Identidade híbrida com Active Directory e ID do Microsoft Entra nas zonas de aterrissagem do Azure
Este artigo fornece orientação sobre como projetar e implementar a ID do Microsoft Entra e a identidade híbrida para zonas de aterrissagem do Azure.
As organizações que operam na nuvem exigem um serviço de diretório para gerenciar identidades de usuários e acesso a recursos. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece recursos robustos para gerenciar usuários e grupos. Você pode usá-lo como uma solução de identidade autônoma ou integrá-lo a uma infraestrutura dos Serviços de Domínio Microsoft Entra ou a uma infraestrutura local dos Serviços de Domínio Active Directory (AD DS).
O Microsoft Entra ID fornece gerenciamento de identidade e acesso moderno e seguro que é adequado para muitas organizações e cargas de trabalho e está no núcleo dos serviços do Azure e do Microsoft 365. Se sua organização tiver uma infraestrutura do AD DS local, suas cargas de trabalho baseadas em nuvem poderão exigir a sincronização de diretórios com o Microsoft Entra ID para um conjunto consistente de identidades, grupos e funções entre seus ambientes locais e de nuvem. Ou, se você tiver aplicativos que dependem de mecanismos de autenticação herdados, talvez seja necessário implantar os Serviços de Domínio gerenciados na nuvem.
Gerenciamento de identidades baseado em nuvem é um processo iterativo. Você pode começar com uma solução nativa da nuvem com um pequeno conjunto de usuários e funções correspondentes para uma implantação inicial e, à medida que a migração amadurece, talvez seja necessário integrar sua solução de identidade usando a sincronização de diretórios ou adicionar serviços de domínio hospedados na nuvem como parte de suas implantações de nuvem.
Com o tempo, revisite sua solução de identidade, dependendo dos requisitos de autenticação de carga de trabalho e de outras necessidades, como alterações na estratégia de identidade organizacional e nos requisitos de segurança ou integração com outros serviços de diretório. Ao avaliar as soluções do Active Directory, entenda as diferenças entre o Microsoft Entra ID, os Serviços de Domínio e o AD DS no Windows Server.
Para obter ajuda com sua estratégia de identidade, consulte Guia de decisão de identidade.
Serviços de gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure
A equipe da plataforma é responsável pela administração do gerenciamento de identidade e acesso. Os serviços de gerenciamento de identidade e acesso são fundamentais para a segurança organizacional. As organizações podem usar o Microsoft Entra ID para proteger os recursos da plataforma controlando o acesso administrativo. Essa abordagem impede que usuários fora da equipe da plataforma façam alterações na configuração ou nas entidades de segurança contidas no Microsoft Entra ID.
As organizações que usam o AD DS ou os Serviços de Domínio também devem proteger os controladores de domínio contra acesso não autorizado. Os controladores de domínio são alvos particularmente atraentes para invasores e devem ter controles de segurança rígidos e segregação das cargas de trabalho do aplicativo.
Os controladores de domínio e os componentes associados, como os servidores Microsoft Entra ID Connect, são implantados na assinatura Identity, que está no grupo de gerenciamento de plataforma. Os controladores de domínio não são delegados a equipes de aplicativos. Ao fornecer esse isolamento, os proprietários de aplicativos podem consumir os serviços de identidade sem precisar gerenciá-los, e o risco de comprometimento dos serviços de gerenciamento de identidade e acesso é reduzido. Os recursos na assinatura da plataforma Identity são um ponto crítico de segurança para seus ambientes locais e de nuvem.
As zonas de aterrissagem devem ser provisionadas para que os proprietários de aplicativos possam usar a ID do Microsoft Entra ou o AD DS e os Serviços de Domínio, conforme exigido por suas cargas de trabalho. Dependendo da solução de identidade usada, talvez seja necessário configurar outros serviços conforme necessário. Por exemplo, talvez seja necessário habilitar e proteger a conectividade de rede com a rede virtual Identidade. Se você usar um processo de venda automática de assinatura, inclua essas informações de configuração em sua solicitação de assinatura.
Azure e domínios locais (identidade híbrida)
Os objetos de usuário criados inteiramente na ID do Microsoft Entra são conhecidos como contas somente na nuvem. Eles oferecem suporte à autenticação moderna e ao acesso aos recursos do Azure e do Microsoft 365 e ao acesso para dispositivos locais que usam o Windows 10 ou o Windows 11.
No entanto, muitas organizações já têm diretórios AD DS de longa data que podem ser integrados a outros sistemas, como linha de negócios ou planejamento de recursos empresariais (ERP) por meio do LDAP (Lightweight Directory Access Protocol). Esses domínios podem ter muitos computadores e aplicativos ingressados no domínio que usam Kerberos ou protocolos NTLMv2 mais antigos para autenticação. Nesses ambientes, você pode sincronizar objetos de usuário com o Microsoft Entra ID para que os usuários possam entrar em sistemas locais e recursos de nuvem com uma única identidade. A união de serviços de diretório locais e na nuvem é conhecida como identidade híbrida. Você pode estender domínios locais para zonas de aterrissagem do Azure:
Para manter um único objeto de usuário em ambientes locais e na nuvem, você pode sincronizar usuários de domínio do AD DS com o Microsoft Entra ID por meio do Microsoft Entra Connect ou do Microsoft Entra Connect Sync. Para determinar a configuração recomendada para seu ambiente, consulte Topologias para o Microsoft Entra Connect.
Para ingressar no domínio de VMs do Windows e outros serviços, você pode implantar controladores de domínio do AD DS ou Serviços de Domínio no Azure. Com essa abordagem, os usuários do AD DS podem entrar em servidores Windows, compartilhamentos de Arquivos do Azure e outros recursos que usam o Active Directory como fonte de autenticação. Você também pode usar outras tecnologias do Active Directory, como a diretiva de grupo. Para obter mais informações, consulte Cenários comuns de implantação para os Serviços de Domínio Microsoft Entra.
Recomendações de identidade híbrida
Você pode usar os Serviços de Domínio para aplicativos que dependem de serviços de domínio e usam protocolos mais antigos. Às vezes, os domínios existentes do AD DS oferecem suporte à compatibilidade com versões anteriores e permitem protocolos herdados, o que pode afetar negativamente a segurança. Em vez de estender um domínio local, considere usar os Serviços de Domínio para criar um novo domínio que não permita protocolos herdados e usá-lo como o serviço de diretório para aplicativos hospedados na nuvem.
Avalie seus requisitos de solução de identidade entendendo e documentando o provedor de autenticação que cada aplicativo usa. Considere as revisões para ajudar a planejar o tipo de serviço que sua organização deve usar. Para obter mais informações, consulte Comparar o Active Directory com o guia de decisão de ID e identidade do Microsoft Entra.
Avalie cenários que envolvam a configuração de usuários, clientes ou parceiros externos para que eles possam acessar recursos. Determine se esses cenários envolvem o Microsoft Entra B2B ou a ID externa do Microsoft Entra para clientes. Para obter mais informações, consulte Microsoft Entra External ID.
Não use o proxy de aplicativo Microsoft Entra para acesso à intranet porque ele adiciona latência à experiência do usuário. Para obter mais informações, consulte Planejamento de proxy de aplicativo do Microsoft Entra e Considerações de segurança de proxy de aplicativo do Microsoft Entra.
Considere vários métodos que você pode usar para integrar o Active Directory local com o Azure para atender aos seus requisitos organizacionais.
Se você tiver a federação dos Serviços de Federação do Active Directory (AD FS) com o Microsoft Entra ID, poderá usar a sincronização de hash de senha como backup. O AD FS não oferece suporte ao logon único (SSO) contínuo do Microsoft Entra.
Determine a ferramenta de sincronização certa para sua identidade de nuvem.
Se você tiver requisitos para usar o AD FS, consulte Implantar o AD FS no Azure.
Importante
É altamente recomendável migrar para o Microsoft Entra ID, a menos que haja um requisito específico para usar o AD FS. Para obter mais informações, consulte Recursos para desativar o AD FS e Migrando do AD FS para o Microsoft Entra ID.
ID do Microsoft Entra, Serviços de Domínio e AD DS
Os administradores devem se familiarizar com as opções para implementar os serviços de diretório da Microsoft:
Você pode implantar controladores de domínio do AD DS no Azure como máquinas virtuais (VMs) do Windows das quais os administradores de plataforma ou identidade têm controle total. Essa abordagem é uma solução de infraestrutura como serviço (IaaS). Você pode associar os controladores de domínio a um domínio existente do Active Directory ou pode hospedar um novo domínio que tenha uma relação de confiança opcional com domínios locais existentes. Para obter mais informações, consulte Arquitetura de linha de base de Máquinas Virtuais do Azure em uma zona de aterrissagem do Azure.
Os Serviços de Domínio são um serviço gerenciado pelo Azure que você pode usar para criar um novo domínio gerenciado do Active Directory hospedado no Azure. O domínio pode ter uma relação de confiança com domínios existentes e pode sincronizar identidades do Microsoft Entra ID. Os administradores não têm acesso direto aos controladores de domínio e não são responsáveis pela aplicação de patches e outras operações de manutenção.
Ao implantar Serviços de Domínio ou integrar ambientes locais no Azure, use locais com zonas de disponibilidade para aumentar a disponibilidade.
Depois que o AD DS ou os Serviços de Domínio estiverem configurados, você poderá ingressar em VMs do Azure e compartilhamentos de arquivos usando o mesmo método que os computadores locais. Para obter mais informações, consulte Comparar serviços baseados em diretório da Microsoft.
Recomendações do Microsoft Entra ID e AD DS
Para acessar aplicativos que usam autenticação local remotamente por meio do Microsoft Entra ID, use o proxy de aplicativo do Microsoft Entra. Esse recurso fornece acesso remoto seguro a aplicativos Web locais. Ele não requer uma VPN ou quaisquer alterações na infraestrutura de rede. No entanto, ele é implantado como uma única instância no Microsoft Entra ID, portanto, os proprietários do aplicativo e as equipes de plataforma ou identidade devem colaborar para garantir que o aplicativo seja configurado corretamente.
Avaliar a compatibilidade de cargas de trabalho para AD DS no Windows Server e nos Serviços de Domínio. Para obter mais informações, consulte Casos de uso e cenários comuns.
Implante VMs de controlador de domínio ou conjuntos de réplicas dos Serviços de Domínio na assinatura da plataforma de identidade dentro do grupo de gerenciamento de plataforma.
Proteja a rede virtual que contém os controladores de domínio. Impeça a conectividade direta com a Internet de e para esses sistemas colocando os servidores AD DS em uma sub-rede isolada com um NSG (grupo de segurança de rede), fornecendo funcionalidade de firewall. Os recursos que usam controladores de domínio para autenticação devem ter uma rota de rede para a sub-rede do controlador de domínio. Habilite apenas uma rota de rede para aplicativos que exigem acesso a serviços na assinatura de identidade. Para obter mais informações, confira Implantar o AD DS em uma rede virtual do Azure.
Em uma organização multirregional, implante os Serviços de Domínio na região que hospeda os componentes principais da plataforma. Você só pode implantar os Serviços de Domínio em uma única assinatura. Você pode expandir os Serviços de Domínio para outras regiões adicionando até mais quatro conjuntos de réplicas em redes virtuais separadas que são emparelhadas à rede virtual primária. Para minimizar a latência, mantenha seus aplicativos principais próximos ou na mesma região que a rede virtual para seus conjuntos de réplicas.
Ao implantar controladores de domínio do AD DS no Azure, implante-os em zonas de disponibilidade para aumentar a resiliência. Para obter mais informações, consulte Criar VMs em zonas de disponibilidade e Migrar VMs para zonas de disponibilidade.
A autenticação pode ocorrer na nuvem e no local ou apenas no local. Como parte do seu planejamento de identidade, explore os métodos de autenticação do Microsoft Entra ID.
Se um usuário do Windows exigir Kerberos para compartilhamentos de arquivos de Arquivos do Azure, considere usar a autenticação Kerberos para ID do Microsoft Entra em vez de implantar controladores de domínio na nuvem.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de