Guia de implantação de recursos do Azure Active DirectoryAzure Active Directory feature deployment guide

Pode parecer desanimador implantar o Azure AD (Azure Active Directory) para sua organização e mantê-lo seguro.It can seem daunting to deploy Azure Active Directory (Azure AD) for your organization and keep it secure. Este artigo identifica tarefas comuns que os clientes consideram úteis concluir em fases, ao longo de 30, 60, 90 dias ou mais, para melhorar a postura de segurança.This article identifies common tasks that customers find helpful to complete in phases, over the course of 30, 60, 90 days, or more, to enhance their security posture. Mesmo as organizações que já implantaram o Azure Active Directory podem usar este guia para garantir o máximo aproveitamento do investimento já feito.Even organizations who have already deployed Azure AD can use this guide to ensure they are getting the most out of their investment.

Uma infraestrutura de identidade bem planejada e executada abre o caminho para o acesso seguro às suas cargas de trabalho de produtividade e dados apenas para usuários e dispositivos conhecidos.A well-planned and executed identity infrastructure paves the way for secure access to your productivity workloads and data by known users and devices only.

Além disso, os clientes podem verificar a respectiva classificação de segurança da identidade para ver o quão alinhados eles estão com as práticas recomendadas da Microsoft.Additionally customers can check their identity secure score to see how aligned they are to Microsoft best practices. Verifique a sua classificação de segurança antes e depois de implementar essas recomendações para ver o seu desempenho em comparação com outros integrantes do setor e outras organizações do mesmo tamanho.Check your secure score before and after implementing these recommendations to see how well you are doing compared to others in your industry and to other organizations of your size.

Pré-requisitosPrerequisites

Muitas das recomendações deste guia podem ser implementadas com o Azure Active Directory Gratuito, Básico ou sem licença alguma.Many of the recommendations in this guide can be implemented with Azure AD Free, Basic, or no license at all. Quando as licenças são necessárias, declaramos qual licença é necessária, no mínimo, para realizar a tarefa.Where licenses are required we state which license is required at minimum to accomplish the task.

Informações adicionais sobre licenciamento podem ser encontradas nas seguintes páginas:Additional information about licensing can be found on the following pages:

Fase 1: Criar uma base de segurançaPhase 1: Build a foundation of security

Nessa fase, os administradores habilitam recursos de segurança básicos para criar um alicerce mais seguro e fácil de usar no Azure Active Directory antes de importar ou criar contas de usuário normais.In this phase, administrators enable baseline security features to create a more secure and easy to use foundation in Azure AD before we import or create normal user accounts. Essa fase inicial garante que você esteja em um estado mais seguro desde o início e que os usuários finais tenham que ser introduzidos a novos conceitos apenas uma vez.This foundational phase ensures you are in a more secure state from the start and that your end-users only have to be introduced to new concepts one time.

TarefaTask DetalhesDetail Licença necessáriaRequired license
Designar mais de um administrador globalDesignate more than one global administrator Atribua pelo menos duas contas de administrador global permanentes somente de nuvem para uso se houver uma emergência.Assign at least two cloud-only permanent global administrator accounts for use if there is an emergency. Essas contas não são usadas diariamente e devem ter senhas longas e complexas.These accounts are not be used daily and should have long and complex passwords. AD do Azure GratuitoAzure AD Free
Usar funções administrativas não globais sempre que possívelUse non-global administrative roles where possible Dê aos administradores acesso apenas às áreas de que precisam.Give your administrators only the access they need to only the areas they need access to. Nem todos os administradores precisam ser administradores globais.Not all administrators need to be global administrators. AD do Azure GratuitoAzure AD Free
Habilitar o Privileged Identity Management para rastreamento do uso da função administrativaEnable Privileged Identity Management for tracking admin role use Habilite o Privileged Identity Management para começar a rastrear o uso da função administrativa.Enable Privileged Identity Management to start tracking administrative role usage. Azure AD Premium P2Azure AD Premium P2
Distribuir a redefinição de senha de autoatendimentoRoll out self-service password reset Reduza as chamadas à assistência técnica para redefinir senhas permitindo que a equipe redefina as suas próprias senhas com políticas que você define como controlador de administradores.Reduce helpdesk calls for password resets by allowing staff to reset their own passwords using policies you as an administrator control. AD Basic do AzureAzure AD Basic
Criar uma lista de específico senhas banidas personalizados da organizaçãoCreate an organization specific custom banned password list Impeça os usuários de criarem senhas que contenham palavras ou frases comuns da organização ou da área.Prevent users from creating passwords that include common words or phrases from your organization or area. AD Basic do AzureAzure AD Basic
Habilitar a integração local à proteção de senha do Azure Active DirectoryEnable on-premises integration with Azure AD password protection Estenda a lista de senhas banidas para o seu diretório local, de modo a garantir que as senhas locais definidas também estejam em conformidade com a lista de senhas específicas banidas do locatário e globais.Extend the banned password list to your on-premises directory, to ensure passwords set on-premises are also in compliance with the global and tenant-specific banned password lists. Azure AD Premium P1Azure AD Premium P1
Habilitar diretrizes de senha da MicrosoftEnable Microsoft's password guidance Pare de exigir que os usuários alterem as respectivas senhas em um intervalo definido, desabilite os requisitos de complexidade e os usuários estarão mais propensos a lembrar de suas senhas e mantê-las em segurança.Stop requiring users to change their password on a set schedule, disable complexity requirements, and your users are more apt to remember their passwords and keep them something that is secure. AD do Azure GratuitoAzure AD Free
Desabilitar redefinições de senha periódicas para contas de usuário baseadas em nuvemDisable periodic password resets for cloud-based user accounts As redefinições de senha periódicas incentivam os usuários a incrementar as senhas existentes.Periodic password resets encourage your users to increment their existing passwords. Siga as orientações do documento de diretrizes de senha da Microsoft e espelhe a política local para os usuários apenas de nuvem.Use the guidelines in Microsoft's password guidance doc and mirror your on-premises policy to cloud-only users. AD do Azure GratuitoAzure AD Free
Personalizar o bloqueio inteligente do Azure Active DirectoryCustomize Azure Active Directory smart lockout Impeça que os bloqueios de usuários baseados na nuvem sejam replicados para os usuários locais do Active DirectoryStop lockouts from cloud-based users from being replicated to on-premises Active Directory users AD Basic do AzureAzure AD Basic
Habilitar o bloqueio inteligente da Extranet para o AD FSEnable Extranet Smart Lockout for AD FS O bloqueio de Extranet do AD FS protege contra ataques de detecção de senha de força bruta, ao mesmo tempo que permite aos usuários com AD FS válido continuar usando as respectivas contas.AD FS extranet lockout protects against brute force password guessing attacks, while letting valid AD FS users continue to use their accounts.
Implantar a autenticação multifator do Azure AD usando políticas de acesso condicionalDeploy Azure AD Multi-Factor Authentication using Conditional Access policies Exigir que os usuários executar a verificação em duas etapas ao acessar a aplicativos confidenciais usando políticas de acesso condicional.Require users to perform two-step verification when accessing sensitive applications using Conditional Access policies. Azure AD Premium P1Azure AD Premium P1
Ativar a proteção de identidade do Active Directory do AzureEnable Azure Active Directory Identity Protection Habilite o rastreamento de conexões arriscadas e credenciais comprometidas para usuários da sua organização.Enable tracking of risky sign-ins and compromised credentials for users in your organization. Azure AD Premium P2Azure AD Premium P2
Usar eventos de risco para disparar a autenticação multifator e alterações de senhaUse risk events to trigger multi-factor authentication and password changes Habilite a automação que pode disparar eventos como autenticação multifator, redefinição de senha e bloqueio de conexões com base no risco.Enable automation that can trigger events such as multi-factor authentication, password reset, and blocking of sign-ins based on risk. Azure AD Premium P2Azure AD Premium P2
Habilite o registro convergente para redefinição de senha de autoatendimento e Autenticação de Vários Fator do Azure AD (visualização)Enable converged registration for self-service password reset and Azure AD Multi-Factor Authentication (preview) Permita que os usuários se registrem de uma experiência comum na Autenticação Multifator do Microsoft Azure e no autoatendimento de redefinição de senha.Allow your users to register from one common experience for both Azure Multi-Factor Authentication and self-service password reset. Azure AD Premium P1Azure AD Premium P1

Fase 2: Importar usuários, habilitar sincronização e gerenciar dispositivosPhase 2: Import users, enable synchronization, and manage devices

A seguir, fazemos inclusões na base criada na fase 1 importando usuários e habilitando a sincronização, planejando o acesso de convidado e preparando o suporte a recursos adicionais.Next, we add to the foundation laid in phase 1 by importing our users and enabling synchronization, planning for guest access, and preparing to support additional functionality.

TarefaTask DetalhesDetail Licença necessáriaRequired license
Instalar o Azure AD ConnectInstall Azure AD Connect Prepare-se para sincronizar usuários do diretório local existente com a nuvem.Prepare to synchronize users from your existing on-premises directory to the cloud. AD do Azure GratuitoAzure AD Free
Implementar a sincronização de Hash de senhaImplement Password Hash Sync Sincronize os hashes de senha para permitir a replicação das alterações de senha, a detecção e a correção de senhas incorretas, bem como relatos de credenciais vazadas.Synchronize password hashes to allow password changes to be replicated, bad password detection and remediation, and leaked credential reporting. AD do Azure GratuitoAzure AD Free
Implementar o write-back de senhaImplement Password Writeback Permita que as alterações de senha na nuvem sejam gravadas em um ambiente local do Windows Server Active Directory.Allow password changes in the cloud to be written back to an on-premises Windows Server Active Directory environment. Azure AD Premium P1Azure AD Premium P1
Implementar o Azure AD Connect HealthImplement Azure AD Connect Health Habilite o monitoramento das principais estatísticas de integridade para servidores do Azure AD Connect, servidores do AD FS e controladores de domínio.Enable monitoring of key health statistics for your Azure AD Connect servers, AD FS servers, and domain controllers. Azure AD Premium P1Azure AD Premium P1
Atribuir licenças aos usuários por associação de grupo no Active Directory do AzureAssign licenses to users by group membership in Azure Active Directory Economize tempo e esforço criando grupos de licenciamento que habilitam ou desabilitam recursos por grupo, em vez de configurar cada usuário.Save time and effort by creating licensing groups that enable or disable features by group instead of setting per user.
Criar um plano para acesso do usuário convidadoCreate a plan for guest user access Colabore com usuários convidados permitindo que eles se conectem a seus aplicativos e serviços com as próprias contas corporativas, de estudante ou identidades sociais.Collaborate with guest users by letting them sign in to your apps and services with their own work, school, or social identities. Diretrizes de licenciamento B2B do Azure Active DirectoryAzure AD B2B licensing guidance
Decida a estratégia de gerenciamento de dispositivosDecide on device management strategy Decida o que é permitido pela organização em relação aos dispositivos.Decide what your organization allows regarding devices. Registro versus ingresso, traga o seu próprio dispositivo versus fornecido pela empresa.Registering vs joining, Bring Your Own Device vs company provided.
Implantar o Windows Hello para Empresas na sua organizaçãoDeploy Windows Hello for Business in your organization Prepare-se para autenticação com menos senhas usando o Windows HelloPrepare for password-less authentication using Windows Hello

Fase 3: Gerenciar aplicativosPhase 3: Manage applications

Conforme continuamos o trabalho iniciado nas fases anteriores, identificamos aplicativos candidatos à migração e integração ao Azure Active Directory, e concluímos a configuração desses aplicativos.As we continue to build on the previous phases, we identify candidate applications for migration and integration with Azure AD and complete the setup of those applications.

TarefaTask DetalhesDetail Licença necessáriaRequired license
Identificar os aplicativosIdentify your applications Identifique os aplicativos em uso na sua organização: locais, aplicativos SaaS na nuvem e outros aplicativos de linhas de negócios.Identify applications in use in your organization: on-premises, SaaS applications in the cloud, and other line-of-business applications. Determine se esses aplicativos podem e devem ser gerenciados com o Azure Active Directory.Determine if these applications can and should be managed with Azure AD. Nenhuma licença necessáriaNo license required
Integrar aplicativos SaaS compatíveis à galeriaIntegrate supported SaaS applications in the gallery O Azure Active Directory tem uma galeria que contém milhares de aplicativos pré-integrados.Azure AD has a gallery that contains thousands of pre-integrated applications. Alguns dos aplicativos que a sua organização usa provavelmente estão na galeria, que pode ser acessada pelo portal do Azure.Some of the applications your organization uses are probably in the gallery accessible directly from the Azure portal. AD do Azure GratuitoAzure AD Free
Usar o Proxy de Aplicativo para integrar aplicativos locaisUse Application Proxy to integrate on-premises applications O Proxy de Aplicativo permite que os usuários acessem aplicativos locais entrando com a respectiva conta do Azure Active Directory.Application Proxy enables users to access on-premises applications by signing in with their Azure AD account. AD Basic do AzureAzure AD Basic

Fase 4: auditar identidades com privilégios, realizar uma revisão de acesso e gerenciar o ciclo de vida do usuárioPhase 4: Audit privileged identities, complete an access review, and manage user lifecycle

Na Fase 4 os administradores impõem princípios de privilégio mínimo para a administração, executando suas primeiras revisões de acesso e habilitando a automação de tarefas comuns do ciclo de vida do usuário.Phase 4 sees administrators enforcing least privilege principles for administration, completing their first access reviews, and enabling automation of common user lifecycle tasks.

TarefaTask DetalhesDetail Licença necessáriaRequired license
Impor o uso do Privileged Identity ManagementEnforce the use of Privileged Identity Management Remova funções administrativas das contas normais diárias de usuário.Remove administrative roles from normal day to day user accounts. Qualifique os usuários administrativos para usarem a respectiva função após a verificação bem-sucedida de uma autenticação multifator, fornecendo uma justificativa de negócios ou solicitando aprovação dos aprovadores designados.Make administrative users eligible to use their role after succeeding a multi-factor authentication check, providing a business justification, or requesting approval from designated approvers. Azure AD Premium P2Azure AD Premium P2
Concluir uma revisão de acesso para funções de diretório do Azure AD no PIMComplete an access review for Azure AD directory roles in PIM Trabalhe com as equipes de segurança e liderança para criar uma política de revisão de acesso a fim de examinar o acesso administrativo com base nas políticas da sua organização.Work with your security and leadership teams to create an access review policy to review administrative access based on your organization's policies. Azure AD Premium P2Azure AD Premium P2
Implementar políticas de associação de grupo dinâmicaImplement dynamic group membership policies Use os grupos dinâmicos para atribuir automaticamente os usuários aos grupos com base em seus atributos de RH (ou outra fonte de atributos), como departamento, cargo, região e outros atributos.Use dynamic groups to automatically assign users to groups based on their attributes from HR (or your source of truth), such as department, title, region, and other attributes.
Implementar o provisionamento de aplicativo baseado em grupoImplement group based application provisioning Use o provisionamento de gerenciamento de acesso baseado em grupo para provisionar automaticamente os usuários para aplicativos SaaS.Use group-based access management provisioning to automatically provision users for SaaS applications.
Automatizar o provisionamento e desprovisionamento do usuárioAutomate user provisioning and deprovisioning Remova etapas manuais do ciclo de vida da conta do funcionário para impedir acesso não autorizado.Remove manual steps from your employee account lifecycle to prevent unauthorized access. Sincronize identidades da sua fonte de verdade (HR System) para o Azure AD.Synchronize identities from your source of truth (HR System) to Azure AD.

Próximas etapasNext steps

Detalhes de preços e licenciamento do Azure Active DirectoryAzure AD licensing and pricing details

Configurações de acesso à identidade e ao dispositivoIdentity and device access configurations

Políticas de acesso a dispositivos e identidades recomendadas comunsCommon recommended identity and device access policies