Integrar os seus Serviços de Domínio Active Directory no local (e sincronizá-los) com o Azure AD é feito utilizando a interface gráfica do Synchronization Service Manager ou através do PowerShell.
Existem duas formas de utilizar o Azure AD no local – autenticação de passagem (envia o pedido de autenticação diretamente para o Azure AD) ou sincronização de diretório que sincroniza hashes de senhas entre o AD local e o Azure AD. Neste post do blog, vamos abordar como configurar o software Azure Active Directory Connect para sincronizar hashes de senhas.
Vamos explicar como configurar uma sincronização recorrente e também como usar o Azure AD Connect para forçar uma sincronização de hash de senha.
Em resumo, para forçar a sincronização do Azure AD com o PowerShell, são necessários os seguintes passos:
- Instalar o Azure Active Directory Connect
- Importar o módulo PowerShell do ADSync
- Executar o cmdlet
Start-AdSyncSchedule, que lê os hashes de senhas de um controlador de domínio e sincroniza com o Azure AD.
Se preferir aprender através de vídeo, não deixe de conferir este informativo vídeo da TechSnips.
Instalar o Azure AD Connect
Para sincronizar o Active Directory local com um locatário do Azure AD, primeiro você precisará baixar e instalar o software Azure AD Connect. Para fazer isso, você tem duas opções. Você pode baixá-lo pelo Portal do Azure ou indo diretamente para o pacote de software.
Download pelo Portal do Azure
Se você optar por não baixar o pacote do site da Microsoft, será necessário obtê-lo no Portal do Azure.
Procure por “Azure Active Directory” no portal. Na seção Azure Active Directory, clique em Azure AD Connect. Aqui você encontrará uma seção de Status de Sincronização com um link para Baixar Azure AD Connect.
Ferramentas de Sincronização
Ao instalar o Azure AD Connect, serão instaladas duas ferramentas principais que você pode usar para agendar uma sincronização ou forçar uma sincronização.
- O módulo PowerShell ADSync
- O Gerenciador de Serviço de Sincronização
Usando essas duas ferramentas, você pode configurar uma sincronização recorrente (agendada) para realizar rotineiramente uma sincronização do Azure AD. Ou, você pode usar qualquer uma delas para forçar uma sincronização ad-hoc. Ambas as ferramentas realizam o mesmo comportamento. A única diferença é que uma é via linha de comando (PowerShell) e a outra é uma aplicação GUI.
Configurando o Módulo PowerShell ADSync
Ao instalar o Azure AD Connect, será instalado um módulo PowerShell chamado ADSync. Esse módulo contém comandos que permitem gerenciar o processo de sincronização usando o PowerShell.
Observe que neste artigo, estou usando o Windows PowerShell 5.1. Os resultados podem variar se você estiver usando uma versão mais antiga.
Assim como todos os módulos do PowerShell, importar o módulo é simples. No entanto, o módulo não está localizado em uma pasta conhecida de módulos do Windows PowerShell. A instalação coloca o módulo do PowerShell na pasta C:\Program Files\Microsoft Azure AD Connect Sync\Bin.
Para importar o módulo, abra um console do PowerShell e digite o seguinte:
Para verificar se o módulo foi importado, use Get-Module. Você deverá ver o módulo ADSync na lista.
Agenda de Sincronização Padrão do Azure AD
Por padrão, o Azure AD Connect cria uma tarefa agendada que executa uma sincronização delta (sincronizando apenas objetos diferentes) a cada 30 minutos. Você pode encontrar a agenda abrindo o Agendador de Tarefas. Você deve encontrar uma tarefa agendada em Microsoft –> Windows chamada Azure AD Sync Scheduler.
Você pode alterar essa agenda, mas tenha em mente que 30 minutos é o menor intervalo suportado. O objetivo é definir o intervalo de sincronização para que ocorra com frequência suficiente para capturar as alterações. Se a sincronização for muito curta, você corre o risco de saturar sua rede.
O agendador realiza duas tarefas:
- Ciclo de Sincronização – O processo de importar, sincronizar e exportar alterações.
- Tarefas de Manutenção – Renova chaves e certificados para redefinição de senhas e o Serviço de Registro de Dispositivos (DRS). Também limpa entradas antigas no registro de operações.
O próprio agendador está sempre em execução, mas pode ser configurado para executar apenas uma ou nenhuma dessas tarefas.
Forçando uma Sincronização do Azure AD Connect
Pode haver momentos em que você precisa forçar a sincronização de seus objetos. Por exemplo, se precisar ter seu próprio processo de ciclo de sincronização, você pode desativar essa tarefa no agendador, mas ainda assim executar a tarefa de manutenção.
Para usar o Azure Active Directory Connect para forçar a sincronização de senha e outras informações, você pode usar o Synchronization Service Manager ou PowerShell.
Forçando uma Sincronização com o Synchronization Service Manager
Em um servidor com o Azure AD Connect instalado, vá para o menu Iniciar e selecione AD Connect, depois Serviço de Sincronização.
À primeira vista, pode parecer avassalador, mas você só se preocupa com a guia Conectores e o painel de seleção à direita. Olhando para o painel à direita, você pode ver opções para parar (Parar) e iniciar (Executar) a sincronização.
Observe que durante a execução de um ciclo de sincronização, você não pode fazer alterações de configuração. Parar o ciclo atual não é prejudicial, e as alterações pendentes serão processadas na próxima execução.
Obtendo o Status de Sincronização com o PowerShell
Antes de forçar uma sincronização, é uma boa ideia obter o status do ciclo de sincronização atual. Se você forçar a sincronização durante um ciclo em andamento, pode enfrentar problemas posteriormente.
Para ver as configurações atuais, abra um console do PowerShell no servidor onde o Azure Active Directory Connect está instalado e execute Get-ADSyncScheduler. Você verá algumas propriedades, cada uma fornecendo informações úteis.
Get-AdSyncSchedulerHá bastante informação para analisar. Vamos passar por linha por linha:
AllowedSyncCycleInterval– Este é o intervalo mais curto entre sincronizações. Por padrão, está configurado para 30 minutos, o menor intervalo permitido.CurrentlyEffectiveSyncCycleInterval– O agendamento atualmente em vigor. Tem o mesmo valor queCustomizedSyncInterval(se definido) se não for mais frequente queAllowedSyncInterval. Se você estiver usando uma compilação anterior a 1.1.281 e alterarCustomizedSyncCycleInterval, essa alteração entrará em vigor após o próximo ciclo de sincronização. A partir da compilação 1.1.281, a alteração entra em vigor imediatamente.CustomizedSyncCycleInterval– Isso é definido se você deseja que o agendador seja executado em uma frequência diferente dos padrões, por exemplo, 30 minutos.NextSyncCyclePolicyType– Este parâmetro define o que o próximo ciclo de sincronização deve processar. Se o próximo ciclo for uma sincronização completa, será exibido inicialmente.NextSyncCycleStartTimeInUTC– Este é o horário em que o agendador inicia o próximo ciclo de sincronização.PurgeRunHistoryInterval– Define por quanto tempo os registros de operação são mantidos. O padrão é manter os registros por 7 dias.SyncCycleEnabled– Indica se o agendador está executando os processos de importação, sincronização e exportação como parte de sua operação.MaintenanceEnabled– A manutenção ativada atualiza os certificados/chaves e limpa o registro de operações.StagingModeEnabled– Se ativado, suprime as exportações de execução. sincronização.SchedulerSuspended– Define temporariamente o bloqueio do agendador para execução.
Forçando uma Sincronização com PowerShell
Encontre senhas vazadas e inseguras em seu Active Directory verificando a lista de senhas do NCSC.
Você tem algumas opções ao forçar uma sincronização. Você pode forçar uma sincronização completa ou uma sincronização delta. Uma sincronização completa verifica todos os objetos em todo o AD. Uma sincronização delta apenas verifica e sincroniza as alterações desde a última execução.
Para iniciar uma sincronização completa, você pode usar o cmdlet Start-AdSyncSyncCycle. Utilize o parâmetro PolicyType para escolher entre Full ou Delta dependendo da sincronização que deseja iniciar. Ambos os métodos forçarão uma sincronização do AD para o Office 365, contas de identidade de usuário e todos os outros atributos.
Parando uma Sincronização
Se desejar interromper uma sincronização em andamento, você também pode usar o cmdlet Stop-ADSyncSyncCycle.
Resumo
Independentemente de escolher usar a interface gráfica ou o PowerShell, agora você deve conhecer várias maneiras de usar a ferramenta Azure Active Directory Connect para agendar ou forçar uma sincronização com o seu ambiente local do Active Directory no Azure AD.