Etapa 1. Determinar seu modelo de identidade de nuvem

O Microsoft 365 usa o Azure Active Directory (Azure AD), um serviço de autenticação e identidade de usuário baseado em nuvem que está incluído em sua assinatura do Microsoft 365, para gerenciar identidades e autenticação para Microsoft 365. Configurar sua infraestrutura de identidade corretamente é essencial para gerenciar Microsoft 365 acesso de usuário e permissões para sua organização.

Antes de começar, assista a este vídeo para ter uma visão geral dos modelos de identidade e autenticação do Microsoft 365.

Sua primeira opção de planejamento é seu modelo de identidade de nuvem.

Modelos de identidade de nuvem da Microsoft

Para planejar contas de usuário, primeiro você precisa entender os dois modelos de identidade no Microsoft 365. Você pode manter as identidades da sua organização somente na nuvem ou manter suas identidades do AD DS (Serviços de Domínio do Active Directory local) e usá-las para autenticação quando os usuários acessarem Microsoft 365 serviços de nuvem.

Aqui estão os dois tipos de identidade e seus melhores benefícios e ajuste.

Atributo Identidade somente na nuvem Identidade híbrida
Definição A conta de usuário só existe no locatário do Azure AD para sua Microsoft 365 assinatura. A conta de usuário existe no AD DS e uma cópia também está no locatário do Azure AD para sua Microsoft 365 assinatura. A conta de usuário no Azure AD também pode incluir uma versão com hash da senha de conta de usuário do AD DS já com hash.
Como Microsoft 365 autentica as credenciais do usuário O locatário do Azure AD para sua assinatura Microsoft 365 executa a autenticação com a conta de identidade de nuvem. O locatário do Azure AD para sua assinatura Microsoft 365 manipula o processo de autenticação ou redireciona o usuário para outro provedor de identidade.
Melhor para Organizações que não têm ou precisam de um AD DS local. Organizações que usam o AD DS ou outro provedor de identidade.
Maior benefício Simples de usar. Nenhuma ferramenta de diretório adicional ou servidores é necessário. Os usuários podem usar as mesmas credenciais ao acessar recursos locais ou baseados em nuvem.

Identidade somente na nuvem

Uma identidade somente na nuvem usa contas de usuário que existem somente no Azure AD. A identidade somente na nuvem normalmente é usada por pequenas organizações que não têm servidores locais ou não usam o AD DS para gerenciar identidades locais.

Aqui estão os componentes básicos da identidade somente na nuvem.

Componentes básicos da identidade somente na nuvem.

Os usuários locais e remotos (online) usam suas contas de usuário e senhas do Azure AD para acessar Microsoft 365 de nuvem. O Azure AD autentica credenciais de usuário com base em suas contas de usuário e senhas armazenadas.

Administração

Como as contas de usuário são armazenadas apenas no Azure AD, você gerencia identidades de nuvem com ferramentas como o Centro de administração do Microsoft 365 e Windows PowerShell.

Identidade híbrida

A identidade híbrida usa contas originadas em um AD DS local e tem uma cópia no locatário do Azure AD de uma Microsoft 365 assinatura. A maioria das alterações, com exceção de atributos de conta específicos, flui apenas de uma maneira. As alterações feitas nas contas de usuário do AD DS são sincronizadas com a cópia no Azure AD.

O Azure AD Conexão fornece a sincronização de conta contínua. Ele é executado em um servidor local, verifica se há alterações no AD DS e encaminha essas alterações para o Azure AD. O Azure AD Conexão fornece a capacidade de filtrar quais contas são sincronizadas e se deseja sincronizar uma versão com hash de senhas de usuário, conhecida como PHS (sincronização de hash de senha).

Quando você implementa a identidade híbrida, seu AD DS local é a fonte autoritativa para informações da conta. Isso significa que você executa tarefas de administração principalmente locais, que são sincronizadas com o Azure AD.

Aqui estão os componentes da identidade híbrida.

Componentes da identidade híbrida.

O locatário do Azure AD tem uma cópia das contas do AD DS. Nessa configuração, usuários locais e remotos que acessam Microsoft 365 de nuvem são autenticados no Azure AD.

Observação

Você sempre precisa usar o Azure AD Conexão para sincronizar contas de usuário para identidade híbrida. Você precisa das contas de usuário sincronizadas no Azure AD para executar a atribuição de licença e gerenciamento de grupo, configurar permissões e outras tarefas administrativas que envolvem contas de usuário.

Identidade híbrida e sincronização de diretório para Microsoft 365

Dependendo das suas necessidades de negócios e dos requisitos técnicos, o modelo de identidade híbrida e a sincronização de diretórios são a opção mais comum para clientes corporativos que estão adotando Microsoft 365. A sincronização de diretório permite gerenciar identidades no Active Directory Domain Services (AD DS) e todas as atualizações de contas de usuário, grupos e contatos são sincronizadas com o locatário do Azure Active Directory (Azure AD) de sua assinatura do Microsoft 365.

Observação

Quando as contas de usuário do AD DS são sincronizadas pela primeira vez, elas não são atribuídas automaticamente a uma licença do Microsoft 365 e não podem acessar Microsoft 365 serviços, como email. Primeiro, você deve atribuir a eles um local de uso. Em seguida, atribua uma licença a essas contas de usuário, individualmente ou dinamicamente por meio da associação de grupo.

Autenticação para identidade híbrida

Há dois tipos de autenticação ao usar o modelo de identidade híbrida:

  • Autenticação gerenciada

    O Azure AD manipula o processo de autenticação usando uma versão com hash armazenada localmente da senha ou envia as credenciais para um agente de software local a ser autenticado pelo AD DS local.

  • Autenticação federada

    O Azure AD redireciona o computador cliente solicitando autenticação para outro provedor de identidade.

Autenticação gerenciada

Há dois tipos de autenticação gerenciada:

  • Sincronização de hash de senha (PHS)

    O Azure AD realiza a própria autenticação.

  • Autenticação de passagem (PTA)

    O Azure AD faz o AD DS executar a autenticação.

Sincronização de hash de senha (PHS)

Com o PHS, você sincroniza suas contas de usuário do AD DS com Microsoft 365 e gerencia seus usuários locais. Os hashes de senhas de usuário são sincronizados do AD DS com o Azure AD para que os usuários tenham a mesma senha local e na nuvem. Essa é a maneira mais simples de habilitar a autenticação para identidades do AD DS no Azure AD.

PhS (sincronização de hash de senha).

Quando as senhas são alteradas ou redefinidas localmente, os novos hashes de senha são sincronizados com o Azure AD para que os usuários sempre possam usar a mesma senha para recursos de nuvem e recursos locais. As senhas de usuário nunca são enviadas ao Azure AD ou armazenadas no Azure AD em texto não criptografado. Alguns recursos premium do Azure AD, como o Identity Protection, exigem PHS, independentemente de qual método de autenticação está selecionado.

Veja como escolher o método de autenticação certo para saber mais.

Autenticação de passagem (PTA)

O PTA fornece uma validação de senha simples para serviços de autenticação do Azure AD usando um agente de software em execução em um ou mais servidores locais para validar os usuários diretamente com o AD DS. Com o PTA, você sincroniza contas de usuário do AD DS com Microsoft 365 e gerencia seus usuários locais.

Autenticação de passagem (PTA).

O PTA permite que os usuários se conectem a recursos locais e Microsoft 365 aplicativos usando sua conta e senha locais. Essa configuração valida as senhas dos usuários diretamente no AD DS local sem armazenar hashes de senha no Azure AD.

O PTA também é para organizações com um requisito de segurança para impor imediatamente estados de conta de usuário locais, políticas de senha e horas de logon.

Veja como escolher o método de autenticação certo para saber mais.

Autenticação federada

A autenticação federada é principalmente para grandes organizações empresariais com requisitos de autenticação mais complexos. As identidades do AD DS são sincronizadas com Microsoft 365 e as contas de usuários são gerenciadas localmente. Com a autenticação federada, os usuários têm a mesma senha local e na nuvem e não precisam entrar novamente para usar Microsoft 365.

A autenticação federada pode dar suporte a requisitos de autenticação adicionais, como autenticação baseada em cartão inteligente ou uma autenticação multifator de terceiros, e normalmente é necessária quando as organizações têm um requisito de autenticação não suportado nativamente pelo Azure AD.

Veja como escolher o método de autenticação certo para saber mais.

Para provedores de identidade e autenticação de terceiros, os objetos de diretório local podem ser sincronizados com o Microsoft 365 e o acesso a recursos de nuvem que são gerenciados principalmente por um IdP (provedor de identidade) de terceiros. Se sua organização usar uma solução de federação de terceiros, você poderá configurar o logon com essa solução para Microsoft 365 desde que a solução de federação de terceiros seja compatível com o Azure AD.

Confira a lista de compatibilidade de federação do Azure AD para saber mais.

Administração

Como as contas de usuário originais e autoritativas são armazenadas no AD DS local, você gerencia suas identidades com as mesmas ferramentas que gerencia o AD DS.

Você não usa o Centro de administração do Microsoft 365 PowerShell para Microsoft 365 gerenciar contas de usuário sincronizadas no Azure AD.

Próxima etapa

Proteger suas contas Microsoft 365 privilegiadas

Continue com a Etapa 2 para proteger suas contas de administrador global.