Descrever tipos de identidades

  • 12 minutos

No Microsoft Entra ID, há diferentes tipos de identidades que são suportadas. Os termos que você ouvirá e serão introduzidos nesta unidade são identidades de usuário, identidades de carga de trabalho, identidades de dispositivo, identidades externas e identidades híbridas. Cada um desses termos é descrito com mais detalhes nas seções a seguir.

Quando você faz a pergunta, a que posso atribuir uma identidade no Microsoft Entra ID, há três categorias.

  • Você pode atribuir identidades a pessoas (humanos). Exemplos de identidades atribuídas a pessoas são funcionários de uma organização que normalmente são configurados como usuários internos e usuários externos que incluem clientes, consultores, fornecedores e parceiros. Para nossos propósitos, nos referiremos a eles como identidades de usuário.
  • Você pode atribuir identidades a dispositivos físicos, como telefones celulares, computadores desktop e dispositivos IoT.
  • Por fim, você pode atribuir identidades a objetos baseados em software, como aplicativos, máquinas virtuais, serviços e contêineres. Essas identidades são chamadas de identidades de carga de trabalho.

Um diagrama de blocos mostrando as categorias de tipos de identidade. As categorias consistem em identidades de carga de trabalho, identidades de dispositivo e identidades humanas. As identidades de carga de trabalho e dispositivo são agrupadas em identidades de máquina.

Nesta unidade, consideramos cada tipo de identidade do Microsoft Entra.

User

As identidades de usuário representam pessoas como funcionários e usuários externos (clientes, consultores, fornecedores e parceiros). No Microsoft Entra ID, as identidades de usuário são caracterizadas pela forma como se autenticam e pela propriedade de tipo de usuário.

A forma como o usuário se autentica é solicitada em relação ao locatário do Microsoft Entra da organização host e pode ser interna ou externa. Autenticação interna significa que o usuário tem uma conta na ID do Microsoft Entra da organização host e usa essa conta para se autenticar na ID do Microsoft Entra. Autenticação externa significa que o usuário se autentica usando uma conta externa do Microsoft Entra que pertence a outra organização, uma identidade de rede social ou outro provedor de identidade externo.

A propriedade user type descreve a relação do usuário com a organização ou, mais especificamente, a locação da organização host. O usuário pode ser um convidado ou um membro do locatário Microsoft Entra da organização. Por padrão, os convidados da organização têm privilégios limitados no diretório da organização, em relação aos membros da organização.

Uma matriz quatro por quatro mostrando os tipos de identidades de usuário suportadas com base no fato de ser um usuário convidado ou membro. A matriz também mostra o tipo de usuário com base no uso de autenticação interna ou externa.

  • Membro interno: esses usuários geralmente são considerados funcionários da sua organização. O usuário se autentica internamente por meio da ID do Microsoft Entra de sua organização, e o objeto de usuário criado no diretório do recurso Microsoft Entra tem um UserType de Membro.
  • Convidado externo: usuários externos ou convidados, incluindo consultores, fornecedores e parceiros, normalmente se enquadram nessa categoria. O usuário se autentica usando uma conta externa do Microsoft Entra ou um provedor de identidade externo (como uma identidade social). O objeto de usuário criado no diretório de recurso Microsoft Entra tem um UserType de Guest, dando-lhes permissões limitadas no nível de convidado.
  • Membro externo: esse cenário é comum em organizações que consistem em vários locatários. Considere o cenário em que o locatário do Microsoft Entra da Contoso e o locatário do Microsoft Entra da Fabrikam são locatários dentro de uma grande organização. Os usuários do locatário da Contoso precisam de acesso em nível de membro aos recursos na Fabrikam. Nesse cenário, os usuários da Contoso são configurados no diretório Microsoft Entra da Fabrikam de forma que se autentiquem com sua conta da Contoso, que é externa à Fabrikam, mas tenham um UserType de Membro para habilitar o acesso em nível de membro aos recursos organizacionais da Fabrikam.
  • Convidado interno: esse cenário existe quando organizações que colaboram com distribuidores, fornecedores e fornecedores configuram contas internas do Microsoft Entra para esses usuários, mas os designam como convidados definindo o objeto de usuário UserType como Convidado. Como convidado, eles têm permissões reduzidas no diretório. Este é considerado um cenário legado, pois agora é mais comum usar a colaboração B2B. Com a colaboração B2B, os usuários podem usar suas próprias credenciais, permitindo que seu provedor de identidade externo gerencie a autenticação e o ciclo de vida da conta.

Convidados externos e membros externos são usuários de colaboração entre empresas (B2B) que se enquadram na categoria de identidades externas no Microsoft Entra ID e são descritos com mais detalhes na unidade subsequente.

Identidades de carga de trabalho

Uma identidade de carga de trabalho é uma identidade que você atribui a uma carga de trabalho de software. Isso permite que a carga de trabalho do software se autentique e acesse outros serviços e recursos. Isso ajuda a proteger sua carga de trabalho.

Proteger suas identidades de carga de trabalho é importante porque, ao contrário de um usuário humano, uma carga de trabalho de software pode lidar com várias credenciais para acessar recursos diferentes e essas credenciais precisam ser armazenadas com segurança. Também é difícil controlar quando uma identidade de carga de trabalho é criada ou quando ela deve ser revogada. As empresas correm o risco de seus aplicativos ou serviços serem explorados ou violados devido a dificuldades em proteger identidades de carga de trabalho.

O Microsoft Entra Workload ID ajuda a resolver esses problemas ao proteger identidades de carga de trabalho.

No Microsoft Entra, as identidades de carga de trabalho são aplicativos, entidades de serviço e identidades gerenciadas.

Aplicações e principais de serviço

Uma entidade de serviço é, essencialmente, uma identidade para um aplicativo. Para que um aplicativo delegue suas funções de identidade e acesso ao Microsoft Entra ID, o aplicativo deve primeiro ser registrado com o Microsoft Entra ID para permitir sua integração. Depois que um aplicativo é registrado, uma entidade de serviço é criada em cada locatário do Microsoft Entra onde o aplicativo é usado. A entidade de serviço habilita os principais recursos, como autenticação e autorização do aplicativo, para recursos protegidos pelo locatário do Microsoft Entra.

Para que as entidades de serviço possam acessar recursos protegidos pelo locatário do Microsoft Entra, os desenvolvedores de aplicativos devem gerenciar e proteger as credenciais. Se não for feito corretamente, isso pode introduzir vulnerabilidades de segurança. As identidades gerenciadas ajudam a descarregar essa responsabilidade do desenvolvedor.

Identidades geridas

As identidades gerenciadas são um tipo de entidade de serviço que são gerenciadas automaticamente no Microsoft Entra ID e eliminam a necessidade de os desenvolvedores gerenciarem credenciais. As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectar aos recursos do Azure que dão suporte à autenticação do Microsoft Entra e podem ser usadas sem qualquer custo extra.

Um diagrama que mostra como um desenvolvedor pode usar identidades gerenciadas para obter acesso a recursos de seu código sem gerenciar credenciais.

Para obter uma lista dos Serviços do Azure que dão suporte a identidades gerenciadas, consulte a seção Saiba mais da unidade Resumo e recursos.

Existem dois tipos de identidades geridas: atribuídas pelo sistema e atribuídas pelo utilizador.

  • Sistema atribuído. Alguns recursos do Azure, como máquinas virtuais, permitem habilitar uma identidade gerenciada diretamente no recurso. Quando você habilita uma identidade gerenciada atribuída ao sistema, uma identidade é criada no Microsoft Entra que está vinculada ao ciclo de vida desse recurso do Azure. Como a identidade está vinculada ao ciclo de vida desse recurso do Azure quando o recurso é excluído, o Azure exclui automaticamente a identidade para você. Um exemplo em que você pode encontrar uma identidade atribuída ao sistema é quando uma carga de trabalho está contida em um único recurso do Azure, como um aplicativo executado em uma única máquina virtual.

  • Atribuído pelo usuário. Você também pode criar uma identidade gerenciada como um recurso autônomo do Azure. Depois de criar uma identidade gerenciada atribuída pelo usuário, você pode atribuí-la a uma ou mais instâncias de um serviço do Azure. Por exemplo, uma identidade gerenciada atribuída pelo usuário pode ser atribuída a várias VMs. Com identidades gerenciadas atribuídas pelo usuário, a identidade é gerenciada separadamente dos recursos que a usam. A exclusão dos recursos que usam a identidade gerenciada atribuída pelo usuário não exclui a identidade. A identidade gerenciada atribuída pelo usuário deve ser explicitamente excluída. Isso é útil em um cenário em que você pode ter várias VMs que têm o mesmo conjunto de permissões, mas podem ser recicladas com frequência. A exclusão de qualquer uma das VMs não afeta a identidade gerenciada atribuída pelo usuário. Da mesma forma, você pode criar uma nova VM e atribuir-lhe a identidade gerenciada atribuída pelo usuário existente.

Dispositivo

Um dispositivo é uma peça de hardware, como dispositivos móveis, laptops, servidores ou impressoras. Uma identidade de dispositivo fornece aos administradores informações que eles podem usar ao tomar decisões de acesso ou configuração. As identidades de dispositivo podem ser configuradas de diferentes maneiras no Microsoft Entra ID.

  • Dispositivos registados Microsoft Entra. O objetivo dos dispositivos registrados do Microsoft Entra é fornecer aos usuários suporte para cenários de BYOD (traga seu próprio dispositivo) ou dispositivo móvel. Nesses cenários, um usuário pode acessar os recursos da sua organização usando um dispositivo pessoal. Os dispositivos registados do Microsoft Entra registam-se no Microsoft Entra ID sem necessitar de uma conta organizacional para iniciar sessão no dispositivo.
  • Microsoft Entra juntou-se. Um dispositivo associado ao Microsoft Entra é um dispositivo associado ao ID do Microsoft Entra através de uma conta organizacional, que é então utilizada para iniciar sessão no dispositivo. Os dispositivos associados ao Microsoft Entra são geralmente propriedade da organização.
  • Microsoft Entra dispositivos híbridos ingressados. As organizações com implementações existentes no Ative Directory local podem se beneficiar da funcionalidade fornecida pelo Microsoft Entra ID implementando dispositivos híbridos ingressados no Microsoft Entra. Esses dispositivos são associados ao Ative Directory local e ao ID do Microsoft Entra que exigem uma conta organizacional para entrar no dispositivo.

O registo e a associação de dispositivos ao Microsoft Entra ID proporcionam aos utilizadores o Início de Sessão Único (SSO) para recursos baseados na nuvem. Além disso, os dispositivos que ingressaram no Microsoft Entra se beneficiam da experiência de SSO para recursos e aplicativos que dependem do Ative Directory local.

Os administradores de TI podem usar ferramentas como o Microsoft Intune, um serviço baseado em nuvem que se concentra no gerenciamento de dispositivos móveis (MDM) e no gerenciamento de aplicativos móveis (MAM), para controlar como os dispositivos de uma organização são usados. Para obter mais informações, consulte Microsoft Intune.

Grupos

No Microsoft Entra ID, se você tiver várias identidades com as mesmas necessidades de acesso, poderá criar um grupo. Você usa grupos para conceder permissões de acesso a todos os membros do grupo, em vez de ter que atribuir direitos de acesso individualmente. Limitar o acesso aos recursos do Microsoft Entra apenas às identidades que precisam de acesso é um dos princípios básicos de segurança do Zero Trust.

Existem dois tipos de grupo:

  • Segurança: um grupo de segurança é o tipo mais comum de grupo e é usado para gerenciar o acesso de usuários e dispositivos a recursos compartilhados. Por exemplo, você pode criar um grupo de segurança para uma diretiva de segurança específica, como a redefinição de senha de autoatendimento ou para uso com uma diretiva de acesso condicional para exigir MFA. Os membros de um grupo de segurança podem incluir utilizadores (incluindo utilizadores externos), dispositivos, outros grupos e entidades de serviço. A criação de grupos de segurança requer uma função de administrador do Microsoft Entra.

  • Microsoft 365: Um grupo do Microsoft 365, que também é frequentemente referido como um grupo de distribuição, é usado para agrupar usuários de acordo com as necessidades de colaboração. Por exemplo, você pode conceder aos membros do grupo acesso a uma caixa de correio compartilhada, calendário, arquivos de sites do SharePoint e muito mais. Os membros de um grupo do Microsoft 365 só podem incluir utilizadores, incluindo utilizadores fora da sua organização. Como os grupos do Microsoft 365 são destinados à colaboração, o padrão é permitir que os usuários criem grupos do Microsoft 365, para que você não precise de uma função de administrador.

Os grupos podem ser configurados para permitir que os membros sejam atribuídos, selecionados manualmente ou podem ser configurados para associação dinâmica. A associação dinâmica usa regras para adicionar e remover identidades automaticamente.