Partilhar via


Fundamentos do Microsoft Entra

O Microsoft Entra ID fornece um limite de identidade e acesso para recursos do Azure e aplicativos confiáveis. A maioria dos requisitos de separação de ambiente pode ser atendida com administração delegada em um único locatário do Microsoft Entra. Essa configuração reduz a sobrecarga de gerenciamento de seus sistemas. No entanto, alguns casos específicos, por exemplo, isolamento completo de recursos e identidade, exigem vários locatários.

Você deve determinar sua arquitetura de separação de ambiente com base em suas necessidades. As áreas a considerar incluem:

  • Separação de recursos. Se um recurso puder alterar objetos de diretório, como objetos de usuário, e a alteração interferir com outros recursos, talvez seja necessário isolá-lo em uma arquitetura multilocatário.

  • Separação de configuração. As configurações de todo o locatário afetam todos os recursos. O efeito de algumas configurações de todo o locatário pode ser definido com políticas de Acesso Condicional e outros métodos. Se você precisar de diferentes configurações de locatário que não possam ter escopo com políticas de Acesso Condicional, talvez seja necessária uma arquitetura multilocatário.

  • Separação administrativa. Você pode delegar a administração de grupos de gerenciamento, assinaturas, grupos de recursos, recursos e algumas políticas em um único locatário. Um Administrador Global sempre tem acesso a tudo dentro do locatário. Se você precisar garantir que o ambiente não compartilhe administradores com outro ambiente, precisará de uma arquitetura multilocatário.

Para se manter seguro, você deve seguir as práticas recomendadas para provisionamento de identidade, gerenciamento de autenticação, governança de identidade, gerenciamento do ciclo de vida e operações de forma consistente em todos os locatários.

Terminologia

Esta lista de termos é normalmente associada ao Microsoft Entra ID e relevante para este conteúdo:

Inquilino do Microsoft Entra. Uma instância dedicada e confiável do Microsoft Entra ID que é criada automaticamente quando sua organização se inscreve para uma assinatura do serviço de nuvem da Microsoft. Exemplos de assinaturas incluem Microsoft Azure, Microsoft Intune ou Microsoft 365. Um locatário do Microsoft Entra geralmente representa uma única organização ou limite de segurança. O locatário do Microsoft Entra inclui os usuários, grupos, dispositivos e aplicativos usados para executar o gerenciamento de identidade e acesso (IAM) para recursos de locatário.

Ambiente. No contexto deste conteúdo, um ambiente é uma coleção de assinaturas do Azure, recursos do Azure e aplicativos associados a um ou mais princípios do Microsoft Entra. O locatário do Microsoft Entra fornece o plano de controle de identidade para controlar o acesso a esses recursos.

Ambiente de produção. No contexto deste conteúdo, um ambiente de produção é o ambiente ao vivo com a infraestrutura e os serviços com os quais os usuários finais interagem diretamente. Por exemplo, um ambiente corporativo ou voltado para o cliente.

Ambiente de não produção. No contexto deste conteúdo, um ambiente de não produção refere-se a um ambiente usado para:

  • Desenvolvimento

  • Testar

  • Finalidades laboratoriais

Os ambientes de não produção são comumente chamados de ambientes de área restrita.

Identidade. Uma identidade é um objeto de diretório que pode ser autenticado e autorizado para acesso a um recurso. Os objetos identitários existem para identidades humanas e identidades não humanas. As entidades não humanas incluem:

  • Objetos da aplicação

  • Identidades de carga de trabalho (anteriormente descritas como princípios de serviço)

  • Identidades geridas

  • Dispositivos

As identidades humanas são objetos de usuário que geralmente representam pessoas em uma organização. Essas identidades são criadas e gerenciadas diretamente no Microsoft Entra ID ou são sincronizadas de um Ative Directory local para o Microsoft Entra ID para uma determinada organização. Estes tipos de identidades são referidos como identidades locais. Também pode haver objetos de usuário convidados de uma organização parceira ou de um provedor de identidade social usando a colaboração B2B do Microsoft Entra. Neste conteúdo, referimo-nos a estes tipos de identidade como identidades externas.

As identidades não humanas incluem qualquer identidade não associada a um ser humano. Esse tipo de identidade é um objeto, como um aplicativo, que requer uma identidade para ser executado. Neste conteúdo, referimo-nos a este tipo de identidade como uma identidade de carga de trabalho. Vários termos são usados para descrever esse tipo de identidade, incluindo objetos de aplicativo e entidades de serviço.

  • Objeto de aplicação. Um aplicativo Microsoft Entra é definido por seu objeto de aplicativo. O objeto reside no locatário do Microsoft Entra onde o aplicativo foi registrado. O inquilino é conhecido como o inquilino "doméstico" da aplicação.

    • Os aplicativos de locatário único são criados para autorizar apenas identidades provenientes do locatário "doméstico".

    • Os aplicativos multilocatários permitem que identidades de qualquer locatário do Microsoft Entra sejam autenticadas.

  • Objeto principal do serviço. Embora existam exceções, os objetos de aplicativo podem ser considerados a definição de um aplicativo. Os objetos da entidade de serviço podem ser considerados uma instância de um aplicativo. As entidades de serviço geralmente fazem referência a um objeto de aplicativo e um objeto de aplicativo é referenciado por várias entidades de serviço entre diretórios.

Os objetos de entidade de serviço também são identidades de diretório que podem executar tarefas independentemente da intervenção humana. A entidade de serviço define a política de acesso e as permissões para um usuário ou aplicativo no locatário do Microsoft Entra. Esse mecanismo permite recursos principais, como autenticação do usuário ou aplicativo durante o login e autorização durante o acesso a recursos.

O Microsoft Entra ID permite que objetos de entidade de aplicativo e serviço se autentiquem com uma senha (também conhecida como segredo de aplicativo) ou com um certificado. O uso de senhas para entidades de serviço é desencorajado e recomendamos o uso de um certificado sempre que possível.

  • Identidades gerenciadas para recursos do Azure. As identidades gerenciadas são entidades de serviço especiais no Microsoft Entra ID. Esse tipo de entidade de serviço pode ser usado para autenticar em serviços que oferecem suporte à autenticação do Microsoft Entra sem a necessidade de armazenar credenciais em seu código ou lidar com o gerenciamento de segredos. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?

  • Identidade do dispositivo: uma identidade de dispositivo verifica se o dispositivo no fluxo de autenticação passou por um processo para atestar que o dispositivo é legítimo e atende aos requisitos técnicos. Depois que o dispositivo concluir esse processo com êxito, a identidade associada poderá ser usada para controlar ainda mais o acesso aos recursos de uma organização. Com o Microsoft Entra ID, os dispositivos podem autenticar-se com um certificado.

Alguns cenários legados exigiam uma identidade humana para ser usada em cenários não humanos . Por exemplo, quando as contas de serviço que estão sendo usadas em aplicativos locais, como scripts ou trabalhos em lote, exigem acesso ao Microsoft Entra ID. Esse padrão não é recomendado e recomendamos que você use certificados. No entanto, se você usar uma identidade humana com senha para autenticação, proteja suas contas do Microsoft Entra com a autenticação multifator do Microsoft Entra.

Identidade híbrida. Uma identidade híbrida é uma identidade que abrange ambientes locais e na nuvem. O híbrido oferece o benefício de poder usar a mesma identidade para acessar recursos locais e na nuvem. A fonte de autoridade nesse cenário normalmente é um diretório local, e o ciclo de vida da identidade em torno do provisionamento, desprovisionamento e atribuição de recursos também é orientado a partir do local. Para obter mais informações, consulte Documentação de identidade híbrida.

Objetos de diretório. Um locatário do Microsoft Entra contém os seguintes objetos comuns:

  • Os objetos de usuário representam identidades humanas e não humanas para serviços que atualmente não oferecem suporte a entidades de serviço. Os objetos de usuário contêm atributos que têm as informações necessárias sobre o usuário, incluindo detalhes pessoais, associações de grupo, dispositivos e funções atribuídas ao usuário.

  • Os objetos Device representam dispositivos associados a um locatário do Microsoft Entra. Os objetos de dispositivo contêm atributos que têm as informações necessárias sobre o dispositivo. Esses objetos incluem o sistema operacional, o usuário associado, o estado de conformidade e a natureza da associação com o locatário do Microsoft Entra. Esta associação pode assumir várias formas, dependendo da natureza da interação e do nível de confiança do dispositivo.

    • Domínio híbrido associado. Dispositivos pertencentes à organização e associados ao Ative Directory local e ao Microsoft Entra ID. Normalmente, um dispositivo adquirido e gerenciado por uma organização e gerenciado pelo System Center Configuration Manager.

    • Domínio do Microsoft Entra Ingressado. Dispositivos de propriedade da organização e associados ao locatário do Microsoft Entra da organização. Normalmente, um dispositivo comprado e gerenciado por uma organização que ingressou na ID do Microsoft Entra e foi gerenciado por um serviço como o Microsoft Intune.

    • Microsoft Entra registado. Dispositivos que não pertencem à organização, por exemplo, um dispositivo pessoal usado para acessar recursos da empresa. As organizações podem exigir que o dispositivo seja registrado por meio do Gerenciamento de Dispositivos Móveis (MDM) ou imposto por meio do Gerenciamento de Aplicativos Móveis (MAM) sem registro para acessar recursos. Um serviço como o Microsoft Intune pode fornecer esse recurso.

  • Os objetos de grupo contêm objetos para fins de atribuição de acesso a recursos, aplicação de controles ou configuração. Os objetos de grupo contêm atributos que têm as informações necessárias sobre o grupo, incluindo o nome, a descrição, os membros do grupo, os proprietários do grupo e o tipo de grupo. Os grupos no Microsoft Entra ID assumem várias formas com base nos requisitos de uma organização. Esses requisitos podem ser atendidos usando o Microsoft Entra ID ou sincronizados a partir dos Serviços de Domínio Ative Directory (AD DS) locais.

    • Grupos atribuídos. Nos grupos atribuídos, os usuários são adicionados ou removidos do grupo manualmente, sincronizados do AD DS local ou atualizados como parte de um fluxo de trabalho automatizado com script. Um grupo atribuído pode ser sincronizado a partir do AD DS local ou pode ser alojado no Microsoft Entra ID.

    • Grupos dinâmicos de membros. Em grupos de associação dinâmica baseados em atributos, os usuários são atribuídos ao grupo automaticamente com base em atributos definidos. Esse cenário permite que as associações de grupo sejam atualizadas dinamicamente com base nos dados mantidos nos objetos do usuário. Um grupo de associação dinâmico só pode ser hospedado no Microsoft Entra ID.

Conta Microsoft (MSA). Você pode criar assinaturas e locatários do Azure usando Contas da Microsoft (MSA). Uma Conta da Microsoft é uma conta pessoal (em oposição a uma conta organizacional) e é comumente usada por desenvolvedores e para cenários de avaliação. Quando usada, a conta pessoal é sempre tornada um convidado em um locatário do Microsoft Entra.

Áreas funcionais do Microsoft Entra

Essas áreas funcionais são fornecidas pelo Microsoft Entra ID que são relevantes para ambientes isolados. Para saber mais sobre os recursos do Microsoft Entra ID, consulte O que é o Microsoft Entra ID?.

Autenticação

Autenticação. O Microsoft Entra ID fornece suporte para protocolos de autenticação compatíveis com padrões abertos, como OpenID Connect, OAuth e SAML. O Microsoft Entra ID também fornece recursos para permitir que as organizações federam provedores de identidade locais existentes, como os Serviços de Federação do Ative Directory (AD FS), para autenticar o acesso a aplicativos integrados do Microsoft Entra.

O Microsoft Entra ID fornece opções de autenticação forte líderes do setor que as organizações podem usar para proteger o acesso aos recursos. A autenticação multifator do Microsoft Entra, a autenticação de dispositivo e os recursos sem senha permitem que as organizações implantem opções de autenticação forte que atendam aos requisitos de sua força de trabalho.

Logon único (SSO). Com o logon único, os usuários entram uma vez com uma conta para acessar todos os recursos que confiam no diretório, como dispositivos associados ao domínio, recursos da empresa, aplicativos SaaS (software como serviço) e todos os aplicativos integrados do Microsoft Entra. Para obter mais informações, consulte logon único para aplicativos no Microsoft Entra ID.

Autorização

Atribuição de acesso a recursos. O Microsoft Entra ID fornece e protege o acesso aos recursos. A atribuição de acesso a um recurso no Microsoft Entra ID pode ser feita de duas maneiras:

  • Atribuição de usuário: o usuário recebe acesso direto ao recurso e a função ou permissão apropriada é atribuída ao usuário.

  • Atribuição de grupo: um grupo que contém um ou mais usuários é atribuído ao recurso e a função ou permissão apropriada é atribuída ao grupo

Políticas de acesso a aplicativos. O Microsoft Entra ID fornece recursos para controlar ainda mais e proteger o acesso aos aplicativos da sua organização.

Acesso condicional. As políticas de Acesso Condicional do Microsoft Entra são ferramentas para trazer o contexto do usuário e do dispositivo para o fluxo de autorização ao acessar os recursos do Microsoft Entra. As organizações devem explorar o uso de políticas de Acesso Condicional para permitir, negar ou aprimorar a autenticação com base no usuário, risco, dispositivo e contexto de rede. Para obter mais informações, consulte a documentação do Microsoft Entra Conditional Access.

Proteção de ID do Microsoft Entra. Esse recurso permite que as organizações automatizem a deteção e a correção de riscos baseados em identidade, investiguem riscos e exportem dados de deteção de riscos para utilitários de terceiros para análise posterior. Para obter mais informações, consulte Visão geral sobre a Proteção de ID do Microsoft Entra.

Administração

Gestão de identidades. O Microsoft Entra ID fornece ferramentas para gerenciar o ciclo de vida das identidades de usuários, grupos e dispositivos. O Microsoft Entra Connect permite que as organizações estendam a solução de gerenciamento de identidades local atual para a nuvem. O Microsoft Entra Connect gerencia o provisionamento, o desprovisionamento e as atualizações dessas identidades na ID do Microsoft Entra.

O Microsoft Entra ID também fornece um portal e a API do Microsoft Graph para permitir que as organizações gerenciem identidades ou integrem o gerenciamento de identidades do Microsoft Entra em fluxos de trabalho ou automação existentes. Para saber mais sobre o Microsoft Graph, consulte Usar a API do Microsoft Graph.

Gestão de dispositivos. O Microsoft Entra ID é usado para gerenciar o ciclo de vida e a integração com infraestruturas de gerenciamento de dispositivos locais e na nuvem. Ele também é usado para definir políticas para controlar o acesso da nuvem ou de dispositivos locais aos seus dados organizacionais. O Microsoft Entra ID fornece os serviços de ciclo de vida dos dispositivos no diretório e o provisionamento de credenciais para habilitar a autenticação. Ele também gerencia um atributo chave de um dispositivo no sistema que é o nível de confiança. Esse detalhe é importante ao projetar uma política de acesso a recursos. Para obter mais informações, consulte a documentação do Microsoft Entra Device Management.

Gestão de configurações. O Microsoft Entra ID tem elementos de serviço que precisam ser configurados e gerenciados para garantir que o serviço esteja configurado de acordo com os requisitos de uma organização. Esses elementos incluem gerenciamento de domínio, configuração de SSO e gerenciamento de aplicativos, para citar apenas alguns. O Microsoft Entra ID fornece um portal e a API do Microsoft Graph para permitir que as organizações gerenciem esses elementos ou se integrem a processos existentes. Para saber mais sobre o Microsoft Graph, consulte Usar a API do Microsoft Graph.

Governação

Ciclo de vida da identidade. O Microsoft Entra ID fornece recursos para criar, recuperar, excluir e atualizar identidades no diretório, incluindo identidades externas. O Microsoft Entra ID também fornece serviços para automatizar o ciclo de vida da identidade para garantir que ele seja mantido de acordo com as necessidades da sua organização. Por exemplo, usar as Revisões do Access para remover usuários externos que ainda não entraram por um período especificado.

Relatórios e análises. Um aspeto importante da governança de identidade é a visibilidade das ações do usuário. O Microsoft Entra ID fornece informações sobre os padrões de segurança e uso do seu ambiente. Esses insights incluem informações detalhadas sobre:

  • O que seus usuários acessam

  • De onde eles acessam

  • Os dispositivos que utilizam

  • Aplicações utilizadas para aceder

O Microsoft Entra ID também fornece informações sobre as ações que estão sendo executadas no Microsoft Entra ID e relatórios sobre riscos de segurança. Para obter mais informações, consulte Relatórios e monitoramento do Microsoft Entra.

Auditoria. A auditoria fornece rastreabilidade por meio de logs para todas as alterações feitas por recursos específicos dentro do Microsoft Entra ID. Exemplos de atividades encontradas nos logs de auditoria incluem alterações feitas em quaisquer recursos dentro da ID do Microsoft Entra, como adicionar ou remover usuários, aplicativos, grupos, funções e políticas. A geração de relatórios no Microsoft Entra ID permite auditar atividades de entrada, entradas arriscadas e usuários sinalizados para risco. Para obter mais informações, consulte Relatórios de atividade de auditoria no portal do Azure.

Certificação de acesso. A certificação de acesso é o processo para provar que um usuário tem direito a ter acesso a um recurso em um determinado momento. As revisões de acesso do Microsoft Entra analisam continuamente as associações de grupos ou aplicativos e fornecem informações para determinar se o acesso é necessário ou deve ser removido. Essa certificação permite que as organizações gerenciem com eficácia as associações de grupo, o acesso a aplicativos corporativos e as atribuições de função para garantir que apenas as pessoas certas continuem a ter acesso. Para obter mais informações, consulte O que são revisões de acesso do Microsoft Entra?

Acesso privilegiado. O Microsoft Entra Privileged Identity Management (PIM) fornece ativação de função baseada em tempo e aprovação para mitigar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas aos recursos do Azure. Ele é usado para proteger contas privilegiadas, reduzindo o tempo de exposição de privilégios e aumentando a visibilidade de seu uso por meio de relatórios e alertas.

Gerenciamento de autoatendimento

Registo de credenciais. O Microsoft Entra ID fornece recursos para gerenciar todos os aspetos do ciclo de vida da identidade do usuário e recursos de autoatendimento para reduzir a carga de trabalho do helpdesk de uma organização.

Gestão de grupos. O Microsoft Entra ID fornece recursos que permitem que os usuários solicitem associação a um grupo para acesso a recursos. Use o Microsoft Entra ID para criar grupos que podem ser usados para proteger recursos ou colaboração. Portanto, as organizações podem utilizar os controles apropriados que implementam para controlar esses recursos.

Gerenciamento de acesso e identidade do consumidor (IAM)

Azure AD B2C. O Azure AD B2C é um serviço que pode ser habilitado em uma assinatura do Azure para fornecer identidades aos consumidores para os aplicativos voltados para o cliente da sua organização. Esse serviço é uma oferta de identidade separada e, portanto, esses usuários normalmente não aparecem no locatário do Microsoft Entra da organização. O Azure AD B2C é gerenciado por administradores no locatário associado à assinatura do Azure.

Próximos passos