Como Baixar, Instalar e Configurar o Azure AD Connect V2

Tutoriais

Neste guia, fornecerei informações sobre onde baixar o Azure Active Directory (recentemente renomeado Microsoft Entra ID) Connect V2 e guiar você pela instalação e configuração do mesmo.

A Microsoft afirma que a topologia mais comum é uma floresta local única, com um ou vários domínios, e um único locatário do Azure AD. Meu guia seguirá essa topologia, utilizando uma nova floresta e domínio do Windows Server 2019, um locatário do Azure AD usando uma licença de avaliação do Premium P2 e um domínio personalizado verificado.

Baixe o Azure AD Connect e o configure

Antes de nos aprofundarmos nos detalhes, aqui estão os 6 passos de alto nível necessários para configurar e fazer funcionar o Azure AD Connect V2:

  1. Baixe o Azure AD Connect
  2. Execute o instalador
  3. Configure o login do usuário
  4. Conecte seus diretórios
  5. Configure opções avançadas
  6. Inicie a sincronização do diretório

O que é o Azure AD Connect?

Simplificando, o Azure AD Connect permite que você sincronize o seu Active Directory (AD) com o Azure AD. Isso estende o seu tradicional, porém ainda crucial, Active Directory do Windows Server para o Azure AD hospedado na nuvem da Microsoft e ajuda você a alcançar seu objetivo de criar uma identidade híbrida.

Se você não está familiarizado com esses termos ou precisa de uma revisão, não tem problema. Recomendamos que você reserve um tempo para conferir nossa comparação entre Active Directory e Azure Active Directory antes de prosseguir.

O Azure AD Connect contém recursos como a sincronização de hash de senha (PHS), autenticação de passagem (PTA) e integração com os Serviços de Federação de Diretórios Ativos (AD FS). Esses e outros recursos são explicados na página de suporte do Que é o Azure AD Connect da Microsoft.

Também, observe que Azure Active Directory Domain Services (Azure AD DS) é uma oferta diferente da Microsoft e não está coberta neste guia.

O que há de novo no Azure AD Connect V2

O Azure AD Connect 2 traz algumas mudanças significativas:

  • SQL Server 2019 LocalDB
  • Biblioteca de autenticação MSAL
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 e 1.1 não são mais suportados)
  • Todos os binários assinados com SHA2
  • O Windows Server 2012 e o Windows Server 2012 R2 não são mais suportados
  • PowerShell 5.0

A Microsoft já anunciou que todas as versões do Azure AD Connect V1 serão aposentadas em 31 de agosto de 2022. Somente isso já deve ser um bom incentivo para atualizar para o Azure AD Connect V2.

Consulte o artigo de Petri Russel Smith sobre o que há de novo no Azure AD Connect V2 para obter mais informações sobre as maiores mudanças no Azure AD Connect V2. Além disso, a página de suporte da Microsoft Azure AD Connect: Histórico de versões contém mais detalhes importantes sobre novos recursos e funcionalidades.

Pré-requisitos para o Azure AD Connect V2

Antes de podermos instalar o Azure AD Connect V2, há algumas coisas que precisamos:

  • Um inquilino do Azure AD, que pode ser gratuito ou premium (pago)
  • Um servidor Windows local ou hospedado na nuvem (em uma máquina virtual de Infraestrutura como Serviço) rodando como um controlador de domínio AD (Active Directory) (versões mais antigas do Windows Server funcionam, mas alguns recursos como retorno de senha exigirão o Windows Server 2016 ou posterior)
  • Seu controlador de domínio deve ser gravável, controladores de domínio somente leitura (RODC) não são suportados
  • Idealmente, o Azure AD Connect deve ser instalado em um servidor dedicado associado ao domínio, mas você também pode instalá-lo no seu controlador de domínio (Windows Server 2016 ou posterior com Desktop Experience é necessário para o Azure AD Connect V2)
  • AD e AAD contas para o seu servidor Azure AD Connect. A Microsoft diferencia as contas usadas para operar o Azure AD Connect daquelas usadas para sua instalação e configuração.

Para este guia, vamos simplesmente usar uma conta de Administrador Global para o inquilino Azure AD e um membro do grupo AD Enterprise Admins para a conectividade AD. Em seus ambientes de produção, certifique-se de usar contas dedicadas que cubram apenas as permissões mínimas necessárias para sua situação e mantenha sua senha segura. Consulte a página de suporte da Microsoft Azure AD Connect: Contas e permissões para obter detalhes completos.

Instalando e Configurando o Azure AD Connect V2

O primeiro passo é baixar o instalador do Azure AD Connect. Eis como proceder.

Baixar o Azure AD Connect

  • Fazer login no seu Portal do Azure
  • Acessar o Azure Active Directory
  • Na seção Gerenciar, selecionar o Azure AD Connect e clicar em Baixar o Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

Executar o instalador do Azure AD Connect

Após o download, vamos executar este instalador (AzureADConnect.msi) no nosso servidor do Azure AD Connect (controlador de domínio ou servidor dedicado). É necessário ter privilégios elevados para isso, então certifique-se de selecionar Sim quando solicitado.

Assim que o instalador carregar, você será recebido pela tela de Bem-vindo ao Azure AD Connect. Depois de aceitar os termos da licença e o aviso de privacidade, clique em Continuar.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Escolher configurações personalizadas

Na tela de Configurações Rápidas, você precisará selecionar Personalizar na parte inferior da página. As Configurações Rápidas podem ser adequadas para muitos ambientes, mas determinadas configurações só podem ser definidas usando a instalação de Configurações Personalizadas.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

Na tela de Instalar componentes necessários, é possível personalizar configurações que afetam o Azure AD Connect:

  • Especificar um local de instalação personalizado
  • Usar um SQL Server existente (para ambientes maiores e requisitos de alta disponibilidade)
  • Usar uma conta de serviço existente (você pode precisar usar uma conta pré-criada em seu ambiente)
  • Especificar grupos de sincronização personalizados (permitindo definir seus próprios grupos de segurança locais em vez dos padrão)
  • Importar configurações de sincronização (que foram exportadas de outra instalação do Azure AD Connect)

Após concluir a seleção, clique em Instalar. O instalador instalará os componentes necessários, como o Serviço de Sincronização.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Configurar logon do usuário

Depois de alguns instantes, a tela de Logon do usuário será exibida. Você pode selecionar uma das seguintes opções:

  • Sincronização de Hash de Senha (escolha padrão)
  • Autenticação por Encaminhamento
  • Federação com AD FS
  • Federação com PingFederate
  • Não configurar

Também é possível ativar o logon único para seus usuários. Escolha o método desejado (estamos utilizando a Sincronização de Hash de Senha para este guia) e clique em Avançar.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

Na tela Conectar ao Azure AD, insira as credenciais da sua conta do Azure AD (consulte os requisitos na seção anterior). Você pode ser solicitado a alterar sua senha se ainda não tiver feito login com essa conta antes. Além disso, se a MFA estiver ativada na sua conta, então você pode ser desafiado a cumprir quaisquer requisitos que sua organização tenha estabelecido.

Clique em Avançar para continuar.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Conectar seus diretórios

Na tela Conectar seus diretórios, embaixo de FLORESTA, selecione seu diretório e clique em Adicionar Diretório.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Em uma janela pop-up, você será solicitado a selecionar Criar uma nova conta ou Usar conta existente. Essa conta será usada para sincronização de diretórios.

Se você já criou uma conta para isso, certifique-se de que ela NÃO seja membro dos grupos Enterprise Admins ou Domain Admins. Para este guia, vamos criar uma nova conta.

Você verá seu diretório adicionado listado em DIRETÓRIOS CONFIGURADOS. Você também tem a opção de remover um ou mais diretórios adicionados caso seus requisitos ou circunstâncias tenham mudado.

Após concluído, clique em Avançar.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Escolha como seus usuários serão identificados no Azure AD

Na tela de configuração de entrada no Azure AD, você verá o Sufixo UPN do Active Directory e o status de domínio do Azure AD correspondente para todos os diretórios adicionados. Se algum dos seus domínios não estiver verificado ou adicionado, você pode corrigir isso e atualizar a tela usando o ícone de Atualizar abaixo da tabela.

Na mesma página, você também poderá personalizar o seu Nome Principal do Usuário (UPN), o atributo local que será utilizado como o nome de usuário do Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Você precisará tomar uma decisão crítica sobre como seus usuários serão identificados no Azure AD. Ao contrário do Active Directory, o Azure AD não permite duplicatas.

Estritamente falando, o AD também não permite duplicatas, mas não as impõe realmente. Você poderia ter UPNs duplicados no seu AD e sair impune, enquanto o Azure AD apenas sincronizará a primeira conta, ignorando as subsequentes. Você também poderia ter os mesmos nomes de usuário em vários diretórios e a mesma limitação se aplicará.

Se você está preocupado que isso possa se aplicar a você, então você pode verificar o seu AD usando o idFix antes de iniciar a configuração do Azure AD Connect. Consulte a página do Microsoft no GitHub sobre o idFix para mais informações.

Normalmente, você pode deixar esse valor definido como o padrão userPrincipalName, mas suas circunstâncias específicas podem ser diferentes. Nomes de domínio não roteáveis (os mais comuns são .local ou .internal) também são um bom motivo para alterar seu UPN, mas isso também pode ser resolvido adicionando um sufixo UPN alternativo (e roteável) por meio de Domínio e Relações de Confiança do Active Directory.

Clique em Avançar para continuar.

Escolha os domínios e UOs que você deseja sincronizar

Na tela Filtragem de Domínio e UO, você pode sincronizar todos os domínios e Unidades Organizacionais (UOs) ou personalizar quais deseja sincronizar. A Microsoft afirma que determinadas UOs são essenciais para a funcionalidade e devem ser mantidas selecionadas. A Filtragem baseada em unidade organizacional da Microsoft inclui mais informações sobre essas UOs.

Clique em Avançar para continuar.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

Na tela de Identificação exclusiva dos seus usuários, selecione as opções que melhor se alinham com sua infraestrutura. Assim como na seção anterior, é fundamental acertar nesse processo.

Embora os valores padrão possam servir para muitas organizações, seu ambiente pode exigir que você dedique algum tempo e esforço para identificar os valores mais adequados para você. Consulte a página de suporte da Microsoft sobre Identificação exclusiva dos seus usuários para obter mais informações.

Ao estar pronto, clique em Avançar para continuar.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Escolha quais usuários e dispositivos serão sincronizados com o Azure AD

Na tela de Filtrar usuários e dispositivos, você pode limitar quais usuários e dispositivos serão sincronizados com o Azure AD especificando um único grupo. Esta é uma maneira conveniente de limitar a sua implantação piloto inicial.

Essas configurações podem ser alteradas depois de você ter concluído sua implantação piloto e resolvido todos os problemas da sua implantação, caso você encontre algum. Se você deseja usar isso, basta inserir o nome do seu grupo piloto e clicar no botão Resolver.

Observe que a Microsoft alerta que esse recurso não deve ser usado em uma implantação de produção, então certifique-se de alterá-lo antes de ir para a produção.

Para este guia, eu criei um grupo chamado HybridUsers e adicionei todos os meus usuários de teste a ele.

Clique em Próximo para continuar.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Escolha os recursos opcionais de que a sua organização precisa

Na tela de Recursos opcionais, você pode configurar opções adicionais exclusivas para atender aos requisitos da sua organização:

  • Implantação híbrida do Exchange (para coexistência com o Exchange local e o Exchange Online)
  • Caixas de correio públicas do Exchange (para sincronizar objetos de caixas de correio público habilitadas para email do seu diretório local do Active Directory para o Azure AD)
  • Filtragem de aplicações e atributos do Azure AD (para limitar quais atributos sincronizar para o Azure AD)
  • Sincronização de hash de senha
  • Restauração da senha (para permitir que os usuários redefinam as suas senhas, reduzindo a necessidade de chamadas para o suporte)
  • Restauração de grupo (para restaurar grupos específicos do Azure AD para o seu AD)
  • Restauração de dispositivo (para restaurar dispositivos registrados no Azure AD para o seu AD)
  • Sincronização de atributo de extensão de diretório (para sincronizar atributos personalizados do AD para o seu Azure AD)

Para este guia, manterei os valores padrão. Para o seu ambiente, certifique-se de selecionar as configurações mais apropriadas e tenha em mente que algumas têm requisitos específicos. A Microsoft tem mais informações em sua Página de suporte a recursos opcionais.

Clique em Avançar para continuar.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Escolha suas opções antes de iniciar o processo de sincronização

Chegamos à tela Pronto para configurar, que fornece uma visão geral seletiva de suas escolhas. Ele também permite que você defina as seguintes duas opções:

  • Iniciar o processo de sincronização quando a configuração estiver concluída (desmarcar isso adia o início do processo de sincronização)
  • Ativar o modo de preparação: Quando selecionado, a sincronização não exportará dados para o AD ou Azure AD (esta instância do Azure AD Connect ainda importará configurações)

Pode ser útil ter um segundo servidor Azure AD Connect pronto para receber seus dados caso o primário fique indisponível. Isso permite que você torne (manualmente) o segundo servidor o que está ativamente sincronizando, pulando todo o processo de instalação ou a necessidade de restaurar de um backup. Você será a melhor pessoa para determinar como configurar melhor seu(s) servidor(es) Azure AD Connect.

Clique em Instalar quando tiver confirmado que todas as configurações estão corretas.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Agora, o Azure AD Connect irá implantar suas configurações, instalar vários componentes e iniciar a sincronização inicial entre seu AD e seu Azure AD. Isso pode levar um tempo dependendo do tamanho do seu AD.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Verificando se o Azure AD Connect está funcionando corretamente

O que você verá agora dependerá das escolhas feitas durante a instalação. Se você seguiu minhas instruções, então o seu ambiente deve parecer semelhante.

No seu Portal do Azure, vá para Azure Active Directory, e na seção Gerenciar selecione Azure AD Connect. Você verá que os valores de Status da SincronizaçãoÚltima Sincronização e Sincronização de Hash de Senha mudaram, refletindo que o serviço foi habilitado.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Ainda em Azure Active Directory, na seção Gerenciar, selecione Usuários. Você encontrará todos os usuários selecionados local (AD) sincronizados com o Azure AD. Note a coluna Diretório sincronizado, isso permitirá que você determine facilmente se uma conta foi sincronizada do seu AD local ou criada na nuvem (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Reconfigurando o seu Azure AD Connect e outras ferramentas

Você encontrará um novo atalho (Azure AD Connect) na sua área de trabalho, permitindo que você reconfigure algumas das configurações do Azure AD Connect. Você pode ver uma seleção diferente de opções, dependendo das suas escolhas de instalação originais.

Além disso, a tarefa Visualizar ou exportar configuração atual permite que você faça um backup conveniente das configurações do Azure AD Connect, o que também pode atender a alguns dos seus requisitos de documentação. Resolver problemas permite que você inicie a Ferramenta de resolução de problemas do Azure AD Connect, que é aberta em uma janela do PowerShell.

O agendador do serviço de sincronização é suspenso enquanto o assistente está em execução, mesmo que você não faça nenhuma alteração, então certifique-se de não deixá-lo aberto acidentalmente.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

O Azure AD Connect instala e habilita mais ferramentas e portais que o ajudarão a obter o máximo do seu ambiente de identidade híbrida:

  • Azure AD Connect Health (um portal que permite visualizar alertas, monitorar desempenho, analisar uso e outras informações)
  • Gerenciador de Serviço de Sincronização (para configurar aspectos mais avançados do motor de sincronização e ver os aspectos operacionais do serviço)
  • Editor de Regras de Sincronização (para visualizar, criar e editar regras de sincronização)
  • Conector para Serviços da Web (para se conectar a vários sistemas como SAP ECC, Oracle PeopleSoft e eBusiness)

Agora que instalamos o Azure AD Connect V2 e verificamos que os dois diretórios estão sincronizados, talvez seja hora de explorar alguns dos casos de uso mais avançados, como ativar o Logon Único (SSO) e a autenticação de passagem. Além disso, você precisará se manter atualizado sobre as novas versões do Azure AD Connect, pois a Microsoft gosta de lançar novos recursos e ocasionalmente remover alguns que podem estar sendo usados em seu ambiente.

Artigo Relacionado:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/