Identidade híbrida

10 minutos

A Tailwind Traders usa o AD DS (Active Directory Domain Services) como o provedor de identidade local no ambiente de rede local desde que migrou do Windows NT 4.0 no início dos anos 2000. Muitos aplicativos da Tailwind Traders existentes têm uma dependência do Active Directory. Alguns desses aplicativos têm uma dependência simples do Active Directory como um provedor de identidade. Outras têm dependências mais profundas, como requisitos de Política de Grupo complexos, partições de domínio personalizadas e extensões de esquema personalizadas.

Conforme a Tailwind Traders começa a mover alguns recursos e desenvolver novos aplicativos no Azure, ela deseja evitar a criação de uma solução de identidade paralela que exigiria informações de logon separadas para recursos locais e de nuvem.

Nesta unidade, você conhecerá diferentes maneiras de implementar a identidade híbrida.

Como implantar controladores de domínio no Azure

A maneira mais simples de fornecer o mesmo ambiente de AD DS no Azure que existe localmente em uma organização é:

Implantar um par de controladores de domínio do AD DS em uma sub-rede em uma rede virtual do Azure.
Conectar essa rede virtual à rede local.
Configurar essa sub-rede como um novo site do AD DS, conforme mostrado na imagem a seguir.

Outra opção é configurar o domínio do AD DS hospedado na nuvem como um domínio filho da floresta do domínio local. Uma opção adicional é configurar os controladores de domínio do AD DS na nuvem como uma floresta separada que tem uma relação de confiança com a floresta local. A imagem a seguir mostra essa topologia de floresta de recursos.

Quando as organizações implantam controladores de domínio em VMs (máquinas virtuais) no Azure, elas podem implantar cargas de trabalho que exigem um campo visual para um controlador de domínio na mesma sub-rede da Rede Virtual do Azure em que as VMs do controlador de domínio foram implantadas. Esse é um modelo conceitualmente simples de nuvem híbrida para muitas organizações, pois os datacenters do Azure são tratados como um site do Active Directory remoto.

Para a Tailwind Traders, a extensão do domínio ou da floresta do Active Directory local para o Azure pode ser suficiente dependendo dos requisitos do aplicativo. A desvantagem de implantar essa opção é que as VMs que estão sendo executadas o tempo todo, da forma que os controladores de domínio precisam ser, têm uma despesa contínua.

O que é Microsoft Entra Connect?

Microsoft Entra Connect (anteriormente Azure AD Connect) permite que as organizações sincronizem as identidades presentes em sua instância do Active Directory local para a ID do Microsoft Entra (anteriormente Azure AD). Isso permite que você use a mesma identidade para recursos na nuvem e recursos locais. O Microsoft Entra Connect é usado com mais frequência quando as organizações adotam o Microsoft 365 para permitir que aplicativos como o Microsoft SharePoint e o Exchange em execução na nuvem sejam acessados por meio de aplicativos locais.

Se a Tailwind Traders planejar adotar tecnologias do Microsoft 365 como o Exchange Online ou o Microsoft Teams, será preciso configurar o Microsoft Entra Connect para replicar identidades do ambiente do AD DS local para o Azure. Se a empresa também desejar usar identidades locais com aplicativos no Azure, mas não desejar implantar controladores de domínio do AD DS em VMs, também será preciso implantar o Microsoft Entra Connect.

O que é Microsoft Entra Domain Services?

Você pode usar o Microsoft Entra Domain Services para projetar um domínio do Microsoft Entra em uma sub-rede virtual do Azure. Quando você faz isso, os serviços como o ingresso no domínio, a Política de Grupo, o protocolo LDAP e a autenticação NTLM e Kerberos, se tornam disponíveis para qualquer VM implantada na sub-rede.

O Microsoft Entra Domain Services permite que você tenha um ambiente básico do Active Directory gerenciado disponível para VMs sem se preocupar com o gerenciamento, a manutenção e o pagamento de VMs que são executadas como controladores de domínio. O Microsoft Entra Domain Services também permite que você use identidades locais por meio do Microsoft Entra Connect para interagir com VMs em execução em uma sub-rede de Rede Virtual do Azure especialmente configurada.

Uma desvantagem do Microsoft Entra Domain Services é que a implementação de Política de Grupo é básica. Ela inclui um conjunto fixo de políticas e não oferece a capacidade de criar GPOs (Objetos de Política de Grupo). Mesmo que as identidades usadas localmente estejam disponíveis no Azure, as políticas configuradas localmente não estarão disponíveis.

Para a Tailwind Traders, o Microsoft Entra Domain Services fornece um bom meio-termo para cargas de trabalho híbridas. Ele habilita o uso de identidade conectada ao domínio e uma quantidade significativa de configuração de Política de Grupo. Mas ele não dá suporte a aplicativos que exigem funcionalidades complexas do Active Directory, como partições de domínio e extensões de esquema personalizadas.

Entre as máquinas virtuais que a Tailwind Traders está planejando migrar do datacenter de Auckland, vários aplicativos host têm dependências no AD DS que incluem extensões de esquema personalizadas e partições do AD DS personalizadas. Qual das soluções de identidade híbrida a seguir a empresa pode usar para dar suporte a esses aplicativos se as máquinas virtuais que hospedam os aplicativos forem migradas para ser executadas como VMs de IaaS (infraestrutura como serviço) do Azure?

Configurar o Microsoft Entra Connect para replicar as identidades do AD DS local para o Azure. Criar uma sub-rede em uma rede virtual do Azure. Migrar as VMs do datacenter do Auckland para essa sub-rede. Ingressar as VMs migradas no domínio do Microsoft Entra Domain Services.

Criar uma sub-rede em uma rede virtual do Azure. Configurar uma conexão VPN entre a rede virtual e a rede local. Implantar dois controladores de domínio do AD DS em VMs que executam o Windows Server 2022 nessa sub-rede. Configurar um site do AD DS separado para a sub-rede do Azure. Migrar as VMs do datacenter do Auckland para essa sub-rede.

Configurar o Microsoft Entra Connect para replicar as identidades do AD DS local para o Azure. Criar uma sub-rede em uma rede virtual do Azure. Configurar o Microsoft Entra Domain Services e configurá-lo para estar disponível para essa sub-rede recém-criada. Migrar as VMs do datacenter do Auckland para essa sub-rede. Ingressar as VMs migradas no domínio do Microsoft Entra Domain Services.

Uma subsidiária da Tailwind Traders está implantando as VMs de IaaS do Windows Server 2022 em uma sub-rede em uma rede virtual do Azure. Essa rede virtual está conectada a uma assinatura separada e a uma locação do Microsoft Entra. Esses computadores precisam ser ingressados no domínio para fins de segurança e identidade, mas não exigem uma configuração de política de grupo complexa. Essas VMs não exigem identidades sincronizadas de nenhuma instância do AD DS local da Tailwind Traders. É interessante minimizar o número de VMs implantadas para atingir essa meta. Qual das soluções a seguir é apropriada?

Implantar o Microsoft Entra Connect em cada VM e sincronize com a locação do Microsoft Entra.

Implantar o Entra Domain Services e configurá-lo para a sub-rede que hospeda as máquinas virtuais. Ingressar as VMs no domínio do Microsoft Entra Domain Services.

Implantar o AD DS em uma nova VM na sub-rede. Ingressar as VMs no domínio do AD DS.

É necessário responder a todas as perguntas antes de verificar o trabalho.

Identidade híbrida

Como implantar controladores de domínio no Azure

O que é Microsoft Entra Connect?

O que é Microsoft Entra Domain Services?

Verificar seu conhecimento

Comentários