As organizações usam o Active Directory para gerenciar centralmente computadores e usuários do Windows. Configurar um Controlador de Domínio do Active Directory (ADDC) no Windows Server é conveniente, e os administradores podem usar este servidor para autenticar usuários, configurar permissões e gerenciar o acesso a recursos compartilhados.
Muitas empresas que já usam o Windows migraram para uma plataforma de nuvem da Microsoft, como o Microsoft 365 (anteriormente Office 365) ou o Azure. Nesse caso, um administrador do sistema precisa criar contas para usuários no Microsoft 365. Às vezes, as organizações preferem usar as mesmas credenciais para contas de usuários locais e contas de usuários na nuvem. Os administradores podem sincronizar os usuários de um domínio local localizado no local com o Office 365 e o Azure Active Directory (Azure AD) para usar a mesma conta de usuário tanto para autenticação local quanto para autenticação na nuvem. Isso é conhecido como implantação híbrida e é popular entre as organizações que usam produtos de software da Microsoft.
Este post do blog aborda a sincronização do AD do Office 365 e explica como você pode realizar a sincronização do Active Directory do Office 365 para sincronizar contas de usuários locais e na nuvem para produtos da Microsoft.
Office 365 e Azure AD
O Office 365 é um inquilino no Azure Active Directory e utiliza o portal para armazenar dados usados para autenticação e configurar permissões para acesso ao ambiente de nuvem da Microsoft. O administrador do inquilino do Office 365 pode acessar o portal do Azure para gerenciar permissões e configurar outras configurações. Se você tiver um ADDC (Controlador de Domínio do Active Directory) em execução localmente, poderá sincronizar o Office 365 com o AD (sincronizar seu Active Directory local e o Azure Active Directory com o Office 365) e, como resultado, alcançar a integração do Active Directory do Office 365.
Esta abordagem fornece a você uma identidade híbrida e permite que os usuários usem as mesmas credenciais para acessar os serviços do Office 365 e recursos locais em seu escritório/centro de dados. Neste caso, os dados do Active Directory, como usuários, grupos e contatos, são sincronizados. A sincronização de diretórios é uma etapa importante na transição para a nuvem se você deseja ter um ambiente híbrido.
O que é o Azure AD Connect?
O Azure AD Connect é uma ferramenta leve que é instalada em um servidor local, que atua como um ADDC. O Azure AD Connect sincroniza seus dados de identidade do Active Directory local com o Azure Active Directory usado pelo Office 365 na nuvem. Esta ferramenta pode ser instalada em um controlador de domínio ou em um servidor Windows que seja membro do domínio. O Azure AD Connect substituiu a Ferramenta de Sincronização de Diretórios (DirSync), que foi descontinuada.
O Azure AD Connect oferece suporte às seguintes funcionalidades:
- Sincronização de hashes de senha
- Autenticação de passagem
- Autenticação federada. A autenticação pode ser solicitada para outro provedor de identidade por um computador cliente.
Por padrão, a sincronização de diretório é realizada do AD local para o Azure AD usado pelo Office 365. No entanto, você pode configurar a sincronização do Active Directory na direção oposta e sincronizar a mudança do Azure AD para o seu AD local. Por padrão, a sincronização é agendada para ser executada a cada 30 minutos. Você pode editar a configuração de agendamento e forçar a sincronização de diretório do Office 365 no PowerShell. Você pode configurar a sincronização delta para sincronizar apenas os dados alterados desde a última sincronização do AD do Office 365. A recomendação é que uma sincronização delta seja realizada dentro de 7 dias da última sincronização.
Requisitos
Para instalar e executar o Azure AD Connect, certifique-se do seguinte:
- Um Controlador de Domínio do Active Directory executando o sistema operacional Windows Server deve estar instalado e configurado localmente.
- O nível de funcionalidade do Active Directory local deve ser Windows Server 2003 ou posterior.
- Você deve ter permissões de administrador de domínio ou as permissões de um administrador local em um computador que seja membro do domínio.
Sistemas operacionais suportados: Windows Server 2012, Windows Server 2016, Windows Server 2019 com interface gráfica do usuário. O Windows Server Core não é suportado. A edição do Windows Server deve ser Standard ou superior. Edições Essentials não são suportadas.
O.NET Framework 4.5.1 ou posterior deve estar instalado em uma máquina Windows Server que execute o Azure AD Connect.
PowerShell 3.0 ou posterior. A política de execução de script deve permitir que você execute scripts. A política recomendada é RemoteSigned.
Você deve ter um domínio externo associado ao seu locatário do Office 365.
Precisa de acesso a um inquilino Azure (para sua conta de administrador do Office 365). As permissões de administrador global são necessárias.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
Requisitos de rede:
- Uma conexão HTTPS de saída para os servidores da Microsoft
- TCP 80. O protocolo HTTP é usado para baixar listas de revogação de certificados para a verificação de certificados TSL/SSL
- TCP 443. HTTPS é usado para sincronizar dados com o Azure Active Directory
- O TLS 1.2 deve ser habilitado em uma máquina Windows.
Preparando o ambiente
Verifique os sufixos UPN (ou User Principal Name) para o domínio local usado pelo Active Directory local. O domínio local deve ser roteável e o sufixo do domínio local não deve ser .local, .test, etc. Domínios com esse tipo de sufixo são classificados como não roteáveis e esses domínios só podem ser sincronizados com um domínio .onmicrosoft.com. Por exemplo, se você tiver o domínio .nakivo.test no seu Active Directory local e nakivo.onmicrosoft.com no Azure Active Directory, [email protected] deve ser sincronizado com [email protected]. Se você tiver um nome domain.net no seu Active Directory local e o nome do domínio externo usado no Office 365 e Azure também for domain.net, então [email protected] do Active Directory local pode ser sincronizado com [email protected] no Azure AD usado pelo Office 365 para autenticação e configuração de permissões. Assim, o nome de domínio deve ser válido e deve ter sufixos corretos como .com, .net, .uk, .us, .edu, etc. para sincronização completa e para correspondência de nomes. UPNs de usuários locais no seu Active Directory podem ser sincronizados com o Azure AD e o Office 365.
Observação: Os nomes de domínio usados neste post do blog são exemplos. Por favor, use os nomes de domínio corretos de acordo com a configuração do seu ambiente.
Você pode verificar os nomes de domínio para o Office 365 no centro de administração do Microsoft 365. Vá para Configurações > Domínios para ver os domínios disponíveis que podem ser vinculados ao seu locatário do Office 365.
Tornando um domínio roteável
Você pode editar as configurações do seu domínio local para tornar o domínio roteável para melhores capacidades de sincronização, adicionando os sufixos UPN necessários. Adicione sufixos UPN ao seu domínio local existente para combinar os nomes de usuários localmente e no Microsoft 365 (Azure). Primeiro, registre um novo sufixo e, em seguida, atualize os usuários do Active Directory local para usar o sufixo atualizado.
Adicionando o novo sufixo UPN
Vá para Domínios e Trustes do Active Directory no controlador de domínio local. Para fazer isso, abra o Gerenciador do Servidor, clique em Ferramentas e, no menu que se abre, clique em Domínios e Trustes do Active Directory. Como alternativa, execute domain.msc no menu Executar (pressione Win+R para abrir o menu Executar) ou no prompt de comando (CMD).
A janela Domínios e Trustes do Active Directory é aberta. Clique com o botão direito em Domínios e Trustes do Active Directory e, no menu de contexto, clique em Propriedades.
Insira o nome de domínio padronizado correto com o sufixo correto, por exemplo, id.com, ou nakivo.com. Clique em Adicionar, em seguida, clique em OK para salvar as configurações e fechar esta janela.
Edição dos UPNs para usuários existentes
Agora você deve editar os sufixos UPN para usuários existentes no controlador de domínio do Active Directory local.
Vá para Usuários e Computadores do Active Directory abrindo o Gerenciador de Servidores e indo para o menu Ferramentas (como você fez antes). Como alternativa, pressione Win+R para abrir o menu Executar, digite dsa.msc na caixa de diálogo Executar e clique em Enter.
Na janela Usuários e Computadores do Active Directory, expanda seu domínio e clique na pasta Usuários. Selecione um usuário de domínio, clique com o botão direito do mouse no usuário de domínio e clique em Propriedades no menu de contexto.
Selecione a guia Conta na janela de propriedades do usuário. No menu suspenso, selecione o nome de domínio correto com o sufixo correto. Clique em OK para salvar as configurações e fechar a janela.
Repita esta operação para todos os usuários que são membros do seu domínio local (usuários para quem deseja realizar a sincronização do Office 365 AD). Se você tiver um grande número de usuários em seu Active Directory local, use o PowerShell para edição em massa em vez de editar as propriedades de cada usuário manualmente. Use os comandos acima para este propósito:
$LocalUsers = Get-ADUser -Filter “UserPrincipalName -like ‘*domain.local’” -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(“@domain.local”,”@domain.com”); $_ | Set-ADUser -UserPrincipalName $newUpn}
Defina seus nomes de domínio corretos em vez de domain.local e domain.com com base na configuração em seu ambiente.
Você pode alterar um UPN e o endereço no PowerShell com o módulo MSOnline (módulo PowerShell do Azure AD).
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Depois de atualizar os UPNs, você está pronto para sincronizar os Serviços de Domínio do Active Directory local com o Microsoft 365 e o Azure Active Directory.
Edição de atributos de proxy de email
Edite o atributo de email para cada usuário e defina um endereço de email de proxy SMTP.
Para exibir a guia Editor de Atributos onde você pode definir o proxy SMTP (na janela de propriedades do usuário), na janela Usuários e Computadores do Active Directory, clique em Visualizar > Recursos Avançados.
Agora selecione um usuário, abra as propriedades do usuário, clique na guia Editor de Atributos, e então clique duas vezes no atributo proxyAddresses.
Os endereços de email do Office 365 devem ser definidos como endereços de proxy SMTP para usuários do Active Directory no controlador de domínio local, por exemplo:
SMTP:[email protected]
O endereço de email principal deve conter SMTP em maiúsculas. Outros endereços de proxy para emails podem começar com smtp em minúsculas.
Clique em Adicionar para adicionar o valor, e então clique em OK para salvar as configurações.
Repita esta ação para cada usuário necessário para a sincronização do Office 365.
Verificando os nomes de usuário no centro de administração do Office 365
Abra o centro de administração do Microsoft 365, vá para Utilizadores > Ativos usuários e verifique os nomes de usuário e sufixos de domínio usados em seus nomes. Se você tiver um domínio personalizado como nakivo.com, opte por usar estes nomes de usuário principal em vez dos nomes com o domínio nakivo.onmicrosoft.com.
Clique nos três pontos próximos ao usuário apropriado e, no menu que se abre, clique em Gerenciar nome de usuário e email para selecionar o domínio necessário para um nome de usuário. A situação ideal é quando os nomes de domínio e de usuário no Office 365 correspondem aos nomes de usuário no Active Directory local.
Abra Grupos no centro de administração do Microsoft 365 e edite os endereços dos grupos da mesma forma que você editou os endereços de email dos usuários.
Instalando Azure AD Connect
Faça o download do Azure AD Connect do site da Microsoft usando o link:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Você pode verificar o status do Azure Connect e obter um link para download na página Azure AD Connect no portal do Azure da Microsoft. Para fazer isso, vá para Azure Active Directory > Azure AD Connect no portal do Azure.
Armazene o arquivo de instalação do Azure AD Connect no servidor em que você irá instalar essa ferramenta, por exemplo, em um controlador de domínio.
Execute o arquivo de instalação do Azure AD Connect (AzureADConnect.msi). O assistente do Azure AD Connect será aberto.
Bem-vindo. Na etapa de boas-vindas, selecione “Concordo com os termos da licença e aviso de privacidade” e clique em Continuar.
Configurações Expressas. Selecione uma das duas opções disponíveis – Personalizar ou Usar configurações expressas. A opção Personalizar oferece mais controle ao configurar a sincronização do Active Directory do Office 365.
Componentes Necessários. Selecione os componentes necessários para instalar e defina as configurações de configuração para as opções selecionadas.
- Especifique um local de instalação personalizado
- Usar um SQL Server existente
- Usar uma conta de serviço existente
- Especificar grupos de sincronização personalizados
- Importar configurações de sincronização
Clique em Instalar para continuar.
Logon do Usuário. Selecione um dos métodos de login disponíveis. Algumas opções exigem etapas adicionais para configurar.
- Sincronização de Hash de Senha. Um hash da senha do usuário do Active Directory local é sincronizado com o Azure Active Directory.
- Autenticação de passagem. Os usuários podem usar a mesma senha no AD local e na nuvem (Office 365, Azure), mas não são necessárias infraestrutura adicional e ambiente federado.
- Federação com AD FS. Um ambiente híbrido deve ser configurado usando o Active Directory e os serviços de Federação do Active Directory implantados localmente. A renovação de certificados e implantações adicionais de servidores AD FS são suportadas.
- Federação com PingFederate. Esta opção pode ser usada se um servidor empresarial PingFederate estiver implantado em sua infraestrutura para fornecer um único login para autenticação de usuários.
- Não configurar. Você pode usar uma solução que não seja gerenciada por este assistente para entrar com federação. Os usuários conectados a uma rede empresarial podem acessar recursos na nuvem depois de sincronizar o Office 365 com o AD sem a necessidade de inserir as senhas novamente.
Leia o post do blog sobre Serviços de Federação do Active Directory.
Selecione Sincronização de Hash de Senha ou Não configurar como a opção recomendada se você não tem certeza do que fazer.
Conectar ao Azure AD. Insira um nome de usuário e senha da sua conta de usuário do Microsoft 365 que tenha privilégios de administrador global no Microsoft Azure/Office 365 (credenciais de administrador do office 365). Esta conta de administrador é necessária para configurar o Azure AD Connect para tornar possível a sincronização do AD do Office 365. Clique em Avançar em cada etapa para continuar.
Conectar Diretórios. Insira informações para o seu atual Active Directory usado no ambiente de domínio local. Selecione o tipo de diretório (Active Directory), especifique o domínio da floresta, clique em Adicionar Diretório e insira as credenciais do administrador do domínio. Se precisar sincronizar uma floresta de domínio, use as credenciais de administrador da empresa.
Entrada no Azure AD. Verifique os seus domínios e sufixos UPN do Active Directory. Selecione o atributo local para usar como nome de usuário no Azure AD e no Office 365. Nós selecionamos userPrincipalName. Selecione a caixa de seleção Continuar sem quaisquer domínios verificados se o seu domínio não estiver verificado. Você pode completar o processo de verificação mais tarde para permitir que os usuários façam login no Azure AD e no Office 365.
Filtragem de Domínio e OU. Deixe as configurações padrão nesta tela para realizar a sincronização do Active Directory de todos os dados do AD. Selecione domínios personalizados e unidades organizacionais se precisar personalizar as configurações. Você pode desmarcar domínios ou unidades organizacionais que não deseja sincronizar.
Identificação de Usuários. É recomendado que você deixe as configurações padrão neste passo para uma configuração básica de sincronização do Active Directory com o Office 365 (para um Azure AD, um domínio e uma floresta AD). Se precisar realizar uma configuração mais complicada, selecione opções personalizadas para identidades de usuários em diretórios diferentes. Nas opções de identificação de usuário ÂNCORA DE ORIGEM, selecione a opção padrão objectGUID para gerar IDs e mapear usuários.
Filtragem. Escolha sincronizar todos os usuários e dispositivos ou selecione objetos personalizados para sincronizar. Você pode usar filtragem baseada em grupos.
Recursos Opcionais. Selecione recursos adicionais se precisar deles. Passe o mouse sobre o ícone ‘?’ ao lado do nome de cada recurso para obter dicas que o ajudarão a tomar a decisão certa.
Pronto para configurar. Selecione a caixa de seleção Iniciar o processo de sincronização quando a configuração for concluída se desejar iniciar a sincronização imediatamente após terminar este assistente. Você pode desmarcar esta caixa de seleção e iniciar a sincronização manualmente quando precisar. Clique em Instalar para concluir a configuração.
Aguarde até que a instalação e configuração estejam concluídas. Quando vir a mensagem Configuração Completa, pode clicar em Sair para fechar a aplicação. Informações resumidas sobre o processo de sincronização do Office 365 AD concluído são exibidas na tela de Configuração Completa. Em seguida, abra o centro de administração do Microsoft 365 e verifique se a sincronização do Active Directory com o Office 365 foi concluída com sucesso. Abra a seção de Erros de Sincronização na página Saúde do Azure AD Connect no portal do Azure para ver informações detalhadas sobre os erros. Se houver erros, leia as recomendações fornecidas que podem ajudá-lo a corrigir os erros.
Se a sincronização do Office 365 AD foi concluída com sucesso, você pode atribuir licenças aos novos usuários do Office 365 que foram adicionados após a sincronização do Office 365 com o Active Directory local.
Exportação da Configuração do Azure AD Connect
Você pode implantar o Azure AD Connect usando o modo Express ou o modo Personalizado. Com várias implantações usando a mesma configuração do Azure AD Connect para sincronizar o Active Directory no local e o Office 365 / Azure, bem como sincronizar vários bosques do AD, considere a exportação/importação da configuração do Azure AD Connect.
Depois de configurar o Azure AD Connect na GUI usando um assistente, a configuração é salva em um arquivo JSON armazenado no %ProgramData%\AADConnect pasta. Um nome de arquivo JSON se parece com Applied-SynchronizationPolicy-*.JSON onde * significa a marca de data/hora que ajuda a identificar quando a configuração foi salva. As alterações feitas na GUI são exportadas automaticamente. No entanto, as alterações feitas com o PowerShell devem ser exportadas quando necessário manualmente.
Para importar configurações, execute o Azure AD Connect, selecione a Personalizar opção, na Instalar componentes necessários tela, selecione Importar configurações de sincronização, clique em Procurar e selecione o arquivo de configuração JSON.
A importação de configuração permite que os usuários façam uma quantidade mínima de entrada de dados manual para configurar o Azure AD Connect em um curto período de tempo e reproduzir a configuração idêntica em vários servidores.
Ferramentas para migração de configuração
Existem ferramentas para exportar e importar a configuração do Azure AD Connect de um servidor para outro para ter uma configuração idêntica ao realizar a sincronização do Active Directory do Office 365.
Copie o arquivo MigrateSettings.ps1 de C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ ou de uma pasta personalizada onde o Azure AD Connect está instalado no primeiro servidor para um local personalizado, por exemplo, C:\Programs\.
Execute o script MigrateSettings.ps1 no primeiro servidor existente. Se você ver a mensagem de saída de que um parâmetro que aceita o argumento “True” não é encontrado, edite o script e remova $true do script.
Execute o script e verifique o diretório na saída. A configuração de sincronização do Azure AD é exportada para esta pasta. Copie esta pasta Exported-ServerConfiguration-* e seu conteúdo para o segundo servidor (novo).
Execute o Azure AD Connect no segundo servidor e na tela Instalar componentes necessários selecione importar configurações de sincronização e selecione o arquivo de configuração MigratedPolicy.json (conforme explicado acima) localizado na pasta copiada Exported-ServerConfiguration-*.
Outras opções de sincronização do Office 365 AD
Se você não puder esperar 30 minutos, que é o intervalo padrão entre as operações de sincronização, force a sincronização do Office 365 AD usando comandos do PowerShell. O módulo Azure Active Directory PowerShell geralmente é instalado com a ferramenta Azure AD Connect.
Importe o módulo PowerShell do ADSync:
Import-Module ADSync
Verifique suas configurações atuais de sincronização do Office 365 AD:
Get-ADSyncScheduler
Forçar uma sincronização delta para sincronizar apenas as alterações feitas desde a última sincronização bem-sucedida:
Start-ADSyncSyncCycle -PolicyType Delta
Forçar uma sincronização completa para sincronizar todos os dados:
Start-ADSyncSyncCycle -PolicyType Initial
Alterar o intervalo de sincronização do AD do Office 365 para 10 minutos:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Tenha em mente que a sincronização manual do AD do Office 365 não sincroniza as senhas dos usuários. Nesse caso, tente reiniciar o serviço de sincronização do AD do Office 365 em um servidor local executando o Azure AD Connect e verifique se as credenciais estão corretas.
Recomendações de Configuração
Proteja um servidor no qual o Azure AD Connect está instalado. Restrinja o acesso para usuários que não são administradores ao servidor que executa o Azure AD Connect. Use senhas fortes para proteger as contas de serviço usadas por esta ferramenta de sincronização do Active Directory. Sabendo o poder desta ferramenta, senhas fortes são críticas em casos em que alguém obtém acesso ao servidor que executa a sincronização do AD. Você pode adicionar usuários confiáveis ao grupo ADSyncAdmins para gerenciamento de acesso conveniente.
Verifique os grupos que você vai sincronizar do AD local para o Azure AD e Office 365. Nem todos os grupos devem ser sincronizados. Pode haver grupos que são inúteis na nuvem ou que não têm motivo para serem sincronizados por motivos de segurança ou produtividade. Filtre grupos de segurança e grupos de distribuição que não são relevantes para o Microsoft 365 e ambientes de nuvem Azure. Exclua todos os grupos de administradores da sincronização do Active Directory do Office 365.
Não considere a sincronização do Active Directory do Office 365 com a sincronização do Azure AD como uma solução de backup. Alguns atributos de objetos na nuvem são únicos, por exemplo, informações de licenciamento sobre usuários do Office 365. Se essas informações específicas forem excluídas na nuvem, você não poderá recuperar essas informações executando a sincronização do Active Directory do Office 365 do Active Directory local. A sincronização do Active Directory local com o Azure não é o mesmo que backup do Active Directory e do controlador de domínio. Use ferramentas especiais e soluções de backup para proteger seus controladores de domínio do Active Directory em execução localmente e os dados do Office 365 na nuvem.
Backup do Office 365 e Backup do Active Directory
Você deve executar o backup do Office 365 regularmente e armazenar esses backups em um local seguro. O backup do Office 365 deve conter os dados necessários das aplicações do Office, como email do Exchange Online, OneDrive e SharePoint. Os dados do Office 365 são armazenados na nuvem, mas se alguns desses dados forem corrompidos por ransomware ou excluídos acidentalmente, ter um backup pode ser a única maneira de recuperar esses dados, especialmente se você perceber a perda de dados quando for tarde demais.
O Active Directory é um sistema de gerenciamento centralizado em uma rede Windows. Aindisponibilidade de um controlador de domínio do Active Directory pode parar as operações em toda a empresa. Faça backup dos controladores de domínio do Active Directory em execução localmente para tornar possível a recuperação de dados se ocorrer um desastre. Prefira usar soluções de backup de terceiros dedicadas que suportem backup consciente de aplicativos ao fazer backup de servidores em execução com aplicativos em execução.
NAKIVO Backup & Replication é uma solução de proteção de dados para empresas e PMEs que suporta backup em nuvem do Office 365, incluindo aplicativos como Exchange Online, SharePoint Online, Microsoft Teams e OneDrive for Business. Você pode fazer backup de vários inquilinos do Office 365, selecionar todos os usuários ou usuários personalizados e recuperar os itens necessários em um nível granular.
NAKIVO Backup & Replicação suporta backup de servidores físicos, incluindo servidores Windows que atuam como controladores de domínio do Active Directory e podem realizar backup do Active Directory. O suporte ao backup consciente de aplicativo permite que você faça backup de controladores de domínio e tenha dados consistentes com o aplicativo em um backup. A recuperação granular também é suportada para backup de servidores físicos.
Conclusão
Organizações que migram para a nuvem estão fazendo isso parcialmente. Elas continuam a usar serviços do Active Directory localmente em combinação com serviços em nuvem. Isso é conhecido como um ambiente híbrido. Uma opção para sincronizar o Office 365 com o AD permite que organizações configurem ambientes híbridos e sincronizem contas de usuário e opções de autenticação entre o AD local e o Azure AD.
O Office 365 Active Directory sync pode ser feito com o Azure AD Connect, que é uma ferramenta nativa desenvolvida pela Microsoft. Você precisa preparar seu Active Directory local, configurar as configurações de domínio para o domínio local e o domínio externo vinculado ao seu locatário do Office 365, e configurar as opções de sincronização do diretório do Office 365 no AD Connect. A integração do Active Directory do Office 365 permite que os usuários usem as mesmas credenciais para ambientes Windows locais e no Office 365.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/