Organizações usam o Active Directory para gerenciar centralmente computadores e usuários do Windows. Configurar um Controlador de Domínio do Active Directory (ADDC) no Windows Server é conveniente, e os administradores podem usar este servidor para autenticar usuários, configurar permissões e gerenciar acesso a recursos compartilhados.
Muitas empresas que já utilizam o Windows migraram para uma plataforma de nuvem da Microsoft, como o Microsoft 365 (anteriormente Office 365) ou o Azure. Nesse caso, um administrador de sistema precisa criar contas de usuário no Microsoft 365. Às vezes, organizações preferem utilizar as mesmas credenciais para contas de usuário locais e contas de usuário na nuvem. Administradores podem sincronizar os usuários de um domínio local localmente com o Office 365 e o Azure Active Directory (Azure AD) para utilizar a mesma conta de usuário tanto para autenticação local quanto na nuvem. Isso é conhecido como implantação híbrida e é popular entre organizações que utilizam produtos de software da Microsoft.
Este post do blog aborda a sincronização do AD do Office 365 e explica como você pode realizar a sincronização do Active Directory do Office 365 para sincronizar contas de usuário locais e na nuvem para produtos da Microsoft.
Office 365 e Azure AD
O Office 365 é um locatário no Azure Active Directory e utiliza o portal para armazenar dados usados para autenticação e para configurar permissões de acesso ao ambiente de nuvem da Microsoft. O administrador do locatário do Office 365 pode acessar o portal do Azure para gerenciar permissões e configurar outras configurações. Se você tiver um ADDC (Controlador de Domínio do Active Directory) em execução localmente, pode sincronizar o Office 365 com o AD (sincronizar seu Active Directory local e o Azure Active Directory com o Office 365) e, como resultado, alcançar a integração do Active Directory do Office 365.
Essa abordagem oferece uma identidade híbrida e permite que os usuários usem as mesmas credenciais para acessar os serviços do Office 365 e os recursos locais em seu escritório/data center. Dados do Active Directory, como usuários, grupos e contatos, são sincronizados nesse caso. A sincronização de diretórios é uma etapa importante na migração para a nuvem se você deseja ter um ambiente híbrido.
O que é o Azure AD Connect?
O Azure AD Connect é uma ferramenta leve que é instalada em um servidor local, que atua como um ADDC. O Azure AD Connect sincroniza os dados de identidade do seu Active Directory local com o Azure Active Directory usado pelo Office 365 na nuvem. Essa ferramenta pode ser instalada em um controlador de domínio ou em um servidor Windows que seja membro do domínio. O Azure AD Connect substituiu a Ferramenta de Sincronização de Diretórios (DirSync), que foi descontinuada.
O Azure AD Connect suporta as seguintes funcionalidades:
- Sincronização de hashes de senha
- Autenticação de passagem
- Autenticação federada. A autenticação pode ser solicitada para outro provedor de identidade por um computador cliente.
Por padrão, a sincronização de diretório é executada do AD local para o Azure AD usado pelo Office 365. No entanto, você pode configurar a sincronização do Active Directory na direção inversa e sincronizar as mudanças do Azure AD para seu AD local. Por padrão, a sincronização é agendada para executar a cada 30 minutos. Você pode editar a configuração de agendamento e forçar a sincronização do diretório do Office 365 no PowerShell. Você pode configurar a sincronização delta para sincronizar somente os dados alterados desde a última sincronização do AD do Office 365. A recomendação é que a sincronização delta deve ser executada dentro de 7 dias da última sincronização.
Requisitos
Para instalar e executar o Azure AD Connect, certifique-se das seguintes coisas:
- Um controlador de domínio de Active Directory que execute o sistema operacional Windows Server deve estar instalado e configurado no local.
- O nível de funcionalidade do Active Directory local deve ser Windows Server 2003 ou posterior.
- Você deve ter permissões de administrador de domínio ou as permissões de um administrador local em um computador que é membro de um domínio.
Sistemas operacionais com suporte: Windows Server 2012, Windows Server 2016, Windows Server 2019 com uma interface gráfica. O Windows Server Core não é suportado. A edição do Windows Server deve ser Standard ou superior. As edições Essentials não são suportadas.
O .NET Framework 4.5.1 ou posterior deve estar instalado em um computador Windows Server que executa o Azure AD Connect.
PowerShell 3.0 ou posterior. A política de execução de scripts deve permitir que você execute scripts. A política recomendada é RemoteSigned.
Você deve ter um domínio externo associado com seu inquilino do Office 365.
Você precisa ter acesso a um inquilino do Azure (para sua conta de administrador do Office 365). Permissões de administrador global são necessárias.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
Requisitos de rede:
- Uma conexão HTTPS de saída para servidores da Microsoft
- TCP 80. O protocolo HTTP é usado para baixar listas de revogação de certificados para a verificação de certificados TSL/SSL
- TCP 443. HTTPS é usado para sincronizar dados com o Azure Active Directory
- O TLS 1.2 deve estar habilitado em uma máquina Windows.
Preparando o Ambiente
Verifique os sufixos UPN (ou Nome Principal do Usuário) para o seu domínio local usado pelo Active Directory local. O domínio local deve ser roteável e o sufixo do domínio local não deve ser .local, .test, etc. Domínios que possuem esse tipo de sufixo são classificados como não roteáveis e esses domínios só podem ser sincronizados com um domínio .onmicrosoft.com. Por exemplo, se você tiver o domínio .nakivo.test no seu Active Directory local e nakivo.onmicrosoft.com no Azure Active Directory, [email protected] deve ser sincronizado com [email protected]. Se você tiver um nome de domínio.net no seu Active Directory local e o nome do domínio externo usado no Office 365 e Azure também for domínio.net, então user1@domínio.net do Active Directory local pode ser sincronizado com user1@domínio.net no Azure AD usado pelo Office 365 para autenticação e configuração de permissões. Assim, o nome de domínio deve ser válido e deve ter sufixos corretos como .com, .net, .uk, .us, .edu, etc. para sincronização completa e correspondência de nomes. UPNs de usuários locais no seu Active Directory podem ser sincronizados com o Azure AD e o Office 365.
Observação: Os nomes de domínio usados neste post do blog são apenas exemplos. Por favor, use os nomes de domínio corretos de acordo com a configuração do seu ambiente.
Você pode verificar os nomes de domínio para o Office 365 no Centro de administração do Microsoft 365. Acesse Configurações > Domínios para ver os domínios disponíveis que podem ser vinculados ao seu locatário do Office 365.
Tornando um domínio roteável
Você pode editar as configurações do seu domínio local para tornar o domínio roteável para melhores capacidades de sincronização, adicionando os sufixos UPN necessários. Adicione sufixos UPN ao seu domínio local existente para corresponder aos nomes de usuários localmente e no Microsoft 365 (Azure). Primeiro, registre um novo sufixo e, em seguida, atualize os usuários do Active Directory local para usar o sufixo atualizado.
Adicionando o novo sufixo UPN
Acesse Domínios e Confianças do Active Directory no seu controlador de domínio local. Para fazer isso, abra o Gerenciador do Servidor, clique em Ferramentas e, no menu que abrir, clique em Domínios e Confianças do Active Directory. Como alternativa, execute domain.msc no menu Executar (pressione Win+R para abrir o menu Executar) ou no prompt de comando (CMD).
A janela Domínios e Confianças do Active Directory será aberta. Clique com o botão direito em Domínios e Confianças do Active Directory e, no menu de contexto, clique em Propriedades.
Insira o nome de domínio padronizado correto com o sufixo correto, por exemplo, id.com ou nakivo.com. Clique em Adicionar e, em seguida, clique em OK para salvar as configurações e fechar esta janela.
Editando UPNs para usuários existentes
Agora você deve editar os sufixos UPN para os usuários existentes no controlador de domínio do Active Directory local.
Vá para Usuários e Computadores do Active Directory abrindo o Gerenciador do Servidor e indo para o menu Ferramentas (assim como você fez antes). Como alternativa, pressione Win+R para abrir o menu Executar, digite dsa.msc na caixa de diálogo Executar e clique em Enter.
Na janela Usuários e Computadores do Active Directory, expanda seu domínio e clique no diretório Usuários. Selecione um usuário de domínio, clique com o botão direito no usuário de domínio e clique em Propriedades no menu de contexto.
Selecione a guia Conta na janela de propriedades do usuário. No menu suspenso, selecione o nome de domínio correto com o sufixo correto. Clique em OK para salvar as configurações e fechar a janela.
Repita esta operação para todos os usuários que são membros do seu domínio local (usuários para os quais você deseja realizar a sincronização do AD do Office 365). Se você tiver um grande número de usuários em seu Active Directory local, use o PowerShell para edição em massa em vez de editar as propriedades de cada usuário manualmente. Use os comandos acima para este propósito:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
Defina os nomes de domínio corretos em vez de domain.local e domain.com com base na configuração em seu ambiente.
Você pode alterar um UPN e o endereço no PowerShell com o módulo PowerShell MSOnline (módulo PowerShell do Azure AD).
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Após atualizar os UPNs, você está pronto para sincronizar os Serviços de Domínio do Active Directory local com o Microsoft 365 e o Azure Active Directory.
Edição de atributos de proxy de email
Edite o atributo de email para cada usuário e defina um endereço de email de proxy SMTP.
Para exibir a guia Editor de Atributos onde você pode definir o proxy SMTP (na janela de propriedades do usuário), na janela Usuários e Computadores do Active Directory, clique em Exibir > Recursos Avançados.
Agora selecione um usuário, abra as propriedades do usuário, clique na guia Editor de Atributos, e depois clique duas vezes no atributo proxyAddresses.
Os endereços de email do Office 365 devem ser definidos como endereços de proxy SMTP para os usuários do Active Directory no controlador de domínio local, por exemplo:
SMTP:[email protected]
O endereço de email principal deve conter SMTP em maiúsculas. Outros endereços de proxy para emails podem começar com smtp em minúsculas.
Clique em Adicionar para adicionar o valor, depois clique em OK para salvar as configurações.
Repita esta ação para cada usuário necessário para a sincronização do Office 365.
Verificando nomes de usuário no centro de administração do Office 365.
Abra o centro de administração do Microsoft 365, vá para Usuários > Ativos e verifique os nomes de usuário e os sufixos de domínio usados em seus nomes. Se você tiver um domínio personalizado como nakivo.com, opte por usar estes nomes de usuário principal em vez dos nomes com o domínio nakivo.onmicrosoft.com.
Clique nos três pontos próximos ao usuário apropriado, e no menu que abrir, clique em Gerenciar nome de usuário e e-mail para selecionar o domínio necessário para um nome de usuário. A situação ideal é quando os nomes de domínio e os nomes de usuário no Office 365 correspondem aos nomes de usuário no Active Directory local.
Abra Grupos no centro de administração do Microsoft 365 e edite os endereços dos grupos da mesma forma que você editou os endereços de e-mail dos usuários.
Instalando o Azure AD Connect
Baixe o Azure AD Connect do site da Microsoft usando o link:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Você pode verificar o status do Azure Connect e obter um link para download da página Azure AD Connect no portal do Azure da Microsoft. Para fazer isso, vá para Azure Active Directory > Azure AD Connect no portal do Azure.
Armazene o arquivo do instalador do Azure AD Connect no servidor onde você vai instalar esta ferramenta, por exemplo, em um controlador de domínio.
Execute o arquivo do instalador do Azure AD Connect (AzureADConnect.msi). O assistente do Azure AD Connect será aberto.
Bem-vindo. Na etapa de boas-vindas, selecione “Concordo com os termos da licença e aviso de privacidade” e clique em Continuar.
Configurações Expressas. Selecione uma das duas opções disponíveis – Personalizar ou Usar configurações expressas. A opção Personalizar oferece mais controle ao configurar a sincronização do Active Directory do Office 365.
Componentes Necessários. Selecione os componentes necessários para instalar e defina as configurações de configuração para as opções selecionadas.
- Especifique um local de instalação personalizado
- Use um servidor SQL existente
- Use uma conta de serviço existente
- Especifique grupos de sincronização personalizados
- Importe configurações de sincronização
Clique em Instalar para continuar.
Logon do Usuário. Selecione um dos métodos de logon disponíveis. Algumas opções exigem etapas adicionais para configuração.
- Sincronização de Hash de Senha. Um hash da senha do usuário do Active Directory local é sincronizado com o Azure Active Directory.
- Autenticação de passagem. Os usuários podem usar a mesma senha no AD local e na nuvem (Office 365, Azure), mas nenhum ambiente adicional de infraestrutura e federado é necessário.
- Federação com AD FS. Um ambiente híbrido deve ser configurado usando o Active Directory e os serviços de Federação do Active Directory implantados localmente. A renovação de certificados e implantações adicionais de servidores AD FS são suportadas.
- Federação com PingFederate. Esta opção pode ser utilizada se um servidor empresarial PingFederate estiver implantado em sua infraestrutura para fornecer um único login para autenticação do usuário.
- Não configure. Você pode usar uma solução que não seja gerenciada por este assistente para login federado. Usuários conectados a uma rede empresarial podem acessar recursos na nuvem após sincronizar o Office 365 com o AD sem a necessidade de inserir as senhas novamente.
Leia o post do blog sobre Serviços de Federação do Active Directory.
Selecione Sincronização de Hash de Senha ou Não configurar como a opção recomendada se não tiver certeza do que fazer.
Conectar ao Azure AD. Insira um nome de usuário e senha da sua conta de usuário Microsoft 365 que tenha privilégios de administrador global no Microsoft Azure/Office 365 (credenciais do administrador do Office 365). Esta conta de administrador é necessária para configurar o Azure AD Connect para tornar possível a sincronização do AD do Office 365. Clique em Avançar em cada etapa para continuar.
Conectar Diretórios. Insira informações para o seu Active Directory atual usado no ambiente de domínio local. Selecione o tipo de diretório (Active Directory), especifique o domínio florestal, clique em Adicionar Diretório e insira as credenciais do administrador do domínio. Se precisar sincronizar um domínio florestal, use as credenciais do administrador corporativo.
Logon no Azure AD. Verifique seus domínios e sufixos UPN do Active Directory. Selecione o atributo local para usar como nome de usuário no Azure AD e no Office 365. Selecionamos userPrincipalName. Marque a caixa de seleção Continuar sem nenhum domínio verificado se seu domínio não estiver verificado. Você pode completar o processo de verificação posteriormente para permitir que os usuários façam login no Azure AD e no Office 365.
Filtragem de Domínio e OU. Deixe as configurações padrão nesta tela para realizar a sincronização do Active Directory de todos os dados do AD. Selecione domínios e unidades organizacionais personalizadas se precisar personalizar as configurações. Você pode desmarcar domínios ou unidades organizacionais que não deseja sincronizar.
Identificação de usuários. Recomenda-se que você deixe as configurações padrão neste passo para uma configuração básica de sincronização do Active Directory com o Office 365 (para um Azure AD, um domínio e uma floresta AD). Se você precisar realizar uma configuração mais complicada, selecione opções personalizadas para identidades de usuário entre diretórios. Nas opções de identificação de usuário SOURCE ANCHOR, selecione a opção padrão objectGUID para gerar IDs e mapear usuários.
Filtragem. Escolha sincronizar todos os usuários e dispositivos ou selecione objetos personalizados para sincronizar. Você pode usar filtragem baseada em grupos.
Recursos Opcionais. Selecione recursos adicionais se precisar deles. Passe o cursor sobre o ícone ‘?’ ao lado do nome de cada recurso para dicas que o ajudarão a tomar a decisão certa.
Pronto para configurar. Selecione a caixa de seleção Iniciar o processo de sincronização quando a configuração estiver concluída se você deseja iniciar a sincronização imediatamente após terminar este assistente. Você pode desmarcar esta caixa de seleção e iniciar a sincronização manualmente quando precisar. Clique em Instalar para concluir a configuração.
Aguarde até que a instalação e configuração tenham terminado. Quando você ver a mensagem Configuração concluída, você pode clicar em Sair para fechar a aplicação. Informações resumidas sobre o processo de sincronização do Office 365 AD finalizado são exibidas na tela de Configuração concluída. Em seguida, abra o centro de administração do Microsoft 365 e verifique se a sincronização do Active Directory com o Office 365 foi concluída com sucesso. Abra a seção de Erros de sincronização na página de Azure AD Connect Health no portal do Azure para ver informações detalhadas sobre os erros. Se houver erros, leia as recomendações fornecidas que podem ajudar a corrigir os erros.
Se a sincronização do Office 365 AD foi concluída com sucesso, você pode atribuir licenças aos novos usuários do Office 365 que foram adicionados após a sincronização do Office 365 com o Active Directory local.
Exportando a Configuração do Azure AD Connect
Você pode implantar o Azure AD Connect usando o modo Expresso ou o modo Personalizado. Com várias implantações usando a mesma configuração do Azure AD Connect para sincronizar o Active Directory local e o Office 365 / Azure, bem como sincronizar vários domínios do AD, considere exportar/importar a configuração do Azure AD Connect.
Depois de configurar o Azure AD Connect na GUI usando um assistente, a configuração é salva em um arquivo JSON armazenado na pasta %ProgramData%\AADConnect. O nome do arquivo JSON parece Applied-SynchronizationPolicy-*.JSON, onde * significa o carimbo de data/hora que ajuda a identificar quando a configuração foi salva. As alterações feitas na GUI são exportadas automaticamente. No entanto, as alterações feitas com o PowerShell devem ser exportadas manualmente quando necessário.
Para importar configurações, execute o Azure AD Connect, selecione a opção Personalizar, na tela Instalar componentes necessários, selecione Importar configurações de sincronização, clique em Procurar e selecione o arquivo de configuração JSON.
A importação de configuração permite que os usuários façam a quantidade mínima de entrada de dados manual para configurar o Azure AD Connect em pouco tempo e reproduzir a mesma configuração em vários servidores.
Ferramentas para migração de configuração
Há ferramentas para exportar e importar a configuração do Azure AD Connect de um servidor para outro para ter uma configuração idêntica ao realizar a sincronização do Active Directory do Office 365.
Copie o arquivo MigrateSettings.ps1 de C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ ou de uma pasta personalizada onde o Azure AD Connect está instalado no primeiro servidor para uma localização personalizada, por exemplo, C:\Programs\.
Execute o script MigrateSettings.ps1 no primeiro servidor existente. Se você ver a mensagem de saída de que um parâmetro que aceita o argumento “True” não foi encontrado, edite o script e remova $true do script.
Execute o script e verifique o diretório na saída. A configuração de sincronização do Azure AD é exportada para esta pasta. Copie esta pasta Exported-ServerConfiguration-* e seu conteúdo para o segundo servidor (novo).
Execute o Azure AD Connect no segundo servidor e na tela Instalar componentes necessários selecione importar configurações de sincronização e selecione o arquivo de configuração MigratedPolicy.json (conforme explicado acima) localizado na pasta Exported-ServerConfiguration-* copiada.
Outras opções de sincronização do AD do Office 365
Se você não pode esperar por 30 minutos, que é o intervalo padrão entre as operações de sincronização, force a sincronização do AD do Office 365 usando comandos do PowerShell. O módulo do PowerShell do Azure Active Directory geralmente é instalado com a ferramenta Azure AD Connect.
Importe o módulo PowerShell do ADSync:
Import-Module ADSync
Verifique suas configurações atuais de sincronização do AD do Office 365:
Get-ADSyncScheduler
Forçar uma sincronização delta para sincronizar apenas alterações feitas desde a última sincronização bem-sucedida:
Start-ADSyncSyncCycle -PolicyType Delta
Forçar uma sincronização completa para sincronizar todos os dados:
Start-ADSyncSyncCycle -PolicyType Initial
Alterar o intervalo de sincronização do AD do Office 365 para 10 minutos:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Tenha em mente que a sincronização manual do AD do Office 365 não sincroniza as senhas dos usuários. Nesse caso, tente reiniciar o serviço de sincronização do AD do Office 365 em um servidor local que execute o Azure AD Connect e, em seguida, verifique se as credenciais estão corretas.
Recomendações de configuração
Proteja um servidor em que o Azure AD Connect está instalado. Restrinja o acesso de usuários que não são administradores ao servidor que executa o Azure AD Connect. Use senhas fortes para proteger as contas de serviço usadas por essa ferramenta de sincronização do Active Directory. Sabendo o poder dessa ferramenta, senhas fortes são essenciais nos casos em que alguém obtém acesso ao servidor que executa a sincronização do AD. Você pode adicionar usuários confiáveis ao grupo ADSyncAdmins para um gerenciamento de acesso conveniente.
Verifique os grupos que você vai sincronizar do AD local para o Azure AD e Office 365. Nem todos os grupos devem ser sincronizados. Pode haver grupos que são inúteis na nuvem ou que não têm motivo para serem sincronizados devido a razões de segurança ou produtividade. Filtre grupos de segurança e grupos de distribuição que não são relevantes para os ambientes de nuvem do Microsoft 365 e Azure. Exclua todos os grupos de administradores da sincronização do Active Directory do Office 365.
Não considere a sincronização do Active Directory do Office 365 com a sincronização do Azure AD como uma solução de backup. Alguns atributos de objetos na nuvem são únicos, por exemplo, informações de licenciamento sobre usuários do Office 365. Se essas informações específicas forem excluídas na nuvem, você não poderá recuperar essas informações executando a sincronização do Active Directory do Office 365 a partir do Active Directory local. A sincronização do Active Directory local para o Azure não é a mesma coisa que backup do Active Directory e do controlador de domínio. Use ferramentas especiais e soluções de backup para proteger seus controladores de domínio do Active Directory em execução no local e os dados do Office 365 na nuvem.
Backup do Office 365 e Backup do Active Directory
Você deve executar o backup do Office 365 regularmente e armazenar esses backups em um local seguro. O backup do Office 365 deve conter os dados necessários das aplicações do Office, como e-mail do Exchange Online, OneDrive e SharePoint. Os dados do Office 365 são armazenados na nuvem, mas se parte desses dados for corrompida com ransomware ou excluída acidentalmente, ter um backup pode ser a única maneira de recuperar esses dados, especialmente se você perceber a perda de dados quando for tarde demais.
O Active Directory é um sistema de gerenciamento centralizado em uma rede Windows. Aindisponibilidade de um controlador de domínio do Active Directory pode parar as operações em uma empresa. Faça backup dos controladores de domínio do Active Directory em execução no local para que seja possível recuperar dados se ocorrer um desastre. Prefira usar soluções de backup de terceiros dedicadas que suportem backup ciente de aplicativo ao fazer backup de servidores em execução com aplicativos em execução.
O NAKIVO Backup & Replication é uma solução de proteção de dados para pequenas e médias empresas e empresas que suporta backup em nuvem do Office 365, incluindo aplicativos como Exchange Online, SharePoint Online, Microsoft Teams e OneDrive for Business. Você pode fazer backup de vários locatários do Office 365, selecionar todos os usuários ou usuários personalizados e recuperar os itens que precisa em um nível granular.
O NAKIVO Backup & Replication suporta backup de servidores físicos, incluindo servidores Windows que atuam como controladores de domínio Active Directory e pode realizar backup do Active Directory. O suporte ao backup com consciência de aplicativo permite que você faça backup dos controladores de domínio e tenha dados consistentes com o aplicativo em um backup. A recuperação granular também é suportada para backup de servidores físicos.
Conclusão
As organizações que migram para a nuvem estão fazendo isso apenas parcialmente. Elas continuam a usar os serviços do Active Directory localmente em combinação com os serviços em nuvem. Isso é conhecido como um ambiente híbrido. Uma opção para sincronizar o Office 365 com o AD permite que as organizações configurem ambientes híbridos e sincronizem contas de usuário e opções de autenticação entre o AD local e o Azure AD.
Office 365 Active Directory sync pode ser feito com o Azure AD Connect, que é uma ferramenta nativa desenvolvida pela Microsoft. Você precisa preparar seu Active Directory local, configurar as configurações de domínio para o domínio local e o domínio externo vinculado ao seu locatário do Office 365, e configurar as opções de sincronização de diretório do Office 365 no AD Connect. A integração do Active Directory do Office 365 permite que os usuários usem as mesmas credenciais para ambientes Windows locais e no Office 365.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/