Representar políticas de segurança do AD FS no Microsoft Entra ID: mapeamentos e exemplos
Neste artigo, você aprenderá a mapear regras de autorização e autenticação multifator do AD FS para o Microsoft Entra ID ao mover a autenticação do aplicativo. Descubra como atender aos requisitos de segurança do proprietário do aplicativo, facilitando o processo de migração de aplicativo com mapeamentos para cada regra.
Ao mover a autenticação de aplicativo para o Microsoft Entra ID, crie mapeamentos de políticas de segurança existentes para suas variantes equivalentes ou alternativas disponíveis no Microsoft Entra ID. Garantir que esses mapeamentos possam ser feitos enquanto atendem aos padrões de segurança exigidos por seus proprietários de aplicativos torna o restante da migração de aplicativos mais fácil.
Para cada exemplo de regra, mostramos a aparência da regra nos AD FS, o código equivalente do idioma da regra dos AD FS e como isso é mapeado para o Microsoft Entra ID.
Mapear regras de autorização
Confira a seguir exemplos de vários tipos de regras de autorização nos AD FS e como mapeá-los para o Microsoft Entra ID.
Exemplo 1: permitir acesso a todos os usuários
Permitir acesso a todos os usuários nos AD FS:
Isso mapeia para o Microsoft Entra ID de uma das seguintes maneiras:
Defina Atribuição necessária como Não.
Observação
Definir Atribuição necessária como Sim requer que os usuários sejam atribuídos ao aplicativo para obter acesso. Quando definido como Não, todos os usuários têm acesso. Essa opção não controla o que os usuários veem na experiência de Meus Aplicativos.
Na guia Usuários e grupos, atribua o aplicativo ao grupo automático Todos os Usuários. Você deve habilitar Grupos Dinâmicos em seu locatário do Microsoft Entra para que o grupo padrão Todos os usuários esteja disponível.
Exemplo 2: permitir um grupo explicitamente
Autorização de grupo explícita nos AD FS:
Para mapear essa regra para o Microsoft Entra ID:
No Centro de administração do Microsoft Entra, crie um grupo de usuários que corresponda ao grupo de usuários dos AD FS.
Atribua permissões de aplicativo para o grupo:
Exemplo 3: autorizar um usuário específico
Autorização explícita de usuário nos AD FS:
Para mapear essa regra para o Microsoft Entra ID:
No Centro de administração do Microsoft Entra, adicione um usuário ao aplicativo por meio da guia Adicionar Atribuição do aplicativo, conforme mostrado abaixo:
Mapear regras de autenticação multifator
Uma implantação local da MFA (autenticação multifator) e dos AD FS ainda funciona após a migração porque você é federado com os AD FS. No entanto, considere migrar para os recursos internos da MFA do Azure que estão vinculados às políticas de acesso condicional do Microsoft Entra.
Confira a seguir exemplos de tipos de regras de MFA nos AD FS e como você pode mapeá-las para o Microsoft Entra ID com base em diferentes condições.
Configurações de regra de MFA nos AD FS:
Exemplo 1: impor a MFA com base em usuários/grupos
O seletor usuários/grupos é uma regra que permite impor a MFA por grupo (SID de grupo) ou por usuário (SID principal). Além das atribuições de usuários/grupos, todas as caixas de seleção adicionais na interface do usuário de configuração da MFA dos AD FS funcionam como regras adicionais que são avaliadas após a imposição da regra de usuários/grupos.
Política de acesso condicional comum: Exigir a MFA para todos os usuários
Exemplo 2: impor a MFA a dispositivos não registrados
Especificar as regras da MFA para dispositivos não registrados no Microsoft Entra:
Mapear regra Emitir atributos como Declarações
Regra Emitir atributos como Declarações no AD FS:
Para mapear a regra para o Microsoft Entra ID:
No Centro de administração do Microsoft Entra, selecione Aplicativos Empresariais e Logon único para exibir a configuração de logon com base em SAML:
Selecione Editar (realçado) para modificar os atributos:
Mapear políticas de controle de acesso internas
Políticas de controle de acesso internas nos AD FS 2016:
Para implementar políticas internas no Microsoft Entra ID, use uma nova política de acesso condicional e configure os controles de acesso ou use o designer de política personalizada nos AD FS 2016 para configurar políticas de controle de acesso. O Editor de Regras tem uma lista completa de opções de Permissão e Exceção que podem ajudar você a fazer todos os tipos de permutas.
Nesta tabela, listamos algumas opções de Permissão e exceção úteis e como elas são mapeadas para o Microsoft Entra ID.
| Opção | Como configurar a opção de permissão no Microsoft Entra ID? | Como configurar a opção de exceção no Microsoft Entra ID? |
|---|---|---|
| De uma rede específica | Mapear para Local Nomeado no Microsoft Entra | Usar a opção Excluir para locais confiáveis |
| De grupos específicos | Definir uma atribuição de usuário/grupos | Usar a opção Excluir em Usuários e Grupos |
| De dispositivos com nível de confiança específico | Para definir, acesse o controle Estado do dispositivo em Atribuições > Condições | Usar a opção Excluir abaixo do Estado do Dispositivo e incluir todos os dispositivos |
| Com declarações específicas na solicitação | Não é possível migrar esta configuração | Não é possível migrar esta configuração |
Veja um exemplo de como configurar a opção de Exclusão para locais confiáveis no Centro de administração do Microsoft Entra:
Transição de usuários do AD FS para o Microsoft Entra ID
Sincronizar grupos do AD FS no Microsoft Entra ID
Ao mapear regras de autorização, os aplicativos que se autenticam com AD FS podem usar grupos do Active Directory para permissões. Nesse caso, use o Microsoft Entra Connect para sincronizar esses grupos com o Microsoft Entra ID antes de migrar os aplicativos. Verifique esses grupos e associações antes da migração para que você possa conceder acesso aos mesmos usuários quando o aplicativo for migrado.
Para saber mais, confira Pré-requisitos para usar atributos de grupo sincronizados do Active Directory.
Configurar o autoprovisionamento do usuário
Alguns aplicativos SaaS dão suporte à capacidade de provisionar usuários just-in-time quando eles entram pela primeira vez no aplicativo. No Microsoft Entra ID, o provisionamento de aplicativo refere-se à criação automática de identidades e funções de usuário nos aplicativos de nuvem (SaaS) aos quais os usuários precisam ter acesso. Os usuários que migraram já têm uma conta no aplicativo SaaS. Todos os usuários adicionados após a migração precisam ser provisionados. Teste o provisionamento do aplicativo SaaS depois que o aplicativo for migrado.
Sincronizar usuários externos no Microsoft Entra ID
Os usuários externos existentes podem ser configurados destas duas maneiras nos AD FS:
- Usuários externos com uma conta local em sua organização – Você continua a usar essas contas da mesma maneira que as suas contas de usuário internas funcionam. Essas contas de usuário externas têm um nome principal dentro de sua organização, embora o email da conta possa apontar externamente.
Ao progredir com a migração, você pode aproveitar os benefícios oferecidos pelo Microsoft Entra B2B migrando esses usuários para usar sua própria identidade corporativa quando essa identidade estiver disponível. Isso simplifica o processo de logon para esses usuários, pois eles geralmente são conectados com seu próprio logon corporativo. A administração de sua organização também é mais fácil, sem a necessidade de gerenciar contas para usuários externos.
- Identidades externas federadas – Se você está atualmente em federação com uma organização externa, há algumas abordagens a serem adotadas:
- Adicione usuários de colaboração B2B do Microsoft Entra no Centro de administração do Microsoft Entra. Você pode enviar proativamente convites de colaboração B2B do portal administrativo do Microsoft Entra para a organização parceira de modo que os membros individuais continuem usando os aplicativos e ativos aos quais estão acostumados.
- Crie um fluxo de trabalho de inscrição B2B de autoatendimento que gere uma solicitação para usuários individuais na sua organização parceira usando a API de convite B2B.
Independentemente da configuração dos usuários externos existentes, eles provavelmente têm permissões associadas à sua conta, seja na associação de grupo ou em permissões específicas. Avalie se essas permissões precisam ser migradas ou limpas.
As contas em sua organização que representam um usuário externo precisam ser desabilitadas depois que o usuário é migrado para uma identidade externa. O processo de migração deve ser discutido com seus parceiros de negócios, pois pode haver uma interrupção em sua capacidade de conexão com seus recursos.
Próximas etapas
- Leia Migrar a autenticação de aplicativo para o Microsoft Entra ID.
- Configure o Acesso Condicional e a MFA.
- Experimente um exemplo de código em etapas:Guia estratégico de migração de aplicativos dos AD FS para o Microsoft Entra para desenvolvedores.