Partilhar via

Identidade híbrida com Ative Directory e Microsoft Entra ID nas zonas de aterrissagem do Azure

  • Artigo

Este artigo fornece orientação sobre como projetar e implementar a ID do Microsoft Entra e a identidade híbrida para zonas de aterrissagem do Azure.

As organizações que operam na nuvem precisam de um serviço de diretório para gerenciar as identidades dos usuários e o acesso aos recursos. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece recursos robustos para gerenciar usuários e grupos. Você pode usar o Microsoft Entra ID como uma solução de identidade autônoma ou integrá-lo a uma infraestrutura dos Serviços de Domínio Microsoft Entra ou a uma infraestrutura dos Serviços de Domínio Ative Directory (AD DS) local.

O Microsoft Entra ID fornece gerenciamento de identidade e acesso seguro moderno para serviços do Azure e do Microsoft 365. Você pode usar o Microsoft Entra ID para várias organizações e cargas de trabalho. Por exemplo, organizações com uma infraestrutura do AD DS local e cargas de trabalho baseadas em nuvem podem usar a sincronização de diretórios com o Microsoft Entra ID. A sincronização de diretórios garante que os ambientes locais e na nuvem compartilhem um conjunto consistente de identidades, grupos e funções. Os aplicativos que exigem mecanismos de autenticação herdados podem precisar dos Serviços de Domínio para serviços de domínio gerenciado na nuvem e para estender a infraestrutura do AD DS local para o Azure.

A gestão de identidades com base na cloud é um processo iterativo. Você pode começar com uma solução nativa da nuvem que tenha um pequeno conjunto de usuários e funções correspondentes para uma implantação inicial. À medida que sua migração amadurece, talvez seja necessário integrar sua solução de identidade usando a sincronização de diretórios ou adicionar serviços de domínio hospedados na nuvem como parte de suas implantações na nuvem.

Ajuste sua solução de identidade ao longo do tempo, dependendo dos requisitos de autenticação da carga de trabalho e de outras necessidades, como alterações na estratégia de identidade organizacional e nos requisitos de segurança ou integração com outros serviços de diretório. Ao avaliar as soluções do Ative Directory do Windows Server, entenda as diferenças entre o Microsoft Entra ID, os Serviços de Domínio e o AD DS no Windows Server.

Para obter mais informações, consulte Guia de decisão de identidade.

Serviços de gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure

A equipa da plataforma é responsável pela administração da gestão de identidades e acessos. Os serviços de gerenciamento de identidade e acesso são fundamentais para a segurança organizacional. Sua organização pode usar o Microsoft Entra ID para controlar o acesso administrativo e proteger os recursos da plataforma. Essa abordagem impede que usuários fora da equipe da plataforma façam alterações na configuração ou nas entidades de segurança contidas no ID do Microsoft Entra.

Se você usar o AD DS ou os Serviços de Domínio, deverá proteger os controladores de domínio contra acesso não autorizado. Os controladores de domínio são altamente vulneráveis a ataques e devem ter controles de segurança rigorosos e segregação de cargas de trabalho de aplicativos.

Implante controladores de domínio e componentes associados, como servidores Microsoft Entra Connect, na assinatura Identity localizada no grupo de gerenciamento da plataforma. Os controladores de domínio não são delegados às equipes de aplicativos. Esse isolamento permite que os proprietários de aplicativos usem serviços de identidade sem precisar mantê-los, o que reduz o risco de comprometimento dos serviços de gerenciamento de identidade e acesso. Os recursos na assinatura da plataforma Identity são um ponto crítico de segurança para seus ambientes de nuvem e locais.

Provisione zonas de aterrissagem para que os proprietários de aplicativos possam escolher a ID do Microsoft Entra ou o AD DS e os Serviços de Domínio para atender às suas necessidades de carga de trabalho. Talvez seja necessário configurar outros serviços, dependendo da sua solução de identidade. Por exemplo, talvez seja necessário habilitar e proteger a conectividade de rede para a rede virtual Identidade. Se utilizar um processo de venda automática de subscrições, inclua estas informações de configuração no seu pedido de subscrição.

Azure e domínios locais (identidade híbrida)

Os objetos de usuário criados inteiramente no Microsoft Entra ID são conhecidos como contas somente na nuvem. As contas apenas na nuvem suportam autenticação moderna e acesso aos recursos do Azure e do Microsoft 365 e suportam o acesso a dispositivos locais que utilizam o Windows 10 ou o Windows 11.

Sua organização pode já ter diretórios AD DS de longa data que você integra com outros sistemas, como linha de negócios ou planejamento de recursos empresariais (ERP) por meio do protocolo LDAP. Esses domínios podem ter muitos computadores e aplicativos associados a domínios que usam Kerberos ou protocolos NTLMv2 mais antigos para autenticação. Nesses ambientes, você pode sincronizar objetos de usuário com o ID do Microsoft Entra para que os usuários possam entrar em sistemas locais e recursos de nuvem com uma única identidade. A unificação dos serviços de diretório locais e na nuvem é conhecida como identidade híbrida. Você pode estender domínios locais para zonas de aterrissagem do Azure:

  • Para manter um único objeto de usuário em ambientes de nuvem e locais, você pode sincronizar usuários de domínio do AD DS com o ID do Microsoft Entra por meio do Microsoft Entra Connect ou do Microsoft Entra Cloud Sync. Para determinar a configuração recomendada para seu ambiente, consulte Topologias para o Microsoft Entra Connect e Topologias para o Microsoft Entra Cloud Sync.

  • Para ingressar no domínio de máquinas virtuais (VMs) do Windows e outros serviços, você pode implantar controladores de domínio do AD DS ou Serviços de Domínio no Azure. Use essa abordagem para que os usuários do AD DS possam entrar em servidores Windows, compartilhamentos de arquivos do Azure e outros recursos que usam o Ative Directory como fonte de autenticação. Você também pode usar outras tecnologias do Ative Directory, como a diretiva de grupo, como uma fonte de autenticação. Para obter mais informações, consulte Cenários comuns de implantação para os Serviços de Domínio Microsoft Entra.

Recomendações de identidade híbrida

  • Para determinar os requisitos da solução de identidade, documente o provedor de autenticação que cada aplicativo usa. Use o guia de decisão de identidade para selecionar os serviços certos para sua organização. Para obter mais informações, consulte Comparar o Ative Directory com o Microsoft Entra ID.

  • Você pode usar os Serviços de Domínio para aplicativos que dependem de serviços de domínio e usam protocolos mais antigos. Os domínios AD DS existentes às vezes oferecem suporte à compatibilidade com versões anteriores e permitem protocolos herdados, o que pode afetar negativamente a segurança. Em vez de estender um domínio local, considere usar os Serviços de Domínio para criar um novo domínio que não permita protocolos herdados. Use o novo domínio como o serviço de diretório para aplicativos hospedados na nuvem.

  • Considere a resiliência como um requisito de design crítico para sua estratégia de identidade híbrida no Azure. O Microsoft Entra ID é um sistema globalmente redundante, baseado na nuvem, mas os Serviços de Domínio e o AD DS não são. Planeje cuidadosamente a resiliência ao implementar os Serviços de Domínio e o AD DS. Ao projetar qualquer um dos serviços, considere o uso de implantações em várias regiões para garantir a continuidade da operação do serviço no caso de um incidente regional.

  • Para estender uma instância do AD DS local no Azure e otimizar a implantação, incorpore suas regiões do Azure ao design do site do Ative Directory. Crie um site em sites e serviços do AD DS para cada região do Azure onde você planeja implantar cargas de trabalho. Em seguida, crie um novo objeto de sub-rede em sites e serviços do AD DS para cada intervalo de endereços IP que você planeja implantar na região. Associe o novo objeto de sub-rede ao site do AD DS que você criou. Essa configuração garante que o serviço localizador do controlador de domínio direcione as solicitações de autorização e autenticação para os controladores de domínio AD DS mais próximos dentro da mesma região do Azure.

  • Avalie cenários que configuram convidados, clientes ou parceiros para que eles possam acessar recursos. Determine se esses cenários envolvem o Microsoft Entra B2B ou o Microsoft Entra External ID para clientes. Para obter mais informações, consulte ID externa do Microsoft Entra.

  • Não use o proxy de aplicativo Microsoft Entra para acesso à intranet porque ele adiciona latência à experiência do usuário. Para obter mais informações, consulte Planejamento de proxy de aplicativo Microsoft Entra e Considerações de segurança de proxy de aplicativo Microsoft Entra.

  • Considere vários métodos que você pode usar para integrar o Ative Directory local com o Azure para atender aos seus requisitos organizacionais.

  • Se você tiver a federação dos Serviços de Federação do Ative Directory (AD FS) com a ID do Microsoft Entra, poderá usar a sincronização de hash de senha como backup. O AD FS não suporta o Microsoft Entra continuous single sign-on (SSO).

  • Determine a ferramenta de sincronização certa para sua identidade na nuvem.

  • Se você tiver requisitos para usar o AD FS, consulte Implantar o AD FS no Azure.

  • Se você usar o Microsoft Entra Connect como ferramenta de sincronização, considere implantar um servidor de preparo em uma região diferente do servidor principal do Microsoft Entra Connect para recuperação de desastres. Como alternativa, se você não usar várias regiões, implemente zonas de disponibilidade para alta disponibilidade.

  • Se você usa o Microsoft Entra Cloud Sync como sua ferramenta de sincronização, considere instalar pelo menos três agentes em servidores diferentes em várias regiões para recuperação de desastres. Como alternativa, você pode instalar os agentes em servidores em diferentes zonas de disponibilidade para alta disponibilidade.

Importante

É altamente recomendável que você migre para o Microsoft Entra ID, a menos que precise especificamente do AD FS. Para obter mais informações, consulte Recursos para descomissionar o AD FS e Migrar do AD FS para o Microsoft Entra ID.

ID do Microsoft Entra, Serviços de Domínio e AD DS

Para implementar os serviços de diretório da Microsoft, familiarize os administradores com as seguintes opções:

  • Você pode implantar controladores de domínio do AD DS no Azure como VMs do Windows que os administradores de plataforma ou identidade controlam totalmente. Essa abordagem é uma solução de infraestrutura como serviço (IaaS). Você pode unir os controladores de domínio a um domínio existente do Ative Directory ou hospedar um novo domínio que tenha uma relação de confiança opcional com domínios locais existentes. Para obter mais informações, consulte Arquitetura de linha de base das Máquinas Virtuais do Azure em uma zona de aterrissagem do Azure.

  • Os Serviços de Domínio são um serviço gerenciado pelo Azure que você pode usar para criar um novo domínio gerenciado do Ative Directory hospedado no Azure. O domínio pode ter uma relação de confiança com domínios existentes e pode sincronizar identidades do Microsoft Entra ID. Os administradores não têm acesso direto aos controladores de domínio e não são responsáveis pela aplicação de patches e outras operações de manutenção.

  • Ao implantar Serviços de Domínio ou integrar ambientes locais no Azure, use regiões com zonas de disponibilidade para aumentar a disponibilidade quando possível. Considere também a implantação em várias regiões do Azure para aumentar a resiliência.

Depois de configurar o AD DS ou os Serviços de Domínio, você pode usar o mesmo método dos computadores locais para ingressar no domínio de VMs do Azure e compartilhamentos de arquivos. Para obter mais informações, consulte Comparar serviços baseados em diretório da Microsoft.

Recomendações do Microsoft Entra ID e AD DS

  • Use o proxy de aplicativo Microsoft Entra para acessar aplicativos que usam autenticação local remotamente por meio do Microsoft Entra ID. Esse recurso fornece acesso remoto seguro a aplicativos Web locais. O proxy de aplicativo Microsoft Entra não requer uma VPN ou quaisquer alterações na infraestrutura de rede. No entanto, ele é implantado como uma única instância no Microsoft Entra ID, portanto, os proprietários de aplicativos e as equipes de plataforma ou identidade devem colaborar para garantir que o aplicativo esteja configurado corretamente.

  • Avalie a compatibilidade de cargas de trabalho para AD DS no Windows Server e nos Serviços de Domínio. Para obter mais informações, consulte Casos de uso e cenários comuns.

  • Implante VMs de controlador de domínio ou conjuntos de réplicas de Serviços de Domínio na assinatura da plataforma de Identidade dentro do grupo de gerenciamento da plataforma.

  • Proteja a rede virtual que contém os controladores de domínio. Para impedir a conectividade direta com a Internet de e para a rede virtual e o controlador de domínio, coloque os servidores AD DS em uma sub-rede isolada com um NSG (grupo de segurança de rede). O NSG fornece funcionalidade de firewall. Os recursos que usam controladores de domínio para autenticação devem ter uma rota de rede para a sub-rede do controlador de domínio. Habilite uma rota de rede somente para aplicativos que exigem acesso a serviços na assinatura Identity. Para obter mais informações, consulte Implantar o AD DS em uma rede virtual do Azure.

  • Use o Gerenciador de Rede Virtual do Azure para impor regras padrão que se aplicam a redes virtuais. Por exemplo, você pode usar a Política do Azure ou marcas de recursos de rede virtual para adicionar redes virtuais de zona de destino a um grupo de rede se elas exigirem serviços de identidade do Ative Directory. O grupo de rede pode então ser usado para permitir o acesso à sub-rede do controlador de domínio somente de aplicativos que o exigem e bloquear o acesso de outros aplicativos.

  • Proteja as permissões RBAC (controle de acesso baseado em função) que se aplicam às VMs do controlador de domínio e a outros recursos de identidade. Os administradores com atribuições de função RBAC no plano de controle do Azure, como Colaborador, Proprietário ou Colaborador de Máquina Virtual, podem executar comandos nas VMs. Certifique-se de que apenas administradores autorizados possam acessar as VMs na assinatura de Identidade e que atribuições de função excessivamente permissivas não sejam herdadas de grupos de gerenciamento superiores.

  • Mantenha seus aplicativos principais próximos ou na mesma região da rede virtual para seus conjuntos de réplicas para minimizar a latência. Em uma organização multirregional, implante os Serviços de Domínio na região que hospeda os componentes principais da plataforma. Você só pode implantar os Serviços de Domínio em uma única assinatura. Para expandir os Serviços de Domínio para outras regiões, você pode adicionar até mais quatro conjuntos de réplicas em redes virtuais separadas emparelhadas à rede virtual primária.

  • Considere implantar controladores de domínio do AD DS em várias regiões do Azure e em zonas de disponibilidade para aumentar a resiliência e a disponibilidade. Para obter mais informações, consulte Criar VMs em zonas de disponibilidade e Migrar VMs para zonas de disponibilidade.

  • Explore os métodos de autenticação para o Microsoft Entra ID como parte do seu planejamento de identidade. A autenticação pode ocorrer na nuvem e no local ou apenas no local.

  • Considere usar a autenticação Kerberos para o Microsoft Entra ID em vez de implantar controladores de domínio na nuvem se um usuário do Windows precisar de compartilhamentos de arquivos Kerberos for Azure Files.

Próximo passo

Gestão de identidade e acesso à zona de aterragem