ADConnect Identitidade Hibrida Microsoft 365 AzureAD SoftMatch HardMatch
Ambiente híbridos ou ambientes sincronizados! Esses são termos que passaram a ser comuns para qualquer IT Pro ou empresa que já possui algum serviço Microsoft em nuvem, principalmente para os que fazem uso dos vários benefícios do Microsoft 365. Aproveitando a deixa, se ainda não eu meu artigo com uma visão geral do Microsoft 365, be my guest…leia aqui!
A famosa sincronização de objetos do AD é o um dos, senão o primeiro e mais utilizado passo para aquele que começam a utilizar a cloud Microsoft. Do e-mail ao Azure File Shares, ter os objetos do AD sincronizados com a nuvem é pré-requisito.
O pilar para esse tipo de cenário é o ADConnect, aplicação disponibilizada gratuitamente que permite que você sincronize usuário, grupos e computadores, incluindo seus atributos, para o AzureAD. Aqui vale um lembre importante: Active Directory NÃO É a mesma coisa do que o AzureAD! São similares mas funcionam de forma bem distinta. Aproveite e leia aqui sobre essa diferença.
O que é o ADConnect
Pois bem, voltando ao ADConnect. Esse cara, com alguns cliques, te permite selecionar quais OUs do seu domínio deverão ser sincronizadas com o AzureAD. Além de permitir a sincronização dos objetos é possível definir se as senhas serão ou não sincronizadas e como elas serão sincronizadas. Falaremos mais ao decorrer do texto. De maneira mais formal é o ADConnect que garante a identidade hibrida em seu ambiente. Isso significa que o mesmo usuário utilizado localmente pra login nas estações de trabalho poderá ser utilizado para acessar cargas de trabalho que estão na nuvem Microsoft, como Exchange Online, SharePoint, PowerBI entre outros. Além do acesso a aplicações Cloud é possível também atribuir Roles e Permissions aos usuários sincronizados. Filosoficamente falando “o ADConnect é a ponte para nuvem”. Profundo, né?!
Como instalar o ADConnect
O foco desse artigo não é ser um guia de instalação, logo, serei breve e objetivo, focando em pontos que importam de fato.
A instalação é simples, mas requer planejamento e conhecimento básico sobre o tema. O link para download é disponibilizado pela Microsoft. O msi possui alguns megas e após a instalação você precisará informar uma conta com permissão de Global Admin em seu Tenant e uma conta Domain /Admin do seu Domínio local. Como esperado, a conta deve possuir direitos suficientes para consultar e criar objetos em ambos os lados, local e nuvem.
Durante a instalação é preciso realizar algumas definições, como:
- As senhas serão sincronizadas? Se sim, qual método será utilizado?
- PHS
- PTA
- AD FS
- Quais OUs devem ser sincronizadas? Por padrão a floresta é selecionada, mas eu sugiro que filtre o que de fato deve ser sincronizado para a cloud.
- Usuário para sincronização. Caso você não queria criar um usuário e defini-lo como responsável pelo sync é possivel deixar que a ferramenta crie e configure um usuário para você. Por padrão será criado um user MSOL_<aleatorio>.
Em geral, para ambientes menores e que estão iniciando o processo de identidade hibrida a configuração Express é suficiente. Para ambiente mais avançados sugiro sempre selecionar a opção customize, assim terá mais controle sobre o que será ou não aplicado.
Qual licença é necessária para utilizar o ADConnect?
Como dito anteriormente o ADConnect é uma ferramenta gratuita. Não existe nenhum tipo de licenciamento atrelado ou que libere funções a mais do lado do ADConnect. Possuindo um Active Directory e um AzureAD para receber as informações, o Sync irá ocorrer.
Obviamente que, recursos como o SSPR (Self Service Password Reset), Device write back e outros podem exigir um licenciamento específico para o AzureAD (AzureAD P1 ou P2). Nesses casos, entenda que o licenciamento não é atrelado ao ADConnect e sim a um recurso do AzureAD que utiliza como ponte o ADConnect.
Como os usuários são provisionados na cloud?
Após selecionar qual domino e quais OUs serão sincronizadas é iniciada a primeira sincronização do ambiente, essa é chamada de Sincronização Completa ou Full Sync. Nesse momento o ADConnect elege os objetos que devem ser sincronizados e começa a provisioná-los no AzureAD. Essa leva alguns minutos a depender da quantidade de objetos.
“Mas Nathan, e se eu criar um novo usuário, uma nova sincronização completa será realizada?”
No! Demais sincronizações levaram apenas a diferença, ou seja, apenas o que foi alterado desde o primeiro Full Sync realizado. Essa sincronização é chamada de Delta.
Para novos objetos, por padrão, teremos um tempo de 15 minutos entre as sincronizações. Para alteração de senha esse tempo de sincronização é reduzido para 2 minutos. Obviamente, se precisar e quiser adiantar esse processo é possível rodar um Delta Sync via powershell, dessa forma o novo ciclo de sincronização passa a ser 15 minutos após o último delta, seja ele forçado via PS ou não.
Uma vez que os usuários passam a estar sincronizados entra e cena um atributo super importante no processo de integridade da identidade hibrida, o ImmutableID ou SourceAnchor. Esse atributo não existe até que os usuários sejam sincronizados. Ele é quem garante que, se houver homônimos (usuários como nome igual), nenhum tipo de conflito ocorra. Esse tema merece um ou até mais artigos. Por hora, saiba que o atributo existe e é definido baseado em um cálculo envolvendo o GUID do usuário no domínio local.
Já possuo usuários na Nuvem, e agora?
Senta e chora
Aqui entram alguns conceitos um pouco mais avançados. Vale comentar sobre, mas aguarde por artigos específicos sobre o tema.
A primeira questão e talvez a que mais gere dúvidas é sobre a possibilidade de sincronizar os usuários que estão no AzureAD para o AD. O caminho é One-way (uma via), sempre do domínio local para a nuvem. Isso significa que se você quiser que o mesmo nome de usuário da nuvem seja utilizado localmente, você precisará exportar a lista de usuários do AzureAD e importar no seu AD manualmente (algumas linhas de powershell te ajudam nisso). Para contas de computador, por exemplo, existe um recurso chamado Device writeback e para senhas o Password Writeback. Falaremos sobre ambos em outro texto.
Caso seu ambiente já possua um AD e também já possui usuários no AzureAD e o objetivo seja unificar as identidades entram duas possibilidades aqui: SoftMatch ou HardMatch. De forma simples e extremamente básica (foco no extremamente, irei deixar apenas um exemplo simplista a nível didático) o ADConnect verificará se seus usuários em nuvem já possuem um ImmutableID setado, se sim, verificarão se o ID bate com o objeto local, se sim, problema resolvido, caso isso não ocorra será criado um novo usuário na nuvem com 4 números aleatórios na frente. Exemplo: [email protected] já existe, se não rolar hardmatch será criado [email protected]. Uma outra possível situação é que ocorra um softmatch, nesse caso a mesma verificação é realizada em relação ao ImmutableID, caso esse não exista o UPN ou SMTP Primário é comparado, sendo iguais, os usuários são consolidados, do contrario, novo novo usuários com 4 números aleatórios na frente será criado. Complexo? Um pouco, mas relaxa que farei alguns textos e vídeos explicando em detalhes esse processo.
Conclusão
Assim como qualquer tema a identidade hibrida, liderada pelo ADConnect, possui pontos simples e outros bem complexos. Espero que esse artigo tenha te ajudado a entender conceitos iniciais sobre o ADConnect e tenha também aguçado sua curiosidade pra entender mais a fundo com tudo isso funciona.
Nos proximos textos entrarei em mais detalhes sobre as diversas configurações disponíveis no ADConnect e como podemos aplicá-las no dia a dia. Além, claro, de uma boa teoria para solidificar o conhecimento. Lembre-se que apertar os botões é fácil, saber o que esperar e o que ocorre quando se aperta o botão é lhe tornará diferenciado(a).
Grande abraço \,,/
Conteúdo excelente, super grato