Partilhar via

Pré-requisitos para Microsoft Entra Cloud Sync

Este artigo fornece orientações sobre como usar o Microsoft Entra Cloud Sync como a sua solução de identidade.

Requisitos do agente de provisionamento na nuvem

Precisa do seguinte para usar o Microsoft Entra Cloud Sync:

  • Credenciais de Administrador de Domínio ou Administrador Empresarial para criar o Microsoft Entra Connect cloud sync gMSA (conta de serviço gerido de grupo) para executar o serviço agente.

  • Uma conta de Administrador de Identidade Híbrida para o seu inquilino Microsoft Entra que não seja um utilizador convidado.

  • O agente Microsoft Entra Cloud Sync deve estar instalado num servidor ligado ao domínio que execute Windows Server 2022, Windows Server 2019 ou Windows Server 2016. Recomendamos o Windows Server 2022. Podes implementar Microsoft Entra Cloud Sync no Windows Server 2016, mas como está em suporte alargado, podes precisar de um programa de suporte pago se precisares de suporte para esta configuração. Instalar em versões não suportadas do Windows Server pode causar falhas de serviço ou comportamentos inesperados.

    Importante

    O Windows Server 2025 NÃO é suportado. Existe um problema conhecido no Windows Server 2025 que pode causar problemas de sincronização com o Microsoft Entra Cloud Sync. Se atualizou para Windows Server 2025, certifique-se de que instalou a atualização 20 de outubro de 2025 - KB5070773, ou posterior. Depois de instalar esta atualização, reinicie o servidor para que as alterações tenham efeito. O suporte do Windows Server 2025 para o Microsoft Entra Cloud Sync está planeado para uma versão futura.

  • Este servidor deve ser um servidor de nível 0 baseado no modelo de nível administrativo Active Directory. Há suporte para a instalação do agente em um controlador de domínio. Para mais informações, consulte Reforce o seu servidor do agente de provisionamento Microsoft Entra

  • O Active Directory Schema é obrigatório ter o atributo msDS-ExternalDirectoryObjectId, que está disponível no Windows Server 2016 e versões posteriores.

  • O serviço Windows Credential Manager (VaultSvc) não pode ser desativado, pois isso impede a instalação do agente de provisionamento.

  • Alta disponibilidade refere-se à capacidade do Microsoft Entra Cloud Sync de operar continuamente sem falhas durante muito tempo. Ao ter múltiplos agentes ativos instalados e a funcionar, o Microsoft Entra Cloud Sync pode continuar a funcionar mesmo que um agente falhe. A Microsoft recomenda ter 3 agentes ativos instalados para alta disponibilidade.

  • Configurações de firewall local.

Reforce a segurança do servidor do agente de provisionamento Microsoft Entra

Recomendamos que endureça o seu servidor agente de provisionamento Microsoft Entra para diminuir a superfície de ataque de segurança para este componente crítico do seu ambiente de TI. Seguir essas recomendações ajuda a mitigar alguns riscos de segurança para sua organização.

  • Recomendamos reforçar o servidor agente de provisionamento Microsoft Entra como um ativo do Plano de Controlo (anteriormente conhecido como Tier 0), seguindo as orientações fornecidas em Secure Privileged Access e no modelo Active Directory administrative tier model.
  • Restringa o acesso administrativo ao servidor agente de provisão Microsoft Entra apenas a administradores de domínio ou outros grupos de segurança rigidamente controlados.
  • Crie uma conta dedicada para todo o pessoal com acesso privilegiado. Os administradores não devem navegar na Web, verificar seus e-mails e fazer tarefas diárias de produtividade com contas altamente privilegiadas.
  • Siga as orientações fornecidas em Protegendo o acesso privilegiado.
  • Negar o uso da autenticação NTLM com o servidor agente de provisionamento Microsoft Entra. Aqui estão algumas formas de o fazer: Restrição do NTLM no Microsoft Entra Servidor do agente de provisionamento e Restrição do NTLM num domínio
  • Certifique-se de que cada máquina tenha uma senha de administrador local exclusiva. Para mais informações, verifique Local Administrator Password Solution (Windows LAPS), que pode configurar palavras-passe únicas e aleatórias em cada estação de trabalho e servidor, armazenando-as no Active Directory protegidas por uma ACL. Somente usuários autorizados qualificados podem ler ou solicitar a redefinição dessas senhas de conta de administrador local. Orientações adicionais para operar um ambiente com Windows LAPS e estações de trabalho de acesso privilegiado (PAWs) podem ser encontradas em Normas operacionais baseadas no princípio de fonte limpa.
  • Implemente estações de trabalho dedicadas de acesso privilegiado para todo o pessoal com acesso privilegiado aos sistemas de informação da sua organização.
  • Siga estas orientações adicionais para reduzir a superfície de ataque do seu ambiente Active Directory.
  • Siga as instruções em Monitorizar alterações à configuração da federação para configurar alertas que monitorizem as alterações na confiança estabelecida entre o seu IdP e o Microsoft Entra ID.
  • Ative a autenticação multifator (MFA) para todos os utilizadores que tenham acesso privilegiado no Microsoft Entra ID ou no AD. Uma questão de segurança ao usar o agente de provisionamento Microsoft Entra é que, se um atacante conseguir controlar o servidor do agente de provisionamento Microsoft Entra, pode manipular utilizadores no Microsoft Entra ID. Para evitar que um atacante use estas capacidades para tomar conta da Microsoft Entra, o MFA oferece proteções. Por exemplo, mesmo que um atacante consiga redefinir a palavra-passe de um utilizador usando o agente de provisionamento Microsoft Entra, ainda assim não consegue contornar o segundo fator.

Contas de Serviço Gerenciado de Grupo

Uma Conta de Serviço Gerenciado de grupo é uma conta de domínio gerenciada que fornece gerenciamento automático de senhas e gerenciamento simplificado de SPN (nome principal de serviço). Ele também oferece a capacidade de delegar o gerenciamento a outros administradores e estende essa funcionalidade a vários servidores. O Microsoft Entra Cloud Sync suporta e utiliza um gMSA para executar o agente. Ser-lhe-ão solicitadas credenciais administrativas durante a configuração para criar esta conta. A conta aparece como domain\provAgentgMSA$. Para obter mais informações sobre um gMSA, consulte Contas de Serviço Gerido de Grupo.

Pré-requisitos para gMSA

  • O esquema do Active Directory na floresta do domínio gMSA precisa de ser atualizado para o Windows Server 2012 ou posterior.
  • Módulos RSAT do PowerShell num controlador de domínio.
  • Pelo menos um controlador de domínio no domínio deve estar a correr o Windows Server 2012 ou mais recente.
  • Um servidor unido ao domínio que executa o Windows Server 2022, Windows Server 2019 ou Windows Server 2016 para a instalação do agente.

Conta gMSA personalizada

Se você estiver criando uma conta gMSA personalizada, precisará garantir que a conta tenha as seguintes permissões.

Tipo Nome Acesso Aplica-se a
Permitir Conta gMSA Ler todos os imóveis Objetos de dispositivo descendentes
Permitir Conta gMSA Ler todos os imóveis Objetos InetOrgPerson descendentes
Permitir Conta gMSA Ler todos os imóveis Objetos de computador descendentes
Permitir Conta gMSA Ler todos os imóveis Objetos descendentes foreignSecurityPrincipal
Permitir Conta gMSA Controlo total Objetos do Grupo Descendente
Permitir Conta gMSA Ler todos os imóveis Objetos de usuário descendente
Permitir Conta gMSA Ler todos os imóveis Objetos de contacto descendentes
Permitir Conta gMSA Criar/excluir objetos de usuário Este objeto e todos os objetos descendentes

Para conhecer as etapas sobre como atualizar um agente existente para usar uma conta gMSA, consulte Contas de serviço gerenciado do grupo.

Para mais informações sobre como preparar o seu Active Directory para a conta de serviço gerido de grupo, consulte Group Managed Service Accounts Overview e Group Managed Service Accounts with Cloud Sync.

No centro de administração da Microsoft Entra

  1. Crie uma conta de Administrador de Identidade Híbrida somente na nuvem na sua locação do Microsoft Entra. Dessa forma, você pode gerenciar a configuração do locatário se os serviços locais falharem ou ficarem indisponíveis. Saiba como adicionar uma conta de Administrador de Identidade Híbrida somente na nuvem. Concluir esta etapa é fundamental para garantir que não perca o acesso ao seu locatário.
  2. Adicione um ou mais nomes de domínio personalizados ao seu locatário Microsoft Entra. Os seus utilizadores podem iniciar sessão com um destes nomes de domínio.

No seu diretório no Active Directory

Execute a ferramenta IdFix para preparar os atributos de diretório para sincronização.

No seu ambiente interno

  1. Identifique um servidor anfitrião unido ao domínio que execute Windows Server 2022, Windows Server 2019 ou Windows Server 2016 com um mínimo de 4 GB de RAM e tempo de execução .NET 4.7.1+.
  2. A política de execução do PowerShell no servidor local deve ser definida como Undefined ou RemoteSigned.
  3. Se houver um firewall entre os seus servidores e o Microsoft Entra ID, veja Requisitos de firewall e proxy.

Observação

A instalação do agente de provisionamento na cloud no Windows Server Core não é suportada.

Provisionar Microsoft Entra ID para Active Directory Domain Services - Pré-requisitos

São necessários os seguintes pré-requisitos para implementar grupos de provisionamento para o Active Directory Domain Services (AD DS).

Requisitos de licença

A utilização desta funcionalidade requer licenças Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Compare as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Microsoft Entra conta com pelo menos uma função Hybrid Identity Administrator.
  • Esquema AD DS on-premises com o atributo msDS-ExternalDirectoryObjectId, disponível em Windows Server 2016 e posteriores.
  • Agente de provisionamento com a versão de compilação 1.1.1373.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas exclusivamente durante uma instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará atribuir Ler, Gravar, Criar e Excluir todas as propriedades para todos os grupos descendentes e objetos de usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte Microsoft Entra provisioning agent gMSA PowerShell cmdlets.

  • O agente de provisionamento deve estar instalado num servidor que execute Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para a pesquisa do Catálogo Global filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com a versão de compilação 2.2.8.0
    • Exigido para suportar a adesão de utilizador local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para aprovisionamento de grupos para o Active Directory

O desempenho da funcionalidade de Provisão de Grupo para o Active Directory é afetado pelo tamanho do inquilino e pelo número de grupos e membros que estão no âmbito da provisão para o Active Directory. Esta secção fornece orientações sobre como determinar se o GPAD corresponde ao seu requisito de escala e como escolher o modo certo de avaliação de grupos para alcançar ciclos de sincronização inicial e delta mais rápidos.

O que não é suportado?

  • Grupos com mais de 50 mil membros não são suportados.
  • A utilização do âmbito "Todos os grupos de segurança" sem aplicar filtragem de escopo de atributos não é suportada.

Limites de escala

Modo de Definição de Escopo Número de grupos dentro do âmbito Número de ligações de membros (apenas membros diretos) Observações
Modo "Grupos de segurança selecionados" Até 10 mil grupos. O painel CloudSync no portal Microsoft Entra permite apenas selecionar até 999 grupos, bem como mostrar até 999 grupos. Se precisar de adicionar mais de 1000 grupos ao âmbito, veja: Seleção expandida de grupos via API. Até 250 mil membros no total, em todos os grupos abrangidos. Use este modo de definição de âmbito se o seu inquilino exceder QUALQUER um destes limites
1. O inquilino tem mais de 200 mil utilizadores
2. O inquilino tem mais de 40 mil grupos
3. O inquilino tem mais de 1 milhão de membros de grupos.
Modo "Todos os Grupos de Segurança" com pelo menos um filtro de escopo de atributos. Até 20 mil grupos. Até 500 mil membros no total, em todos os grupos em questão. Use este modo de definição de âmbito se o seu locatário cumprir TODOS os limites abaixo:
1. O inquilino tem menos de 200 mil utilizadores
2. O inquilino tem menos de 40 mil grupos
3. O inquilino tem menos de 1 milhão de filiações a grupos.

O que fazer se ultrapassar os limites

Ultrapassar os limites recomendados vai abrandar a sincronização inicial e delta, podendo causar erros de sincronização. Se isto acontecer, siga estes passos:

Demasiados grupos ou membros de grupo no modo de definição de escopo de 'Grupos de segurança selecionados':

Reduza o número de grupos dentro do âmbito (focando em grupos de maior valor) ou divida o provisionamento em vários trabalhos distintos com âmbitos disjuntos.

Demasiados grupos ou membros de grupo no modo de delimitação 'Todos os grupos de segurança':

Use o modo de escopo dos grupos de segurança selecionados, conforme recomendado.

Alguns grupos ultrapassam os 50 mil membros:

Dividir a membresia entre vários grupos ou adotar grupos em etapas (por exemplo, por região ou unidade de negócio) para manter cada grupo abaixo do limite.

Seleção alargada de grupos via API

Se precisar de selecionar mais de 999 grupos, deve usar a chamada à API Grant an appRoleAssignment for a service principal.

Um exemplo das chamadas API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: ID do objeto do grupo.
  • resourceId: ID principal de serviço do Job.
  • appRoleId: Identificador do papel da aplicação exposto pelo principal do serviço de recursos.

A tabela seguinte apresenta uma lista de IDs de Funcionalidades de Aplicação para nuvens:

Nuvem appRoleId
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Mais informações

Aqui estão mais pontos a considerar ao fornecer grupos para o AD DS.

  • Os grupos provisionados para o AD DS usando o Cloud Sync só podem conter usuários sincronizados no local ou outros grupos de segurança criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD DS de destino.
  • Um atributo objectGUID de usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário de nuvem usando qualquer cliente de sincronização.
  • Apenas os tenants globais do Microsoft Entra ID podem fazer provisionamento do Microsoft Entra ID para o AD DS. O suporte não está disponível para locatários como B2C.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Mais requisitos

Requisitos TLS

Observação

Transport Layer Security (TLS) é um protocolo que fornece comunicações seguras. A alteração das configurações de TLS afeta toda a floresta. Para mais informações, consulte Update para ativar o TLS 1.1 e TLS 1.2 como protocolos seguros predefinidos no WinHTTP em Windows.

O servidor Windows que aloja o agente de provisionamento cloud do Microsoft Entra Connect deve ter o TLS 1.2 ativado antes de o instalar.

Para ativar o TLS 1.2, siga estes passos.

  1. Defina as seguintes chaves do Registro copiando o conteúdo em um arquivo .reg e, em seguida, execute o arquivo (selecione com o botão direito e escolha Mesclar):

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. Reinicie o servidor.

Requisitos de firewall e proxy

Se houver um firewall entre os seus servidores e o Microsoft Entra ID, configure os seguintes itens:

  • Garantir que os agentes podem fazer pedidos outbound para Microsoft Entra ID pelas seguintes portas:

    Número da porta Descrição
    80 Baixa as listas de revogação de certificados (CRLs) enquanto valida o certificado TLS/SSL.
    443 Gere toda a comunicação de saída com o serviço.
    8080 (opcional) Os agentes relatam seu status a cada 10 minutos pela porta 8080, se a porta 443 não estiver disponível. Este estado é exibido no centro de administração do Microsoft Entra.

  • Se o seu firewall impõe regras de acordo com os utilizadores de origem, abra essas portas para tráfego proveniente de serviços Windows que funcionem como serviço de rede.

  • Verifique se o proxy suporta pelo menos o protocolo HTTP 1.1 e se a codificação em partes está habilitada.

  • Se o firewall ou proxy permitir que você especifique sufixos seguros, adicione conexões:

URL Descrição
*.msappproxy.net
*.servicebus.windows.net		 O agente utiliza estes URLs para comunicar com o serviço cloud Microsoft Entra.
*.microsoftonline.com
*.microsoft.com
*.msappproxy.com
*.windowsazure.com		 O agente utiliza estes URLs para comunicar com o serviço cloud Microsoft Entra.
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80 		O agente usa essas URLs para verificar certificados.
login.windows.net
login.live.com 		O agente usa essas URLs durante o processo de registro.
aadcdn.msauth.net
aadcdn.msftauth.net
www.msftconnecttest.com		 O agente usa essas URLs durante o processo de registro.

Requisito NTLM

Não deves ativar o NTLM no Windows Server que está a correr o agente de provisionamento Microsoft Entra e, se estiver ativado, deves certificar-te de que o desativas.

Limitações conhecidas

As seguintes limitações são conhecidas:

Sincronização Delta

  • A filtragem de escopo de grupo para sincronização delta não dá suporte a mais de 50.000 membros.
  • Quando você exclui um grupo usado como parte de um filtro de escopo de grupo, os usuários que são membros do grupo não são excluídos.
  • Quando você renomeia a UO ou o grupo que está no escopo, a sincronização delta não remove os usuários.

Logs de provisionamento

  • Os logs de provisionamento não diferenciam claramente entre operações de criação e atualização. Poderá ver uma operação de criação para uma atualização e uma operação de atualização para uma criação.

Renomeação de grupo ou renomeação de OU

  • Se você renomear um grupo ou UO no AD que esteja no escopo de uma determinada configuração, o trabalho de sincronização na nuvem não poderá reconhecer a alteração de nome no AD. O trabalho não entra em quarentena e mantém-se em bom estado.

Filtro de escopo

Ao utilizar o filtro de escopo da OU

  • A configuração de escopo tem uma limitação de 4 MB de comprimento de caracteres. Em um ambiente padrão testado, isso se traduz em aproximadamente 50 Unidades Organizacionais (UOs) ou Grupos de Segurança separados, incluindo seus metadados necessários, para uma determinada configuração.

  • Há suporte para UOs aninhadas (ou seja, você pode sincronizar uma UO que tenha 130 UOs aninhadas, mas não pode sincronizar 60 UOs separadas na mesma configuração).

Observação

Neste momento, não é possível verificar o tamanho da configuração de âmbito para determinar se está próximo, atingido ou ultrapassou o limite de 4 MB de caracteres, que inclui metadados.

Sincronização de Hash de Palavra-passe

  • Não há suporte para o uso da sincronização de hash de senha com InetOrgPerson.

Próximos passos

  • Last updated on