Implantação e gerenciamento do Microsoft Entra Domain Services para Provedores de Soluções na Nuvem do Azure

  • Artigo

O Azure CSP (Provedor de Soluções de Nuvem) é um programa para Parceiros da Microsoft e fornece um canal de licença para vários serviços em nuvem da Microsoft. O Azure CSP permite que os parceiros gerenciem vendas, tenham a propriedade da relação de cobrança, ofereçam suporte técnico e de cobrança e sejam o único ponto de contato dos clientes. Além disso, o Azure CSP fornece um conjunto completo de ferramentas, incluindo um portal de autoatendimento e APIs que o acompanha. Essas ferramentas permitem que os parceiros CSP facilmente provisionem e gerenciem recursos do Azure e forneçam a cobrança para os clientes e suas assinaturas.

O portal Central de Parceiros é o ponto de entrada para todos os parceiros do CSP do Azure, e fornece recursos avançados de gerenciamento de clientes, processamento automatizado e muito mais. Parceiros Azure CSP podem usar recursos do Centro de Parceiros usando uma interface de usuário baseada na Web ou usando o PowerShell e várias chamadas de API.

O diagrama a seguir ilustra como o modelo CSP funciona em um alto nível. Aqui, a Contoso tem um locatário do Microsoft Entra. Eles têm uma parceria com um CSP, que implanta e gerencia os recursos na sua assinatura do Azure CSP. A Contoso também pode ter assinaturas regulares (diretas) do Azure, que são cobradas diretamente para a Contoso.

Overview of the CSP model

O locatário do parceiro CSP tem três grupos especiais de agentes: Agentes administradores, Agentes de Suporte técnico e Agentes de Vendas.

O grupo de agentes Admin é atribuído à função de administrador do locatário no locatário Microsoft Entra da Contoso. Como resultado, um usuário pertencente ao grupo de agentes administradores do parceiro do CSP tem privilégios de administrador de locatário no locatário Microsoft Entra da Contoso.

Quando o parceiro CSP provisiona uma assinatura do Azure CSP para a Contoso, seu grupo de agentes administradores é atribuído à função de proprietário para essa assinatura. Como resultado, os agentes de administração do parceiro CSP têm os privilégios necessários para provisionar recursos do Azure, como máquinas virtuais, redes virtuais e o Microsoft Entra Domain Services em nome da Contoso.

Para saber mais, confira a Visão geral do Azure CSP

Benefícios do uso dos Serviços de Domínio em uma assinatura do Azure CSP

Os Serviços de Domínio do Microsoft Entra fornece serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM, totalmente compatíveis com o Windows Server Active Directory Domain Services. Por décadas, muitos aplicativos foram criados para funcionar no AD usando esses recursos. Muitos fornecedores de software independentes (ISVs) têm criado e implantado aplicativos nos locais de seus clientes. É difícil dar suporte a esses aplicativos, já que geralmente exige acesso aos diferentes ambientes em que esses aplicativos são implantados. Com assinaturas de Azure CSP, você tem uma alternativa mais simples com a escala e a flexibilidade do Azure.

Os Serviços de Domínio oferecem suporte a assinaturas de CSP do Azure. Você pode implantar seu aplicativo em uma assinatura do CSP do Azure vinculada ao locatário do Microsoft Entra do seu cliente. Como resultado, os funcionários (equipe de suporte) podem gerenciar, administrar e fazer a manutenção das VMs em que seu aplicativo é implantado usando credenciais corporativas da sua organização.

Você também pode implantar um domínio gerenciado do Serviços de Domínio no locatário do Microsoft Entra do seu cliente. Seu aplicativo é, então, conectado ao domínio gerenciado do cliente. Os recursos dentro de seu aplicativo que dependem de Kerberos / NTLM, LDAP ou a API System.DirectoryServices funcionam perfeitamente em relação ao domínio de seu cliente. Os clientes finais se beneficiam consumindo seu aplicativo como um serviço, sem precisar se preocupar com a manutenção da infraestrutura na qual o aplicativo é implantado.

Todo o faturamento dos recursos do Azure que você consome nessa assinatura, incluindo os Serviços de Domínio, é cobrado de volta de você. Você mantém controle total sobre a relação com o cliente quando se trata de vendas, cobrança, suporte técnico etc. Com a flexibilidade da plataforma do Azure CSP, uma pequena equipe de agentes de suporte pode atender a muitos clientes que têm instâncias do seu aplicativo implantadas.

Modelos de implantação de CSP para serviços de domínio

Há duas maneiras de usar os Serviços de Domínio com uma assinatura do Azure CSP. Escolha a correta com base nas considerações com segurança e simplicidade que seus clientes têm.

Modelo de implantação direta

Nesse modelo de implantação, os Serviços de Domínio são ativados em uma rede virtual que pertence à assinatura do CSP do Azure. Agentes administradores do parceiro CSP têm os privilégios a seguir:

  • Privilégios de administrador da empresa no locatário do Microsoft Entra do cliente.
  • Privilégios de Proprietário da assinatura na assinatura do Azure CSP.

Direct deployment model

Nesse modelo de implantação, os agentes administradores do provedor CSP podem administrar identidades para o cliente. Esses agentes administradores podem executar tarefas como provisionamento de novos usuários ou grupos ou adicionar aplicativos no locatário do Microsoft Entra do cliente.

Esse modelo de implantação pode ser adequado para organizações menores que não têm um administrador de identidades dedicado ou preferem que o parceiro CSP administre as identidades em seu nome.

Modelo de implantação emparelhada

Nesse modelo de implantação, os Serviços de Domínio são ativados em uma rede virtual pertencente ao cliente - uma assinatura direta do Azure paga pelo cliente. O parceiro CSP pode implantar aplicativos em uma rede virtual que pertencem à assinatura do CSP do cliente. As redes virtuais podem ser conectadas usando o emparelhamento de rede virtual do Azure.

Com essa implantação, as cargas de trabalho ou os aplicativos implantados pelo parceiro CSP na assinatura do Azure CSP podem ser conectados ao domínio gerenciado do cliente, provisionado na assinatura do Azure direta do cliente.

Peered deployment model

Esse modelo de implantação fornece uma separação de privilégios e permite que os agentes de suporte técnico do parceiro CSP administrem a assinatura do Azure e implantem e gerenciar recursos dentro dele. Entretanto, os agentes de assistência técnica do parceiro do CSP não precisam ter privilégios de administrador global no diretório do Microsoft Entra do cliente. Os administradores de identidades do cliente podem continuar a gerenciar identidades para sua organização.

Esse modelo de implantação pode ser adequado a cenários em que um ISV fornece uma versão hospedada do seu aplicativo local, que também precisa se conectar ao Microsoft Entra ID do cliente.

Administrar serviços de domínio em assinaturas CSP

As considerações importantes a seguir se aplicam ao administrar um domínio gerenciado em uma assinatura do Azure CSP:

  • Agentes administradores do CSP podem provisionar um domínio gerenciado usando suas credenciais: Os Serviços de Domínio oferecem suporte a assinaturas de CSP do Azure. Os usuários que pertencem ao grupo de agentes administradores de um parceiro CSP podem provisionar um novo domínio gerenciado.

  • Os CSPs podem criar scripts de criação de novos domínios gerenciados para seus clientes usando o PowerShell: Veja como ativar os Serviços de Domínio usando o PowerShell para obter detalhes.

  • Agentes administradores do CSP não podem executar tarefas de gerenciamento em andamento usando suas credenciais de domínio gerenciado: usuários administradores do CSP não podem executar tarefas rotineiras de gerenciamento dentro do domínio gerenciado usando suas credenciais. Esses usuários são externos ao locatário do Microsoft Entra do cliente e suas credenciais não estão disponíveis no locatário do Microsoft Entra do cliente. Os Serviços de Domínio não tem acesso aos hashes de senha Kerberos e NTLM desses usuários, portanto, os usuários não podem ser autenticados em domínios gerenciados.

    Aviso

    Você deve criar uma conta de usuário no diretório do cliente para executar tarefas de administração contínuas no domínio gerenciado.

    Você não pode entrar no domínio gerenciado usando as credenciais de um usuário administrador do CSP. Use as credenciais de uma conta de usuário pertencente ao locatário do Microsoft Entra do cliente para fazer isso. Você precisará de credenciais para tarefas como adicionar VMs ao domínio gerenciado, administrar DNS, ou administrar Política de Grupo.

  • A conta de usuário criada para administração contínua deve ser adicionada ao grupo Administradores de controlador de domínio do AAD: o grupo Administradores de controlador de domínio do AAD não tem privilégios para realizar certas tarefas de administração delegadas no domínio gerenciado. Essas tarefas incluem configurar o DNS, criar unidades organizacionais e administrar a política de grupo.

    Para que um parceiro do CSP execute essas tarefas em um domínio gerenciado, uma conta de usuário deve ser criada no locatário do Microsoft Entra do cliente. As credenciais para esta conta devem ser compartilhadas com agentes administradores do parceiro CSP. Além disso, essa conta de usuário deve ser adicionada ao grupo Administradores de controlador de domínio do AAD para habilitar tarefas de configuração no domínio a ser executado usando essa conta de usuário.

Próximas etapas

Para começar, inscreva-se no programa CSP do Azure. Em seguida, você pode habilitar o Microsoft Entra Domain Services usando o Centro de Administração Microsoft Entra ou o Azure PowerShell.