Como conectar o AWS Managed Microsoft AD ao Microsoft Entra Connect Sync - AWS Directory Service
Pré-requisitosCriar um usuário de domínio do Active DirectoryBaixar Entra Connect SyncExecute o script do PowerShellInstalar o Entra Connect Sync

Como conectar o AWS Managed Microsoft AD ao Microsoft Entra Connect Sync

Este tutorial orienta você pelas etapas necessárias de instalação do Microsoft Entra Connect Sync para sincronizar o Microsoft Entra ID com o AWS Managed Microsoft AD.

Neste tutorial, você faz o seguinte:

  1. Crie um usuário de domínio do AWS Managed Microsoft AD.

  2. Baixar Entra Connect Sync.

  3. Use PowerShell para executar um script e provisionar as permissões apropriadas para o usuário recém-criado.

  4. Instalar o Entra Connect Sync.

Pré-requisitos

Você precisará do seguinte para concluir este tutorial:

Criar um usuário de domínio do Active Directory

Este tutorial pressupõe que você já tenha um AWS Managed Microsoft AD, bem como uma instância do EC2 para Windows Server com o Active Directory Administration Tools instalada. Para obter mais informações, consulte Instalação das ferramentas administrativas do Active Directory para o AWS Managed Microsoft AD.

  1. Conecte-se à instância em que as Active Directory Administration Tools foram instaladas.

  2. Crie um usuário de domínio do AWS Managed Microsoft AD. Esse usuário se tornará o Active Directory Directory Service (AD DS) Connector account do Entra Connect Sync. Para consultar as etapas detalhadas desse processo, consulte Criação de um usuário do AWS Managed Microsoft AD.

Baixar Entra Connect Sync

  • Faça o download do Entra Connect Sync no site da Microsoft para a instância do EC2 que é a administradora do AWS Managed Microsoft AD.

Atenção

Não abra nem execute Entra Connect Sync agora. As próximas etapas fornecerão as permissões necessárias para o usuário do seu domínio criado na Etapa 1.

Execute o script do PowerShell

  • Abra PowerShell como administrador e execute o script a seguir.

    Enquanto o script estiver em execução, você deverá inserir o sAMAccountName para o usuário do domínio recém-criado na Etapa 1.

    nota

    Consulte o seguinte para obter mais informações sobre a execução do script:

    • Você pode salvar o script com a extensão ps1 em uma pasta como temp. Em seguida, você pode usar o seguinte comando do PowerShell para carregar o script:

      import-module "c:\temp\entra.ps1"

    • Depois de carregar o script, você pode usar o comando a seguir para definir as permissões necessárias para executar o script, substituindo Entra_Service_Account_Name pelo nome da sua conta de serviço do Entra:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
Mostrar maisMostrar menos

Instalar o Entra Connect Sync

  1. Depois que o script for concluído, você poderá executar o arquivo de configuração baixado do Microsoft Entra Connect (anteriormente conhecido como Azure Active Directory Connect).

  2. Uma janela do Microsoft Azure Active Directory Connect é aberta após a execução do arquivo de configuração da etapa anterior. Na janela Configurações expressas, selecione Personalizar.

    Janela do Microsoft Azure Active Directory Connect com o botão de personalização destacado.

  3. Na janela Instalar componentes necessários, marque a caixa de seleção Usar uma conta de serviço existente. Em NOME DA CONTA DE SERVIÇO e SENHA DA CONTA DE SERVIÇO, insira o nome e a senha da AD DS Connector account referente ao usuário criado na Etapa 1. Por exemplo, se o nome da AD DS Connector account for entra, o nome da conta seria corp\entra. Em seguida, selecione Instalar.

    Instale a janela de componentes necessários usando a conta de serviço existente e a conta de domínio selecionadas, além do nome e da senha da conta de serviço fornecidos.

  4. Na janela Login do usuário, selecione uma das seguintes opções:

    1. Autenticação de passagem: essa opção permite que você faça login no Active Directory com seu nome de usuário e senha.

    2. Não configurar: isso permite que você use o login federado com o Microsoft Entra (anteriormente conhecido como Azure Active Directory [AzureAD]) ou o Office 365.

      Depois, selecione Próximo.

  5. Na janela Conectar-se ao Azure, digite seu nome de usuário e senha de Administrador global do Entra ID e selecione Próximo.

  6. Na janela Conectar seus diretórios, escolha Active Directory em TIPO DE DIRETÓRIO. Escolha a floresta do AWS Managed Microsoft AD em FLORESTA. Em seguida, selecione Adicionar diretório.

  7. Uma caixa pop-up aparece solicitando as opções da sua conta. Selecione Usar conta do AD existente. Digite o nome de usuário e a senha da AD DS Connector account criados na Etapa 1 e selecione OK. Depois, selecione Próximo.

    Caixa pop-up da conta da floresta do AD usando a conta do AD existente selecionada e o nome de usuário e senha do domínio fornecidos.

  8. Na janela Login do Azure AD, selecione Continuar sem associar todos os sufixos UPN aos domínios verificados, somente se você não tiver um domínio personalizado verificado adicionado ao Entra ID. Depois, selecione Próximo.

  9. Na janela Filtragem de domínio ou UO, selecione as opções que atendem às suas necessidades. Para obter mais informações, consulte Entra Connect Sync: Configure filtering na documentação da Microsoft. Depois, selecione Próximo.

  10. Na janela Identificação de usuários, filtragem e recursos opcionais, mantenha os valores padrão e selecione Próximo.

  11. Na janela Configurar, revise as configurações e selecione Configurar. A instalação do Entra Connect Sync será finalizada e os usuários começarão a sincronizar com o Microsoft Entra ID.