Exercício - Configurar o Microsoft Entra ID
Este exercício leva você pelo processo de criação e gerenciamento de entidades relacionadas ao ID do Microsoft Entra, incluindo locatários, usuários e grupos do Microsoft Entra. Você começará criando uma conta de usuário e dois grupos no locatário do Microsoft Entra associado à sua assinatura e adicionando o usuário ao primeiro grupo. Em seguida, você criará outro locatário do Microsoft Entra e uma conta de usuário nesse locatário. Para concluir este exercício, você adicionará a conta de usuário do segundo locatário como uma conta de convidado no primeiro locatário. Nos exercícios subsequentes deste módulo, você implementará a integração entre uma instância de servidor único do Banco de Dados do Azure para PostgreSQL e o primeiro locatário do Microsoft Entra e concederá acesso ao seu conteúdo aos dois grupos criados anteriormente.
Neste exercício, irá:
- Crie objetos de usuário e grupo do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure.
- Crie um locatário adicional do Microsoft Entra e um objeto de usuário.
- Crie e configure um usuário convidado do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure.
Pré-requisitos
Para realizar este exercício, você precisa:
Uma subscrição do Azure.
Uma conta Microsoft ou uma conta Microsoft Entra com a função de Administrador Global no inquilino do Microsoft Entra associada à subscrição do Azure e com a função de Proprietário ou Colaborador na subscrição do Azure.
Nota
Os exercícios neste módulo executam operações sensíveis e requerem privilégios muito elevados, pelo que, como tal, devem ser realizados dentro de um ambiente de laboratório isolado. Se você não tiver acesso a esse ambiente, considere usar para essa finalidade uma assinatura de Avaliação do Azure.
Criar objetos de usuário e grupo do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure
Você começará criando objetos de usuário e grupo do Microsoft Entra. Depois que os objetos forem criados, você configurará suas respetivas associações de grupo. Para acelerar as tarefas de configuração, você usará a CLI do Azure. Você confiará nos objetos do Microsoft Entra para autenticar na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício deste módulo.
Inicie um navegador da Web, navegue até o portal do Azure e entre para acessar a assinatura do Azure que você usará neste módulo.
No portal do Azure, abra o Cloud Shell selecionando seu ícone na barra de ferramentas ao lado da caixa de texto de pesquisa.
Se necessário, selecione Bash.
Nota
Se esta for a primeira vez que está a iniciar o Azure Cloud Shell e lhe for apresentada a mensagem Não tem armazenamento montado, selecione a subscrição que está a utilizar neste exercício e, em seguida, selecione Criar armazenamento.
Na sessão Bash no painel do Azure Cloud Shell , execute o seguinte comando para identificar o nome de domínio DNS padrão do locatário do Microsoft Entra associado à assinatura do Azure:
DOMAIN_NAME=$(az rest --method GET --url 'https://management.azure.com/tenants?api-version=2020-01-01' --query "value[0].defaultDomain" -o tsv)Execute o seguinte comando para criar um usuário do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
ADMIN_NAME=adatumadmin1 ADMIN=$(az ad user create --display-name $ADMIN_NAME \ --password Pa55w.rd1234 \ --user-principal-name $ADMIN_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota
Você configurará essa conta de usuário como um administrador do Microsoft Entra da instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Execute o seguinte comando para identificar o valor do atributo userPrincipalName do usuário do Microsoft Entra criado na etapa anterior:
echo $ADMIN | jq -r '.userPrincipalName'Nota
Registe este valor. Você precisará dele no próximo exercício deste módulo.
Execute os seguintes comandos para atribuir ao usuário recém-criado a função de Colaborador na assinatura do Azure que você está usando para os exercícios neste módulo:
ADMIN_OBJECT_ID=$(echo $ADMIN | jq -r '.id') SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$ADMIN_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota
O segundo comando retornará a ID da sua assinatura padrão. Se você pretende usar uma assinatura diferente, precisará definir o valor da variável $SUBSCRIPTION_ID de acordo.
Execute o seguinte comando para criar um usuário do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
USER_NAME=adatumuser1 USER=$(az ad user create --display-name $USER_NAME \ --password Pa55w.rd1234 \ --user-principal-name $USER_NAME@$DOMAIN_NAME \ --force-change-password-next-sign-in false)Nota
Você configurará essa conta de usuário como um usuário não privilegiado do Microsoft Entra com acesso a um banco de dados no Banco de Dados do Azure para instância de servidor único do PostgreSQL no próximo exercício.
Execute o seguinte comando para criar um grupo do Microsoft Entra no locatário do Microsoft Entra associado à assinatura do Azure:
GROUP_NAME=adatumgroup1 GROUP=$(az ad group create --display-name $GROUP_NAME \ --mail-nickname $GROUP_NAME \ --description $GROUP_NAME)Nota
Você usará esse grupo para atribuir permissões ao banco de dados na instância de servidor único do Banco de Dados do Azure para PostgreSQL no próximo exercício.
Execute o seguinte comando para adicionar o usuário ao grupo:
USER_OBJECT_ID=$(echo $USER | jq -r '.id') az ad group member add --group $GROUP_NAME --member-id $USER_OBJECT_IDExecute o seguinte comando para atribuir ao usuário recém-criado a função de Colaborador na assinatura do Azure que você está usando para os exercícios neste módulo:
SUBSCRIPTION_ID=$(az account show --query id --output tsv) az role assignment create --assignee "$USER_OBJECT_ID" \ --role "Contributor" \ --scope "/subscriptions/$SUBSCRIPTION_ID"Nota
Você confiará nessa atribuição de função no próximo exercício deste módulo.
Feche o painel do Cloud Shell .
Para verificar o resultado deste exercício, no portal do Azure, use a caixa de texto Pesquisar recursos, serviços e documentos no início da página do portal do Azure para pesquisar a ID do Microsoft Entra.
Na lista de resultados, selecione Microsoft Entra ID.
Na folha que exibe as propriedades do locatário do Microsoft Entra, no menu vertical, nas seções Gerenciar , selecione Usuários.
Sobre os Utilizadores | Folha Todos os usuários, verifique se a lista de usuários contém a conta de usuário que você criou anteriormente nesta tarefa.
Navegue de volta para a folha que exibe as propriedades do locatário do Microsoft Entra e, no menu vertical, nas seções Gerenciar , selecione Grupos.
Sobre os Grupos | Folha Todos os grupos, verifique se a lista de grupos contém a conta de grupo que você criou anteriormente nesta tarefa.
Criar um locatário adicional do Microsoft Entra e um objeto de usuário
Nesta tarefa, você criará um locatário do Microsoft Entra e uma conta de usuário no novo locatário usando o portal do Azure. Na próxima tarefa, você configurará essa conta de usuário como uma conta de usuário convidado no primeiro locatário.
No navegador da Web, na folha do portal do Azure exibindo as propriedades do locatário do Microsoft Entra, selecione Gerenciar locatários e selecione + Criar.
Na guia Noções básicas da folha Criar um locatário, verifique se a opção ID do Microsoft Entra está selecionada e selecione Avançar: Configuração >.
Na guia Configuração da folha Criar um locatário, especifique as seguintes configurações:
Definição valor Nome da organização Contoso Nome de domínio inicial Qualquer nome DNS válido que consista em letras minúsculas e dígitos e comece com uma letra País/Região O nome do seu país ou região Selecione Rever + criar e, no separador Rever + criar da folha Criar um inquilino, selecione Criar.
Se solicitado, em Ajude-nos a provar que você não é um robô, insira o código fornecido e selecione Enviar.
Aguarde a conclusão do provisionamento e selecione o link Contoso para navegar até a folha que exibe as propriedades do locatário do Microsoft Entra da Contoso.
No navegador da Web, na folha do portal do Azure exibindo o Contoso | Folha Visão geral do locatário do Microsoft Entra da Contoso , no menu vertical, nas seções Gerenciar , selecione Usuários.
Sobre os Utilizadores | Folha Todos os usuários do locatário Contoso - Microsoft Entra ID, selecione + Novo usuário e, em seguida, selecione Criar novo usuário.
Na folha Criar novo usuário, especifique as seguintes configurações, deixando as outras configurações com seus valores padrão:
Definição valor User name contosouser1 Nome contosouser1 Permitir criar a palavra-passe Ativado(a) Palavra-passe inicial Pa55w.rd1234 Use o ícone Copiar para área de transferência ao lado da lista suspensa Nome de usuário para registrar o valor do atributo Nome principal do usuário contosouser1. Você precisará dele mais tarde neste e nos exercícios subsequentes.
Na folha Novo usuário, selecione Criar.
Sobre os Utilizadores | Folha Todos os usuários do locatário Contoso - Microsoft Entra ID , revise a lista de contas de usuário e verifique se a nova conta de usuário foi criada com êxito.
Nota
Você configurará essa conta de usuário como um usuário não privilegiado do Microsoft Entra com acesso a um banco de dados no Banco de Dados do Azure para instância de servidor único do PostgreSQL no próximo exercício.
Criar e configurar um usuário convidado do Microsoft Entra no locatário do Microsoft Entra associado à sua assinatura do Azure
Para concluir este exercício, você usará o portal do Azure para configurar a conta de usuário no locatário do Contoso Microsoft Entra como um usuário convidado no locatário do Adatum Microsoft Entra, criar um novo grupo nesse locatário e adicionar o usuário convidado a esse grupo.
No navegador da Web, na folha do portal do Azure exibindo o Contoso | Folha Visão geral do locatário do Microsoft Entra da Contoso, na barra de ferramentas, no canto superior direito, selecione o ícone Assinaturas ao lado do ícone do Cloud Shell e selecione o link Alternar diretório.
Na folha Diretórios + assinaturas, selecione a entrada que representa o locatário do Microsoft Entra associado à assinatura do Azure que você está usando nos exercícios deste módulo e selecione Alternar.
Nota
Isso alternará automaticamente sua sessão para o locatário do Microsoft Entra associado à assinatura do Azure que você está usando nos exercícios deste módulo.
No portal do Azure, use a caixa de texto Pesquisar recursos, serviços e documentos no início da página do portal do Azure para pesquisar o Microsoft Entra ID e, na lista de resultados, selecione Microsoft Entra ID.
Na folha que exibe as propriedades do locatário do Microsoft Entra, no menu vertical, nas seções Gerenciar , selecione Usuários.
Sobre os Utilizadores | Folha Todos os utilizadores, selecione + Novo utilizador e, em seguida, selecione Convidar utilizador externo.
Na folha Convidar utilizador externo, certifique-se de que a opção Convidar utilizador está selecionada, especifique as seguintes definições deixando as outras definições com os respetivos valores predefinidos, selecione Rever + convidar e, em seguida, selecione Convidar:
Definição valor Endereço de e-mail O valor do atributo Nome principal do usuário de contosouser1 que você registrou anteriormente nesta tarefa Display name contosouser1 Mensagem de convite Bem-vindo à Adatum Navegue de volta para a folha que exibe as propriedades do locatário do Microsoft Entra e, no menu vertical, nas seções Gerenciar , selecione Grupos.
Sobre os Grupos | Todos os grupos de folha, selecione adatumgroup1.
Na folha adatumgroup1, selecione Membros.
Sobre o adatumgroup1 | Folha Membros , selecione + Adicionar membros.
Na folha Adicionar membros, na caixa de texto Pesquisar, digite contosouser1.
Na lista de resultados, selecione a entrada contosouser1 e, em seguida, selecione Selecionar.
Resultados
Parabéns! Você concluiu o primeiro exercício deste módulo. Você iniciou este exercício criando um usuário e um grupo no locatário do Microsoft Entra associado à sua assinatura do Azure e, em seguida, adicionando o usuário ao grupo. Em seguida, você criou outro locatário do Microsoft Entra e um usuário nesse locatário do Microsoft Entra. Finalmente, você configurou esse usuário como um usuário convidado no locatário do Microsoft Entra associado à sua assinatura do Azure, criou outro grupo nesse locatário e adicionou o usuário convidado a ele.