Objetivo
Esse post tem como objetivo explicar as diferenças das duas formas disponíveis de sincronismo de usuários do Active Directory local para o Microsoft EntraID. Através do Entra ID é possível realizar a sincronização de usuários, grupos, contatos, conta de computador, etc de um ambiente Active Directory local para o Azure. Existem duas formas de sincronismo Microsoft Entra Connect Sync e Microsoft Entra Cloud Sync.
Observação: O AD FS (Active Directory Federation Services) por si só não sincroniza usuários do Active Directory local para o Azure. O AD FS é um serviço local do Windows Server usado para gerenciar a autenticação federada e o Single Sign-On (SSO) para aplicações web e serviços externos, permitindo que os usuários usem suas credenciais locais. A ferramenta responsáveis pela sincronização do AD local para o Azure são o Microsoft Entra Connect Sync e Microsoft Entra Cloud Sync. O Microsoft Entra Connect Sync e Microsoft Entra Cloud Sync podem ser configurados para usar o AD FS como um dos métodos autenticação, mas a função de sincronização dos dados de identidade é realizada pelo próprio serviço Microsoft Entra Connect Sync e Microsoft Entra Cloud Sync.
Microsoft Entra Connect Sync: É uma solução local tradicional (antigo AD Connect), com configuração no servidor e uso de SQL. Principais diferenças:
- Gerenciamento local, com configurações aplicadas no servidor onde está instalado;
- Requer SQL;
- Necessário um servidor dedicado para rodar o serviço;
- Oferece configurações avançadas e controle granular, ideal para ambientes complexos;
- Sincroniza identidades (usuários, grupos, conta de computador, contatos) do AD local para o Entra ID;
Verifique os pré-requisitos para instalação e configuração do Microsoft Entra Connect Sync em Installation prerequisites Entra Connect Sync
Microsoft Entra Cloud Sync: É a solução mais moderna, gerenciada na nuvem, com agentes leves, e ideal para ambientes mais simples ou cenários multi-floresta, sendo o futuro da sincronização para a Microsoft. Ele substitui o servidor dedicado, usando agentes que se comunicam diretamente com os serviços online da Microsoft. Principais diferenças:
- Gerenciamento na nuvem, através do portal do Microsoft Entra ID;
- Usa agentes leves e sob demanda instalados no local sem necessidade de servidor dedicado;
- Não é necessário SQL;
- Ideal para ambientes híbridos com múltiplas florestas desconectadas (fusões/aquisições), cenários de pequena/média escala;
Verifique os pré-requisitos para instalação e configuração do Microsoft Entra Cloud Sync em Installation prerequisites Entra Cloud Sync
Microsoft Entra Cloud Sync é o futuro e a Microsoft a vê como a próxima geração, oferecendo simplicidade e gerenciamento centralizado na nuvem, suportando cenários de florestas múltiplas. Já o Microsoft Entra Connect Sync é a solução tradicional, mais robusta e configurável localmente, ainda necessária para cenários que o Entra Cloud Sync não suporta totalmente, mas o Cloud Sync pode coexistir e substituir o Entra Connect Sync gradualmente.
A sincronização possui as seguintes funcionalidades:
- Password hash synchronization: Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local (AD). As senhas de usuário são sincronizadas com Microsoft Entra ID como um hash de senha. A autenticação ocorre na nuvem;
- Pass-through authentication: Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local (AD). A senha dos usuários é validada ao ser passada pelo controlador de domínio do Active Directory local;
- Federation with AD FS: Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local (AD). Os usuários são redirecionados para sua instância local do Azure Active Directory Federation Services (AD FS) para fazer login. A autenticação ocorre localmente;
- Federation with PingFederate: Os usuários podem entrar em serviços em nuvem da Microsoft, como o Microsoft 365, usando a mesma senha usada na rede local (AD). Os usuários são redirecionados para a instância local do PingFederate para entrar. A autenticação ocorre localmente;
- Enable single sign-on: Essa opção está disponível com password hash synchronization e pass-through authentication. Ele fornece uma experiência de logon único para usuários de desktop em redes corporativas;
- Exchange hybrid deployment: Permite a coexistência de caixas de correio do Exchange e no Microsoft 365. O Microsoft Entra Connect sincroniza um conjunto específico de atributosdo Microsoft Entra em seu diretório local.
- Exchange mail public folders: Esse recurso permite sincronizar objetos de pasta pública habilitada para email do seu Active Directory local para o Microsoft Entra ID. Observe que não há suporte para a sincronização de grupos que contêm pastas públicas como membros; a tentativa de fazer isso resultará em um erro de sincronização;
- Microsoft Entra app and attribute filtering: Você pode adaptar o conjunto de atributos do AD sincronizados;
- Password writeback: Use esta opção para garantir que as alterações de senha originadas no Microsoft Entra ID sejam gravadas no diretório local (AD);
- Group writeback: Se utiliza o Microsoft 365 Groups, então você pode representar grupos em sua instância local do Active Directory. Essa opção só estará disponível se você tiver o Exchange em sua instância local do Active Directory;
- Device writeback: Para cenários de acesso condicional, use esta opção para gravar novamente objetos de dispositivo no Microsoft Entra ID em sua instância local do Active Directory;
- Directory extension attribute sync: Selecione esta opção para sincronizar os atributos especificos para o Microsoft Entra ID;
Para mais informações consultar o link Instalação personalizada do Microsoft Entra Connect
Pré-requisitos Entra Connect Sync
Pré-requisitos Entra Cloud Sync