Instalar o Microsoft Entra Connect usando permissões de administrador delegado SQL
Antes da compilação mais recente do Microsoft Entra Connect, a delegação administrativa, ao implantar configurações que exigiam SQL, não era suportada. Os usuários que queriam instalar o Microsoft Entra Connect precisavam ter permissões de administrador do servidor (SA) no servidor SQL.
Com a versão mais recente do Microsoft Entra Connect, o administrador do SQL agora pode provisionar o banco de dados fora da banda e o administrador do Microsoft Entra Connect pode instalá-lo com direitos de proprietário do banco de dados.
Antes de começar
Para usar esse recurso, você precisa perceber que existem várias partes móveis e cada uma pode envolver um administrador diferente em sua organização. A tabela a seguir resume as funções individuais e suas respetivas obrigações na implantação do Microsoft Entra Connect com esse recurso.
| Funções | Descrição |
|---|---|
| Administrador do AD de Domínio ou Floresta | Cria a conta de serviço de nível de domínio usada pelo Microsoft Entra Connect para executar o serviço de sincronização. Para obter mais informações sobre contas de serviço, consulte Contas e permissões. |
| Administrador SQL | Cria o banco de dados ADSync e concede acesso de login + dbo ao administrador do Microsoft Entra Connect e à conta de serviço criada pelo administrador de domínio/floresta. |
| Administrador do Microsoft Entra Connect | Instala o Microsoft Entra Connect e especifica a conta de serviço durante a instalação personalizada. |
Etapas para instalar o Microsoft Entra Connect usando permissões delegadas SQL
Para provisionar o banco de dados fora da banda e instalar o Microsoft Entra Connect com permissões de proprietário do banco de dados, use as etapas a seguir.
Observação
Embora não seja necessário, é altamente recomendável que o agrupamento Latin1_General_CI_AS seja selecionado ao criar a base de dados.
Peça ao Administrador SQL que crie a base de dados ADSync com uma sequência de agregação sem diferenciação de maiúsculas e minúsculas (Latin1_General_CI_AS). O modelo de recuperação, o nível de compatibilidade e o tipo de contenção são atualizados para os valores corretos quando o Microsoft Entra Connect é instalado. No entanto, o administrador do SQL deve definir a sequência de agrupamento corretamente. Caso contrário, o Microsoft Entra Connect bloqueia a instalação. Para recuperar a SA deve excluir e recriar o banco de dados.
Conceda ao administrador do Microsoft Entra Connect e à conta de serviço de domínio as seguintes permissões:
- Início de sessão SQL
- direitos do proprietário da base de dados (dbo).
Observação
O Microsoft Entra Connect não suporta o início de sessão com membro aninhado. Isso significa que sua conta de administrador do Microsoft Entra Connect e sua conta de serviço de domínio devem estar vinculadas a um login ao qual são concedidos direitos dbo. Ele não pode ser simplesmente um membro de um grupo atribuído a um login com direitos dbo.
Envie um email para o administrador do Microsoft Entra Connect indicando o servidor SQL e o nome da instância que devem ser usados ao instalar o Microsoft Entra Connect.
Informações adicionais
Depois que o banco de dados é provisionado, o administrador do Microsoft Entra Connect pode instalar e configurar a sincronização local de acordo com sua conveniência.
Caso o Administrador SQL tenha restaurado o banco de dados ADSync de um backup anterior do Microsoft Entra Connect, você precisará instalar o novo servidor Microsoft Entra Connect usando um banco de dados existente. Para obter mais informações sobre como instalar o Microsoft Entra Connect com um banco de dados existente, consulte Instalar o Microsoft Entra Connect usando um banco de dados ADSync existente.