Blog do Chesley

Hoje, as empresas e corporações estão se tornando cada vez mais uma mistura de aplicativos locais e na nuvem. Os usuários precisam ter acesso local e na nuvem aos aplicativos. É necessário ter uma única identidade entre esses vários aplicativos (no local, bem como na nuvem).

A jornada para o ambiente de nuvem tinha um grande incomodo que era o ADConnect local, já tem algum tempo que a Microsoft mudou isso, e agora, podemos ter o ADConnect na nuvem e não precisamos mais de um servidor local para essa função.

Nesta postagem vamos falar sobre o ADConnect Cloud, suas vantagens e desvantagens.

Na proxima postagem vamos tratar sobre a instalação, configuração e abordagem para Multiplas Florestas, cenario tipico de migração.

O que é a sincronização em nuvem do Azure AD Connect?

O Azure AD Connect cloud é uma solução para atender as questões de ambientes híbridos, com ele é possível sincronizar usuários, grupos e contatos com seu ambiente de nuvem do Azure AD.

O processo de sincronismo é realizado com um agente de provisionamento de nuvem do azure AD, esse agente substitui o Azure AD Connect local, mas, se você quiser e o escopo da organização assim permitir é possível utilizar os dois, AD Connect local e o seu homologo na nuvem.

A Microsoft lista os seguintes benefícios de utilização do Azure AD Connect cloud.

• Sincronização de múltiplas florestas isoladas do Active Directory local
• Instalação simplificada do agente
• Vários agentes de provisionamento podem ser usados para simplificar implantações de alta disponibilidade, especialmente críticas para as organizações que dependem da sincronização de hash de senha do AD para o Azure AD.
• Suporte para grupos grandes com até 50 mil membros. Recomendamos usar apenas o filtro de escopo UO na sincronização de grupos grandes.

 Qual a diferença entre a sincronização em nuvem do Azure AD Connect e a do Azure AD Connect Cloud?

Toda configuração do provisionamento e gerenciada como parte do serviço de nuvem isso é possível devido a instalação de um simples agente no ambiente local que serve como uma ponte entre os ambientes.

Com a sincronização em nuvem do Azure AD Connect, o provisionamento do AD para o Azure AD é orquestrado no Microsoft Online Services. Uma organização só precisa implantar, no local ou no ambiente hospedado por IaaS, um agente leve que atue como uma ponte entre o Azure AD e o ADDS, a configuração de provisionamento é armazenada no Azure AD e gerenciada como parte do serviço.

Topologias suportadas

Implementação do Azure AD Cloud Sync com Hash Sync para novas florestas ou ainda para a floresta inicial, rapidamente os usuários podem iniciar a colaboração e utilizar os recursos que eles tem disponiveis no ambiente.

Expandindo a Floresta

Em cenários onde não temos conectividade entre as florestas o Azure ADconnect não pode ser utilizado, mas o Cloud Sync pode ser realizado com o Azure AD Connect Cloud e assim as florestas adicionais são sincronizadas no tenant e logo podem iniciar o trabalho de colaboração.

Outras Topologias

Agora podemos atuar com autadisponibilidade de forma mais rápida, efetiva e com menos custo. A implementação de vários agentes na mesma floresta em diferentes Domain Controller traz a paz que muitos administradores precisam.

Assim podemos sincronizar diferentes domínios da floresta e até mesmo diferentes OUs entre os domínios.

Comparação entre o Azure AD Connect e a sincronização em nuvem

De acordo com a Microsoft temos vários itens de comparação entre o Azure AD Connect e a Sincronização em nuvem, abaixo eu retirei do site oficial do produto a tabela comparativa.

Na tabela abaixo eu peço atenção para os pontos que a Sincronização em nuvem não cobrem, recomendo que você faça uma análise e verifique se faz sentido na sua organização viver sem essas opções, e também recomendo o inverso, os itens que não são cobertos pelo seu ambiente local.

Recurso	Sincronização do Azure Active Directory Connect	Sincronização em nuvem do Azure Active Directory Connect
Conectar-se a única floresta do AD local	●	●
Conectar-se a várias florestas do AD local	●	●
Conectar-se a várias florestas locais do AD desconectadas		●
Modelo de instalação de agente leve		●
Vários agentes ativos para alta disponibilidade		●
Conexão com diretórios LDAP	●
Suporte para objetos do usuário	●	●
Suporte para objetos de grupo	●	●
Suporte para objetos de contato	●	●
Suporte para objetos de dispositivo	●
Permite a personalização básica para fluxos de atributo	●	●
Sincronização de atributos do Exchange Online	●	●
Sincronização de atributos de extensão 1-15	●	●
Sincronização de atributos do AD definidos pelo cliente (extensões de diretório)	●
Suporte para Sincronização de Hash de Senha	●	●
Suporte para Autenticação de Passagem	●
Suporte para federação	●	●
Logon Único Contínuo	●	●
Oferece suporte à instalação em um controlador de domínio	●	●
Suporte para Windows Server 2016	●	●
Filtro em Domínios/UOs/grupos	●	●
Filtro em valores de atributo de objetos	●
Permitir que um conjunto mínimo de atributos seja sincronizado (MinSync)	●	●
Permitir a remoção de atributos do fluxo do AD para o AD do Azure	●	●
Permitir a personalização avançada para fluxos de atributo	●
Suporte para write-back de senha	●	●
Suporte para write-back de dispositivo	●
Suporte para write-back de grupo	●
Suporte para mesclagem de atributos de usuário de vários domínios	●
Suporte ao Azure AD Domain Services	●
Write-back híbrido do Exchange	●
Número ilimitado de objetos por domínio do AD	●
Suporte para até 150 mil objetos por domínio do AD	●	●
Grupos com até 50 mil membros	●	●
Grupos grandes com até 250 mil membros	●
Referências entre domínios	●	●
Provisionamento sob demanda	●	●
Suporte para US Government	●	●

Na proxima postagem sobre esse assunto vamos realizar as configurações de implementação e vamos simular uma migração de florestas utilizando o ADsync Cloud.

Aguardo Vocês!