Configuração de Autenticação Moderna (CBA) no Microsoft Entra Connect Sync

A partir da versão 2.5.3.0, o Microsoft Entra Connect Sync está em pré-visualização com suporte a um novo modelo de autenticação baseado em OAuth 2.0 com fluxo de credenciais de cliente, utilizando certificados vinculados a um Service Principal.

Essa mudança elimina a dependência do tradicional Managed Service Account baseado em nome de usuário e senha, trazendo maior segurança e facilidade de gestão.

Benefícios da nova abordagem

• Elimina o uso de conta de serviço com senha

• Reduz o risco de falhas relacionadas às Políticas de Acesso Condicional

• Suporte nativo à rotação de certificados

• Armazenamento seguro da chave privada no TPM, quando disponível

• Gerenciamento automático da aplicação e certificados pela Microsoft (criação, rotação e exclusão)

Verificação de Conta em Uso

No servidor do Entra Connect Sync, execute:

Get-ADSyncEntraConnectorCredential

Esse comando mostra se a autenticação ainda é feita por nome de usuário/senha ou se já está utilizando o certificado via Service Principal.

Instalação Nova ou Migração

• Uma nova instalação do Entra Connect já cria automaticamente o Service Principal e certificado.

• É possível usar BYOA/BYOC (Bring Your Own App/Certificate).

• Após a migração, use PowerShell para remover a conta de serviço legada.

Configuração Manual do Certificado e Service Principal: powershell_scripts/Microsoft/Entra ID at main · iamjrbro/powershell_scripts

Essa funcionalidade traz um grande avanço na segurança e confiabilidade do Entra Connect Sync e é altamente recomendada sua adoção antes que o suporte ao método antigo seja encerrado.

Para mais: Authenticate to Microsoft Entra ID using Application Identity - Microsoft Entra ID | Microsoft Learn