Compartilhar via

Identidade híbrida com Active Directory e ID do Microsoft Entra em zonas de destino do Azure

  • Artigo

Este artigo fornece diretrizes sobre como projetar e implementar a ID do Microsoft Entra e a identidade híbrida para zonas de destino do Azure.

As organizações que operam na nuvem exigem um serviço de diretório para gerenciar identidades de usuário e acesso a recursos. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece recursos robustos para gerenciar usuários e grupos. Você pode usar a ID do Microsoft Entra como uma solução de identidade autônoma ou integrá-la a uma infraestrutura de Serviços de Domínio do Microsoft Entra ou a uma infraestrutura local do AD DS (Serviços de Domínio Active Directory).

O Microsoft Entra ID fornece gerenciamento moderno e seguro de identidade e acesso para serviços do Azure e do Microsoft 365. Você pode usar a ID do Microsoft Entra para várias organizações e cargas de trabalho. Por exemplo, organizações com uma infraestrutura local do AD DS e cargas de trabalho baseadas em nuvem podem usar a sincronização de diretório com a ID do Microsoft Entra. A sincronização de diretórios garante que os ambientes locais e de nuvem compartilhem um conjunto consistente de identidades, grupos e funções. Os aplicativos que exigem mecanismos de autenticação herdados podem precisar dos Serviços de Domínio para serviços de domínio gerenciados na nuvem e para estender a infraestrutura local do AD DS para o Azure.

Gerenciamento de identidades baseado em nuvem é um processo iterativo. Você pode começar com uma solução nativa de nuvem que tenha um pequeno conjunto de usuários e funções correspondentes para uma implantação inicial. À medida que a migração amadurece, talvez seja necessário integrar sua solução de identidade usando a sincronização de diretórios ou adicionar serviços de domínio hospedados na nuvem como parte de suas implantações na nuvem.

Ajuste sua solução de identidade ao longo do tempo, dependendo dos requisitos de autenticação da carga de trabalho e de outras necessidades, como alterações na estratégia de identidade organizacional e nos requisitos de segurança ou integração com outros serviços de diretório. Ao avaliar as soluções do Active Directory do Windows Server, entenda as diferenças entre a ID do Microsoft Entra, os Serviços de Domínio e o AD DS no Windows Server.

Para obter mais informações, consulte Guia de decisão de identidade.

Serviços de gerenciamento de identidade e acesso em zonas de destino do Azure

A equipe da plataforma é responsável pela administração do gerenciamento de identidade e acesso. Os serviços de gerenciamento de identidade e acesso são fundamentais para a segurança organizacional. Sua organização pode usar a ID do Microsoft Entra para controlar o acesso administrativo e proteger os recursos da plataforma. Essa abordagem impede que usuários fora da equipe da plataforma façam alterações na configuração ou nas entidades de segurança contidas na ID do Microsoft Entra.

Se você usar o AD DS ou os Serviços de Domínio, deverá proteger os controladores de domínio contra acesso não autorizado. Os controladores de domínio são altamente vulneráveis a ataques e devem ter controles de segurança rígidos e segregação das cargas de trabalho do aplicativo.

Implante controladores de domínio e componentes associados, como servidores do Microsoft Entra Connect, na assinatura de identidade localizada no grupo de gerenciamento de plataforma. Os controladores de domínio não são delegados às equipes de aplicativos. Esse isolamento permite que os proprietários de aplicativos usem serviços de identidade sem precisar mantê-los, o que reduz o risco de comprometimento dos serviços de gerenciamento de identidade e acesso. Os recursos na assinatura da plataforma Identity são um ponto crítico de segurança para seus ambientes de nuvem e locais.

Provisione zonas de destino para que os proprietários de aplicativos possam escolher a ID do Microsoft Entra ou o AD DS e os Serviços de Domínio para atender às suas necessidades de carga de trabalho. Talvez seja necessário configurar outros serviços, dependendo da sua solução de identidade. Por exemplo, talvez seja necessário habilitar e proteger a conectividade de rede com a rede virtual de identidade. Se você usar um processo de venda automática de assinatura, inclua essas informações de configuração em sua solicitação de assinatura.

Azure e domínios locais (identidade híbrida)

Os objetos de usuário que você cria inteiramente na ID do Microsoft Entra são conhecidos como contas somente na nuvem. As contas somente na nuvem dão suporte à autenticação moderna e ao acesso aos recursos do Azure e do Microsoft 365 e dão suporte ao acesso para dispositivos locais que usam Windows 10 ou Windows 11.

Sua organização pode já ter diretórios AD DS antigos que você integra a outros sistemas, como linha de negócios ou planejamento de recursos empresariais (ERP) por meio do LDAP (Lightweight Directory Access Protocol). Esses domínios podem ter muitos computadores e aplicativos ingressados no domínio que usam Kerberos ou protocolos NTLMv2 mais antigos para autenticação. Nesses ambientes, você pode sincronizar objetos de usuário com a ID do Microsoft Entra para que os usuários possam entrar em sistemas locais e recursos de nuvem com uma única identidade. A unificação de serviços de diretório local e de nuvem é conhecida como identidade híbrida. Você pode estender domínios locais para zonas de destino do Azure:

  • Para manter um único objeto de usuário em ambientes de nuvem e locais, você pode sincronizar usuários de domínio do AD DS com a ID do Microsoft Entra por meio do Microsoft Entra Connect ou do Microsoft Entra Cloud Sync. Para determinar a configuração recomendada para seu ambiente, consulte Topologias para o Microsoft Entra Connect e Topologias para o Microsoft Entra Cloud Sync.

  • Para ingressar no domínio de VMs (máquinas virtuais) do Windows e outros serviços, você pode implantar controladores de domínio do AD DS ou Serviços de Domínio no Azure. Use essa abordagem para que os usuários do AD DS possam entrar em servidores Windows, compartilhamentos de arquivos do Azure e outros recursos que usam o Active Directory como fonte de autenticação. Você também pode usar outras tecnologias do Active Directory, como política de grupo, como uma fonte de autenticação. Para obter mais informações, consulte Cenários comuns de implantação para o Microsoft Entra Domain Services.

Recomendações de identidade híbrida

  • Para determinar os requisitos da solução de identidade, documente o provedor de autenticação que cada aplicativo usa. Use o guia de decisão de identidade para selecionar os serviços certos para sua organização. Para obter mais informações, consulte Comparar o Active Directory com a ID do Microsoft Entra.

  • Você pode usar os Serviços de Domínio para aplicativos que dependem de serviços de domínio e usam protocolos mais antigos. Às vezes, os domínios existentes do AD DS oferecem suporte à compatibilidade com versões anteriores e permitem protocolos herdados, o que pode afetar negativamente a segurança. Em vez de estender um domínio local, considere usar os Serviços de Domínio para criar um novo domínio que não permita protocolos herdados. Use o novo domínio como o serviço de diretório para aplicativos hospedados na nuvem.

  • Considere a resiliência como um requisito de design crítico para sua estratégia de identidade híbrida no Azure. A ID do Microsoft Entra é um sistema baseado em nuvem com redundância global, mas os Serviços de Domínio e o AD DS não são. Planeje cuidadosamente a resiliência ao implementar os Serviços de Domínio e o AD DS. Ao projetar um dos serviços, considere o uso de implantações multirregionais para garantir a operação contínua do serviço no caso de um incidente regional.

  • Para estender uma instância do AD DS local para o Azure e otimizar a implantação, incorpore suas regiões do Azure ao design do site do Active Directory. Crie um site em sites e serviços do AD DS para cada região do Azure em que você planeja implantar cargas de trabalho. Em seguida, crie um novo objeto de sub-rede em sites e serviços do AD DS para cada intervalo de endereços IP que você planeja implantar na região. Associe o novo objeto de sub-rede ao site do AD DS que você criou. Essa configuração garante que o serviço localizador de controlador de domínio direcione solicitações de autorização e autenticação para os controladores de domínio do AD DS mais próximos na mesma região do Azure.

  • Avalie cenários que configuram convidados, clientes ou parceiros para que eles possam acessar recursos. Determine se esses cenários envolvem o Microsoft Entra B2B ou a ID Externa do Microsoft Entra para clientes. Para obter mais informações, consulte ID externa do Microsoft Entra.

  • Não use o proxy de aplicativo do Microsoft Entra para acesso à intranet, pois ele adiciona latência à experiência do usuário. Para obter mais informações, consulte Planejamento de proxy de aplicativo do Microsoft Entra e Considerações de segurança de proxy de aplicativo do Microsoft Entra.

  • Considere vários métodos que você pode usar para integrar o Active Directory local ao Azure para atender aos seus requisitos organizacionais.

  • Se você tiver a federação dos Serviços de Federação do Active Directory (AD FS) com a ID do Microsoft Entra, poderá usar a sincronização de hash de senha como backup. O AD FS não dá suporte ao SSO (logon único) contínuo do Microsoft Entra.

  • Determine a ferramenta de sincronização certa para sua identidade de nuvem.

  • Se você tiver requisitos para usar o AD FS, consulte Implantar o AD FS no Azure.

  • Se você usar o Microsoft Entra Connect como sua ferramenta de sincronização, considere implantar um servidor de preparo em uma região diferente do servidor principal do Microsoft Entra Connect para recuperação de desastre. Como alternativa, se você não usar várias regiões, implemente zonas de disponibilidade para alta disponibilidade.

  • Se você usar o Microsoft Entra Cloud Sync como sua ferramenta de sincronização, considere instalar pelo menos três agentes em servidores diferentes em várias regiões para recuperação de desastre. Como alternativa, você pode instalar os agentes em servidores em diferentes zonas de disponibilidade para alta disponibilidade.

Importante

É altamente recomendável que você migre para a ID do Microsoft Entra, a menos que exija especificamente o AD FS. Para obter mais informações, consulte Recursos para desativar o AD FS e Migrar do AD FS para a ID do Microsoft Entra.

ID do Microsoft Entra, Serviços de Domínio e AD DS

Para implementar os serviços de diretório da Microsoft, familiarize os administradores com as seguintes opções:

  • Você pode implantar controladores de domínio do AD DS no Azure como VMs do Windows que os administradores de plataforma ou identidade controlam totalmente. Essa abordagem é uma solução de infraestrutura como serviço (IaaS). Você pode ingressar os controladores de domínio em um domínio existente do Active Directory ou hospedar um novo domínio que tenha uma relação de confiança opcional com domínios locais existentes. Para obter mais informações, consulte Arquitetura de linha de base de Máquinas Virtuais do Azure em uma zona de destino do Azure.

  • O Domain Services é um serviço gerenciado pelo Azure que você pode usar para criar um novo domínio gerenciado do Active Directory hospedado no Azure. O domínio pode ter uma relação de confiança com domínios existentes e pode sincronizar identidades da ID do Microsoft Entra. Os administradores não têm acesso direto aos controladores de domínio e não são responsáveis pela aplicação de patches e outras operações de manutenção.

  • Ao implantar o Domain Services ou integrar ambientes locais ao Azure, use regiões com zonas de disponibilidade para aumentar a disponibilidade quando possível. Considere também a implantação em várias regiões do Azure para aumentar a resiliência.

Depois de configurar o AD DS ou o Domain Services, você pode usar o mesmo método que os computadores locais para ingressar no domínio de VMs do Azure e compartilhamentos de arquivos. Para obter mais informações, consulte Comparar serviços baseados em diretório da Microsoft.

Recomendações do Microsoft Entra ID e AD DS

  • Use o proxy de aplicativo do Microsoft Entra para acessar aplicativos que usam a autenticação local remotamente por meio da ID do Microsoft Entra. Esse recurso fornece acesso remoto seguro a aplicativos Web locais. O proxy de aplicativo do Microsoft Entra não requer uma VPN ou nenhuma alteração na infraestrutura de rede. No entanto, ele é implantado como uma única instância na ID do Microsoft Entra, portanto, os proprietários do aplicativo e as equipes de plataforma ou identidade devem colaborar para garantir que o aplicativo esteja configurado corretamente.

  • Avalie a compatibilidade das cargas de trabalho do AD DS no Windows Server e nos Serviços de Domínio. Para obter mais informações, consulte Casos de uso e cenários comuns.

  • Implante VMs do controlador de domínio ou conjuntos de réplicas do Domain Services na assinatura da plataforma Identity dentro do grupo de gerenciamento da plataforma.

  • Proteja a rede virtual que contém os controladores de domínio. Para impedir a conectividade direta com a Internet de e para a rede virtual e o controlador de domínio, coloque os servidores AD DS em uma sub-rede isolada com um NSG (grupo de segurança de rede). O NSG fornece funcionalidade de firewall. Os recursos que usam controladores de domínio para autenticação devem ter uma rota de rede para a sub-rede do controlador de domínio. Habilite uma rota de rede somente para aplicativos que exigem acesso a serviços na assinatura do Identity. Para obter mais informações, confira Implantar o AD DS em uma rede virtual do Azure.

  • Use o Gerenciador de Rede Virtual do Azure para impor regras padrão que se aplicam a redes virtuais. Por exemplo, você pode usar Azure Policy ou marcas de recurso de rede virtual para adicionar redes virtuais de zona de destino a um grupo de rede se elas exigirem serviços de identidade do Active Directory. O grupo de rede pode ser usado para permitir o acesso à sub-rede do controlador de domínio somente de aplicativos que o exigem e bloquear o acesso de outros aplicativos.

  • Proteja as permissões de RBAC (controle de acesso baseado em função) que se aplicam às VMs do controlador de domínio e a outros recursos de identidade. Os administradores com atribuições de função RBAC no painel de controle do Azure, como Colaborador, Proprietário ou Colaborador de Máquina Virtual, podem executar comandos nas VMs. Verifique se apenas administradores autorizados podem acessar as VMs na assinatura de identidade e se as atribuições de função excessivamente permissivas não são herdadas de grupos de gerenciamento superiores.

  • Mantenha seus aplicativos principais próximos ou na mesma região que a rede virtual para seus conjuntos de réplicas para minimizar a latência. Em uma organização multirregional, implante os Serviços de Domínio na região que hospeda os principais componentes da plataforma. Você só pode implantar os Serviços de Domínio em uma única assinatura. Para expandir os Serviços de Domínio para outras regiões, você pode adicionar até mais quatro conjuntos de réplicas em redes virtuais separadas que são emparelhadas com a rede virtual primária.

  • Considere implantar controladores de domínio do AD DS em várias regiões do Azure e em zonas de disponibilidade para aumentar a resiliência e a disponibilidade. Para obter mais informações, consulte Criar VMs em zonas de disponibilidade e Migrar VMs para zonas de disponibilidade.

  • Explore os métodos de autenticação para a ID do Microsoft Entra como parte do seu planejamento de identidade. A autenticação pode ocorrer na nuvem e no local ou apenas no local.

  • Considere usar a autenticação Kerberos para a ID do Microsoft Entra em vez de implantar controladores de domínio na nuvem se um usuário do Windows precisar de compartilhamentos de arquivos Kerberos para Arquivos do Azure.

Próxima etapa

Gerenciamento de identidade e acesso da zona de destino