O que é o Microsoft Entra ID?
Embora compartilhem nomes semelhantes, o Microsoft Entra ID não é uma versão de nuvem do Windows Server Active Directory. Ele também não tem a finalidade de substituir completamente um Active Directory local. Em vez disso, se já estiver usando um servidor do Windows AD, conecte-o ao Microsoft Entra ID para estender seu diretório para o Azure. Essa abordagem permite que os usuários usem as mesmas credenciais para acessar recursos locais e baseados em nuvem.
Um usuário também pode usar o Microsoft Entra ID independentemente do Windows AD. Empresas menores podem usar o Microsoft Entra ID como o único serviço de diretório para controlar o acesso a aplicativos e produtos de SaaS, como o Microsoft 365, o Salesforce e o Dropbox.
Observação
Tenha em mente que essa abordagem não fornece um modelo administrativo completamente centralizado. Por exemplo, os computadores Windows locais se autenticariam usando credenciais locais. Os usuários podem escrever aplicativos para usar o Microsoft Entra ID e fornecer autenticação e autorização a serem administradas por um usuário em um único local.
Diretórios, assinaturas e usuários
Atualmente, a Microsoft conta com várias ofertas baseadas em nuvem – e todas elas podem usar o Microsoft Entra ID para identificar usuários e controlar o acesso:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
Quando uma empresa ou organização se inscreve para usar uma dessas ofertas, é atribuído a ela um diretório padrão, ou seja, uma instância do Microsoft Entra ID. Esse diretório contém os usuários e grupos que terão acesso a cada um dos serviços em que a empresa adquiriu. Você pode consultar esse diretório padrão como um locatário. Um locatário representa a organização e o diretório padrão atribuído a ela.
No Azure, as assinaturas são uma entidade de cobrança e um limite de segurança. Recursos como máquinas virtuais, sites e bancos de dados estão associados a uma assinatura única. Cada assinatura também tem um único proprietário da conta, responsável pelos encargos incorridos pelos recursos na assinatura. Se sua organização quiser que uma assinatura seja cobrada de outra conta, você poderá transferir a assinatura. Uma assinatura é associada a um único diretório do Microsoft Entra. Várias assinaturas podem confiar no mesmo diretório, mas uma única assinatura pode confiar em apenas um diretório.
É possível adicionar usuários e grupos a várias assinaturas. Isso permite que o usuário crie, controle e acesse recursos na assinatura. Quando você adiciona um usuário a uma assinatura, ele deve ser conhecido pelo diretório associado, conforme mostrado na seguinte imagem:
Quando você pertence a vários diretórios, pode alternar o diretório atual no qual está trabalhando por meio do botão Diretório + assinatura no cabeçalho do portal do Azure.
Você também pode decidir como o diretório padrão é selecionado: última visita ou um diretório específico. Você também pode definir o filtro padrão para as assinaturas exibidas. Os filtros padrão são úteis quando você tem acesso a várias assinaturas, mas normalmente só funcionam em algumas delas.
Criará um novo diretório
Observação
Você pode realizar muitas dessas tarefas no portal do Azure ou no Centro de administração do Microsoft Entra. Para este tutorial, usaremos o Centro de administração do Microsoft Entra para a maioria das tarefas, exceto quando indicado.
Uma organização (locatário) tem um diretório padrão associado do Microsoft Entra. No entanto, os proprietários podem criar diretórios adicionais para dar suporte ao desenvolvimento e aos testes ou para ter diretórios separados a serem sincronizados com as florestas locais do Windows Server AD.
Importante
Seguem as etapas para criar um novo diretório; no entanto, a menos que você seja o proprietário da sua conta do Azure, essa opção não estará disponível para você. A Área Restrita do Azure não permite que você crie novos diretórios do Microsoft Entra.
Entre no portal do Azure.
Na home page do Azure, em Serviços do Azure, selecione Criar um recurso.
No painel de menu à esquerda, selecione Identidadee, em seguida, pesquise e selecione Microsoft Entra ID.
Selecione Criar.
Selecione Microsoft Entra ID como o tipo de locatário e selecione Avançar: Configuração.
Insira os valores a seguir para cada configuração.
Nome de organização: insira um nome para o diretório para ajudar a diferenciá-lo dos outros diretórios. O diretório a ser criado será usado na produção. Escolha um nome que os usuários reconhecerão como o nome da sua organização. Você poderá alterar o nome posteriormente se desejar.
Nome de domínio inicial: insira um nome de domínio associado à sua organização. Um domínio desconhecido ou ausente causa um erro de validação. O nome de domínio padrão sempre terá o sufixo
.onmicrosoft.com. Não é possível alterar o domínio padrão. Se você optar por fazê-lo, poderá adicionar um domínio personalizado de propriedade de sua organização para que usuários definidos possam usar um email tradicional da empresa, comojohn@contoso.com.País ou região: selecione o país/região no qual o diretório deve residir. O país/região identifica a região e o data center onde a instância do Microsoft Entra está localizada; você não pode alterá-lo posteriormente.
Selecione Criar para criar o novo diretório. Um diretório de camada gratuita é criado onde você pode adicionar usuários, criar funções, registrar aplicativos e dispositivos, e controlar licenças.
Depois de criar o diretório, selecione Clique aqui para gerenciar o novo locatário a fim de acessar o painel "Visão geral" e controlar todos os aspectos do diretório.
Vamos explorar um dos principais elementos com os quais você trabalhará no Microsoft Entra ID: usuários.