Identidade híbrida

10 minutos

A Tailwind Traders usa os Serviços de Domínio Ative Directory (AD DS) como seu provedor de identidade local em seu ambiente de rede local desde que migrou do Windows NT 4.0 no início dos anos 2000. Muitas aplicações existentes da Tailwind Traders têm uma dependência no Active Directory. Algumas destas aplicações têm uma dependência simples no Active Directory como um fornecedor de identidade. Outras têm dependências mais profundas, como requisitos de Política de Grupo complexos, partições de domínio personalizadas e extensões de esquema personalizadas.

À medida que a Tailwind Traders começa a mover alguns recursos e desenvolver novos aplicativos no Azure, a empresa quer evitar a criação de uma solução de identidade paralela. Eles não querem exigir informações de entrada separadas para recursos locais e na nuvem.

Nesta unidade, você aprende sobre as diferentes maneiras de implementar a identidade híbrida.

Implementar controladores de domínio no Azure

Abaixo, é descrita a maneira mais simples de proporcionar no Azure o mesmo ambiente do AD DS que uma organização tem no local.

Implemente um par de controladores de domínio do AD DS numa sub-rede numa rede virtual do Azure.
Ligue essa rede virtual à rede no local.
Configure essa sub-rede como um novo local do AD DS, conforme mostrado na seguinte imagem.

Outra opção consiste em configurar o domínio do AD DS alojado na cloud como um subdomínio da floresta do domínio no local. Outra opção é configurar os controladores de domínio do AD DS em execução na nuvem como uma floresta separada que tenha uma relação de confiança com a floresta local. A seguinte imagem mostra esta topologia de floresta de recursos.

As organizações que implantam controladores de domínio em máquinas virtuais (VMs) no Azure podem implantar cargas de trabalho que exigem linha de visão para um controlador de domínio. Eles podem fazer a implantação desde que as cargas de trabalho estejam na mesma sub-rede da Rede Virtual do Azure em que as VMs do controlador de domínio são implantadas. Esse modelo de nuvem híbrida é conceitualmente simples para muitas organizações porque os datacenters do Azure são tratados como um site remoto do Ative Directory.

Para a Tailwind Traders, a extensão do respetivo domínio do Active Directory ou floresta no local para o Azure pode ser suficiente, consoante os requisitos da aplicação. A desvantagem de implementar esta opção é que as VMs que estão a ser executadas o tempo todo, da forma como os controladores de domínio devem estar, têm uma despesa contínua associada.

O que é o Microsoft Entra Connect?

O Microsoft Entra Connect (anteriormente Azure AD Connect) permite que as organizações sincronizem as identidades presentes em sua instância local do Ative Directory com a ID do Microsoft Entra (anteriormente Azure AD). Esse método permite que você use a mesma identidade para recursos de nuvem e recursos locais. O Microsoft Entra Connect é usado com mais frequência quando as organizações adotam o Microsoft 365. Eles o usam para permitir que aplicativos como o Microsoft SharePoint e o Exchange em execução na nuvem sejam acessados por meio de aplicativos locais.

Se a Tailwind Traders planeja adotar tecnologias do Microsoft 365, como o Exchange Online ou o Microsoft Teams, ela precisa configurar o Microsoft Entra Connect para replicar identidades de seu ambiente AD DS local para o Azure. Se a empresa também quiser usar identidades locais com aplicativos no Azure, mas não quiser implantar controladores de domínio AD DS em VMs, ela também precisará implantar o Microsoft Entra Connect.

O que é o Microsoft Entra Domain Services?

Você pode usar os Serviços de Domínio do Microsoft Entra para projetar um domínio do Microsoft Entra em uma sub-rede virtual do Azure. Quando você emprega essa configuração, serviços como ingresso no domínio, Diretiva de Grupo, LDAP (Lightweight Directory Access Protocol) e autenticação Kerberos e NTLM ficam disponíveis para qualquer VM implantada na sub-rede.

Os Serviços de Domínio Microsoft Entra permitem que você tenha um ambiente gerenciado básico do Ative Directory disponível para VMs sem se preocupar em gerenciar, manter e pagar pelas VMs que são executadas como controladores de domínio. Os Serviços de Domínio do Microsoft Entra também permitem que você use identidades locais por meio do Microsoft Entra Connect para interagir com VMs em execução em uma sub-rede da Rede Virtual do Azure especialmente configurada.

Uma desvantagem dos Serviços de Domínio do Microsoft Entra é que a implementação da Diretiva de Grupo é básica. Inclui um conjunto fixo de políticas e não permite criar Objetos de Política de Grupo (GPOs). Embora as identidades usadas no local estejam disponíveis no Azure, todas as políticas configuradas no local não estão disponíveis.

Para os Tailwind Traders, o Microsoft Entra Domain Services fornece um bom meio termo para cargas de trabalho híbridas. Possibilita a utilização de identidades associadas a um domínio, bem como uma quantidade significativa de configuração de Política de Grupo. Mas ele não oferece suporte a aplicativos que exigem funcionalidades complexas do Ative Directory, como partições de domínio personalizadas e extensões de esquema.

Entre as máquinas virtuais que a Tailwind Traders planeja migrar do datacenter de Auckland, vários aplicativos host têm dependências nos Serviços de Domínio Ative Directory (AD DS) que incluem extensões de esquema personalizadas e partições AD DS personalizadas. Quais das soluções de identidade híbrida a seguir podem ser utilizadas pela empresa para suportar estas aplicações se as máquinas virtuais que alojam as aplicações forem migradas para serem executadas como VMs de IaaS (infraestrutura como serviço) do Azure?

Configure o Microsoft Entra Connect para replicar as identidades do AD DS local para o Azure. Criar uma sub-rede numa rede virtual do Azure. Migrar as VMs do datacenter de Auckland para esta sub-rede. Junte as VMs migradas ao domínio dos Serviços de Domínio Microsoft Entra.

Criar uma sub-rede numa rede virtual do Azure. Configurar uma ligação VPN entre esta rede virtual e a rede no local. Implante dois controladores de domínio do AD DS em VMs que executam o Windows Server 2022 nesta sub-rede. Configurar um local AD DS separado para a sub-rede do Azure. Migrar as VMs do datacenter de Auckland para esta sub-rede.

Configure o Microsoft Entra Connect para replicar as identidades do AD DS local para o Azure. Criar uma sub-rede numa rede virtual do Azure. Configure os Serviços de Domínio Microsoft Entra e configure-os para estarem disponíveis para esta sub-rede recém-criada. Migrar as VMs do datacenter de Auckland para esta sub-rede. Junte as VMs migradas ao domínio dos Serviços de Domínio Microsoft Entra.

Uma subsidiária da Tailwind Traders está implantando VMs IaaS do Windows Server 2022 em uma sub-rede em uma rede virtual do Azure. Esta rede virtual está ligada a uma subscrição separada e ao arrendamento do Microsoft Entra. Estes computadores precisam de estar associados a um domínio para fins de segurança e identidade, mas não exigem configuração complexa da política de grupo. Estas VMs não exigem identidades sincronizadas de nenhuma instância do AD DS da Tailwind Traders no local. Quer minimizar o número de VMs implementadas para atingir este objetivo. Qual das seguintes soluções é apropriada?

Implemente o Microsoft Entra Connect em cada máquina virtual (VM) e sincronize com o tenant do Microsoft Entra.

Implante os Serviços de Domínio Microsoft Entra e configure-os para a sub-rede que hospeda as máquinas virtuais. Junte as VMs ao domínio dos Serviços de Domínio Microsoft Entra.

Implementar o AD DS numa nova VM na sub-rede. Associar as VMs ao domínio do AD DS.

Tem de responder a todas as questões antes de verificar o seu trabalho.

Identidade híbrida

Implementar controladores de domínio no Azure

O que é o Microsoft Entra Connect?

O que é o Microsoft Entra Domain Services?

Verifique o seu conhecimento

Comentários