Selecione um modelo de integração do Microsoft Entra
O Microsoft Entra ID é um serviço de diretório projetado para aplicativos baseados em nuvem e na Web, que compartilha algumas funcionalidades com implantações tradicionais do AD DS. A equipe de TI da Contoso pode implementar a ID do Microsoft Entra e sincronizar suas identidades locais com a nuvem. Essas etapas permitiriam que a equipe da Contoso usasse o SSO para acessar recursos locais e esses recursos relacionados em seu locatário do Azure.
A equipe de TI pode usar o Microsoft Entra ID para aumentar a produtividade dos funcionários, simplificar os processos de TI e melhorar a segurança para a adoção de vários serviços em nuvem. Os funcionários da Contoso podem acessar aplicativos online usando uma única conta de usuário. A Contoso também pode executar o gerenciamento central de usuários usando cmdlets conhecidos do Windows PowerShell. Também vale a pena notar que, como o Microsoft Entra ID é altamente escalável e altamente disponível por design, a equipe de TI não precisará manter a infraestrutura relacionada ou se preocupar com a recuperação de desastres.
Como um componente do Azure, o Microsoft Entra ID pode dar suporte à autenticação multifator como parte de uma estratégia geral de acesso para serviços de nuvem, fornecendo assim uma camada adicional de segurança. O RBAC (controle de acesso baseado em função), a senha de autoatendimento, o gerenciamento de grupos e o registro de dispositivos fornecem soluções de gerenciamento de identidades prontas para a empresa. O Microsoft Entra ID também fornece proteção de identidade avançada, além de relatórios e alertas aprimorados que podem ajudá-lo a reconhecer ameaças com mais eficiência.
Visão geral do Microsoft Entra ID
O Microsoft Entra ID faz parte da oferta de plataforma como serviço (PaaS) e opera como um serviço de diretório gerenciado pela Microsoft na nuvem. Não faz parte da infraestrutura principal que os clientes possuem e gerenciam, nem é uma oferta de IaaS. Embora isso implique que você tem menos controle sobre sua implementação, também significa que você não precisa dedicar recursos à sua implantação ou manutenção.
Com o Microsoft Entra ID, você também tem acesso a um conjunto de recursos que não estão disponíveis nativamente no AD DS, como suporte para autenticação multifator, proteção de identidade e redefinição de senha de autoatendimento. Você pode usar o Microsoft Entra ID para fornecer acesso mais seguro a recursos baseados em nuvem para organizações e indivíduos:
- Configurando o acesso a aplicativos.
- Configuração do SSO para aplicativos SaaS baseados em nuvem.
- Gerenciando usuários e grupos.
- Provisionamento de usuários.
- Habilitando a federação entre organizações.
- Fornecendo uma solução de gerenciamento de identidade.
- Identificação de atividade de início de sessão irregular.
- Configurando a autenticação multifator.
- Estendendo implementações existentes do Ative Directory local para o Microsoft Entra ID.
- Configuração do Proxy de Aplicativo para aplicativos locais e na nuvem.
- Configuração do acesso condicional para usuários e dispositivos.
Locatários do Microsoft Entra
Ao contrário do AD DS local, o Microsoft Entra ID é multilocatário por design e é implementado especificamente para garantir o isolamento entre suas instâncias de diretório individuais. É o maior diretório multilocatário do mundo, hospedando mais de um milhão de instâncias de serviços de diretório, com bilhões de solicitações de autenticação por semana. O termo locatário neste contexto normalmente representa uma empresa ou organização que se inscreveu para uma assinatura de um serviço baseado em nuvem da Microsoft, como Microsoft 365, Microsoft Intune ou Azure, cada um dos quais usa o Microsoft Entra ID.
No entanto, do ponto de vista técnico, o termo locatário representa uma instância individual do Microsoft Entra. Dentro de uma assinatura do Azure, você pode criar vários locatários do Microsoft Entra. Ter vários locatários do Microsoft Entra pode ser conveniente se você quiser testar a funcionalidade do Microsoft Entra em um locatário sem afetar os outros.
Nota
A qualquer momento, uma assinatura do Azure deve ser associada a um e apenas a um locatário do Microsoft Entra. No entanto, você pode associar o mesmo locatário do Microsoft Entra a várias assinaturas do Azure.
A cada locatário do Microsoft Entra é atribuído o nome de domínio DNS padrão que consiste em um prefixo exclusivo. O prefixo é derivado do nome da conta da Microsoft que você usa para criar uma assinatura do Azure ou fornecido explicitamente ao criar um locatário do Microsoft Entra e é seguido pelo sufixo onmicrosoft.com . Adicionar pelo menos um nome de domínio personalizado ao mesmo locatário do Microsoft Entra é possível e comum. Esse nome utiliza o namespace de domínio DNS que a empresa ou organização correspondente possui; por exemplo, Contoso.com. O locatário do Microsoft Entra serve como limite de segurança e contêiner para objetos do Microsoft Entra, como usuários, grupos e aplicativos.
Características do Microsoft Entra ID
Embora o Microsoft Entra ID tenha muitas semelhanças com o AD DS, também há muitas diferenças. É importante perceber que usar a ID do Microsoft Entra não é o mesmo que implantar um controlador de domínio do AD DS em uma VM do Azure e, em seguida, adicioná-lo ao seu domínio local.
Ao comparar o ID do Microsoft Entra com o AD DS, é importante observar as características do Microsoft Entra que diferem do AD DS:
- O Microsoft Entra ID é principalmente uma solução de identidade e foi projetado para aplicativos baseados na Internet usando comunicações HTTP (porta 80) e HTTPS (porta 443).
- O Microsoft Entra ID é um serviço de diretório multilocatário.
- Os usuários e grupos do Microsoft Entra são criados em uma estrutura simples e não há unidades organizacionais (OUs) ou GPOs (Objetos de Política de Grupo).
- Não é possível consultar o ID do Microsoft Entra usando LDAP; em vez disso, o Microsoft Entra ID usa a API REST sobre HTTP e HTTPS.
- O Microsoft Entra ID não usa a autenticação Kerberos; em vez disso, ele usa protocolos HTTP e HTTPS, como SAML (Security Assertion Markup Language), WS-Federation (Web Services Federation) e OpenID Connect para autenticação. Ele também usa Open Authorization (OAuth) para autorização.
- O Microsoft Entra ID inclui serviços de federação, e muitos serviços de terceiros são federados e confiam no Microsoft Entra ID.
Opções de integração do Microsoft Entra
Pequenas organizações que não têm um diretório local, como o AD DS, podem confiar totalmente na ID do Microsoft Entra como um serviço de autenticação e autorização. No entanto, o número dessas organizações ainda é pequeno, portanto, a maioria das empresas procura uma maneira de integrar o AD DS local com o Microsoft Entra ID. A Microsoft oferece gerenciamento de identidade e acesso em escala de nuvem por meio do Microsoft Entra ID, que fornece várias opções para integrar o AD DS ao Azure. Essas opções são descritas na tabela a seguir.
| Opções | Description |
|---|---|
| Estendendo o AD DS local para o Azure | Com essa opção, você hospeda VMs no Azure que, em seguida, promove para serem controladores de domínio em seu AD DS local. |
| Sincronizando o AD DS local com a ID do Microsoft Entra | A sincronização de diretórios propaga informações de usuário, grupo e contato para o Microsoft Entra ID e mantém essas informações sincronizadas. Nesse cenário, os usuários utilizam senhas diferentes para acessar recursos locais e na nuvem, e os processos de autenticação são separados. |
| Sincronizando o AD DS com o Microsoft Entra ID usando a sincronização de hash de senha | Nessa abordagem, o AD DS local sincroniza objetos com a ID do Microsoft Entra, mas também envia hashes de senha para objetos de usuário para a ID do Microsoft Entra. Com essa opção, os usuários podem acessar aplicativos e recursos com reconhecimento de ID do Microsoft Entra fornecendo a mesma senha que sua entrada local atual. Para os utilizadores finais, esta abordagem fornece a mesma experiência de início de sessão. |
| Implementando o SSO entre o AD DS local e a ID do Microsoft Entra | Essa opção dá suporte à maior variedade de recursos de integração e permite que um usuário entre no Azure após a autenticação por meio do AD DS local. A tecnologia que fornece essa funcionalidade é chamada de federação, que você pode implementar usando os Serviços de Federação do Ative Directory (AD FS). O AD FS depende de um conjunto de servidores de federação e proxies, que assumem a forma do serviço de função de servidor Proxy de Aplicativo Web. Como alternativa à implantação do AD FS, você também pode usar a tecnologia de autenticação de passagem, que fornece quase os mesmos resultados que o AD FS. No entanto, ele não usa um Proxy de Aplicativo Web e requer uma infraestrutura menos complexa do que o AD FS. |
O diretório Microsoft Entra não é uma extensão de um diretório local. Em vez disso, é uma cópia com os mesmos objetos e identidades. As alterações feitas nesses itens no local são copiadas para a ID do Microsoft Entra, mas as alterações feitas na ID do Microsoft Entra não são replicadas de volta para o domínio local.
Gorjeta
Você também pode usar o Microsoft Entra ID sem usar um diretório local. Nesse caso, o Microsoft Entra ID atua como a fonte primária de todas as informações de identidade, em vez de conter dados replicados de um diretório local.