Gerenciar autenticação

  • 5 minutos

A autenticação do Power Platform envolve uma sequência de solicitações, respostas e redirecionamentos entre o navegador do usuário e o Power Platform ou os serviços do Azure. A sequência segue o fluxo de concessão de código de autenticação do Microsoft Entra ID.

Você pode escolher entre três modelos de identidade principais no Microsoft 365 ao configurar e gerenciar contas de usuário:

  • Identidade na nuvem: gerencie suas contas de usuário somente no Microsoft 365. Nenhum servidor local é necessário para gerenciar os usuários, tudo é feito na nuvem.

  • Identidade sincronizada: sincronize os objetos do diretório local com o Microsoft 365 e gerencie os usuários no ambiente local. Você também pode sincronizar as senhas para que os usuários tenham a mesma senha no local e na nuvem, mas eles precisarão entrar novamente para usar o Microsoft 365.

  • Identidade federada: sincronize os objetos do diretório local com o Microsoft 365 e gerencie os usuários no ambiente local. Os usuários têm a mesma senha no local e na nuvem e não precisam entrar novamente para usar o Microsoft 365. Geralmente, esse comportamento é chamado de Logon único.

É importante considerar atentamente o modelo de identidade que será usado para funcionamento. Pense no tempo, na complexidade existente e no custo. Esses fatores são diferentes para cada organização. Sua escolha é baseada em grande parte no porte da empresa e na variedade e quantidade de recursos de TI.

Entender a identidade do Microsoft 365 e o Microsoft Entra ID

O Microsoft 365 usa a identidade e o serviço de autenticação de usuário baseados em nuvem do Microsoft Entra ID para gerenciar os usuários. Escolher se o gerenciamento de identidades será configurado entre sua organização local e o Microsoft 365 é uma decisão inicial fundamental para a sua infraestrutura de nuvem. Como a alteração dessa configuração pode ser difícil no futuro, considere cuidadosamente as opções para determinar o que atende melhor às necessidades da sua organização.

Você pode escolher entre dois modelos de autenticação principais no Microsoft 365 para configurar e gerenciar contas de usuário: autenticação de nuvem e autenticação federada.

Autenticação de nuvem

Dependendo de você ter ou não um ambiente do Active Directory existente no local, há várias opções para gerenciar os serviços de autenticação e identidade dos seus usuários com o Microsoft 365.

Somente nuvem

Com o modelo somente nuvem, você gerencia suas contas de usuário apenas no Microsoft 365. Nenhum servidor local é necessário, tudo é feito na nuvem pelo Microsoft Entra ID. Você cria e gerencia os usuários no Centro de administração do Microsoft 365 ou usando o Windows PowerShell cmdlets do PowerShell, e a identidade e a autenticação são realizadas completamente na nuvem pelo Microsoft Entra ID.

Geralmente, o modelo somente nuvem é uma boa opção se:

  • Você não tem outro diretório de usuário local.

  • Você tem um diretório local complexo e apenas deseja evitar o trabalho de integração com ele.

  • Você tem um diretório local existente, mas deseja executar uma avaliação ou um piloto do Microsoft 365. Posteriormente, você poderá fazer a correspondência entre os usuários da nuvem e os usuários locais quando estiver pronto para se conectar ao diretório local.

Sincronização de hash de senha com Logon único contínuo

A maneira mais simples de habilitar a autenticação para objetos do diretório local no Microsoft Entra ID. Com a sincronização de hash de senha (PHS), você sincroniza os objetos de conta de usuário do Active Directory local com o Microsoft 365 e gerencia os usuários no ambiente local. Os hashes de senhas de usuário são sincronizados do Active Directory local com o Microsoft Entra ID de modo que os usuários tenham a mesma senha tanto no ambiente local quanto na nuvem. Quando as senhas são alteradas ou redefinidas no local, os novos hashes de senha são sincronizados com o Microsoft Entra ID para que os usuários possam usar sempre a mesma senha com os recursos de nuvem e locais. As senhas nunca são enviadas ao Microsoft Entra ID nem armazenadas no Microsoft Entra ID como texto não criptografado. Alguns recursos Premium do Microsoft Entra ID, como a proteção de identidade, exigem PHS, seja qual for o método de autenticação selecionado. Com o Logon único contínuo, os usuários são conectados automaticamente no Microsoft Entra ID quando usam dispositivos corporativos e estão conectados à rede da empresa.

Autenticação de passagem com Logon único contínuo

Possibilita uma validação de senha simples para serviços de autenticação do Microsoft Entra ID usando um agente de software executado em um ou mais servidores locais para validar os usuários diretamente com seu Active Directory local. Com a PTA (autenticação de passagem), você sincroniza os objetos de conta de usuário do Active Directory local com o Microsoft 365 e gerencia os usuários no ambiente local. Permita que os usuários entrem nos recursos e aplicativos locais e do Microsoft 365 usando a conta e a senha locais deles. Essa configuração valida as senhas dos usuários diretamente no Active Directory local sem enviar hashes de senha ao Microsoft 365. As empresas com requisito de segurança para aplicar imediatamente os estados de conta de usuário local, as políticas de senha e as horas de entrada usam esse método de autenticação. Com o Logon único contínuo, os usuários são conectados automaticamente no Microsoft Entra ID quando usam dispositivos corporativos e estão conectados à rede da empresa.

Logon único

Por padrão, o Dynamics 365 Online usa o Microsoft Entra ID para autenticação; no entanto, muitas organizações do mundo inteiro usam o Active Directory local para fazer a autenticação internamente.

O Logon Único Contínuo do Microsoft Entra ID (SSO Contínuo do Microsoft Entra) faz o logon automático dos usuários quando eles usam os dispositivos corporativos conectados à rede da empresa. Quando habilitado, os usuários não precisam digitar suas senhas para entrar no Microsoft Entra e, normalmente, nem precisam digitar o nome de usuário. Esse recurso facilita o acesso dos usuários aos aplicativos baseados em nuvem sem precisar de mais componentes locais.

É possível combinar o SSO Contínuo com os métodos de entrada Sincronização de hash de senha ou Autenticação de passagem. O SSO Contínuo não é* aplicável ao ADFS (Serviços de Federação do Active Directory).

Diagrama dos métodos de logon único contínuo com sincronização de hash de senha e de autenticação de passagem.

Observação

O SSO Contínuo precisa que o dispositivo do usuário ingresse em um domínio, mas não precisa que o dispositivo ingresse no Microsoft Entra.

Principais benefícios

  • Excelente experiência do usuário

    • Os usuários são conectados automaticamente nos aplicativos locais e baseados em nuvem.

    • Os usuários não precisam inserir as senhas várias vezes.

  • Fácil de implantar e administrar. Não há necessidade de outros componentes no local para funcionar.

Considerações

  • O nome de usuário de entrada pode ser o nome de usuário padrão local (userPrincipalName) ou outro atributo configurado no Microsoft Entra Connect (ID alternativa). Os dois casos de uso funcionam porque o SSO Contínuo usa a declaração securityIdentifier no tíquete do Kerberos para procurar o objeto de usuário correspondente no Microsoft Entra ID.

  • O SSO Contínuo é um recurso adaptável. Se ele falhar por algum motivo, a experiência de entrada do usuário volta ao comportamento regular, ou seja, o usuário precisa inserir a senha na página de entrada.

  • Se um aplicativo (por exemplo, https://myapps.microsoft.com/contoso.com) encaminha um parâmetro domain_hint (OpenID Connect) ou whr (SAML), que identifica seu locatário, ou um parâmetro login_hint, que identifica o usuário, na solicitação de entrada do Microsoft Entra, os usuários são conectados automaticamente sem inserir nomes de usuário ou senhas.

  • Os usuários também têm uma experiência de entrada silenciosa se um aplicativo, por exemplo, o https://contoso.crm.dynamics.com, envia solicitações de entrada aos pontos de extremidade com locatário do Microsoft Entra, ou seja, https://login.microsoftonline.com/contoso.com ou https://login.microsoftonline.com <tenant_ID>, em vez do ponto de extremidade comum do Microsoft Entra, ou seja, https://login.microsoftonline.com/common.

  • É possível sair. Isso permite que os usuários escolham outra conta do Microsoft Entra ID para entrar, em vez de serem conectados automaticamente usando o SSO Contínuo.

  • Os clientes Win32 do Microsoft 365 (Outlook, Word, Excel e outros) com versões 16.0.8730.xxxx e mais recentes podem usar um fluxo não interativo. No OneDrive, você deve ativar o Recurso de configuração silenciosa do OneDrive para uma experiência de entrada silenciosa.

  • Ele pode ser habilitado pela conexao do Microsoft Entra.

  • Esse recurso é gratuito, e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.

Federar um único ambiente de floresta do AD para a nuvem

O tutorial a seguir orientará você na criação de um ambiente de identidade híbrida usando a federação. Esse ambiente poderá ser usado para teste ou para conhecer melhor o funcionamento de uma identidade híbrida.

Tutorial: Federar um único ambiente de floresta do AD para a nuvem

Acesso condicional do Microsoft Entra

As políticas de Acesso Condicional no Microsoft Entra ID, em sua forma mais simples, são instruções if-then: if, se um usuário quiser acessar um recurso, then, então ele deverá concluir uma ação.

Exemplo: um gerente de folha de pagamento deseja acessar o aplicativo de folha de pagamento que foi criado com o Power Apps, e é necessário executar a autenticação multifator para acessá-lo.

Os administradores lidam com duas metas principais:

  • Capacitar os usuários a serem em qualquer lugar e a qualquer momento.

  • Proteger os ativos da organização.

Usando as políticas de Acesso Condicional, você pode aplicar os controles de acesso corretos, quando são necessários, para manter sua organização segura e não causar dificuldades para o usuário, quando eles não são necessários. As políticas de Acesso Condicional são aplicadas após a conclusão da autenticação de primeiro fator.

Somente Administradores globais podem configurar políticas de Acesso Condicional. Isso não está disponível para os administradores do Microsoft Power Platform ou do Dynamics 365.

Diagrama de um fluxo de processo de acesso condicional conceitual.

Para saber como configurar políticas de Acesso Condicional, consulte Planejar uma implantação de Acesso Condicional.