Como Baixar, Instalar e Configurar o Azure AD Connect V2

Tutoriais

Neste guia, vou fornecer informações sobre onde baixar o Azure Active Directory (recentemente renomeado Microsoft Entra ID) Connect V2 e guiar você na instalação e configuração do mesmo.

A Microsoft afirma que a topologia mais comum é uma floresta local única, com um ou vários domínios, e um único locatário do Azure AD. Meu guia seguirá essa topologia, utilizando uma nova floresta e domínio do Windows Server 2019, um locatário do Azure AD usando uma licença de avaliação Premium P2 e um domínio personalizado verificado.

Baixe o Azure AD Connect e configure-o

Antes de nos aprofundarmos nos detalhes, aqui estão os 6 passos de nível alto necessários para configurar e fazer o Azure AD Connect V2 funcionar:

  1. Baixe o Azure AD Connect
  2. Execute o instalador
  3. Configure a entrada de usuário
  4. Conecte seus diretórios
  5. Configure opções avançadas
  6. Inicie a sincronização de diretório

O que é o Azure AD Connect?

Simplificando, o Azure AD Connect permite que você sincronize seu Active Directory (AD) com o Azure AD. Isso estende o seu antigo, mas ainda criticamente importante Windows Server Active Directory para o Azure AD hospedado na nuvem da Microsoft e o ajuda a alcançar seu objetivo de criar uma identidade híbrida.

Se você não está familiarizado com esses termos ou precisa de uma atualização, tudo bem. Recomendamos que reserve um tempo para conferir nossa comparação entre Active Directory e Azure Active Directory antes de prosseguir.

O Azure AD Connect contém recursos como a sincronização de hash de senha (PHS), autenticação de passagem (PTA) e integração com os Serviços de Federação do Active Directory (AD FS). Esses e outros recursos são explicados na página de suporte do Que é o Azure AD Connect da Microsoft.

Além disso, observe que o Azure Active Directory Domain Services (Azure AD DS) é uma oferta diferente da Microsoft e não está coberto neste guia.

O que há de novo no Azure AD Connect V2

O Azure AD Connect 2 traz algumas mudanças significativas:

  • SQL Server 2019 LocalDB
  • Biblioteca de autenticação MSAL
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 e 1.1 não são mais suportados)
  • Todas as binários assinados com SHA2
  • O Windows Server 2012 e o Windows Server 2012 R2 não são mais suportados
  • PowerShell 5.0

A Microsoft já anunciou que todas as versões do Azure AD Connect V1 serão descontinuadas em 31 de agosto de 2022. Isso por si só deve ser um bom incentivo para atualizar para o Azure AD Connect V2.

Por favor, consulte o artigo de Petri Russel Smith sobre as novidades no Azure AD Connect V2 para mais informações sobre as maiores mudanças no Azure AD Connect V2. Além disso, a página de suporte da Microsoft sobre Azure AD Connect: Histórico de lançamento de versões contém mais detalhes importantes sobre novos recursos e funcionalidades.

Pré-requisitos para o Azure AD Connect V2

Antes de instalar o Azure AD Connect V2, precisaremos de algumas coisas:

  • Um locatário do Azure AD, que pode ser gratuito ou premium (pago)
  • Um servidor Windows Server local ou hospedado na nuvem (em uma máquina virtual de Infraestrutura como Serviço) executando como um controlador de domínio AD (versões mais antigas do Windows Server funcionam, mas alguns recursos como retorno de senha exigirão a versão 2016 ou posterior)
  • Seu controlador de domínio deve ser gravável, controladores de domínio somente leitura (RODC) não são suportados.
  • Idealmente, o Azure AD Connect deve ser instalado em um servidor dedicado associado ao domínio, mas também é possível instalá-lo no controlador de domínio (Windows Server 2016 ou posterior com Desktop Experience é necessário para o Azure AD Connect V2)
  • . É preciso ter contas do AD e do AAD para o servidor do Azure AD Connect. A Microsoft diferencia as contas usadas para operar o Azure AD Connect daquelas usadas para sua instalação e configuração.

Neste guia, vamos simplesmente usar uma conta de Administrador Global para o inquilino do Azure AD e um membro do grupo AD Enterprise Admins para a conectividade do AD. Em ambientes de produção, certifique-se de usar contas dedicadas que cubram apenas as permissões mínimas necessárias para a sua situação e mantenha sua senha segura. Consulte a página de suporte da Microsoft sobre Azure AD Connect: Contas e permissões para obter detalhes completos.

Instalando e Configurando Azure AD Connect V2

O primeiro passo que precisaremos fazer é baixar o instalador do Azure AD Connect. Aqui está como proceder.

Baixar o Azure AD Connect

  • Faça login no seu Portal do Azure
  • Navegue até Azure Active Directory
  • Na seção Gerenciar, selecione o Azure AD Connect e clique em Baixar o Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

Execute o instalador do Azure AD Connect

Assim que o download estiver concluído, iremos executar esse instalador (AzureADConnect.msi) em nosso servidor Azure AD Connect (controlador de domínio ou servidor dedicado). Privilégios elevados são necessários para isso, portanto, certifique-se de selecionar Sim quando solicitado.

Assim que o instalador carregar, você será recebido pela tela Bem-vindo ao Azure AD Connect. Depois de aceitar os termos de licença e o aviso de privacidade, clique em Continuar.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Escolha as configurações personalizadas

Na tela de Configurações Expressas, você precisará selecionar Personalizar na parte inferior da página. As configurações Expressas podem ser adequadas para muitos ambientes, mas certas configurações só podem ser definidas usando a instalação com Configurações Personalizadas.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

Na tela de Instalar componentes necessários, você pode personalizar as configurações que afetam o Azure AD Connect:

  • Especificar um local de instalação personalizado
  • Usar um SQL Server existente (para ambientes maiores e requisitos de alta disponibilidade)
  • Usar uma conta de serviço existente (você pode ser solicitado a usar uma conta pré-criada em seu ambiente)
  • Especificar grupos de sincronização personalizados (o que permite definir seus próprios grupos de segurança locais em vez dos padrões)
  • Importar configurações de sincronização (que foram exportadas de outra instalação do Azure AD Connect)

Após concluir sua seleção, clique em Instalar. O instalador instalará os componentes necessários, como o Serviço de Sincronização.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Configurar Entrada de usuário

Após alguns momentos, a tela de Entrada de usuário será exibida. Você pode selecionar uma das seguintes opções:

  • Sincronização de Hash de Senha (opção padrão)
  • Autenticação de passagem
  • Federação com AD FS
  • Federação com PingFederate
  • Não configurar

Você também pode habilitar logon único para seus usuários. Escolha o método desejado (estamos usando Sincronização de Hash de Senha para este guia) e clique em Próximo.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

Na tela Conectar ao Azure AD, insira as credenciais da sua conta do Azure AD (consulte os pré-requisitos na seção anterior). Você pode ser solicitado a alterar sua senha se nunca tiver feito login com esta conta antes. Além disso, se a MFA estiver ativada na sua conta, você pode ser desafiado a atender aos requisitos estabelecidos pela sua organização.

Clique em Avançar para continuar.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Conectar seus diretórios

Na tela Conectar seus diretórios, em FLORESTA, selecione o seu diretório e clique em Adicionar Diretório.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Em uma janela pop-up, você será solicitado a selecionar ou Criar uma nova conta ou Usar uma conta existente. Esta conta será usada para sincronização de diretório.

Se você já criou uma conta para isso, certifique-se de que ela NÃO seja membro dos grupos Administradores da Empresa ou Administradores de Domínio. Para este guia, criaremos uma nova conta.

Você verá seu diretório adicionado listado sob DIRETÓRIOS CONFIGURADOS. Você também tem a opção de remover um ou mais diretórios adicionados caso seus requisitos ou circunstâncias tenham mudado.

Após concluído, clique em Avançar.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Escolha como seus usuários serão identificados no Azure AD

Na tela de configuração de entrada do Azure AD, você verá o Sufixo UPN do Active Directory e o status correspondente do Domínio Azure AD para todos os diretórios adicionados. Se algum de seus domínios não estiver verificado ou adicionado, você pode corrigir isso e atualizar esta tela usando o ícone Atualizar abaixo da tabela.

Na mesma página, você também poderá personalizar seu Nome Principal de Usuário (UPN), o atributo local que será usado como o nome de usuário do Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Você precisa tomar uma decisão crítica sobre como seus usuários serão identificados no Azure AD. Ao contrário do Active Directory, o Azure AD não permite duplicatas.

Falando estritamente, o AD também não permite duplicatas, mas isso não é realmente aplicado. Você poderia ter UPNs duplicados em seu AD e sair impune, enquanto o Azure AD apenas sincronizará a primeira conta, ignorando quaisquer subsequentes. Você também poderia ter os mesmos nomes de usuário em vários diretórios e a mesma limitação se aplicaria.

Se você está preocupado que isso possa se aplicar a você, então você pode verificar seu AD usando o idFix antes de iniciar a configuração do Azure AD Connect. Veja a página do GitHub da Microsoft sobre o idFix para mais informações.

Normalmente, você pode deixar este valor definido como o padrão userPrincipalName, mas suas circunstâncias específicas podem ser diferentes. Nomes de domínio não roteáveis (os mais comuns são .local ou .internal) também são uma boa razão para alterar seu UPN, mas isso também pode ser resolvido adicionando um sufixo UPN alternativo (e roteável) através do Active Directory Domain and Trusts.

Clique em Próximo para continuar.

Escolha os domínios e UOs que você deseja sincronizar

Na tela de Filtragem de domínio e OU, você pode sincronizar todos os domínios e Unidades Organizacionais (UOs) ou personalizar quais deseja sincronizar. A Microsoft afirma que algumas UOs são essenciais para a funcionalidade e você deve deixá-las selecionadas. A filtragem com base em Unidade Organizacional da Microsoft inclui mais informações sobre essas UOs.

Clique em Próximo para continuar.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

Na tela de Identificar seus usuários de forma única, selecione as opções que melhor se alinham com sua infraestrutura. Assim como na seção anterior, é crucial acertar isso.

Embora os valores padrão possam servir para muitas organizações, seu ambiente pode exigir que você dedique um tempo e esforço para identificar os valores ideais para você. Consulte a página de suporte da Microsoft sobre Identificação única de seus usuários para mais informações.

Depois de pronto, clique em Avançar para continuar.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Escolha quais usuários e dispositivos serão sincronizados com o Azure AD

Na tela de Filtrar usuários e dispositivos, você pode limitar quais usuários e dispositivos serão sincronizados com o Azure AD especificando um único grupo. Esta é uma maneira conveniente de limitar sua implantação piloto inicial.

Essas configurações podem ser alteradas depois de completar sua implantação piloto e resolver todos os problemas encontrados, caso ocorram. Se deseja usar isso, basta inserir o nome de seu grupo piloto e clicar no botão Resolver.

Lembre-se de que a Microsoft adverte que esta funcionalidade não é destinada a ser utilizada em uma implantação de produção, então certifique-se de mudá-la antes de entrar em produção.

Para este guia, criei um grupo chamado HybridUsers e adicionei todos os meus usuários de teste a ele.

Clique em Próximo para continuar.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Escolha os recursos opcionais que sua organização precisa

Na tela de Recursos opcionais, você pode configurar ajustes adicionais exclusivos de acordo com os requisitos da sua organização:

  • Implantação híbrida do Exchange (para coexistência com o Exchange local e o Exchange Online)
  • Pastas públicas de email do Exchange (para sincronizar objetos de pastas públicas habilitadas para email do seu ambiente local do Active Directory para o Azure AD)
  • Filtragem de aplicativos e atributos do Azure AD (para limitar quais atributos sincronizar com o Azure AD)
  • Sincronização de hash de senha
  • Reenvio de senha (para permitir que os usuários redefinam suas próprias senhas, reduzindo as chamadas ao suporte técnico)
  • Reenvio de grupo (para reenviar grupos específicos do Azure AD para o seu AD)
  • Reenvio de dispositivo (para reenviar dispositivos registrados no Azure AD para o seu AD)
  • Sincronização de atributo de extensão de diretório (para sincronizar atributos personalizados do AD com o Azure AD)

Para este guia, manterei os valores padrão. Para o seu ambiente, certifique-se de selecionar as configurações mais apropriadas e lembre-se de que algumas têm requisitos específicos. A Microsoft tem mais informações em sua página de suporte de Recursos opcionais.

Clique em Avançar para continuar.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Escolha suas opções antes de iniciar o processo de sincronização

Chegamos à tela Pronto para configurar, que fornece uma visão geral seletiva de suas escolhas. Também permite definir as duas opções a seguir:

  • Iniciar o processo de sincronização quando a configuração for concluída (desmarcar isso adia o início do processo de sincronização)
  • Ativar o modo de preparação: Quando selecionado, a sincronização não exportará nenhum dado para AD ou Azure AD (esta instância do Azure AD Connect ainda importará configurações)

Pode ser útil ter um segundo servidor do Azure AD Connect pronto para ingerir seus dados caso o seu primário fique indisponível. Isso permite que você (manualmente) transforme o segundo servidor no ativamente sincronizado, pulando todo o processo de instalação ou a necessidade de restaurar de um backup. Você será a melhor pessoa para determinar como configurar melhor seu(s) servidor(es) do Azure AD Connect.

Clique em Instalar assim que tiver confirmado que todas as configurações estão corretas.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Agora, o Azure AD Connect irá implantar suas configurações, instalar vários componentes e então iniciar a sincronização inicial entre seu AD e seu Azure AD. Isso pode levar um tempo dependendo do tamanho do seu AD.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Verificando se o Azure AD Connect está funcionando corretamente

O que você verá agora dependerá das escolhas feitas durante a instalação. Se você seguiu as minhas instruções, então seu ambiente deve parecer semelhante.

No seu Portal do Azure, acesse o Azure Active Directory, e na seção Gerenciar selecione Azure AD Connect. Você verá que os valores de Status de SincronizaçãoÚltima Sincronização e Sincronização de Hash de Senha mudaram, refletindo que o serviço foi habilitado.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Ainda no Azure Active Directory, na seção Gerenciar, selecione Usuários. Você encontrará todos os usuários selecionados no local (AD) sincronizados com o Azure AD. Observe a coluna Diretório sincronizado, isso permitirá que você determine facilmente se uma conta foi sincronizada do seu AD local ou criada na nuvem (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Reconfigurando seu Azure AD Connect e outras ferramentas

Você encontrará um novo atalho (Azure AD Connect) na sua área de trabalho, permitindo que você reconfigure algumas das configurações do Azure AD Connect. Você pode ver uma seleção diferente de opções, dependendo das escolhas originais de instalação.

Além disso, a tarefa Visualizar ou exportar a configuração atual permite que você faça um backup conveniente das configurações do Azure AD Connect, o que também pode atender a algumas de suas exigências de documentação. Resolver problemas permite que você inicie a Ferramenta de Solução de Problemas do Azure AD Connect que é aberta em uma janela do PowerShell.

O agendador do serviço de sincronização é suspenso enquanto o assistente está em execução, mesmo que você não faça alterações, então certifique-se de não deixá-lo aberto acidentalmente.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

O Azure AD Connect instala e habilita outras ferramentas e portais que irão ajudá-lo a obter o máximo do seu ambiente de identidade híbrida:

  • Azure AD Connect Health (um portal que permite visualizar alertas, monitorar desempenho, analisar uso e outras informações)
  • Gerenciador de Serviço de Sincronização (para configurar aspectos mais avançados do mecanismo de sincronização e ver os aspectos operacionais do serviço)
  • Editor de Regras de Sincronização (para visualizar, criar e editar regras de sincronização)
  • Conector para Serviços da Web (para se conectar a vários sistemas como SAP ECC, Oracle PeopleSoft e eBusiness)

Agora que instalamos o Azure AD Connect V2 e verificamos que os dois diretórios estão sincronizados entre si, pode ser hora de conferir alguns dos casos de uso mais avançados, como habilitar o Logon Único (SSO) e autenticação de passagem. Além disso, você precisará se manter atualizado sobre as novas versões do Azure AD Connect, já que a Microsoft costuma lançar novos recursos e, ocasionalmente, remover alguns que você pode estar usando em seu ambiente.

Artigo Relacionado:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/