O que é o AD Connect, AD Connect Explained, AD connect Azure
Faala galera, 100%?!
Ferramentas como Teams, SharePoint e Exchange Online tem e tornado mai popular e acessível dia após dia. Além das ferramentas do ecossistema Microsoft 365 ainda existem várias e várias empresa que dependem do ambiente local, seja por questões de complicance ou por aplicações legada que não estão prontas pra Cloud!
Esse cenário hibrido trás consigo um desafio em relação ao gerenciamento de identidade. Para os usuários uma senha já é complexo, imagine ter uma senha para os serviços locais e outra senha para os serviços em cloud (Hey, não estou defendendo aqui ter uma senha única para tudo, estou exemplificando apenas). Para os administradores de TI a tarefa também não é agradável por ter mais uma camada de identidade a ser gerenciada (cloud e local).
Pensando nisso, para ambiente Microsoft, temos o AD Connect! Essa ferramenta possibilita sincronizar usuários e grupos de seu AD Local para o Azure AD e assim, o desafio de ter várias credenciais acaba! Para o user, tudo fica mais simples e para nós, administrador de TI, ganhamos em flexibilidade e algumas funções a mais!
Eu poderia encerrar o artigo aqui…o problema foi resolvido! Mas…sem dica miojo (3min e acabou), vamos mais a fundo para entender como esse cara funciona.
O que é e como funciona?!
O AD Connect é uma ferramenta gratuita desenhada para possibilitar ambientes hibridos, oferecendo recursos como federação, monitoramento de saúde do conectores e obviamente, com ojá dissemos, sincronização.
Hey atenção, o AD Connect não é uma ferramenta para entregar uma “replicação do AD em nuvem”. Entenda que o AD e o Azure AD, embora tenham objetivo similar, são ferramentas distintas e trabalham com protocolos e funcionalidades distintas! Leia aqui para mais detalhes sobre essa diferença.
A aplicação pode ser instalada em servidores Windows onde será informada quais objetos devem ser sincronizados (Quais users e grupos) e para qual Tenant devem ir (Azure AD). Um recurso bacana de ser comentado é a capacidade de filtrar o que deve ser sincronizado, isso possibilita um gerenciamento mais flexível e até facilita a migração para a cloud. Imagine que você tenha apenas um grupo específico que utilize serviços em cloud, ao invés de levar todo seu diretório para a nuvem você poderia filtrar tal grupo e a medida que fosse evoluindo levaria os demais users ou grupos.
Por padrão a sincronização é sempre one-way (uma via) sendo a origem sempre o AD! É possível habilitar algumas opções que possibilitam o writeback que é a sincronização no sentido inverso, partindo da Coud para o AD. Como exemplo posso citar o Password Writeback que possibilita que o usuário acesse o portal de auto-reset e faça a alteração da sua senha do AD via internet (sonho da TI, né?!). Além do password existe a opção de writebak para device, mas isso é um papo futuro.
Durante a instalação do AD Connect a ferramenta te da opção de utilizar configurações expressas e que no geral atendem bem, mas claro que é possível customizar e entregar algo específico para seu ambiente. E é durante a instalação que é preciso definir o metodo de autenticação que será utilizado, sendo as opções:
- Federação: Nessa opção integramos a sincronização com o velho conhecido Azure FS (Federation Service). Se você quer utilizar Token para login, por exemplo, essa é sua escolha.
- PTA (Pass-through Authentication): Nesse método os users utilizarão uma credencial única, tanto em cloud quanto local, o que a difere fortemente das demais opções e autenticação é o fato de ser totalmente dependente do AD. Logo, se por algum motivo o PTA Agent que é instalado em um servidor seu parar de funcionar, os usuários não conseguirão utilizar as credenciais do AD para logar em serviços Cloud.
- PHS (Pass hash synhronization): Aqui temos a opção que a grande maioria escolhe. Com esse tipo de autenticação o hash de senha utilizada localmente é levado para o Azure e não existe a dependência do server local para que as credenciais sejam validadas. A quem diga que essa opção é insegura o que não faz muito sentido. Em breve farei um artigo específico sobre essas opções
O que pode ser sincronizado?
Como já comentei as contas de usuário e grupos do AD podem ser sincronizados para o Azure AD, além do hash de senha caso você escolha trabalhar com o tipo de autenticação PHS. Além disso alguns atributos como o UPN e SID e demais infos também são sincronizadas para a Cloud.
Os itens abaixo não são sincronizados e é importante você conhece-los.
- Historico de SID
- GPOs (isso nem existe no Azure AD¹)
- Pasta SYSVOL
- Estrutura de OU (isso nem existe no Azure AD²)
- Contas de Computador
E as sincronizações, como funcionam?
Ocorrem por padrão sempre de 30 em 30min. A primeira sync tende a levar um tempinho a mais principalmente se selecionar levar todos os objetos possíveis e claro dependendo também do tamanho do seu banco no AD (quantidade de users).
Após a primeira sincronização as informações são levadas de forma incremental as famosas Delta Sync. E se por algum motivo você precisar adiantar a sincronização é possível forçar uma Delta ou completa via PowerShell ou GUI do AD Connect mesmo.
Para garantir que as sincronizações estejam em dia existe o Health Monitor. Esse cara basicamente fica de olho na saúde da conexão entre AD Connect e Azure AD.
Conclusão
O AD Connect é o primeiro passo para ter um ambiente hibrido! Com ele sua vida enquanto IT Admin e a dos users serão mais fáceis tendo credenciais únicas e sincronizadas. Reforço a informação de que o AD Connect NÃO é uma ferramenta para replicar o AD na nuvem!
Espero que tenha te ajudado! Grande abraço \,,/
Faça o primeiro comentário a "Entenda como funciona o AD Connect"