado” é feito agora no Azure. Não há mais necessidade de um banco de dados local – tudo isso é feito na nuvem.
Agentes leves têm sido a tendência recentemente. Isso é uma vantagem se você passou recentemente por uma fusão ou aquisição ou está planejando uma.
Azure AD Connect cloud sync foi projetado para atender e alcançar seus objetivos de identidade híbrida sincronizando seus usuários, contatos, grupos, dispositivos e muito mais com o Azure AD. Uma observação importante – você pode usar o Azure AD Connect lado a lado com o agente de provisionamento de sincronização na nuvem!
Quais são as diferenças entre a sincronização do Azure AD Connect e a sincronização em nuvem do Azure AD Connect?
Ótima pergunta! Aqui está uma tabela da Microsoft que mostra as comparações de recursos entre os dois produtos.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Existe um cenário importante e prevalente que atualmente não é suportado com o recurso de sincronização em nuvem mais recente do Azure AD Connect, e isso é Exchange híbrido. Aqui está a resposta atual da documentação da Microsoft:
O recurso de Implantação Híbrida do Exchange permite a coexistência de caixas de correio do Exchange tanto localmente quanto no Microsoft 365. O Azure AD Connect está sincronizando um conjunto específico de atributos do Azure AD de volta para o seu diretório local. O agente de provisionamento em nuvem atualmente não sincroniza esses atributos de volta para o seu diretório local e, portanto, não é suportado como substituto do Azure AD Connect.
Pré-requisitos para instalar a sincronização em nuvem do Azure Active Directory Connect
A Microsoft menciona alguns pré-requisitos a serem observados antes de iniciar a instalação. Vamos revisá-los aqui.
- No portal do Azure:
- Você precisa ter acesso a uma conta de Administrador Global exclusivamente na nuvem.
- Você precisará de um nome de domínio personalizado no Azure para corresponder ao nome de domínio UPN no seu Active Directory. Se você estiver migrando do Azure AD Connect, isso deve estar em vigor, mas vale ressaltar.
- No seu ambiente local
- Você precisará de uma máquina associada a um domínio executando Windows Server 2016 ou mais recente. Você precisa de pelo menos 4 GB de RAM e .NET Framework 4.7.1 ou superior. O servidor simplesmente precisa de acesso à rede para pelo menos um controlador de domínio no seu ambiente local do AD.
- Seu firewall de borda precisará permitir que as portas de saída 80 e 443 sejam feitas a partir do seu servidor aqui para o Azure AD.
A única outra etapa (opcional) é primeiro desinstalar o Azure AD Connect se você tiver instalado. Isso não é necessário, mas para os fins deste artigo, eu irei percorrer os passos simples a seguir.
Ah, e é muito fácil aproveitar a alta disponibilidade com essa configuração. Basta instalar o agente de provisionamento em mais de um servidor em sua rede. Você verá os passos abaixo.
Desinstalando o Azure AD Connect (opcional)
- Entre no seu servidor Azure AD Connect e abra o Painel de Controle.
- Abra o menu ‘Desinstalar um programa‘.
- Clique na entrada Microsoft Azure AD Connect e clique no botão de barra de ferramentas Desinstalar.
Minha sugestão aqui é certificar-se de que a caixa de seleção está marcada para remover tudo. Eu sempre gosto de desinstalar softwares com o máximo de limpeza possível, fazendo o meu melhor para não deixar nenhum resto por aí.
- Clique em Remover e deixe-o finalizar.
Aí, tudo foi removido. Agora, podemos passar para os passos de instalação nova.
Como implementar o sincronismo em nuvem do Azure AD Connect na sua infraestrutura AD / AAD
Como disse, você pode instalar um agente de sincronismo em nuvem do Azure AD Connect com ou sem uma instalação existente do Azure AD Connect em seu ambiente. Neste caso, eu apenas removei o meu software existente do Azure AD Connect, portanto temos um tabuleiro limpo. Vamos começar!
Instalação
Nós começaremos em minha servidor Windows Server 2022 domain-joined, WS22-FS02.
- A primeira coisa, entre em Azure Portal e acesse o site do Azure Active Directory (Azure AD).
- No menu de navegação à esquerda, role para baixo e clique em Azure AD Connect. Em seguida, clique em Sincronismo em nuvem novamente à esquerda.
- Não é surpreendente que temos um tabuleiro limpo. Clique no menu de Agentes à esquerda, em seguida, clique em Baixar agente on-premises.
- Depois de baixar o agente, vá em frente e clique duas vezes no arquivo MSI. A instalação começará.
- Marque a caixa e clique em Instalar!
Em seguida, passamos para Configuração.
Configuração do Active Directory
Após a instalação inicial do agente, será iniciado o assistente de Configuração do Agente de Provisionamento do Microsoft Azure Active Directory Connect. Diga isso cinco vezes rápido. Caramba, Microsoft. Sempre acertando nos nomes dos produtos!
- Na tela de boas-vindas, clique em Próximo.
- Na tela ‘Selecionar Extensão‘, escolha Provisionamento orientado por RH (Workday e SuccessFactors) / Sincronização em Nuvem do Azure AD Connect. Essa é a opção mais provável. Apenas se você planeja provisionar aplicativos locais no Azure, você escolheria a segunda opção.
- Clique em Próximo.
- Em seguida, a tela Conectar o Azure AD aparece, solicitando as credenciais do seu Administrador Global do Azure AD. Insira essas informações e esteja preparado para o MFA!
- Na próxima etapa, a tela Configurar Conta de Serviço. Aqui, aceitaremos o padrão, Criar gMSA. Como estamos solicitando que crie uma conta gMSA para gerenciar a sincronização do AD para o Azure AD, precisamos inserir uma conta com privilégios de Administrador de Domínio. Insira essas informações e clique em Próximo.
- Continuando, chegamos à tela ‘Conectar o Active Directory‘. Sim, você está certo. Isso é bastante semelhante ao assistente de instalação do Azure AD Connect.
- De qualquer modo, verifique se o domínio Active Directory correto está definido. Se você verificar quaisquer erros, você pode ter digitado suas credenciais incorretamente. Continue e corrige se necessário e clique em Avançar.
- Chegamos na tela de confirmação final. Verifique tudo se parece bom e clique no botão Confirmar.
Configuração da Azure AD
Agora, vamos para o Azure Active Directory. Para gerenciar a sincronização de nuvem do Azure AD, navegue até o Portal do Azure novamente.
- Clique em Azure AD Connect e em Sincronização de nuvem.
- Clique no botão ‘Nova configuração’ no topo para iniciar o processo de configuração na nuvem.
- Aqui temos a Nova configuração de sincronização de nuvem. As opções padrão deveriam estar bem, assumindo que você estiver sincronizando apenas um domínio AD – no meu caso, ‘reinders.local’. Vamos manter a opção ‘Habilitar sincronização de hash de senha’ marcada para permitir o gerenciamento automático de senhas.
- Clique em Criar no final.
Bem, veja isso! Nós terminamos. Eu não sei sobre você, mas eu quase SEMPRE prefiro configurações baseadas em nuvem contra software cliente ‘grosso’ tradicional. É mais limpo. Além disso, eles podem iterar na interface de usuário e adicionar recursos muito mais rápido. E, por causa de ser baseada em nuvem, você não precisa se preocupar com atualizações do software, servidores indo offline, etc. Ela simplesmente funciona. A nuvem, 100% do tempo, certo?
Testes – Verificação
Vamos começar e habilitar a configuração. Podemos tratar dos filtros de alcance, mapeamento de atributos, etc. um pouco depois.
- Clique no botão Revisar e habilitar configuração no topo, depois clique em Habilitar Configuração.
- Após isso, aguarde por volta de 2 minutos, atualize seu navegador e clique na aba Visão geral no topo.
- A primeira coisa que você vai querer fazer é entrar com um endereço de email de notificação. Clique na aba Propriedades e clique no ícone de caneta (Editar) próximo a Basics.
- Insira um endereço de email de administrador para receber alertas sobre a infraestrutura de sincronização. Clique em Aplicar no fundo.
Agora, quanto a validação e personalização avançada, clique de volta para a visão Usuários no portal Azure AD para ver todos os seus usuários. Notei que o número de usuários passou de 31 para 32. Então, sei que ALGO aconteceu. E, se você estiver realmente preocupado, você pode se lembrar que eu filtrei um usuário em uma OU específica quando eu configurei o Azure AD Connect. Portanto, porque eu ainda não fiz nenhum filtro, um novo usuário foi sincronizado – John Reinders.
Deixe-me passar por três telas de configuração centrais que você usará para manter e ajustar suas configurações de sincronização. A primeira é Filtros de alcance.
O padrão é sincronizar todos os usuários do seu Active Directory. Você pode optar por sincronizar apenas grupos de segurança selecionados OU unidades organizacionais (OUs) selecionadas. E sim, este é um exemplo de software em nuvem sendo, por enquanto, menos configurável do que o software local. Mas isso está mudando continuamente. Eventualmente, eles incorporarão TODOS os recursos e opções na sincronização em nuvem do Azure AD Connect.
Em seguida, vamos olhar para o Mapeamento de atributos. Aqui podemos escolher editar a lista padrão de atributos e como eles são sincronizados do Active Directory para o Azure AD, e até mesmo adicionar itens adicionais clicando em ‘+ Adicionar mapeamento de atributo’.
Tenha certeza de que há muitas opções aqui. Como eu disse, a Microsoft está continuamente adicionando mais recursos a essa funcionalidade. Portanto, não se surpreenda se você perceber algumas dessas telas mudarem ou adicionarem/removerem partes. Esta é a nuvem, pessoal!
Por fim, vamos dar uma olhada no Construtor de expressões. Aqui é onde você pode realmente adicionar alguma personalização em como certos atributos são sincronizados e como usar expressões para corresponder atributos de usuário específicos de um domínio Active Directory e outros atributos de outro domínio AD para produzir o melhor objeto único no Azure AD. Mais uma vez, há muito poder aqui, e você estará familiarizado com a configuração geral se já usou recursos personalizados como regras de sincronização no software Azure AD Connect.
Conclusão
Bem, isso é muita informação. E, eu quero destacar a maior desvantagem da sincronização em nuvem do Azure AD Connect – ela tem menos recursos e pode suportar menos cenários do que o Azure AD Connect.
Isto é normal e por design. O Azure AD Connect existe há anos e o Azure AD Connect cloud sync foi lançado há cerca de um ano atrás. Portanto, naturalmente, há mais funcionalidade no software mais antigo.
Minha dica: Assim que os cenários suportados com o Azure AD Connect cloud sync se ajustarem à sua ambiente, tome os passos para migrar para ele. Após usar o Azure AD Connect por muitos anos em meus ‘trabalhos diários’, a funcionalidade em nuvem parece muito agradável – e MUITO menos para administrar e manter controle.
Fique à vontade para deixar um comentário ou pergunta abaixo e obrigado por ler!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/