Muitos de vocês têm usado o Azure Active Directory Connect para gerenciar suas identidades híbridas e sincronização de usuários do Active Directory para o Azure Active Directory (recentemente renomeado Microsoft Entrar ID). Essa tecnologia moderna é chamada de Azure AD Connect cloud sync. Neste artigo, vou guiá-lo pela instalação e configuração básica do Azure AD Connect cloud sync e explicar como implementá-lo em sua infraestrutura do Active Directory/Azure AD.
O que é Azure Active Directory Connect cloud sync?
Muitos profissionais de TI estão familiarizados com o Azure AD Connect – o software de sincronização que você usa para sincronizar suas identidades do seu Active Directory local com o Azure Active Directory e oferecer logon único perfeito. A próxima evolução é trazer tudo para a nuvem.
Assim, a Microsoft passou de um aplicativo de software instalado em um servidor associado a um domínio em seu ambiente local para um agente de provisionamento simples. Uma pegada muito mais leve, pois todo o “trabalho pesado” é feito agora no Azure. Não há mais necessidade de um banco de dados local – tudo isso é feito na nuvem.
Agentes leves têm sido a opção preferida recentemente. Isso é uma vantagem se você passou por uma fusão ou aquisição recentemente ou está planejando uma.
A sincronização em nuvem do Azure AD Connect é projetada para atender e alcançar seus objetivos de identidade híbrida sincronizando seus usuários, contatos, grupos, dispositivos e muito mais com o Azure AD. Uma observação importante – você pode usar o Azure AD Connect lado a lado com o agente de provisionamento de sincronização em nuvem!
Quais são as diferenças entre a sincronização do Azure AD Connect e a sincronização em nuvem do Azure AD Connect?
Ótima pergunta! Aqui está uma tabela da Microsoft que mostra as comparações de recursos entre os dois produtos.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Existe um cenário importante e prevalente que atualmente não é suportado com o recurso mais recente de sincronização em nuvem do Azure AD Connect, e isso é Exchange híbrido. Aqui está a resposta atual da documentação da Microsoft:
O recurso de Implantação Híbrida do Exchange permite a coexistência de caixas de correio do Exchange tanto localmente quanto no Microsoft 365. O Azure AD Connect está sincronizando um conjunto específico de atributos do Azure AD de volta para o seu diretório local. O agente de provisionamento em nuvem atualmente não sincroniza esses atributos de volta para o seu diretório local e, portanto, não é suportado como substituto do Azure AD Connect.
Pré-requisitos para instalar a sincronização em nuvem do Azure Active Directory Connect
A Microsoft menciona alguns pré-requisitos a serem observados antes de iniciar a instalação. Vamos revisá-los aqui.
- No portal do Azure:
- Você precisa ter acesso a uma conta de Administrador Global exclusivamente na nuvem.
- Você precisará de um nome de domínio personalizado no Azure para corresponder ao nome de domínio UPN no seu Active Directory. Se você estiver migrando do Azure AD Connect, isso deve estar em vigor, mas vale ressaltar.
- No seu ambiente local
- Você precisará de uma máquina associada a um domínio executando Windows Server 2016 ou mais recente. Você precisa de pelo menos 4 GB de RAM e .NET Framework 4.7.1 ou superior. O servidor simplesmente precisa de acesso à rede para pelo menos um controlador de domínio no seu ambiente local do AD.
- Seu firewall de borda precisará permitir que as portas de saída 80 e 443 sejam feitas a partir do seu servidor aqui para o Azure AD.
A única outra etapa (opcional) é primeiro desinstalar o Azure AD Connect, se você tiver instalado. Isso não é obrigatório, mas para os propósitos deste artigo, eu irei guiar pelas etapas simples a seguir.
Ah, e é muito fácil aproveitar a alta disponibilidade com essa configuração. Basta instalar o agente de provisionamento em mais de um servidor em sua rede. Você verá as etapas abaixo.
Desinstalando o Azure AD Connect (opcional)
- Acesse o seu servidor Azure AD Connect e abra o Painel de Controle.
- Abra o menu ‘Desinstalar um programa‘.
- Clique na entrada Microsoft Azure AD Connect e clique no botão de barra de ferramentas Desinstalar.
Minha sugestão aqui é garantir que a caixa de seleção esteja marcada para remover tudo. Eu sempre gosto de desinstalar o software da maneira mais limpa possível, fazendo o possível para não deixar nenhum vestígio por aí.
- Clique em Remover e aguarde a conclusão.
Pronto, tudo foi removido. Agora, podemos prosseguir para as etapas de nova instalação.
Como implementar a sincronização em nuvem do Azure AD Connect em sua infraestrutura AD / AAD
Como eu disse, você pode instalar um agente de sincronização em nuvem do Azure AD Connect com ou sem uma instalação existente do Azure AD Connect em seu ambiente. Neste caso, acabei de remover meu software existente do Azure AD Connect, então temos uma tela limpa. Vamos começar!
Instalação
Vamos começar em meu servidor com Windows Server 2022, WS22-FS02.
- Primeiro, faça login no Azure Portal e acesse o site do Azure Active Directory (Azure AD).
- No menu de navegação à esquerda, role para baixo e clique em Azure AD Connect. Em seguida, clique em Sincronização em nuvem novamente à esquerda.
- Não é surpresa termos uma tela limpa. Clique no menu Agentes à esquerda e, em seguida, clique em Baixar agente local.
- Depois de baixar o agente, clique duas vezes no arquivo MSI. A instalação será iniciada.
- Marque a caixa e clique em Instalar!
Em seguida, avançamos para a Configuração.
Configuração do Active Directory
Após a instalação inicial do agente, o assistente de Configuração do Agente de Provisionamento do Microsoft Azure Active Directory Connect será iniciado. Diga isso cinco vezes rápido. Caramba, Microsoft. Sempre acertando em cheio com os nomes dos produtos!
- Na tela de boas-vindas, clique em Avançar.
- Na tela ‘Selecionar Extensão‘, escolha Provisionamento impulsionado por RH (Workday e SuccessFactors) / Sincronização de Nuvem do Azure AD Connect. Este é o cenário mais provável. Somente se você estiver planejando provisionar aplicativos locais no Azure, você escolheria a segunda opção.
- Clique em Avançar.
- Em seguida, a tela de Conectar ao Azure AD aparece, pedindo as credenciais do seu Administrador Global do Azure AD. Insira-as e esteja pronto para a MFA!
- Em seguida, a tela de Configurar Conta de Serviço. Aqui, vamos aceitar o padrão, Criar gMSA. Porque estamos pedindo para criar uma conta gMSA para gerenciar a sincronização do AD para o Azure AD, precisamos inserir uma conta com privilégios de Administrador de Domínio. Insira isso e clique em Avançar.
- Continuando, chegamos à tela ‘Conectar ao Active Directory‘. Sim, você está certo. Isso é bastante similar ao assistente de instalação para instalar o Azure AD Connect.
- De qualquer modo, verifique se o domínio Active Directory correto está definido. Se você verificar quaisquer erros, você pode ter digitado suas credenciais incorretamente. Continue e corrija se necessário e clique em Avançar.
- Chegamos agora à tela de confirmação final. Verifique tudo se parece bom e clique no botão Confirmar.
Configuração da Azure AD
Agora vamos para o Azure Active Directory. Para gerenciar a sincronização em nuvem do Azure AD, navegue novamente até o Portal Azure.
- Clique em Azure AD Connect, e em seguida, clique em Sincronização em nuvem.
- Clique no botão \“Nova configuração\” no topo para iniciar o processo de configuração na nuvem.
- Aqui temos a Nova configuração de sincronização em nuvem. As opções padrão devem estar bem, a menos que você esteja sincronizando apenas um domínio AD – no meu caso, \“reinders.local\”. Vamos manter a opção \“Habilitar sincronização de hash de senha\” marcada para permitir o gerenciamento automático de senhas.
- Clique em \“Criar\” no final.
Bem, veja isso! Nós terminamos. Não sei sobre você, mas eu quase SEMPRE prefiro configurações baseadas em nuvem contra o software cliente \“grosso\” tradicional. É mais limpo. Além disso, eles podem iterar na interface de usuário e adicionar recursos muito mais rápido. E, porque é baseada em nuvem, você não precisa se preocupar com atualizações do software, servidores indo offline, etc. Ela simplesmente funciona. O nuvem, 100% do tempo, certo?
Teste – Verificação
Vamos simplesmente habilitar a configuração. Podemos tratar dos filtros de escopo, mapeamento de atributos, etc. um pouco mais tarde.
- Clique no botão Revisar e habilitar configuração no topo e em seguida clique em Habilitar Configuração.
- Depois que isso estiver completo, espere cerca de 2 minutos, atualize o seu navegador e clique na guia Visão Geral no topo.
- Primeiro, você vai querer inserir um endereço de email de notificação. Clique na guia Propriedades e clique no ícone lápis (Editar) ao lado de Básico.
- Insira um email de administrador para receber alertas sobre a infraestrutura de sincronização. Clique em Aplicar na parte inferior.
Agora, em relação à validação e personalização avançada, retorne para a Visualização de Usuários no portal do Azure AD para ver todos os seus usuários. Eu observei que o número de usuários passou de 31 para 32. Então, eu sei que ALGO aconteceu. E, se você realmente está prestando atenção, pode ter se lembrado que filtrei um usuário em uma OU específica quando configurei o Azure AD Connect. Então, como ainda não fiz nenhum filtro, um novo usuário foi sincronizado – John Reinders.
Vou repassar as três telas de configuração principais que você usará para manter e ajustar suas configurações de sincronização. A primeira é Filtros de Escopo.
A predefinição é sincronizar todos os utilizadores no seu Active Directory. Pode escolher sincronizar apenas alguns grupos de segurança selecionados ou selecionar unidades organizativas (OUs). E sim, este é um exemplo de software em nuvem que, por enquanto, é menos configurável do que software local. Mas isso está a mudar constantemente. Eventualmente, eles irão incorporar TODAS as funcionalidades e opções no Azure AD Connect cloud sync.
A seguir, vamos olhar para mapeamento de atributos. Aqui, podem escolher editar a lista padrão de atributos e como são sincronizados do Active Directory para o Azure AD, e até adicionar itens adicionais clicando em ‘+ Adicionar mapeamento de atributo.’
Pode estar tranquilo que há muitas opções aqui. Como disse, a Microsoft está a adicionar funcionalidades a esta funcionalidade constantemente. Portanto, não fique surpreendido se note que algumas destas telas mudam ou adicionam/removam peças. Isto é o cloud, pessoal!
Finalmente, vamos olhar para o construção de expressões. É aqui que você pode adicionar verdadeira personalização à maneira como certos atributos são sincronizados e como usar expressões para corresponder a atributos de utilizadores específicos de um domínio de Active Directory e outros atributos de outro domínio AD para produzir o melhor objeto único no Azure AD. Novamente, há muito poder aqui, e você estará familiarizado com a configuração geral se tiver usado funcionalidades personalizadas como regras de sincronização no software Azure AD Connect.
Conclusão
Bem, isso foi muito de informação. E, eu realmente quero salientar o maior desvantagem do Azure AD Connect cloud sync – ele tem menos funcionalidades e pode suportar menos cenários do que o Azure AD Connect.
Isto é normal e por design. O Azure AD Connect existe há anos e o Azure AD Connect cloud sync foi lançado há cerca de um ano atrás. Portanto, naturalmente, há mais funcionalidade no software mais antigo.
Meu conselho: Assim que os cenários suportados com o Azure AD Connect cloud sync se ajustarem à sua ambiente, tome as medidas para migrar para ele. Após usar o Azure AD Connect por muitos anos em meus ‘trabalhos diários’, a funcionalidade em nuvem parece muito bonita – e MUITO menos para administrar e manter controle.
Por favor, não hesite deixar um comentário ou pergunta abaixo e obrigado por ler!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/