Definir o Microsoft Entra ID

• 7 minutos

Os alunos devem estar familiarizados com Active Directory Domain Services (AD DS ou chamado tradicionalmente apenas de "Active Directory"). O AD DS é um serviço de diretório que fornece os métodos para armazenar dados de diretório, como contas de usuário e senhas, e disponibiliza esses dados para usuários de rede, administradores e outros dispositivos e serviços. Ele é executado como um serviço no Windows Server, chamado de controlador de domínio.

O Microsoft Entra ID faz parte da oferta de plataforma como serviço (PaaS) e opera como um serviço de diretório gerenciado pela Microsoft na nuvem. Ele não faz parte da infraestrutura básica que os clientes detêm e gerenciam, nem é uma oferta de infraestrutura como serviço. Embora isso indique que você tem menos controle sobre sua implementação, também significa que você não precisa dedicar recursos à sua implantação ou manutenção.

Com o Microsoft Entra ID, você também tem acesso a um conjunto de recursos que não estão disponíveis nativamente no AD DS, como suporte para autenticação multifator, proteção de identidade e redefinição de senha de autoatendimento.

Você pode utilizar o Microsoft Entra ID para fornecer acesso mais seguro a recursos baseados em nuvem para organizações e indivíduos:

• Configurar o acesso a aplicativos
• Configurar o SSO (logon único) para aplicativos SaaS baseados em nuvem
• Gerenciar usuários e grupos
• Provisionar usuários
• Habilitar federação entre organizações
• Fornecer uma solução de gerenciamento de identidades
• Identificar atividade de credenciais irregular
• Configurar autenticação multifator
• Ampliação das implementações existentes do Active Directory no local para o Microsoft Entra ID
• Configurar o Proxy de Aplicativo para aplicativos locais e de nuvem
• Configurar o Acesso Condicional para usuários e dispositivos

O Microsoft Entra constitui um serviço separado do Azure. Seu formulário mais elementar, que qualquer nova assinatura do Azure inclui automaticamente, não incorre em nenhum custo extra e é chamado de camada Gratuita. Se assinar qualquer um dos serviços corporativos do Microsoft Online (por exemplo, Microsoft 365 ou Microsoft Intune), você obterá automaticamente o Microsoft Entra ID com acesso a todos os recursos gratuitos.

Alguns dos recursos de gerenciamento de identidade mais avançados exigem versões pagas de Microsoft Entra ID, oferecidas na forma de camadas Básica e Premium. Alguns desses recursos também são incluídos automaticamente em instâncias do Microsoft Entra geradas como parte das assinaturas do Microsoft 365. As diferenças entre as versões do Microsoft Entra são discutidas posteriormente neste módulo.

Implementar o Microsoft Entra ID não é o mesmo que implantar máquinas virtuais no Azure, adicionar o AD DS e depois implantar alguns controladores de domínio para uma nova floresta e domínio. O Microsoft Entra ID é um serviço diferente, muito mais focado em fornecer serviços de gerenciamento de identidade para aplicativos baseados na Web, ao contrário do AD DS, que é mais focado em aplicativos locais.

Locatários do Microsoft Entra

Ao contrário do AD DS, o Microsoft Entra ID é multilocatário por design e é implementado especificamente para garantir o isolamento entre suas instâncias de diretório individuais. É o maior diretório multilocatário do mundo, hospedando mais de um milhão de instâncias de serviços de diretório, com bilhões de solicitações de autenticação por semana. O termo locatário nesse contexto normalmente representa uma empresa ou organização que se inscreveu em uma assinatura de um serviço baseado em nuvem da Microsoft, como o Microsoft 365, o Microsoft Intune ou o Azure, cada um dos quais usa o Microsoft Entra ID. Entretanto, de um ponto de vista técnico, o termo locatário representa uma instância individual do Microsoft Entra. Em uma assinatura do Azure, você pode criar vários locatários do Microsoft Entra. Ter vários locatários do Microsoft Entra pode ser conveniente se você desejar testar a funcionalidade do Microsoft Entra em um locatário sem afetar os outros.

Em um determinado momento, uma assinatura do Azure deve ser associada a um e somente um locatário do Microsoft Entra. Essa associação permite que você conceda permissões aos recursos na assinatura do Azure (via RBAC) para usuários, grupos e aplicativos existentes nesse locatário específico do Microsoft Entra.

Cada locatário do Microsoft Entra recebe o nome de domínio DNS (Sistema de Nomes de Domínio) padrão que consiste em um prefixo exclusivo. O prefixo é derivado do nome da conta da Microsoft usado para criar uma assinatura do Azure ou fornecido explicitamente na criação de um locatário do Microsoft Entra. Ele é seguido pelo sufixo onmicrosoft.com. É possível e comum adicionar pelo menos um nome de domínio personalizado ao mesmo locatário do Microsoft Entra. Esse nome utiliza o namespace de domínio do DNS que a empresa ou organização correspondente detém. O locatário do Microsoft Entra serve como o marco de delimitação de segurança e um contêiner para objetos do Microsoft Entra, como usuários, grupos e aplicativos. Um único locatário do Microsoft Entra pode dar suporte a várias assinaturas do Azure.

Esquema do Microsoft Entra

O esquema do Microsoft Entra contém menos tipos de objeto do que o do AD DS. Sobretudo, ele não inclui uma definição da classe de computador, embora inclua a classe de dispositivo. O processo de ingresso de dispositivos no Microsoft Entra difere consideravelmente do processo de ingresso de computadores no AD DS. O esquema do Microsoft Entra também é facilmente extensível e suas extensões são totalmente reversíveis.

A falta de suporte para a associação de domínio de computador tradicional significa que você não pode usar o Microsoft Entra ID para gerenciar computadores ou configurações de usuário utilizando técnicas de gerenciamento tradicionais, como GPOs (Objetos Política de Grupo). Em vez disso, o Microsoft Entra ID e seus serviços definem um conceito de gerenciamento moderno. A principal força do Microsoft Entra ID está no fornecimento de serviços de diretório, no armazenamento e na publicação de dados de usuário, dispositivo e aplicativo e no tratamento da autenticação e autorização dos usuários, dispositivos e aplicativos. A eficácia e a eficiência desses recursos são aparentes com base em implantações existentes de serviços de nuvem, como o Microsoft 365, que dependem de Microsoft Entra ID como seu provedor de identidade e dão suporte a milhões de usuários.

O Microsoft Entra ID não inclui a classe UO (unidade organizacional), o que significa que você não pode organizar os objetos em uma hierarquia de contêineres personalizados, que é usada com frequência em implantações do AD DS local. Entretanto, essa não é uma desvantagem significativa, pois as UOs do AD DS são usadas principalmente para definição de escopo e delegação da Política de Grupo. Você pode fazer ajustes equivalentes organizando os objetos de acordo com a associação ao grupo.

Objetos das classes Application e servicePrincipal representam aplicativos no Microsoft Entra ID. Um objeto na classe Application contém uma definição de aplicativo e um objeto na classe servicePrincipal constitui sua instância no locatário do Microsoft Entra atual. A separação desses dois conjuntos de características permite definir um aplicativo em um locatário e usá-lo em vários locatários criando um objeto de entidade de serviço para esse aplicativo em cada locatário. O Microsoft Entra ID cria o objeto da entidade de serviço quando você registra o aplicativo correspondente nesse locatário do Microsoft Entra.