- O Azure AD Connect sincroniza identidades entre o Active Directory local e o Microsoft Entra ID, permitindo um único nome de usuário e senha para serviços locais e em nuvem.
- A preparação adequada do Active Directory local (UPN, sufixos, atributos de email e estrutura de Unidades Organizacionais) é fundamental para uma sincronização limpa e sem conflitos com o Microsoft 365.
- Os métodos de autenticação (PHS, PTA, federação) e opções como SSO, filtragem e writeback permitem que a solução seja adaptada a diferentes cenários de negócios.
- O Microsoft Entra Connect Health oferece monitoramento avançado, alertas e métricas no AD DS, AD FS e Azure AD Connect, melhorando a operação e o suporte.
Azure AD Connect (agora Microsoft Enter Connect) É a chave para conectar seu Active Directory local com a nuvem da Microsoft: Azure AD e Microsoft 365. Graças a essa ferramenta, seus usuários podem fazer login com o mesmo nome de usuário e senha tanto no ambiente local quanto nos serviços em nuvem, evitando contas duplicadas e reduzindo dores de cabeça para o departamento de TI.
Ao longo deste tutorial Você verá em detalhes todo o ciclo: preparação do ambiente local, criação do domínio e da floresta do Active Directory, configuração do Microsoft Entra ID, instalação e configuração do Azure AD Connect, métodos de autenticação, filtragem de objetos e recursos avançados, como sincronização de hash de senha, gravação reversa ou uso do Microsoft Entra Connect Health para monitorar a infraestrutura.
O que é o Azure AD Connect e para que serve?
O Azure AD Connect é o utilitário oficial da Microsoft. Ele funciona como uma "ponte" entre o seu Active Directory local e o Azure Active Directory, integrando também o Microsoft 365. Permite que as identidades que você já possui no seu domínio local sejam sincronizadas com a nuvem, para que o usuário utilize as mesmas credenciais em ambos os ambientes e, se desejar, desfrute do logon único (SSO).
O cliente do Azure AD Connect está instalado em um servidor membro. do domínio e, embora tecnicamente possa ser instalado em um controlador de domínio, a Microsoft recomenda evitar isso por motivos de segurança e isolamento de serviços. Este servidor será responsável por sincronizar usuários, grupos e outros objetos do seu Active Directory com o Azure AD em intervalos regulares.
Após configurado, o Azure AD Connect Ele pode usar diferentes modelos de autenticação: Sincronização de Hash de Senha (PHS), Autenticação Pass-Through (PTA), federação com o AD FS ou federação com provedores como o PingFederate. Também oferece opções como SSO, filtragem por Unidade Organizacional (UO) ou grupos, proteção contra exclusões em massa e atualizações automáticas do produto.
Em cenários onde você já trabalha com o Microsoft 365 E se você tiver usuários "somente na nuvem", o Azure AD Connect permite unificar identidades: se o UPN e o e-mail de um usuário local corresponderem aos do usuário na nuvem, após a sincronização, esse usuário deixará de ser "somente na nuvem" e se tornará um usuário sincronizado do AD, centralizando o gerenciamento de atributos em seu diretório local.
Preparando o ambiente local do Active Directory
Antes de pensar em sincronizar qualquer coisa com o Azure, você já deve estar pensando em fazê-lo?Você precisa de um ambiente Active Directory funcional. Se você já possui um domínio corporativo em produção, pode utilizá-lo; caso contrário, pode configurar um laboratório do zero para testar todos os cenários de identidade híbrida sem afetar seu ambiente de produção.
A ideia por trás deste laboratório é criar um servidor. que atuará como um controlador de domínio (DC) e hospedará o AD DS, o DNS e as ferramentas de gerenciamento. Tudo isso pode ser configurado em uma máquina virtual Hyper-V executando o Windows Server, usando scripts do PowerShell que automatizam grande parte do trabalho.
Criando a máquina virtual para o controlador de domínio.
O primeiro passo é criar uma máquina virtual. que funcionará como um servidor Active Directory local. Para isso, você pode abrir o PowerShell ISE como administrador no host Hyper-V e executar um script que define o nome da VM, o switch de rede, o caminho do VHDX, o tamanho do disco e a mídia de instalação (ISO do Windows Server).
Este script cria uma VM de geração 2.Com memória fixa, um novo disco virtual é criado e uma unidade de DVD virtual apontando para a imagem ISO do sistema operacional é conectada. O firmware da máquina é então configurado para inicializar a partir do DVD, permitindo que você realize a instalação do sistema de forma interativa.
Uma vez criada a máquina virtualNo Gerenciador do Hyper-V, você deve iniciar o servidor, conectar-se ao console e realizar uma instalação padrão do Windows Server: selecione o idioma, insira a chave do produto, aceite os termos da licença, escolha uma instalação personalizada e use o disco recém-criado. Após a conclusão da instalação, reinicie o servidor, faça login e aplique todas as atualizações disponíveis.
Configuração inicial do Windows Server
Com o sistema operacional já instaladoO servidor deve ser preparado para receber a função de Serviços de Domínio do Active Directory. Isso envolve atribuir a ele um nome consistente (por exemplo, DC1), configurar um endereço IP estático, definir as configurações de DNS e adicionar as ferramentas administrativas necessárias usando os recursos do Windows.
Usando outro script do PowerShell Você pode automatizar estas tarefas: configurar o endereço IP, a máscara, o gateway e os servidores DNS (normalmente o próprio servidor e, como secundário, um DNS público como o 8.8.8.8), renomear o computador e instalar os RSATs do Active Directory, registrando tudo em um arquivo de log para auditoria.
Após aplicar essas alterações O servidor será reiniciado e estará pronto para ser promovido a controlador de domínio em uma nova floresta, permitindo que você tenha seu ambiente AD local operacional para testes ou para integração real com a nuvem.
Criando a floresta e o domínio do Active Directory
O próximo passo é instalar o AD DS., DNS e o Console de Gerenciamento de Política de Grupo (GPMC) e, em seguida, crie uma nova floresta do Active Directory. Novamente, o PowerShell permite agilizar o processo instalando os recursos necessários e executando o cmdlet Install-ADDSForest com todos os parâmetros exigidos.
Na definição da floresta, você especifica o nome do domínio. (por exemplo, contoso.com), nome NetBIOS, caminhos para o banco de dados do Active Directory (NTDS), logs e SYSVOL, bem como os níveis funcionais do domínio e da floresta. A senha do Modo de Restauração dos Serviços de Diretório (DSRM), essencial para tarefas de recuperação, também é definida.
Quando o servidor reiniciar após a promoçãoVocê já possui um ambiente Windows Server AD com um domínio operacional, DNS integrado e todas as ferramentas necessárias para gerenciar usuários, grupos, UOs e políticas de grupo.
Criando usuários de teste no Active Directory
Com a floresta em funcionamento, é útil ter contas de teste disponíveis. Para verificar a sincronização com o Azure AD, você pode usar um script do PowerShell para criar, por exemplo, o usuário "Allie McCray" com um nome de login (samAccountName), senha inicial, nome de exibição e a opção de impedir que a senha expire.
O script também pode sinalizar o usuário. Habilitada para impedir que os usuários precisem alterar suas senhas no próximo login, essa opção os colocará no caminho de contêiner apropriado (por exemplo, CN=Users,DC=contoso,DC=com). Esses usuários serão então sincronizados com seus IDs do Microsoft Entra por meio do Azure AD Connect.
Preparando o domínio local para sincronização.
Antes de implementar o Azure AD Connect, é recomendável revisar seu Active Directory. Para garantir que atenda aos requisitos da Microsoft: domínios configurados corretamente, sufixos UPN corretos, atributos de e-mail consistentes e ausência de dados conflitantes. Para essa tarefa, a Microsoft oferece a ferramenta IdFix, que ajuda a detectar objetos problemáticos.
Em muitos ambientes existe um domínio local. Por um lado, um domínio de e-mail do tipo mydomain.local e, por outro, um domínio de e-mail público, como mydomain.com, usado no Microsoft 365. Para que a sincronização seja perfeita, recomenda-se adicionar o sufixo UPN correspondente ao domínio de e-mail público ao AD local.
De “Domínios e relações de confiança do Active Directory” Você pode abrir as propriedades e adicionar o novo sufixo UPN (por exemplo, mydomain.com). Em seguida, nas propriedades da conta de usuário, na guia "Conta", altere o UPN do usuário de user@mydomain.local para user@mydomain.com, alinhando-o com o endereço de e-mail no Microsoft 365.
Embora a alteração do UPN seja altamente recomendada. Para facilitar logins subsequentes e o eventual SSO (Single Sign-On), essa alteração não modifica o método de login clássico DOMAIN\user (pré-Windows 2000), portanto, não afeta aplicativos ou scripts que continuam a usar esse formato.
Também é importante preencher corretamente o atributo de e-mail. das contas de usuário com seus endereços de e-mail principais. Se você já tiver usuários criados diretamente na nuvem, a combinação do UPN e do e-mail correspondente entre o ambiente local e o Microsoft 365 permitirá, após a sincronização, que essas contas sejam unidas e que o usuário na nuvem se torne uma identidade sincronizada do Active Directory.
Configuração e instalação do Microsoft Entra ID (Azure AD)
Para que o diretório local seja sincronizado Você precisa de um tenant do Microsoft Entra ID. Esse tenant é o diretório na nuvem onde serão criadas réplicas de seus usuários, grupos e dispositivos do ambiente local.
Se você ainda não tem um inquilinoVocê pode criá-lo acessando o centro de administração da Microsoft. Entre com uma conta que tenha a assinatura. Na seção Visão geral, escolha a opção para gerenciar locatários e crie um novo, fornecendo um nome para a organização e um domínio inicial (por exemplo, algo.onmicrosoft.com).
Assim que o assistente terminar, o diretório será criado. E você pode gerenciar isso pelo portal. Mais tarde, você poderá associar domínios personalizados (como contoso.com) e verificá-los para usá-los como domínios primários nos UPNs dos seus usuários sincronizados do Active Directory.
Criando uma conta de administrador de identidade híbrida
No tenant Microsoft Entra, recomenda-se criar Uma conta dedicada será usada para gerenciar o componente híbrido. Essa conta será usada, por exemplo, para a configuração inicial do Azure AD Connect e para tarefas relacionadas à identidade.
Na seção Usuários Você cria um novo usuário, atribui a ele um nome e um nome de usuário (UPN) e altera sua função para "Administrador de Identidade Híbrida". Durante a criação, você pode visualizar e copiar a senha temporária atribuída a ele.
Após criar esta conta, é recomendável fazer login. Acesse myapps.microsoft.com com esse nome de usuário e a senha temporária, forçando a alteração da senha para uma senha permanente. Essa será a identidade administrativa que você usará em várias etapas da configuração híbrida.
Instalação do Azure AD Connect (Microsoft Entra Connect)
Com o ambiente local pronto e o locatário da nuvem preparado.Agora você pode instalar o Azure AD Connect em um servidor membro do domínio local. A Microsoft recomenda não usar um controlador de domínio para minimizar os riscos de segurança e disponibilidade.
Baixando o Azure AD Connect Está disponível no portal do Azure Active Directory, na seção Azure AD Connect, ou diretamente no Centro de Download da Microsoft. Depois de baixar o instalador, execute-o no servidor designado.
Os termos da licença são aceitos durante o assistente de instalação. Você tem duas opções: configuração rápida ou configuração personalizada. A opção rápida configura a sincronização completa do Active Directory por padrão usando o método de "sincronização de hash de senha", enquanto a opção personalizada permite um controle muito maior sobre atributos, domínios, UOs, métodos de autenticação e recursos adicionais.
Em instalações típicas, geralmente é mais interessante Escolha o caminho personalizado, especialmente se precisar limitar quais unidades organizacionais são sincronizadas, quiser avaliar diferentes métodos de login ou tiver topologias com várias florestas.
Configurando o método de login
Um dos pontos-chave do assistente É o método de autenticação que seus usuários escolherão para acessar recursos na nuvem. O Azure AD Connect oferece diversas opções integradas, cada uma com suas próprias vantagens e requisitos.
-
Sincronização de hash de senha (PHS)Este método sincroniza com o Azure AD. hash de senha adicional As informações são armazenadas no seu Active Directory local. O usuário faz login na nuvem diretamente com o Azure AD, usando a mesma senha do ambiente local, porém gerenciada apenas no AD. Este é o modelo mais simples de implementar e o mais utilizado.
-
Autenticação direta (PTA)Nesse caso, as senhas não são armazenadas no Azure AD; quando um usuário tenta fazer login, a validação é encaminhada por meio de agentes locais que verificam as credenciais no AD local. Isso permite aplicar restrições de acesso locais, agendamentos etc., mantendo o controle de autenticação dentro da sua infraestrutura.
-
Federação com AD FSO Azure AD delega a autenticação a um sistema de federação baseado no Active Directory Federation Services. Isso requer a implantação de servidores AD FS e, normalmente, um proxy de aplicativo Web. Sua manutenção é mais complexa, mas oferece controle máximo e compatibilidade com cenários avançados.
-
Federação com PingFederateSemelhante ao caso anterior, mas utilizando o PingFederate como solução de federação em vez do AD FS, para organizações que já possuem essa infraestrutura de identidade.
-
Não configure o método de login.: Projetado para quando você já possui uma solução de federação de terceiros e não deseja que o Azure AD Connect automatize nada nessa área.
Além disso, você pode habilitar o login único (SSO). Em combinação com PHS ou PTA. Com o SSO ativado e por meio de uma política de grupo (GPO), os computadores ingressados no domínio podem fazer login usando o UPN do usuário, geralmente o mesmo que seu endereço de e-mail, evitando que eles precisem inserir suas credenciais repetidamente ao acessar serviços como o portal do Microsoft 365.
Conectando-se ao Microsoft 365 e ao Active Directory local.
No assistente do Azure AD Connect, você precisará fornecer Primeiro, você precisará das credenciais de um administrador de locatário do Microsoft Entra (por exemplo, a conta de administrador de identidade híbrida criada anteriormente). Isso permite que a ferramenta configure o componente de nuvem e registre o servidor como uma fonte de sincronização.
Em seguida, as credenciais são solicitadas a partir de uma conta com permissões no AD local. Para criar o link de sincronização com a floresta local. Após a validação, o diretório local é adicionado à lista de fontes de dados para sincronização.
Na próxima etapa, você escolherá qual atributo usar como nome de usuário principal. Para contas na nuvem, a abordagem usual é usar o userPrincipalName, mas em alguns cenários você pode optar pelo campo de e-mail, desde que seja consistente e esteja configurado corretamente. Você também pode indicar se deseja prosseguir sem que todos os domínios UPN sejam verificados no Azure AD (útil quando o domínio do AD é privado).
Seleção de UO e filtragem de objetos
O Azure AD Connect permite definir qual subconjunto Sua floresta do Active Directory está sincronizada com a nuvem. Você pode selecionar domínios inteiros, unidades organizacionais específicas ou até mesmo filtrar por atributos para restringir o escopo.
Na prática, geralmente é uma boa ideia. Comece sincronizando apenas as UOs onde residem os usuários participantes do projeto piloto ou use um grupo de segurança específico cujos membros serão replicados no Azure AD. Isso reduz o risco de sincronizar contas de serviço, objetos obsoletos ou informações que não devem sair do ambiente local.
Vale ressaltar que mudanças subsequentes Alterações na estrutura da Unidade Organizacional (renomeação, movimentação de contêineres, etc.) podem afetar a filtragem. Uma estratégia comum é sincronizar todo o domínio, mas restringir a filtragem com base na associação a grupos, evitando depender excessivamente da estrutura organizacional.
Opções de configuração adicionais
As telas finais do assistente oferecem Funcionalidades adicionais incluem gravação de senha, reescrita de senha em dispositivos, integração híbrida com o Exchange e proteção contra exclusões em massa.
Escrita de senha adiada Isso permite que os usuários alterem ou redefinam suas senhas na nuvem (por exemplo, pelo portal de autoatendimento) e que essa alteração seja aplicada também no Active Directory local, respeitando a política de senhas da organização. Para muitas empresas, essa é uma vantagem significativa para o suporte.
Reescrever dispositivo Permite que os dispositivos registrados no Microsoft Entra ID sejam importados de volta para o Active Directory local, o que facilita cenários de acesso condicional onde é necessário monitorar os dispositivos em ambos os lados.
A funcionalidade para evitar exclusões acidentais Essa função está ativada por padrão e limita o número de objetos que podem ser excluídos em uma única execução de sincronização (por exemplo, a 500). Se esse limite for excedido, a sincronização é bloqueada para evitar exclusões em massa acidentais, o que é crucial em ambientes grandes.
Por fim, atualizações automáticas. Ele é ativado por padrão em instalações com configuração rápida e mantém o Azure AD Connect atualizado com as versões mais recentes, corrigindo erros e adicionando compatibilidades sem que você precise atualizar manualmente cada servidor.
Verificação de sincronização e operação diária
Após concluir a instalação e o assistente,O Azure AD Connect pode iniciar imediatamente uma sincronização completa, caso você a tenha configurado. O próprio assistente oferece a opção de executar um ciclo inicial assim que terminar, o que é recomendado para validar se tudo está funcionando corretamente.
No servidor onde você instalou o Azure AD Connect Você pode abrir o console do "Serviço de Sincronização" no menu Iniciar. Lá, você verá o histórico de execução, incluindo a sincronização inicial, quaisquer erros e detalhes da importação, sincronização e exportação de objetos.
No portal do Microsoft 365 ou no portal de login da Microsoft. Você pode verificar a lista de usuários para confirmar se eles aparecem como “Sincronizados com o Active Directory” em vez de “Somente na nuvem”. A partir desse ponto, os principais atributos (nome, sobrenome, endereço de e-mail etc.) são gerenciados pelo Active Directory local.
O Azure AD Connect executa um ciclo padrão. A sincronização ocorre a cada 30 minutos, embora você sempre possa forçar uma sincronização manual usando o PowerShell se precisar que uma alteração seja refletida imediatamente. É uma boa prática documentar esse comportamento para que a equipe de suporte saiba o que esperar.
Cenários avançados: múltiplas florestas e servidores adicionais.
Em organizações mais complexas Você pode encontrar várias florestas do Active Directory, cada uma com seu próprio domínio e usuários. Também podem existir florestas de recursos onde residem caixas de correio vinculadas ou outros serviços.
O Azure AD Connect está pronto para essas topologias.Isso permite adicionar várias florestas como fontes de sincronização e aplicar um modelo de provisionamento declarativo. Isso significa que as regras para combinar, transformar e propagar atributos são definidas declarativamente e podem ser ajustadas para se adequarem ao seu projeto de identidade.
Para laboratórios mais avançados Uma segunda floresta (por exemplo, fabrikam.com) pode ser criada com seu próprio controlador de domínio (CP1) repetindo as etapas de criação da máquina virtual, instalação do sistema, configuração de IP e DNS, promoção a controlador de domínio e criação de usuários de teste. Isso permite testar cenários com várias florestas e a sincronização na nuvem com diferentes domínios.
Em ambientes de produção, recomenda-se ter Um servidor do Azure AD Connect é colocado em modo de espera ou de preparação. O servidor de preparação mantém uma cópia da configuração e realiza a importação e sincronização internas, mas não exporta as alterações para o Azure AD. Em caso de falha do servidor primário, você pode alternar para o servidor de preparação com impacto mínimo.
Microsoft Entra Connect Saúde: monitoramento e alertas
Para manter a infraestrutura de identidade híbrida sob controle.A Microsoft oferece o Microsoft Entra Connect Health, uma solução premium que monitora componentes essenciais como o Azure AD Connect (sincronização), o AD FS e o AD DS, fornecendo alertas, métricas de desempenho e análise de uso.
A operação é baseada em agentes. Esses agentes são instalados em servidores de identidade: servidores AD FS, controladores de domínio e servidores Azure AD Connect. Eles enviam informações de integridade e desempenho para o serviço em nuvem, onde você pode visualizá-las no portal Connect Health dedicado.
Para começar, você precisa ter licenças. Na Microsoft, insira o ID P1 ou P2 (ou um de teste). Em seguida, baixe os agentes do Connect Health do portal e instale-os em cada servidor relevante. Após o registro, o serviço detecta automaticamente quais funções estão sendo monitoradas.
No portal Connect Health, você encontrará diferentes painéis.Uma para serviços de sincronização (Azure AD Connect), outra para serviços de federação (AD FS) e outra para florestas do AD DS. Em cada uma delas, você pode visualizar alertas ativos, status de replicação, possíveis problemas de certificado, erros de autenticação e tendências de uso.
Além dos aspectos técnicos, o Connect Health inclui opções. Para configurar o acesso baseado em funções (IAM) e, opcionalmente, autorizar a Microsoft a acessar dados de diagnóstico apenas para fins de suporte. Essa opção está desativada por padrão, mas pode ser útil caso você precise de suporte avançado da Microsoft para resolver problemas complexos.
Com todo esse ecossistema configurado — AD local, Microsoft Entra ID, Azure AD Connect e Connect Health — Você tem uma plataforma de identidade híbrida completa, capaz de fornecer login único (SSO), governança centralizada de contas e senhas, alta disponibilidade e visibilidade do estado da infraestrutura; uma combinação que simplifica a vida do usuário final e lhe dá o controle necessário para operar com segurança e flexibilidade.
Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.