Configuração da Integração com o Active Directory

É possível usar o recurso de Integração com o Active Directory (ADI) da KnowBe4 para integrar o Active Directory da sua organização ao console da KnowBe4. Após configurar a ADI, os usuários e grupos serão automaticamente adicionados, alterados e arquivados no console da KnowBe4 com base nas informações recebidas do seu Active Directory. Vale a pena observar que este é um processo de sincronização unidirecional, ou seja, nenhuma informação será retornada pelo console da KnowBe4 ao Active Directory.

Preparamos também um vídeo mostrando como configurar a Integração com o Active Directory. Contudo, é recomendável ler integralmente as seções abaixo para ter uma compreensão mais detalhada de como a ADI funciona.

Acesse:

Quais são os benefícios de se configurar a ADI?
Como a ADI funciona nas contas de usuários já existentes
Pré-requisitos
Antes de começar: etapas obrigatórias
Instalação e configuração
Definição de quais unidades organizacionais, grupos e usuários sincronizar
Inicie a sincronização
Opções avançadas de configuração

• Suporte a domínios de várias origens
• Como faço para alterar o local de onde extraio endereços de e-mail no Active Directory?
• Como faço para sincronizar campos personalizados?

Como faço para instalar a versão mais recente da ADI?

Quais são os benefícios de se configurar a ADI?

A integração da KnowBe4 ao Active Directory (AD) permite adicionar usuários e grupos do AD ao console e simplifica o processo de gerenciar esses usuários e grupos.

Clique nos menus suspensos abaixo para obter mais informações sobre os benefícios de se integrar o AD à KnowBe4.

Voltar ao início

Como a ADI funciona nas contas de usuários já existentes

Se você já adicionou usuários à sua conta da KnowBe4, há alguns elementos dos quais precisa estar ciente antes de configurar a Integração com o Active Directory (ADI). Confira a lista abaixo:

• Após configurar a ADI, os dados sincronizados no seu Active Directory serão considerados confiáveis. As seguintes ações serão executadas durante as sincronizações entre o console da KnowBe4 e o AD:
  • Os usuários não encontrados no Active Directory serão arquivados no console da KnowBe4.
  • As alterações que você fizer nas informações de um usuário no console da KnowBe4 serão substituídas pelos dados contidos no Active Directory.
• As contas de usuários existentes no console da KnowBe4 antes da execução da ADI serão consideradas como gerenciadas pelo console. Quando os usuários são gerenciados pelo console, é possível editar as informações desses usuários enviando um arquivo CSV ao seu console ou editando os perfis de usuário diretamente no console. 
  • Após configurar a ADI e ocorrer a primeira sincronização do AD, os usuários serão considerados como gerenciados pelo AD. Quando os usuários são gerenciados pelo AD, é necessário editar as informações desses usuários no Active Directory. Por sua vez, as alterações realizadas serão transferidas para o console da KnowBe4 na próxima sincronização.
• Durante a primeira sincronização do AD, o console corresponderá automaticamente as contas de usuários gerenciados pelo console às contas existentes no AD. Esse processo converterá os usuários de gerenciados pelo console para gerenciados pelo AD. Confira a seguir o passo a passo de como esse processo funciona:
  1. Você deverá instalar e configurar a ferramenta de sincronização da ADI no seu ambiente.
     • Para obter detalhes, consulte a seção Instalação e configuração.
  2. Você deverá configurar as informações que deseja sincronizar em seu Active Directory. 
     • Para obter detalhes, consulte a seção Definição de quais unidades organizacionais, grupos e usuários sincronizar, abaixo.
  3. Em seguida, o serviço de sincronização da ADI faz consultas ao seu Active Directory ou aos Diretórios em busca de informações dos usuários e grupos e envia os resultados aos servidores da KnowBe4.
  4. Os servidores da KnowBe4 analisam as informações recebidas do seu AD e atualizam automaticamente os usuários e grupos no console da KnowBe4 de acordo com a seguinte lógica:
     
     • Se determinado usuário do AD tiver um endereço de e-mail que corresponda a uma conta existente no console da KnowBe4, a conta de usuário do console da KnowBe4 passará a ser gerenciada pelo AD.
     • Se o usuário do AD não for encontrado no console da KnowBe4, será criada uma conta de usuário gerenciada pelo AD.
     • Depois que todos os usuários do AD forem processados, as contas do console que não se tornaram gerenciadas pelo AD serão arquivadas.

Após configurar a sua Integração com o Active Directory (ADI), as informações do usuário permanecerão atualizadas no Active Directory da sua organização.

Voltar ao início

Pré-requisitos

Antes de iniciar a configuração da ADI, certifique-se de que seu ambiente atenda aos nossos requisitos básicos. Confira os detalhes descritos abaixo. 

1. Em sua organização, deve haver um dos seguintes serviços do Active Directory:
   • Microsoft Active Directory: o nível funcional do seu domínio deve ser Windows Server 2003 ou posterior.
   • Azure Active Directory: é possível sincronizar o Azure Active Directory Domain Services com o console da KnowBe4. Para saber mais, consulte: Como usar a Integração com o Active Directory com o Azure Active Directory Domain Services.
2. Recomendamos que você instale a ferramenta ADI em um servidor de aplicativos, e não em uma estação de trabalho de usuários. Verifique se o sistema no qual a ADI será instalada atende às seguintes especificações:
   • Windows Desktop 7/Vista/8/10 ou Windows Server 2008/2012/2016/2019 (64 bits).
   • Verifique se esse sistema é capaz de acessar um destes servidores, dependendo de onde a conta da KnowBe4 esteja localizada:
     • https://training.knowbe4.com
     • https://eu.knowbe4.com
     Esse é o URL do servidor com o qual a ferramenta de sincronização do AD da KnowBe4 terá que fazer contato por meio de uma solicitação POST. Você terá que autorizar conexões de saída com servidores remotos na porta 443 (SSL/HTTPS).

Consulte a próxima seção para conferir etapas importantes a serem seguidas como preparação para a sua configuração da ADI.

Voltar ao início

Antes de começar: etapas obrigatórias

Para que você consiga instalar e configurar a ferramenta de sincronização do AD da KnowBe4 em seu sistema local, é preciso seguir as etapas de preparação da configuração a seguir.

1. Será necessário coletar as informações abaixo sobre o seu Active Directory (AD) para configurar a ADI. Siga estas etapas: 
   

   Importante:

   Se os seus usuários estiverem localizados em mais de um controlador de domínio, será necessário coletar as informações abaixo para cada controlador de domínio. Você terá que configurar também a ADI para cada um dos domínios. Para saber mais, consulte a seção Suporte a domínios de várias origens, abaixo.
   1. Localize o endereço IP ou o nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o Active Directory está localizado.
   2. Verifique se o seu controlador de domínio do AD pode responder às solicitações do LDAP. Por padrão, todos os controladores de domínio são configurados para responder às solicitações do LDAP.
      

      Dica:

      A sincronização do AD pode se comunicar pelo LDAP. Contudo, se preferir, você pode habilitar o LDAPS no seu controlador de domínio antes de sincronizar o Active Directory. Por padrão, o LDAPS não está habilitado na maioria dos controladores de domínio. Para saber mais, consulte nossas perguntas frequentes: Quero configurar o LDAPS.
   3. Localize o nome de domínio do AD. O nome de domínio do AD é o domínio raiz controlado pelo controlador de domínio do seu AD . Veja a imagem abaixo para conferir um exemplo de nome de domínio do AD:
      
   4. Certifique-se de ter o nome de usuário e a senha da conta de administrador do AD para a qual foram atribuídas as permissões para executar consultas LDAP.
      • Por padrão, qualquer conta no grupo “Usuários do domínio” tem essas permissões. Contudo, para obter segurança adicional, recomendamos a utilização de uma conta de serviço que possua apenas permissões de "leitura" para o AD. Para conferir as permissões de "leitura" necessárias a essa conta de serviço, consulte: Como criar uma conta de serviço ADI no Active Directory. 
2. Obtenha o token de sincronização da ADI e baixe a ferramenta de sincronização da ADI nas configurações da sua conta da KnowBe4. Siga estas etapas:
   1. Após fazer login na conta da KnowBe4, clique no seu endereço de e-mail no canto superior direito. Em seguida, clique em Configurações da conta.
   2. Navegue até a seção Provisionamento de usuários. Em seguida, clique na caixa de seleção Habilitar provisionamento de usuários (sincronização de usuários), conforme mostrado abaixo.
      
   3. Verifique se a configuração Modo de teste foi habilitada, conforme mostrado abaixo. Desative o Modo de teste somente depois de concluir a configuração da ADI e verificar se a ADI funciona corretamente.
      • Se o Modo de teste estiver habilitado, a sincronização ou o provisionamento de usuários não ocorrerá. Em vez disso, será gerado um relatório mostrando o que teria acontecido se o provisionamento de usuários fosse executado. No modo de teste, você pode solucionar qualquer possível problema sem afetar os usuários existentes em seu console. 
      
      

      Dica:

      Habilitar a caixa de verificação Mostrar domínio do grupo poderá ser um recurso útil se os usuários estiverem distribuídos entre várias origens de domínios. Para saber mais, consulte: O que a opção Mostrar domínio do grupo faz quando habilitada nas minhas Configurações da conta?
   4. Token de sincronização para ADI: copie o token de sincronização da ADI para salvá-lo localmente. Você precisará desse token para concluir a configuração.
      • O tamanho do token de sincronização da ADI é de 32 dígitos no seguinte formato: 9X140X4829E37XX545401X97912X604X.
   5. Baixe a ferramenta ADI: clique no ícone de download ao lado de Ferramenta ADI (KnowBe4_AD_Sync.msi) para baixar o arquivo. 
   6. Clique no botão Salvar alterações na parte inferior da página Configurações da conta.
3. Defina quais usuários você deseja sincronizar e saiba exatamente onde esses objetos de usuário estão localizados no AD. 
   Depois de concluir as etapas desta seção e da seção Instalação e configuração abaixo, você terá que definir em que local do AD os objetos de usuário deverão ser colocados. É possível sincronizar objetos de usuário de uma ou mais das seguintes origens: unidades organizacionais (UOs), grupos de segurança e grupos de distribuição.
   • Para conferir detalhes adicionais sobre como definir os usuários que você deseja sincronizar, consulte: Definição de quais unidades organizacionais, grupos e usuários sincronizar.
   Se você constatar que os objetos de usuário não estão nas unidades organizacionais, nos grupos de segurança nem nos grupos de distribuição, consulte as informações abaixo:
   
   • Se os usuários que você deseja sincronizar estiverem localizados no contêiner integrado de usuários, e não em uma unidade organizacional: não será possível sincronizar os contêineres. Como solução alternativa, é possível criar um grupo de segurança, adicionar os usuários ao grupo de segurança e sincronizar esses grupos em vez do contêiner. 
   • Se você considerar que o AD não está organizado da maneira ideal para executar sincronizações com o console da KnowBe4 ou se não tiver certeza disso: será possível configurar um ou mais grupos no Active Directory para cumprir a finalidade de incluir todos os objetos e grupos de usuários que você desejar sincronizar. Em seguida, especifique se deseja sincronizar APENAS esses grupos.
4. Determine de qual campo no AD os endereços de e-mail dos usuários deverão ser extraídos. Por padrão, o serviço ADI extrairá os endereços de proxy dos seus usuários para usá-los como e-mail da conta da KnowBe4. 
   • Se for preciso usar algo diferente dos endereços de proxy, você terá que editar o campo emailAttrib no arquivo ADIsync.conf. Por exemplo, se você não estiver usando o Exchange ou o Microsoft 365 como servidor de e-mail, o campo de endereços de proxy no AD provavelmente estará em branco. Altere o campo emailAttrib depois de executar a instalação e antes de iniciar o serviço de sincronização da ADI. Para obter instruções, consulte: Como faço para alterar o local de onde extraio endereços de e-mail no Active Directory?
     
5. Assegure-se de que todas as campanhas tenham suas configurações devidamente ajustadas para o ingresso de usuários. Verifique novamente a configuração dos seus grupos inteligentes nas campanhas, pois eles podem ser afetados pelo aparecimento de novos usuários após a sincronização da ADI.

Após coletar as informações acima, prossiga para as etapas da próxima seção.

Voltar ao início

Instalação e configuração

Depois de coletar as informações descritas na seção anterior, estará tudo pronto para você instalar e configurar a sincronização da ADI. Prossiga com as etapas abaixo:

5. Execute a ferramenta de sincronização do Active Directory. Trata-se do arquivo KnowBe4_AD_Sync.msi que você baixou nas Configurações da conta do console (consulte a etapa 2 da seção Antes de começar, acima).
   • Não é preciso instalar a ferramenta de sincronização do AD no controlador de domínio. A ferramenta pode ser instalada em qualquer ponto do ambiente, desde que o sistema possa se comunicar com o controlador de domínio que aceita conexões LDAP.
     

     Dica:

     A sincronização do AD pode se comunicar pelo LDAP. Contudo, se preferir, você pode habilitar o LDAPS no seu controlador de domínio antes de sincronizar o Active Directory. Por padrão, o LDAPS não está habilitado na maioria dos controladores de domínio. Para saber mais, consulte nossas perguntas frequentes: Quero configurar o LDAPS.
6. Um prompt de comando abrirá automaticamente o diretório de instalação. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits:

• C:\Arquivos de Programas (x86)\KnowBe4\ADISync

Na janela do prompt de comando, você será solicitado a inserir as informações especificadas abaixo:

1. Se esta for a primeira vez que o comando está sendo executado, você será solicitado a inserir o Token de sincronização do Active Directory. O token é uma sequência de caracteres que você copiou das suas Configurações da conta da KnowBe4 (consulte a etapa 2 da seção Antes de começar, acima).
2. Inserir Nome de domínio: o nome de domínio refere-se ao domínio raiz do seu AD. Para conferir um exemplo, consulte esta etapa na seção Antes de começar, acima. 
3. Inserir nome do host ou endereço IP do Active Directory: o nome do host ou o endereço IP do AD refere-se ao endereço IP ou ao nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o Active Directory está localizado.
4. Habilitar SSL (verdadeiro/falso): por padrão, o LDAPS não vem habilitado no seu controlador de domínio, e você terá que digitar false ou pressionar Enter no teclado para selecionar false automaticamente. Como opção, se você tiver habilitado o LDAPS para fins de sincronização, digite true em vez disso.
5. Inserir número da porta do Active Directory: insira a porta apropriada do LDAP ou do LDAPS. Por padrão, a porta do LDAP é 389 e a porta do LDAPS é 636.
6. Inserir nome de usuário: insira o nome de usuário da conta de administrador do AD que possui as permissões de leitura necessárias para executar consultas LDAP. O nome de usuário deve estar no formato "usuário@domínio".
7. Inserir senha: insira a senha da conta de usuário de administrador do AD.

Se a conexão for estabelecida com êxito, as mensagens de confirmação serão exibidas na janela do prompt de comando, conforme mostrado no exemplo abaixo. 

Se o seu controlador de domínio tiver apresentado algum problema de conexão ou autenticação, serão exibidas mensagens de erro na janela do prompt de comando e você terá que repetir as etapas desta seção utilizando os dados corretos de configuração. Se os erros persistirem, entre em contato com nossa equipe de suporte. 

Após estabelecer a conexão com êxito, consulte a próxima seção para especificar os usuários e as informações que deseja sincronizar com a conta da KnowBe4.

Voltar ao início

Definição de quais unidades organizacionais, grupos e usuários sincronizar

Depois de concluídas as etapas das duas seções anteriores, você deverá editar o arquivo .conf para configurar as informações que deseja sincronizar com a KnowBe4. Essa configuração é necessária para sincronizar usuários do Active Directory.

Prossiga com a configuração da ADI seguindo as etapas abaixo:

11. Certifique-se de ter permissões para editar na pasta ADISync. 
12. Localize o arquivo .conf no diretório de instalação, conforme mostrado abaixo. Abra o arquivo em um editor de texto, como o Bloco de Notas.
    • O arquivo .conf é usado para definir os usuários, as informações do usuário e os grupos que você deseja sincronizar entre a KnowBe4 e o Active Directory. Para conferir um exemplo desse arquivo, abra o arquivo sample_domain.
      

      Observação:

      Certifique-se de editar o arquivo .conf, e não o arquivo ADISync.conf.
13. Altere o arquivo .conf para especificar os critérios de sincronização de usuários e grupos. Há três seções editáveis no .conf:
    • [sync.fields] (opcional): altere essa área para especificar os campos de informações do usuário que deseja sincronizar do AD.
      • Para saber mais, consulte: Sincronização de outras informações do usuário com a KnowBe4.
    • [sync.users] (obrigatório): altere essa área para especificar quais usuários deseja sincronizar no AD. Não deixe de incluir pelo menos uma unidade organizacional, um grupo ou um usuário na seção [sync.users] do arquivo .conf.
      • Para saber mais, consulte: Sincronizar usuários mediante a inclusão/exclusão de unidades organizacionais, grupos ou usuários específicos (obrigatório).
    • [sync.groups] (opcional): você pode usar essa área para especificar os grupos que gostaria de sincronizar no AD. Esses grupos serão automaticamente criados no console da KnowBe4, e os usuários aplicáveis serão adicionados aos grupos.
      • Para saber mais, consulte: Sincronizar grupos por meio da inclusão/exclusão de unidades organizacionais ou grupos (opcional).

    Observação:

    Se os nomes das unidades organizacionais ou dos grupos incluírem letras que não fazem parte do alfabeto latino padrão, substitua as aspas duplas (") por aspas simples (') no arquivo .conf. Além disso, será necessário usar uma barra invertida dupla em caracteres especiais de escape, como vírgulas, jogos da velha e sinais de adição. Para obter detalhes, consulte Como usar caracteres de escape na Integração com o Active Directory.
14. Ao terminar, salve as alterações feitas no arquivo .conf.

Consulte a próxima seção para iniciar a sincronização da ADI.

Voltar ao início

Inicie a sincronização

Se você tiver concluído todas as etapas acima, seu serviço ADI estará configurado e você poderá iniciar a sincronização da ADI. Prossiga com as etapas abaixo:

15. Você pode iniciar a sincronização de duas maneiras diferentes:
    1. Use o Gerenciador de controle de serviços do Windows (o serviço ADI chamado de "Serviço de sincronização da Integração com o Active Directory") ou
    2. Abra um prompt de comando no modo de administrador e siga as duas etapas abaixo:
       1. Navegue até o diretório apropriado. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits: C:\Arquivos de Programas (x86)\KnowBe4\ADISync
       2. Digite ADIsync.exe service start e pressione Enter no teclado.

O serviço de sincronização da ADI será executado imediatamente e, enquanto os serviços estiverem conectados, as sincronizações entre o AD e o console da KnowBe4 ocorrerão de seis em seis horas.

Se o Modo de teste estiver habilitado nas suas Configurações da conta, você terá uma prévia de como será a sincronização do seu AD com a KnowBe4. Para visualizar a prévia do Modo de teste, no console da KnowBe4, clique em Usuários > Provisionamento.

Mantenha o Modo de teste habilitado até ter certeza de que a ADI foi configurada de uma forma que atenda às necessidades da sua organização. Quando estiver satisfeito com a configuração da ADI, navegue até as suas configurações da conta da KnowBe4 e desabilite o Modo de teste. Sua próxima sincronização da ADI será provisionada aos usuários automaticamente.

Voltar ao início

Opções avançadas de configuração

Dependendo do ambiente da sua organização, talvez sejam necessárias configurações adicionais. Leia as seções abaixo para conferir se as opções são aplicáveis à sua organização: 

• Suporte a domínios de várias origens
• Como faço para alterar o local de onde extraio endereços de e-mail no Active Directory?
• Como faço para sincronizar campos personalizados?

Suporte a domínios de várias origens

Se os seus usuários estiverem divididos entre várias origens de domínio, será necessário definir uma configuração para cada domínio que contenha objetos a serem sincronizados. Para cada domínio adicional, será necessário executar novamente o comando ADIsync.exe config no diretório de instalação da sincronização da ADI. Reexecutar a configuração da sincronização da ADI criará os arquivos .conf adicionais que você precisa editar para especificar os critérios de filtragem da sua sincronização. 

Siga as etapas abaixo para executar novamente a configuração da sincronização da ADI:

1. Abra um prompt de comando no modo de administrador.
2. Navegue até o diretório do sistema \ADIsync.
   • A localização padrão do diretório do sistema nas plataformas de 64 bits é: C:\Arquivos de Programas (x86)\KnowBe4\ADISync
3. Digite adisync.exe config e pressione Enter no teclado.
4. Insira os detalhes do controlador de domínio e do domínio adicionais.
   • Para obter detalhes, consulte a etapa 7 na seção Instalação e configuração, acima.  
5. Após criar o arquivo .conf, altere o arquivo para especificar as informações que gostaria de sincronizar.
   • Para obter detalhes, consulte: Definição de quais unidades organizacionais, grupos e usuários sincronizar.
6. Salve o arquivo .conf . Depois de repetir esse processo em todos os domínios adicionais, você poderá iniciar a sincronização. 

Voltar ao início

Como faço para alterar o local de onde extraio endereços de e-mail no Active Directory?

Por padrão, a sincronização da ADI sincroniza todos os endereços de e-mail de proxy dos seus usuários. Contudo, é possível alterar o local de onde você deseja extrair endereços de e-mail de proxy no Active Directory. Além disso, você pode optar por sincronizar apenas o endereço de e-mail de proxy principal do usuário.

Abra o seu arquivo ADISync.conf em C:\Arquivos de Programas\KnowBe4\ADISync. Por padrão, serão exibidos os seguintes campos:

• emailAttribute = "proxyAddresses"
• primaryproxyonly = false

Confira os detalhes abaixo para saber como alterar os endereços de e-mail dos usuários que deverão ser sincronizados. Estes campos diferenciam maiúsculas de minúsculas:

• Proxy principal somente: se você deseja usar apenas o endereço de proxy principal com cada um dos usuários, altere o campo primaryproxyonly de false para true. Em seguida, salve o arquivo ADIsync.conf e inicie o serviço ADI novamente. Isso garante que nenhum endereço de e-mail de alias será sincronizado.
• Atributo do e-mail: se você deseja usar o atributo de e-mail em vez de proxyAddresses, altere o campo emailAttribute para "mail" em vez de "proxyAddresses" e o campo useMailAttrib para "true" em vez de "false".. Em seguida, salve o arquivo ADIsync.conf e inicie o serviço ADI novamente.
  

  Observação:

  Independentemente do campo com base no qual a sincronização é executada, o atributo de e-mail do usuário não pode ficar em branco. Para os fins da ADI, esse valor não precisa ser um domínio válido. Se sua organização não deseja usar o atributo de e-mail, entre em contato com o suporte, que estará pronto para ajudar você.

• Nome principal do usuário: se você quiser que a sincronização utilize userPrincipalName (UPN) em vez de proxyAddresses, altere o campo emailAttribute de "proxyAddresses" para "userPrincipalName". Em seguida, salve o arquivo ADIsync.conf e inicie o serviço ADI novamente.

Voltar ao início

Como faço para sincronizar campos personalizados?

Os perfis de usuário no seu console da KnowBe4 incluem campos personalizados (clique para visualizar um exemplo) que você pode usar para sincronizar informações adicionais no seu Active Directory. Para especificar as informações que você deseja sincronizar com os campos personalizados, altere o arquivo .conf e, em seguida, inicie novamente o serviço para que suas alterações sejam sincronizadas. Para saber mais, consulte Sincronização de outras informações do usuário com a KnowBe4.

Voltar ao início

Como faço para instalar a versão mais recente da ADI?

É possível instalar a versão mais recente da ADI sem instalar sua versão anterior. Siga estas etapas:

1. Baixe o novo instalador (o arquivo KnowBe4_AD_Sync.msi) nas suas configurações da conta da KnowBe4.
2. Execute a instalação.
3. Feche o prompt do DOS exibido ao final da instalação.
4. Inicie o serviço de sincronização.

Seus usuários devem continuar a sincronizar conforme esperado.

Voltar ao início