O Microsoft Entra ID é um serviço de diretório e identidade baseado em nuvem. Esta arquitetura de referência mostra as práticas recomendadas para integrar domínios do Ative Directory locais com o Microsoft Entra ID para fornecer autenticação de identidade baseada em nuvem.
Arquitetura
Aceda ao diagrama do Visio online, através do Microsoft 365. Observe que você deve ter uma licença do Visio para acessar este diagrama. Ou baixe um arquivo do Visio dessa arquitetura (consulte a guia Visio "Microsoft Entra ID").
Nota
Para simplificar, este diagrama mostra apenas as conexões diretamente relacionadas ao Microsoft Entra ID, e não o tráfego relacionado ao protocolo que pode ocorrer como parte da autenticação e federação de identidades. Por exemplo, um aplicativo Web pode redirecionar o navegador da Web para autenticar a solicitação por meio do Microsoft Entra ID. Uma vez autenticado, o pedido pode ser transmitido de volta para a aplicação Web, com as informações de identidade adequadas.
Para obter considerações adicionais, veja Escolher uma solução de integração do Active Directory no local com o Azure.
Componentes
A arquitetura é composta pelos seguintes componentes:
Inquilino do Microsoft Entra. Uma instância do Microsoft Entra ID criada pela sua organização. Esta instância funciona como um serviço de diretório para as aplicações na cloud, ao armazenar objetos copiados do Active Directory no local, e fornece serviços de identidade.
Sub-rede da camada Web. Esta sub-rede detém as VMs que executam a aplicação Web. O Microsoft Entra ID pode atuar como um agente de identidade para este aplicativo.
Servidor do AD DS no local. Um diretório local e um serviço de identidade. O diretório do AD DS pode ser sincronizado com a ID do Microsoft Entra para permitir que ele autentique usuários locais.
Servidor Microsoft Entra Connect Sync. Um computador local que executa o serviço de sincronização do Microsoft Entra Connect . Este serviço sincroniza as informações mantidas no Ative Directory local com o Microsoft Entra ID. Por exemplo, se você provisionar ou desprovisionar grupos e usuários locais, essas alterações se propagarão para a ID do Microsoft Entra.
Nota
Por motivos de segurança, o Microsoft Entra ID armazena as senhas do usuário como um hash. Se um usuário exigir uma redefinição de senha, isso deverá ser executado no local e o novo hash deverá ser enviado para o Microsoft Entra ID. As edições P1 ou P2 do Microsoft Entra ID incluem recursos que podem permitir que alterações de senha aconteçam na nuvem e, em seguida, sejam gravadas de volta no AD DS local.
VMs para aplicação de N camadas. Para obter mais informações sobre esses recursos, consulte [Executar VMs para uma arquitetura de N camadas][implementing-a-multi-tier-architecture-on-Azure].
Detalhes do cenário
Potenciais casos de utilização
Utilizações típicas desta arquitetura de referência incluem:
- As aplicações Web implementadas no Azure que fornecem acesso aos utilizadores remotos que pertencem à sua organização.
- A implementação de capacidades personalizadas para utilizadores finais, tal como redefinir as palavras-passe e delegar a gestão de grupos. Isso requer o Microsoft Entra ID P1 ou P2 edition.
- Arquiteturas nas quais a rede local e a VNet do Azure do aplicativo não estão conectadas usando um túnel VPN ou circuito de Rota Expressa.
Nota
O Microsoft Entra ID pode autenticar a identidade de usuários e aplicativos que existem no diretório de uma organização. Algumas aplicações e serviços, como o SQL Server, podem exigir a autenticação do computador, nesse caso, esta solução não é adequada.
Recomendações
As recomendações seguintes aplicam-se à maioria dos cenários. Siga-as, a não ser que tenha requisitos específicos que as anulem.
Configurar o serviço Microsoft Entra Connect Sync
O serviço Microsoft Entra Connect Sync garante que as informações de identidade armazenadas na nuvem sejam consistentes com as informações de identidade armazenadas localmente. Instalar este serviço usando o software Microsoft Entra Connect.
Antes de implementar o Microsoft Entra Connect Sync, determine os requisitos de sincronização da sua organização. Por exemplo, o que sincronizar, a partir de que domínios e a frequência. Para obter mais informações, veja Determinar os requisitos de sincronização do diretório.
Você pode executar o serviço Microsoft Entra Connect Sync em uma VM ou em um computador hospedado localmente. Dependendo da volatilidade das informações no diretório do Ative Directory, é improvável que a carga no serviço Microsoft Entra Connect Sync seja alta após a sincronização inicial com o Microsoft Entra ID. A execução do serviço numa VM torna mais fácil dimensionar o servidor, se necessário. Monitorize a atividade na VM, tal como descrito na secção Considerações de monitorização para determinar se o dimensionamento é necessário.
Se você tiver vários domínios locais em uma floresta, recomendamos armazenar e sincronizar informações de toda a floresta para um único locatário do Microsoft Entra. Filtre informações para identidades que ocorrem em mais de um domínio, para que cada identidade apareça apenas uma vez no ID do Microsoft Entra, em vez de ser duplicada. A duplicação pode levar a inconsistências quando os dados são sincronizados. Para obter mais informações, veja a secção Topologia.
Use a filtragem para que apenas os dados necessários sejam armazenados no Microsoft Entra ID. Por exemplo, sua organização pode não querer armazenar informações sobre contas inativas no Microsoft Entra ID. A filtragem pode ser baseada em grupos, domínios, unidades de organização (UOs) ou atributos. Pode combinar os filtros para gerar regras mais complexas. Por exemplo, pode sincronizar os objetos contidos num domínio com um valor específico num atributo selecionado. Para obter informações detalhadas, consulte Microsoft Entra Connect Sync: Configurar filtragem.
Para implementar uma elevada disponibilidade no serviço de sincronização do AD Connect, execute um servidor de teste secundário. Para obter mais informações, veja a secção Recomendações de topologia.
Nota
A sincronização na nuvem do Microsoft Entra Connect é uma nova oferta da Microsoft projetada para atender e atingir suas metas de identidade híbrida para sincronização de usuários, grupos e contatos com o Microsoft Entra ID. Com a sincronização na nuvem do Microsoft Entra Connect, o provisionamento do AD para o ID do Microsoft Entra é orquestrado no Microsoft Online Services.
Validar a configuração e a política de segurança
Gestão de palavras-passe de utilizadores. As edições P1 ou P2 do Microsoft Entra ID dão suporte ao write-back de senha, permitindo que seus usuários locais executem redefinições de senha de autoatendimento de dentro do portal do Azure. Esse recurso deve ser habilitado somente depois de revisar a política de segurança de senha da sua organização. Por exemplo, pode restringir os utilizadores que podem alterar as palavras-passe e pode personalizar a experiência de gestão de palavras-passe. Para obter mais informações, veja Personalizar a Gestão de Palavras-passe para se ajustar às necessidades da sua organização.
Proteção de aplicações no local que podem ser acedidas externamente. Use o proxy de aplicativo Microsoft Entra para fornecer acesso controlado a aplicativos Web locais para usuários de fora da sua rede por meio do Microsoft Entra ID. Apenas os utilizadores com credenciais válidas no diretório do Azure têm permissão para utilizar a aplicação. Para obter mais informações, veja o artigo Ativar o Proxy de Aplicações no Portal do Azure.
Monitore ativamente o ID do Microsoft Entra em busca de sinais de atividade suspeita. Considere usar a edição P2 do Microsoft Entra ID, que inclui a Proteção de ID do Microsoft Entra. O Identity Protection utiliza algoritmos de machine learning adaptáveis e heurística para detetar anomalias e eventos de risco que podem indicar que uma identidade foi comprometida. Por exemplo, pode detetar a atividade potencialmente invulgar, tal como atividades de início de sessão irregulares, inícios de sessão a partir de origens desconhecidas ou de endereços IP com atividade suspeita ou inícios de sessão a partir de dispositivos que possam estar infetados. A Proteção de Identidade usa esses dados para gerar relatórios e alertas que permitem investigar esses eventos de risco e tomar as medidas apropriadas. Para obter mais informações, consulte Proteção de ID do Microsoft Entra.
Você pode usar o recurso de relatório do Microsoft Entra ID no portal do Azure para monitorar atividades relacionadas à segurança que ocorrem em seu sistema. Para obter mais informações sobre como usar esses relatórios, consulte Microsoft Entra ID Reporting Guide.
Validar topologia de rede
Configure o Microsoft Entra Connect para implementar uma topologia que mais se aproxime dos requisitos da sua organização. As topologias suportadas pelo Microsoft Entra Connect incluem:
Floresta única, diretório único do Microsoft Entra. Nessa topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de um ou mais domínios em uma única floresta local em um único locatário do Microsoft Entra. Esta topologia é a implementação padrão pela instalação expressa do Microsoft Entra Connect.
Nota
Não use vários servidores do Microsoft Entra Connect Sync para conectar domínios diferentes na mesma floresta local ao mesmo locatário do Microsoft Entra, a menos que você esteja executando um servidor no modo de preparo, descrito abaixo.
Várias florestas, um único diretório do Microsoft Entra. Nessa topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de várias florestas em um único locatário do Microsoft Entra. Utilize esta topologia se a sua organização tiver mais do que uma floresta no local. Você pode consolidar informações de identidade para que cada usuário exclusivo seja representado uma vez no diretório do Microsoft Entra, mesmo que o usuário exista em mais de uma floresta. Todas as florestas usam o mesmo servidor Microsoft Entra Connect Sync. O servidor Microsoft Entra Connect Sync não precisa fazer parte de nenhum domínio, mas deve ser acessível de todas as florestas.
Nota
Nessa topologia, não use servidores separados do Microsoft Entra Connect Sync para conectar cada floresta local a um único locatário do Microsoft Entra. Isso pode resultar em informações de identidade duplicadas no ID do Microsoft Entra se os usuários estiverem presentes em mais de uma floresta.
Várias florestas, topologias separadas. Essa topologia mescla informações de identidade de florestas separadas em um único locatário do Microsoft Entra, tratando todas as florestas como entidades separadas. Essa topologia é útil se você estiver combinando florestas de organizações diferentes e as informações de identidade de cada usuário forem mantidas em apenas uma floresta.
Nota
Se as listas de endereços globais (GAL) em cada floresta estiverem sincronizadas, um utilizador numa floresta poderá estar presente noutra como um contacto. Tal poderá ocorrer se a sua organização tiver implementado GALSync com o Forefront Identity manager 2010 ou o Microsoft Identity Manager 2016. Neste cenário, pode especificar que os utilizadores devem ser identificados pelo seu atributo Correio. Pode igualmente fazer corresponder as identidades aos atributos ObjectSID e msExchMasterAccountSID. Este procedimento será útil se tiver uma ou mais florestas de recursos com contas desativadas.
Servidor de teste. Nessa configuração, você executa uma segunda instância do servidor Microsoft Entra Connect Sync em paralelo com a primeira. Esta estrutura suporta cenários tais como:
Elevada disponibilidade.
Testando e implantando uma nova configuração do servidor Microsoft Entra Connect Sync.
Introdução de um novo servidor e desativação de uma configuração antiga.
Nestes cenários, a segunda instância é executada no modo de teste. O servidor registra objetos importados e dados de sincronização em seu banco de dados, mas não passa os dados para o Microsoft Entra ID. Se você desabilitar o modo de preparo, o servidor começará a gravar dados no ID do Microsoft Entra e também começará a executar write-backs de senha nos diretórios locais, quando apropriado. Para obter mais informações, consulte Microsoft Entra Connect Sync: tarefas operacionais e considerações.
Vários diretórios do Microsoft Entra. Normalmente, você cria um único diretório do Microsoft Entra para uma organização, mas pode haver situações em que você precisa particionar informações em diretórios separados do Microsoft Entra. Nesse caso, evite problemas de sincronização e write-back de senha, garantindo que cada objeto da floresta local apareça em apenas um diretório do Microsoft Entra. Para implementar esse cenário, configure servidores separados do Microsoft Entra Connect Sync para cada diretório do Microsoft Entra e use filtragem para que cada servidor do Microsoft Entra Connect Sync opere em um conjunto mutuamente exclusivo de objetos.
Para obter mais informações sobre essas topologias, consulte Topologias para o Microsoft Entra Connect.
Configurar método de autenticação do usuário
Por padrão, o servidor Microsoft Entra Connect Sync configura a sincronização de hash de senha entre o domínio local e a ID do Microsoft Entra. O serviço Microsoft Entra pressupõe que os usuários se autentiquem fornecendo a mesma senha que usam localmente. Para muitas organizações, essa estratégia é apropriada, mas você deve considerar as políticas e a infraestrutura existentes da sua organização. Por exemplo:
- A política de segurança da sua organização pode proibir a sincronização de hashes de palavra-passe para a nuvem. Nesse caso, sua organização deve considerar a autenticação de passagem.
- Pode precisar que os utilizadores realizem um início de sessão único (SSO) totalmente integrado ao acederem aos recursos da cloud a partir de computadores associados a um domínio na rede empresarial.
- Sua organização pode já ter os Serviços de Federação do Ative Directory (AD FS) ou um provedor de federação de terceiros implantado. Você pode configurar o Microsoft Entra ID para usar essa infraestrutura para implementar autenticação e SSO, em vez de usar informações de senha mantidas na nuvem.
Para obter mais informações, consulte Opções de logon do usuário do Microsoft Entra Connect.
Configurar o proxy de aplicativo do Microsoft Entra
Use o Microsoft Entra ID para fornecer acesso a aplicativos locais.
Exponha seus aplicativos Web locais usando conectores de proxy de aplicativo gerenciados pelo componente proxy de aplicativo Microsoft Entra. O conector de proxy de aplicativo abre uma conexão de rede de saída para o proxy de aplicativo Microsoft Entra. As solicitações dos usuários remotos são roteadas de volta do Microsoft Entra ID por meio dessa conexão proxy para os aplicativos Web. Essa configuração elimina a necessidade de abrir portas de entrada no firewall local e reduz a superfície de ataque exposta pela sua organização.
Para obter mais informações, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.
Configurar a sincronização de objetos do Microsoft Entra
A configuração padrão do Microsoft Entra Connect sincroniza objetos do diretório local do Ative Directory com base nas regras especificadas no artigo Microsoft Entra Connect Sync: Compreendendo a configuração padrão. Os objetos que satisfazem estas regras são sincronizados e todos os outros são ignorados. Algumas regras de exemplo:
- Os objetos de utilizador têm de ter um atributo sourceAnchor exclusivo e o atributo accountEnabled tem de estar preenchido.
- Os objetos de usuário devem ter um atributo sAMAccountName e não podem começar com o texto Azure AD_ ou MSOL_.
O Microsoft Entra Connect aplica várias regras aos objetos User, Contact, Group, ForeignSecurityPrincipal e Computer. Use o Editor de Regras de Sincronização instalado com o Microsoft Entra Connect se precisar modificar o conjunto padrão de regras. Para obter mais informações, consulte Microsoft Entra Connect Sync: Compreendendo a configuração padrão).
Também pode definir os seus próprios filtros para limitar os objetos sincronizados por domínio ou UOs. Como alternativa, você pode implementar uma filtragem personalizada mais complexa, como a descrita em Microsoft Entra Connect Sync: Configure Filtering.
Configurar os agentes de monitorização
A monitorização do estado de funcionamento é realizada pelos seguintes agentes instalados no local:
- O Microsoft Entra Connect instala um agente que captura informações sobre operações de sincronização. Use a folha Microsoft Entra Connect Health no portal do Azure para monitorar sua integridade e desempenho. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health para sincronização.
- Para monitorar a integridade dos domínios e diretórios do AD DS do Azure, instale o agente Microsoft Entra Connect Health for AD DS em uma máquina dentro do domínio local. Use a folha Microsoft Entra Connect Health no portal do Azure para monitoramento de integridade. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health com o AD DS
- Instale o agente Microsoft Entra Connect Health for AD FS para monitorar a integridade dos serviços executados no local e use a folha Microsoft Entra Connect Health no portal do Azure para monitorar o AD FS. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health com o AD FS
Para obter mais informações sobre como instalar os agentes de integridade do AD Connect e seus requisitos, consulte Instalação do agente de integridade do Microsoft Entra Connect.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.
O serviço Microsoft Entra é distribuído geograficamente e executado em vários datacenters espalhados pelo mundo com failover automatizado. Se um datacenter ficar indisponível, o Microsoft Entra ID garante que os dados do diretório estejam disponíveis para, por exemplo, acesso em pelo menos mais dois datacenters dispersos regionalmente.
Nota
O contrato de nível de serviço (SLA) para a camada Microsoft 365 Apps AD e os serviços Premium garante pelo menos 99,9% de disponibilidade. Não há SLA para a camada Gratuita do Microsoft Entra ID. Para obter mais informações, consulte SLA para Microsoft Entra ID.
Considere o provisionamento de uma segunda instância do servidor Microsoft Entra Connect Sync no modo de preparo para aumentar a disponibilidade, conforme discutido na seção de recomendações de topologia.
Se você não estiver usando a instância do SQL Server Express LocalDB que vem com o Microsoft Entra Connect, considere usar o cluster SQL para obter alta disponibilidade. Soluções como espelhamento e Always On não são suportadas pelo Microsoft Entra Connect.
Para obter considerações adicionais sobre como obter alta disponibilidade do servidor Microsoft Entra Connect Sync e também como recuperar após uma falha, consulte Microsoft Entra Connect Sync: tarefas e considerações operacionais - Disaster Recovery.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.
Utilize o controlo de acesso condicional para negar pedidos de autenticação provenientes de origens inesperadas:
Acione a autenticação multifator (MFA) do Microsoft Entra se um usuário tentar se conectar de um local não confiável, como pela Internet, em vez de uma rede confiável.
Utilize o tipo de plataforma de dispositivos do utilizador (iOS, Android, Windows Mobile, Windows) para determinar a política de acesso a aplicações e a funcionalidades.
Registe o estado ativado/desativado dos dispositivos dos utilizadores e incorpore estas informações nas verificações da política de acesso. Por exemplo, se um telefone do utilizador for perdido ou roubado, este deverá ser registado como desativado para impedir que seja utilizado para obter acesso.
Controle o acesso dos utilizadores aos recursos com base na associação de grupos. Use as regras de associação dinâmica do Microsoft Entra para simplificar a administração do grupo. Para obter uma breve descrição sobre o funcionamento destas regras, veja Introduction to Dynamic Memberships for Groups (Introdução às Associações Dinâmicas de Grupos).
Use políticas de risco de acesso condicional com o Microsoft Entra ID Protection para fornecer proteção avançada com base em atividades de entrada incomuns ou outros eventos.
Para obter mais informações, consulte Acesso condicional do Microsoft Entra.
Otimização de custos
A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.
Utilize a calculadora de preços do Azure para prever os custos.
As considerações de custo incluem:
Microsoft Entra Connect - O recurso de sincronização do Microsoft Entra Connect está disponível em todas as edições do Microsoft Entra ID.
Não há requisitos de licença adicionais para usar o Microsoft Entra Connect e está incluído em sua assinatura do Azure.
Para obter informações sobre preços sobre as edições do Microsoft Entra ID, consulte Preços do Microsoft Entra.
VMs para aplicativo de N camadas - Para obter informações de custo sobre esses recursos, consulte [Executar VMs para uma arquitetura de N camadas][implementando-a-multi-tier-architecture-on-Azure].
Excelência operacional
A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.
Capacidade de gestão
Há dois aspetos para gerenciar o Microsoft Entra ID:
- Administrar o ID do Microsoft Entra na nuvem.
- Manutenção dos servidores Microsoft Entra Connect Sync.
O Microsoft Entra ID fornece as seguintes opções para gerenciar domínios e diretórios na nuvem:
- Módulo PowerShell do Microsoft Graph - usado para criar scripts de tarefas administrativas comuns do Microsoft Entra, como gerenciamento de usuários, gerenciamento de domínio e configuração de logon único.
- Folha de gerenciamento do Microsoft Entra no portal do Azure - fornece uma exibição de gerenciamento interativa do diretório e permite controlar e configurar a maioria dos aspetos do Microsoft Entra ID.
O Microsoft Entra Connect instala as seguintes ferramentas para manter os serviços de sincronização do Microsoft Entra Connect a partir de suas máquinas locais:
- Console do Microsoft Entra Connect - permite modificar a configuração do servidor de Sincronização do Azure AD, personalizar como a sincronização ocorre, habilitar ou desabilitar o modo de preparo e alternar o modo de entrada do usuário. Você pode habilitar o logon FS do Ative Directory usando sua infraestrutura local.
- Synchronization Service Manager - use a guia Operações nesta ferramenta para gerenciar o processo de sincronização e detetar se alguma parte do processo falhou. Pode acionar as sincronizações manualmente com esta ferramenta. O separador Conectores permite-lhe controlar as ligações dos domínios ao qual o motor de sincronização está anexado.
- Editor de Regras de Sincronização - permite personalizar a maneira como os objetos são transformados quando são copiados entre um diretório local e a ID do Microsoft Entra. Essa ferramenta permite especificar atributos e objetos adicionais para sincronização e, em seguida, executa filtros para determinar quais objetos devem ou não ser sincronizados. Para obter mais informações, consulte a seção Editor de regras de sincronização no documento Microsoft Entra Connect Sync: Understanding the default configuration.
Para obter mais informações e dicas para gerenciar o Microsoft Entra Connect, consulte Microsoft Entra Connect Sync: práticas recomendadas para alterar a configuração padrão.
DevOps
Para obter considerações sobre DevOps, consulte Excelência operacional na extensão dos Serviços de Domínio Ative Directory (AD DS) para o Azure.
Eficiência de desempenho
Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.
O serviço Microsoft Entra oferece suporte à escalabilidade com base em réplicas, com uma única réplica primária que lida com operações de gravação, além de várias réplicas secundárias somente leitura. O Microsoft Entra ID redireciona de forma transparente as tentativas de gravação feitas em réplicas secundárias para a réplica primária e fornece consistência eventual. Todas as alterações realizadas na réplica primária são propagadas para as réplicas secundárias. Essa arquitetura é bem dimensionada porque a maioria das operações no Microsoft Entra ID são leituras em vez de gravações. Para obter mais informações, consulte O que é a arquitetura do Microsoft Entra?
Para o servidor Microsoft Entra Connect Sync, determine quantos objetos você provavelmente sincronizará a partir do diretório local. Se você tiver menos de 100.000 objetos, poderá usar o software padrão SQL Server Express LocalDB fornecido com o Microsoft Entra Connect. Se você tiver um número maior de objetos, deverá instalar uma versão de produção do SQL Server e executar uma instalação personalizada do Microsoft Entra Connect, especificando que ele deve usar uma instância existente do SQL Server.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Eric Woodruff - Brasil | Especialista Técnico de Produto
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximos passos
- Analise as Considerações de Design de Identidade Híbrida do Microsoft Entra, que incluem mais informações sobre como tomar decisões em relação à identidade híbrida.
- Revise Topologias do Microsoft Entra Connect para garantir que a topologia híbrida do Microsoft Entra Connect seja implantada em uma configuração com suporte.
- Saiba mais sobre como usar o acesso condicional para proteger o acesso aos seus aplicativos com Planejar uma implantação de Acesso Condicional.
- Para obter mais informações sobre como fornecer o AD DS no Azure como infraestrutura, consulte Integrando o AD local com o Azure.
- Analise o proxy de aplicativo Microsoft Entra se você pretende fornecer integrações do Microsoft Entra com aplicativos IaaS locais ou na nuvem.
- Como a identidade é o novo plano de controle para segurança, revise as Práticas recomendadas de gerenciamento de identidade.
- Além disso, como a implantação dessa solução requer contas altamente privilegiadas, consulte Protegendo acesso privilegiado para entender os controles de segurança para contas privilegiadas.