Exercício: configurar o Microsoft Entra ID
Este exercício leva você ao processo de criação e gerenciamento de entidades relacionadas ao Microsoft Entra ID, incluindo locatários, usuários e grupos do Microsoft Entra. Você começará criando uma conta de usuário e dois grupos no locatário do Microsoft Entra associados à sua assinatura e adicionando o usuário ao primeiro grupo. Em seguida, você criará outro locatário do Microsoft Entra e uma conta de usuário nesse locatário. Para concluir este exercício, você adicionará a conta de usuário do segundo locatário como uma conta de convidado no primeiro locatário. Nos exercícios subsequentes deste módulo, você deverá implementar a integração entre uma instância de servidor único do Banco de Dados do Azure para PostgreSQL e o primeiro locatário do Microsoft Entra, além de conceder acesso ao seu conteúdo para os dois grupos criados anteriormente.
Neste exercício, você vai:
- Crie objetos de usuário e grupo do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure.
- Crie um locatário adicional do Microsoft Entra e um objeto de usuário.
- Crie e configure um usuário convidado do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure.
Pré-requisitos
Para realizar este exercício, você vai precisar de:
Uma assinatura do Azure.
Uma conta Microsoft ou uma conta do Microsoft Entra com a função de administrador global no locatário do Microsoft Entra associado à assinatura do Azure e com a função de proprietário ou colaborador na assinatura.
Observação
Os exercícios neste módulo executam operações confidenciais e exigem privilégios muito altos e, desta forma, devem ser executados em um ambiente de laboratório isolado. Se não tiver acesso a esse ambiente, considere utilizar para essa finalidade uma assinatura de Avaliação do Azure.
Crie objetos de usuário e grupo do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure
Você começará criando objetos de usuário e grupo do Microsoft Entra. Depois que os objetos forem criados, você configurará suas respectivas associações de grupo. Para acelerar as tarefas de configuração, você usará a CLI do Azure. Você dependerá dos objetos do Microsoft Entra para se autenticar na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício deste módulo.
Inicie um navegador da Web, navegue até o portal do Azure e entre para acessar a assinatura do Azure que você usará neste módulo.
No portal do Azure, abra o painel Cloud Shell selecionando o ícone da barra de ferramentas ao lado da caixa de texto de pesquisa.
Se necessário, selecione Bash.
Observação
Se esta é a primeira vez que você está iniciando o Azure Cloud Shell e você receber a mensagem Você não tem nenhum armazenamento montado, selecione a assinatura que você está usando neste exercício e selecione Criar armazenamento.
Na sessão do Bash, no painel Azure Cloud Shell, execute o seguinte comando para identificar o nome de domínio DNS padrão do locatário do Microsoft Entra associado à assinatura do Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Execute o seguinte comando para criar um usuário do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password <enter your password> \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Observação
Você configurará essa conta de usuário como um administrador do Microsoft Entra da instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Execute o seguinte comando para identificar o valor do atributo userPrincipalName do usuário do Microsoft Entra criado na etapa anterior:
echo $ADMIN | jq -r '.userPrincipalName'Observação
Grave esse valor. Você precisará dele no próximo exercício deste módulo.
Execute os seguintes comandos para atribuir ao usuário recém-criado a função de Colaborador na assinatura do Azure que você está usando para os exercícios deste módulo:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Observação
O segundo comando retornará a ID da sua assinatura padrão. Se você pretende usar uma assinatura diferente, precisará definir o valor da variável $SUBSCRIPTION_ID nesse sentido.
Execute o seguinte comando para criar um usuário do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password <enter your password> \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Observação
Você configurará essa conta de usuário como um usuário do Microsoft Entra sem privilégios com acesso a um banco de dados na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Execute o seguinte comando para criar um grupo do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Observação
Você usará esse grupo para atribuir permissões ao banco de dados na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Execute o seguinte comando para adicionar o usuário ao grupo:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDExecute o seguinte comando para atribuir ao usuário recém-criado a função de Colaborador na assinatura do Azure que você está usando para os exercícios deste módulo:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Observação
Você dependerá dessa atribuição de função no próximo exercício deste módulo.
Feche o painel do Cloud Shell.
Para verificar o resultado deste exercício, no portal do Azure, use a caixa de texto Pesquisar recursos, serviços e documentos no início da página do portal do Azure para pesquisar Microsoft Entra ID.
Na lista de resultados, selecione Microsoft Entra ID.
No painel que exibe as propriedades do locatário do Microsoft Entra, no menu vertical, nas seções Gerenciar, selecione Usuários.
Na folha Usuários | Todos os usuários, verifique se a lista de usuários contém a conta de usuário criada anteriormente nesta tarefa.
Navegue de volta para o painel que exibe as propriedades de seu locatário no Microsoft Entra e, no menu vertical, nas seções Gerenciar, selecione Grupos.
Na folha Grupos | Todos os grupos, verifique se a lista de grupos contém a conta de grupo criada anteriormente nesta tarefa.
Crie um locatário adicional do Microsoft Entra e um objeto de usuário
Nesta tarefa, você criará um locatário do Microsoft Entra e uma conta de usuário no novo locatário usando o portal do Azure. Na próxima tarefa, você irá configurar essa conta de usuário como uma conta de usuário convidado no primeiro locatário.
No navegador da Web, no painel do portal do Azure que exibe as propriedades do locatário do Microsoft Entra, selecione Gerenciar locatários e, em seguida, selecione + Criar.
Na guia Noções básicas da folha Criar um locatário, verifique se a opção Microsoft Entra ID está selecionada e selecione Avançar: Configuração >.
Na guia Configuração do painel Criar um locatário, especifique as seguintes configurações:
Configuração Valor Nome da organização Contoso Nome de domínio inicial Qualquer nome DNS válido que consista em letras minúsculas e dígitos e comece com uma letra País/Região O nome do seu país ou região Selecione Revisar + criar e, na guia Revisar + criar do painel Criar um locatário, selecione Criar.
Se solicitado, em Ajude-nos a provar que você não é um robô, insira o código fornecido e selecione Enviar.
Aguarde a conclusão do provisionamento e selecione o link Contoso para navegar até o painel que exibe as propriedades do locatário do Microsoft Entra da Contoso.
No navegador da Web, no painel do portal do Azure que exibe o painel Visão geral | Contoso do locatário do Microsoft Entra da Contoso, no menu vertical, nas seções Gerenciar, selecione Usuários.
Na folha Usuários | Todos os usuários do locatário Contoso - Microsoft Entra ID, selecione + Novo usuário e, em seguida, Criar usuário.
Na folha Criar Usuário, especifique as seguintes configurações, deixando as outras configurações com seus valores padrão:
Configuração Valor Nome do usuário contosouser1 Nome contosouser1 Permitir que eu crie a senha habilitado Senha inicial Inserir um <password>Utilize o ícone Copiar para área de transferência ao lado da lista suspensa Nome UPN para registrar o valor do atributo Nome UPN de contosouser1. Você precisará dela mais tarde neste exercício e nos subsequentes.
No painel Novo usuário, selecione Criar.
Na folha Usuários | Todos os usuários do locatário Contoso - Microsoft Entra ID, examine a lista de contas de usuário e verifique se a nova conta de usuário foi criada com êxito.
Observação
Você configurará essa conta de usuário como um usuário do Microsoft Entra sem privilégios com acesso a um banco de dados na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Crie e configure um usuário convidado do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure
Para concluir este exercício, você usará o portal do Azure para configurar a conta de usuário no locatário do Microsoft Entra da Contoso como um usuário convidado no locatário do Microsoft Entra da Adatum, para criar um novo grupo nesse locatário e para adicionar o usuário convidado a esse grupo.
No navegador da Web, no painel portal do Azure que exibe o painel Visão geral | Contoso do locatário do Microsoft Entra da Contoso, na barra de ferramentas, no canto superior direito, selecione o ícone Assinaturas ao lado do ícone do Cloud Shell e selecione o link Alternar diretório.
Na folha Diretórios + assinaturas, selecione a entrada que representa o locatário do Microsoft Entra associado à assinatura do Azure que está sendo utilizada nos exercícios deste módulo e, em seguida, selecione Alternar.
Observação
Isso alterna automaticamente sua sessão para o locatário do Microsoft Entra associado à assinatura do Azure que você está usando nos exercícios deste módulo.
No portal do Azure, use a caixa de texto Pesquisar recursos, serviços e documentos no início da página do portal do Azure para encontrar o Microsoft Entra ID e, na lista de resultados, selecione o Microsoft Entra ID.
No painel que exibe as propriedades do locatário do Microsoft Entra, no menu vertical, nas seções Gerenciar, selecione Usuários.
Na folha Usuários | Todos os usuários, selecione + Novo usuário e, em seguida, Convidar usuário externo.
Na folha Convidar usuário externo, certifique-se de que a opção Convidar usuário esteja selecionada, especifique as seguintes configurações, deixando as outras configurações com seus valores padrão, selecione Revisar + convidar e, em seguida, selecione Convidar:
Configuração Valor Endereço de email O valor do atributo Nome UPN de contosouser1 que você registrou anteriormente nesta tarefa Nome de exibição contosouser1 Mensagem de convite Bem-vindo à Adatum Navegue de volta para o painel que exibe as propriedades de seu locatário no Microsoft Entra ID e, em seguida, no menu vertical, nas seções Gerenciar, selecione Grupos.
Na folha Grupos | Todos os grupos, selecione adatumgroup1.
No painel adatumgroup1, selecione Membros.
Na folha Membros | adatumgroup1, selecione + Adicionar membros.
No painel Adicionar membros, na caixa de texto Pesquisar, insira contosouser1.
Na lista de resultados, selecione a entrada contosouser1, e, em seguida, selecione a opção Selecionar.
Resultados
Parabéns! Você concluiu o primeiro exercício deste módulo. Você iniciou este exercício criando um usuário e um grupo no locatário do Microsoft Entra associado à sua assinatura do Azure e, em seguida, adicionou o usuário ao grupo. Em seguida, você criou outro locatário do Microsoft Entra e um usuário nesse locatário do Microsoft Entra. Por fim, você configurou esse usuário como um usuário convidado no locatário do Microsoft Entra associado à sua assinatura do Azure, criou outro grupo nesse locatário e adicionou o usuário convidado a ele.