Guia técnico aprofundado para implementar identidade híbrida entre o Active Directory local e o Microsoft Entra ID de forma segura e eficiente.
O que é o Microsoft Entra Connect?
O Microsoft Entra Connect (anteriormente conhecido como Azure AD Connect) é a ferramenta de sincronização de identidades da Microsoft responsável por estabelecer uma ponte entre ambientes de Active Directory (AD) on-premises e o Microsoft Entra ID (anteriormente Azure Active Directory). Essa integração é o alicerce de qualquer arquitetura de identidade híbrida, possibilitando que usuários, grupos, contatos e dispositivos existentes no diretório local sejam replicados e gerenciados de forma unificada na nuvem.
Com o Entra Connect em operação, a organização obtém:
- Single Sign-On (SSO): os usuários autenticam-se com a mesma credencial corporativa tanto em aplicações on-premises quanto em serviços cloud como Microsoft 365, Teams e SharePoint Online.
- Sincronização bidirecional de senhas: com o recurso de Password Writeback, alterações de senha realizadas no Entra ID (inclusive resets de autoatendimento) são propagadas de volta ao AD local.
- Conformidade de identidade centralizada: objetos de diretório mantêm consistência entre as duas camadas, simplificando auditorias e o cumprimento de políticas de acesso.
- Hybrid Join de dispositivos: pré-requisito para registrar estações Windows no Entra ID a partir de um domínio corporativo.
Atenção: A partir de 30 de setembro de 2026, todos os serviços de sincronização do Microsoft Entra Connect Sync serão descontinuados se a versão instalada for anterior à 2.5.79.0. Realize a atualização antes do prazo para evitar interrupção total da sincronização.
Entra Connect Sync vs. Entra Cloud Sync: qual escolher?
Antes de avançar para a instalação, é importante compreender que a Microsoft disponibiliza duas soluções complementares de sincronização:
| Critério | Entra Connect Sync | Entra Cloud Sync |
|---|---|---|
| Infraestrutura | Servidor dedicado on-premises | Agente leve instalado nos DCs |
| Florestas AD | Suporta topologias complexas com múltiplas florestas | Adequado para cenários simples |
| Recursos avançados | Filtragem granular, regras de sync customizadas, federação AD FS | Funcionalidades básicas de provisionamento |
| Escalabilidade | Indicado para ambientes com mais de 100.000 objetos | Mais adequado para pequenas organizações |
| Alta disponibilidade | Servidor em modo staging (ativo-passivo) | Múltiplos agentes em paralelo |
Este guia foca na solução Entra Connect Sync, mais adequada para ambientes corporativos com requisitos avançados de sincronização e segurança.
Pré-requisitos
1. Infraestrutura do Ambiente
Antes de iniciar qualquer procedimento de instalação, valide os seguintes pontos no ambiente:
Active Directory on-premises:
- Nível funcional da floresta e do domínio: mínimo Windows Server 2003.
- O controlador de domínio utilizado deve ser gravável — controladores somente leitura (RODC) não são suportados.
- Ative a Lixeira do Active Directory (
Active Directory Recycle Bin) antes da instalação. Esse recurso permite recuperar objetos excluídos acidentalmente sem a necessidade de restauração via backup. - Nomes NetBIOS contendo ponto (
.) não são suportados.
Microsoft Entra ID:
- Tenha um tenant do Microsoft Entra ID ativo e com a licença adequada.
- O tenant suporta até 50.000 objetos por padrão. Após verificar um domínio personalizado, esse limite sobe para 300.000 objetos. Para volumes maiores, é necessário abrir uma solicitação de suporte junto à Microsoft.
- Se o ambiente ultrapassar 500.000 objetos, uma licença como Microsoft Entra ID P1/P2 ou Microsoft 365 é obrigatória.
- Verifique e valide o domínio customizado (ex:
chesley.com.br) no portal do Entra ID antes da instalação. Sincronizar usuários com sufixo de domínio não verificado impedirá que eles façam login.
Ferramenta IdFix: Antes de iniciar a sincronização, execute a ferramenta IdFix (disponível no GitHub da Microsoft- https://github.com/microsoft/idfix) para identificar e corrigir inconsistências nos objetos do AD local — como atributos duplicados, endereços de e-mail malformados e UPNs inválidos. Objetos com erros podem ser bloqueados ou sincronizados de forma incorreta.
2. Servidor do Entra Connect
O servidor dedicado ao Entra Connect é um componente de altíssima criticidade.
Especificações técnicas recomendadas:
- Sistema Operacional: Windows Server 2022 ou 2025 (recomendado).
- Se usar Windows Server 2025, instale o patch KB5070773 (20/10/2025) ou posterior para evitar falhas de sincronização em grupos com mais de 10.000 membros.
- GUI completa instalada (não é suportado instalar em Server Core).
- .NET Framework 4.6.2 ou superior (4.8+ recomendado para melhor conformidade de acessibilidade).
- TLS 1.2 habilitado — obrigatório para comunicação com o Microsoft Entra ID.
- Espaço em disco: mínimo 70 GB.
- O servidor deve estar ingressado no domínio AD.
SQL Server (para ambientes grandes):
- Por padrão, o Entra Connect instala e utiliza o SQL Server Express LocalDB.
- Para ambientes com mais de 100.000 objetos, é necessário usar um SQL Server dedicado (Standard ou superior), pois o LocalDB tem limite de 10 GB de banco de dados.
3. Contas e Permissões Necessárias
A instalação requer dois tipos de credenciais distintas:
| Conta | Finalidade | Nível mínimo de privilégio |
|---|---|---|
| Conta Microsoft Entra | Autenticar no tenant cloud durante a configuração | Hybrid Identity Administrator (ou Global Administrator) |
| Conta Active Directory | Conectar à floresta AD durante a configuração | Enterprise Admin |
A conta usada para o Entra ID deve ter o papel atribuído diretamente ao usuário — atribuições via grupo não são reconhecidas durante a instalação.
Se você pretende utilizar o Entra Connect Health, a conta de instalação precisa ser Global Administrator, pois ao usar o papel de Hybrid Identity Administrator o agente de saúde é instalado, porém permanece desabilitado.
4. Política de Execução do PowerShell
O Entra Connect executa scripts PowerShell assinados durante a instalação. Configure a política de execução adequada no servidor:
powershell
Set-ExecutionPolicy RemoteSigned -Scope LocalMachineConsiderações Críticas de Segurança
O servidor do Microsoft Entra Connect é um dos ativos mais sensíveis do ambiente de TI. Um invasor com acesso a esse servidor pode sincronizar credenciais maliciosas, desabilitar a autenticação multifator ou comprometer toda a identidade da organização. Portanto, seu endurecimento (hardening) não é opcional.
Classificação como Ativo Tier 0
A Microsoft classifica o servidor do Entra Connect como um componente Tier 0 (Control Plane) dentro do modelo de camadas administrativas do Active Directory. Isso significa que ele deve receber o mesmo nível de proteção que os controladores de domínio.
Medidas recomendadas:
- Acesso administrativo restrito: apenas administradores de domínio ou grupos de segurança rigorosamente controlados devem ter acesso RDP ou console ao servidor.
- Conta de serviço dedicada (gMSA): utilize uma Group Managed Service Account em vez de contas de usuário convencionais para executar os serviços do Entra Connect. As gMSAs rotacionam senhas automaticamente e eliminam o risco de credenciais estáticas.
- Isolamento de rede: restrinja o tráfego de entrada e saída do servidor via firewall. Apenas as URLs e portas documentadas pela Microsoft devem ser permitidas. Nunca instale o Entra Connect em um servidor acessível pela internet.
- Monitoramento contínuo: habilite o Microsoft Entra Connect Health para acompanhar o estado da sincronização, identificar erros e receber alertas proativos.
- Não inspecione o tráfego TLS entre o Entra Connect e o Entra ID: a Microsoft não suporta e não oferece assistência técnica para ambientes onde proxies SSL de inspeção de pacotes interceptam essa comunicação.
- Não instale software adicional no servidor do Entra Connect — especialmente agentes de antivírus com inspeção de processos ou outras ferramentas de monitoramento que possam interferir nos serviços de sincronização.
- Atualize regularmente: mantenha o Entra Connect sempre na versão mais recente. A atualização automática (Auto Upgrade) está habilitada por padrão nas instalações com configurações expressas.
Baixando o Instalador
O arquivo de instalação AzureADConnect.msi está disponível exclusivamente no Microsoft Entra Admin Center:
- Acesse
https://entra.microsoft.com - Navegue até Entra ID > Entra Connect > Connect Sync
- Clique em Download para obter o instalador
Desde versões recentes, o instalador não está mais disponível no Microsoft Download Center diretamente — utilize apenas o portal oficial para garantir que está obtendo a versão mais atualizada.
Instalação Passo a Passo (Instalação Personalizada)
A Microsoft disponibiliza dois modos de instalação: Configurações Expressas (Express) e Personalizada (Custom). Para ambientes corporativos, a instalação personalizada é sempre recomendada, pois oferece controle total sobre todos os parâmetros de configuração.
Passo 1 — Iniciando o Assistente
- No servidor dedicado, execute o arquivo
AzureADConnect.msicomo Administrador Local. - Na tela de boas-vindas, aceite os termos de licença e clique em Continuar.
- Na tela seguinte, escolha Personalizar (Customize) para acessar todas as opções de configuração.
Passo 2 — Componentes Necessários
Defina as opções de infraestrutura:
- SQL Server existente: se o ambiente possui um SQL Server dedicado (obrigatório para mais de 100.000 objetos), especifique o servidor e a instância aqui. Caso contrário, o LocalDB será provisionado automaticamente.
- Conta de serviço existente: se sua organização já possui uma conta de serviço ou gMSA pré-configurada, informe-a aqui. Do contrário, o assistente criará uma conta local automaticamente.
- Grupos de sincronização personalizados: por padrão, o instalador cria grupos no AD para delegar funções de administração do Entra Connect. Você pode especificar grupos existentes se preferir.
Clique em Instalar para provisionar os componentes base.
Passo 3 — Método de Login do Usuário
Esta é uma das decisões mais importantes da configuração, pois define como os usuários serão autenticados. As opções são:
| Método | Descrição | Indicado para |
|---|---|---|
| Password Hash Synchronization (PHS) | Hashes das senhas do AD são sincronizados com o Entra ID. A autenticação ocorre na nuvem. | Recomendado para a maioria dos cenários. Funciona mesmo com o AD local indisponível. |
| Pass-Through Authentication (PTA) | As credenciais são validadas diretamente no AD on-premises em tempo real. O hash da senha não sai do ambiente local. | Cenários com requisitos regulatórios que impedem o hash de senhas na nuvem. |
| Federação com AD FS | A autenticação é delegada a um servidor de federação (AD FS) no ambiente local. | Cenários com requisitos avançados de federação ou integração com provedores de identidade terceiros. |
Recomendação de segurança: O método Password Hash Synchronization é o mais resiliente. Além da sincronização de hashes, ele habilita automaticamente o recurso de detecção de credenciais vazadas (Leaked Credentials Detection) do Microsoft Entra ID Protection, que compara os hashes com bases de dados de credenciais comprometidas conhecidas.
Independentemente do método escolhido, habilite também o Single Sign-On Seamless, que permite que usuários em máquinas ingressadas no domínio autentiquem-se transparentemente sem reinserir credenciais.
Clique em Avançar.
Passo 4 — Conectar ao Microsoft Entra ID
Forneça as credenciais da conta com o papel de Hybrid Identity Administrator (ou Global Administrator) no tenant Entra ID.
- Use uma conta com o sufixo
.onmicrosoft.comou com domínio verificado. - Se a conta tiver MFA habilitado, o fluxo de autenticação solicitará a verificação adicional. Certifique-se de que a URL
https://secure.aadcdn.microsoftonline-p.comestá na lista de sites confiáveis do Internet Explorer no servidor.
Clique em Avançar e aguarde a validação das credenciais.
Passo 5 — Conectar Diretórios (Floresta AD)
Clique em Adicionar Diretório (Add Directory) e selecione o tipo de floresta Active Directory.
Na janela de seleção de conta, escolha Criar nova conta AD. O assistente criará automaticamente uma conta de serviço no AD com as permissões mínimas necessárias para a sincronização (conta do tipo MSOL_xxxxxxxx ou AAD_).
Forneça as credenciais de Enterprise Admin apenas nessa etapa para que o assistente possa criar a conta de serviço com as permissões adequadas. Após a criação, as credenciais de Enterprise Admin não são mais armazenadas pelo Entra Connect.
Se houver múltiplas florestas, repita o processo para cada uma.
Clique em Avançar.
Passo 6 — Configuração de Logon do Entra ID
O assistente exibirá a lista de sufixos UPN presentes no AD (ex: empresa.local, empresa.com.br) e indicará o status de verificação de cada um no Entra ID.
- Sufixos marcados como Não Adicionado ou Não Verificado devem ser validados no portal do Entra ID antes de prosseguir.
- Usuários com UPNs de domínios não verificados serão sincronizados com o sufixo
*.onmicrosoft.com, o que pode causar confusão ao fazer login.
Selecione o atributo a ser utilizado como identificador de login. O padrão é o userPrincipalName.
Clique em Avançar.
Passo 7 — Filtragem por Domínio e OU
Esta etapa é fundamental para ambientes com múltiplos domínios ou OUs que não devem ser sincronizadas.
- Todos os domínios e OUs: sincroniza tudo. Não recomendado para a maioria dos ambientes.
- Domínios e OUs selecionados: permite escolher exatamente quais containers do AD serão replicados para a nuvem. Esta é a opção recomendada.
Boa prática de segurança: Exclua da sincronização OUs que contenham contas de serviço, contas administrativas privilegiadas ou qualquer objeto que não deva ter representação no Entra ID. Sincronizar contas de serviço desnecessariamente aumenta a superfície de ataque.
Clique em Avançar.
Passo 8 — Identificação Única de Usuários
Define como o Entra Connect identificará usuários que existem em múltiplas florestas para evitar a criação de objetos duplicados.
- Se os usuários existem em apenas uma floresta, selecione a opção padrão.
- Para florestas com GAL (Global Address List) sincronizada, use os atributos
objectSIDoumsExchMasterAccountSIDpara correlacionar objetos.
Clique em Avançar.
Passo 9 — Filtragem de Usuários e Grupos
Permite sincronizar apenas um subconjunto de usuários e grupos. As opções são:
- Sincronizar todos os usuários e dispositivos (padrão).
- Sincronizar somente usuários de grupos selecionados: indicado para projetos piloto ou ambientes que precisam de um rollout gradual.
Em produção, após validar a sincronização com um grupo piloto, reconfigure para sincronizar todos os objetos necessários.
Clique em Avançar.
Passo 10 — Funcionalidades Opcionais
Habilite as funcionalidades adicionais conforme a necessidade do ambiente:
| Funcionalidade | Descrição | Recomendação |
|---|---|---|
| Password Hash Synchronization | Sincroniza hashes de senha | Habilitar sempre (mesmo como backup do PTA) |
| Password Writeback | Permite reset de senha pelo Entra ID com propagação para o AD | Altamente recomendado para SSPR |
| Group Writeback | Replica grupos do Entra ID (como grupos do Microsoft 365) de volta ao AD local | Útil em ambientes híbridos com Exchange |
| Device Writeback | Grava objetos de dispositivo do Entra ID no AD | Necessário para Hybrid Azure AD Join |
| Directory Extension Attribute Sync | Sincroniza atributos personalizados do esquema do AD para o Entra ID | Quando há atributos específicos utilizados por aplicações |
| Exchange Hybrid | Habilita atributos necessários para implantação híbrida do Exchange | Obrigatório em ambientes com Exchange on-premises e Exchange Online simultâneos |
Clique em Avançar.
Passo 11 — Configurar Single Sign-On (Seamless SSO)
Se você selecionou PHS ou PTA, o assistente solicitará as credenciais de administrador de domínio para criar uma conta de computador (AZUREADSSOACC) no AD. Essa conta é utilizada pelo protocolo Kerberos para emitir tokens de SSO transparente.
O objeto
AZUREADSSOACCnão deve ser excluído ou modificado. Se removido acidentalmente, o SSO deixará de funcionar para todos os usuários do domínio.
Passo 12 — Revisão e Instalação
O assistente apresenta um resumo de todas as configurações selecionadas. Revise cuidadosamente antes de confirmar.
Opção importante: Desmarque a caixa “Iniciar o processo de sincronização ao concluir a configuração” se desejar revisar as regras de sincronização ou ajustar filtros adicionais antes de executar o primeiro ciclo completo. Caso contrário, uma sincronização completa iniciará imediatamente ao término da instalação.
Clique em Instalar e aguarde a conclusão.
Verificando a Sincronização
Via Synchronization Service Manager
Após a instalação, o Synchronization Service Manager é a ferramenta primária para monitorar o estado da sincronização:
- Abra o menu Iniciar e pesquise por Synchronization Service.
- Na aba Connector Operations, observe as operações em execução ou concluídas.
- O primeiro ciclo realiza:
- Full Import: leitura completa do AD e do Entra ID.
- Full Synchronization: comparação e resolução de todos os objetos.
- Export: gravação dos objetos processados no Entra ID.
- Clique no conector do seu tenant (terminado em
.onmicrosoft.com) > Export para ver a estatística de objetos exportados. - Clique em Adds para ver os objetos criados com sucesso no Entra ID.
Via Microsoft Entra Admin Center
- Acesse
https://entra.microsoft.com. - Navegue até Entra ID > Usuários.
- Pesquise pelo nome de um usuário sincronizado do AD local e confirme que ele está visível com a origem “Windows Server AD”.
Via Microsoft 365 Admin Center
- Acesse
https://admin.microsoft.com. - Em Usuários > Usuários Ativos, verifique se os usuários sincronizados aparecem com o status de sincronização de diretório.
- No painel de Saúde, verifique o status do Directory Sync para confirmar a data e horário da última sincronização bem-sucedida.
Ciclo de Sincronização
Por padrão, o Entra Connect executa uma sincronização delta a cada 30 minutos. Para forçar uma sincronização imediata via PowerShell:
powershell
# Importar o módulo do ADSyncImport-Module ADSync# Iniciar uma sincronização delta (incremental)Start-ADSyncSyncCycle -PolicyType Delta# Iniciar uma sincronização completa (Full Sync)Start-ADSyncSyncCycle -PolicyType InitialServidor em Modo Staging (Alta Disponibilidade)
Para ambientes de produção, é altamente recomendado manter um segundo servidor do Entra Connect em Modo Staging. Esse servidor:
- Executa todas as importações e sincronizações normalmente, mas não exporta dados para o Entra ID.
- Permanece sincronizado e pronto para assumir o papel ativo em caso de falha do servidor principal.
- Permite testar configurações e atualizações de versão sem impactar a produção.
Para ativar o modo staging, execute o assistente de instalação no segundo servidor e selecione “Habilitar modo de preparo” na última etapa.
Em caso de failover, desative o modo staging no servidor secundário usando o assistente de configuração. O servidor primário problemático deve ser desligado antes ou ter seu serviço de sincronização interrompido para evitar conflitos de exportação simultânea.
Prevenção de Exclusões Acidentais
O Entra Connect possui um mecanismo de proteção nativo contra exclusões em massa. Se uma operação de sincronização resultar na remoção de mais de 500 objetos de uma vez, o ciclo é automaticamente suspenso e um alerta é disparado.
Para ajustar esse limite via PowerShell:
powershell
# Verificar o limite atualGet-ADSyncExportDeletionThreshold# Alterar o limite (exemplo: 200 objetos)Enable-ADSyncExportDeletionThreshold -DeletionThreshold 200Nunca desabilite completamente essa proteção em ambientes de produção.
Atualizando o Microsoft Entra Connect
O recurso de Atualização Automática (Auto Upgrade) mantém o Entra Connect atualizado para versões menores automaticamente. Para verificar o status:
powershell
Get-ADSyncAutoUpgradePara grandes atualizações de versão (major releases), siga sempre o processo manual:
- Baixe a versão mais recente do instalador no Entra Admin Center.
- Execute o instalador no servidor ativo — ele detectará a versão atual e realizará o upgrade in-place.
- Após a atualização, valide o funcionamento da sincronização antes de atualizar o servidor em staging.
Conclusão
O Microsoft Entra Connect é o componente central de qualquer estratégia de identidade híbrida com ecossistema Microsoft. Sua instalação e configuração cuidadosa — especialmente no que diz respeito à seleção do método de autenticação, ao controle granular do escopo de sincronização e ao endurecimento do servidor — são determinantes para a segurança e a estabilidade do ambiente.
Tratar o servidor do Entra Connect com o mesmo rigor que se aplica a um controlador de domínio não é apenas uma boa prática: é uma exigência implícita dado o nível de acesso privilegiado que esse componente possui sobre a identidade de toda a organização.
Referências oficiais utilizadas neste artigo: