Integrar domínios locais do Active Directory com o Microsoft Entra ID

O Microsoft Entra ID é um serviço de identidade e diretório multilocatário baseado em nuvem. Esta arquitetura de referência mostra as práticas recomendadas para integrar domínios locais do Active Directory com o Microsoft Entra ID para fornecer autenticação de identidade baseada em nuvem.

Arquitetura

Acesse o diagrama Visio online, por meio do Microsoft 365. Observe que você deve ter uma licença do Visio para acessar este diagrama. Ou baixe um arquivo do Visio dessa arquitetura (consulte a guia Visio "Microsoft Entra ID").

Para obter considerações adicionais, confira Escolher uma solução para a integração do Active Directory local ao Azure.

Componentes

A arquitetura tem os seguintes componentes.

• Locatário do Microsoft Entra. Uma instância do Microsoft Entra ID criada pela sua organização. Ela atua como um serviço de diretório para aplicativos de nuvem armazenando objetos copiados do Active Directory local e fornece serviços de identidade.

• Sub-rede da camada da Web. Essa sub-rede contém as VMs que executam um aplicativo Web. O Microsoft Entra ID pode atuar como um agente de identidade para este aplicativo.

• Servidor do AD DS local. Um serviço local de identidade e de diretório. O diretório do AD DS pode ser sincronizado com a ID do Microsoft Entra para permitir que ele autentique usuários locais.

• Servidor Microsoft Entra Connect Sync. Um computador local que executa o serviço de sincronização do Microsoft Entra Connect . Esse serviço sincroniza as informações mantidas no Active Directory local com o Microsoft Entra ID. Por exemplo, se você provisionar ou desprovisionar grupos e usuários locais, essas alterações se propagarão para o Microsoft Entra ID.

  Observação

  Por motivos de segurança, o Microsoft Entra ID armazena as senhas dos usuários como um hash. Se um usuário precisar de uma redefinição de senha, isso deverá ser executado no local e o novo hash deverá ser enviado para o Microsoft Entra ID. As edições P1 ou P2 do Microsoft Entra ID incluem recursos que podem permitir que as alterações de senha aconteçam na nuvem e, em seguida, sejam gravadas de volta no AD DS local.

• VMs para aplicativos de N camadas. Para obter mais informações sobre esses recursos, consulte [Executar VMs para uma arquitetura de N camadas][implementando-a-arquitetura de várias camadas-no-Azure].

Detalhes do cenário

Possíveis casos de uso

Alguns usos típicos dessa arquitetura de referência:

• Aplicativos Web implantados no Azure que fornecem acesso a usuários remotos que pertencem à sua organização.
• Implementação de recursos de autoatendimento para usuários finais, como redefinir senhas e delegar gerenciamento de grupo. Isso requer a edição P1 ou P2 do Microsoft Entra ID.
• Arquiteturas em que a rede local e a VNet do Azure do aplicativo não estão conectadas usando um túnel de VPN ou um circuito ExpressRoute.

Recomendações

As seguintes recomendações aplicam-se à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.

Configurar o serviço Microsoft Entra Connect Sync

O serviço Microsoft Entra Connect Sync garante que as informações de identidade armazenadas na nuvem sejam consistentes com as informações de identidade armazenadas localmente. Você instala esse serviço usando o software Microsoft Entra Connect.

Antes de implementar o Microsoft Entra Connect Sync, determine os requisitos de sincronização da sua organização. Por exemplo, o que deve ser sincronizado, de quais domínios e com que frequência. Para obter mais informações, consulte Determinar os requisitos de sincronização de diretório.

Você pode executar o serviço Microsoft Entra Connect Sync em uma VM ou em um computador hospedado localmente. Dependendo da volatilidade das informações no diretório do Active Directory, é improvável que a carga no serviço Microsoft Entra Connect Sync seja alta após a sincronização inicial com o Microsoft Entra ID. Executar o serviço em uma VM torna mais fácil expandir o servidor, se necessário. Monitore a atividade na VM conforme descrito na seção Considerações de monitoramento para determinar se o dimensionamento é necessário.

Se você tiver vários domínios locais em uma floresta, recomendamos armazenar e sincronizar as informações de toda a floresta com um único locatário do Microsoft Entra. Filtre informações para identidades que ocorrem em mais de um domínio, para que cada identidade apareça apenas uma vez na ID do Microsoft Entra, em vez de ser duplicada. A duplicação poderá levar a inconsistências quando os dados forem sincronizados. Para obter mais informações, consulte a seção Topologia abaixo.

Use a filtragem para que apenas os dados necessários sejam armazenados no Microsoft Entra ID. Por exemplo, sua organização pode não querer armazenar informações sobre contas inativas no Microsoft Entra ID. A filtragem pode ser baseada em grupo, baseada em domínio, baseada em UO (unidade organizacional) ou baseada em atributo. É possível combinar filtros para gerar regras mais complexas. Por exemplo, você pode sincronizar objetos mantidos em um domínio que tenham um valor específico em um atributo selecionado. Para obter informações detalhadas, consulte Microsoft Entra Connect Sync: Configure Filtering.

Para implementar a alta disponibilidade para o serviço de sincronização do AD Connect, execute um servidor de preparo secundário. Para obter mais informações, consulte a seção Recomendações de topologia.

Validar a configuração e a política de segurança

Gerenciamento de senha do usuário. As edições P1 ou P2 da ID do Microsoft Entra oferecem suporte a write-back de senha, permitindo que seus usuários locais executem redefinições de senha de autoatendimento de dentro do portal do Azure. Esse recurso somente deverá ser habilitado depois que você examinar a política de segurança de senha da organização. Por exemplo, você pode restringir quais usuários podem alterar senhas e pode personalizar a experiência de gerenciamento de senha. Para obter mais informações, consulte Personalizar o gerenciamento de senha para de adequar às necessidades da sua organização.

Proteja aplicativos locais que podem ser acessados externamente. Use o proxy de aplicativo do Microsoft Entra para fornecer acesso controlado a aplicativos Web locais para usuários de fora da rede por meio da ID do Microsoft Entra. Somente os usuários com credenciais válidas no diretório do Azure terão permissão para usar o aplicativo. Para obter mais informações, consulte o artigo Habilitar o proxy de aplicativo no portal do Azure.

Monitore ativamente o Microsoft Entra ID em busca de sinais de atividades suspeitas. Considere usar o Microsoft Entra ID P2 edition, que inclui o Microsoft Entra ID Protection. O Identity Protection usa algoritmos de aprendizado de máquina adaptáveis e heurística para detectar anomalias e eventos de risco que podem indicar que uma identidade foi comprometida. Por exemplo, ele pode detectar uma atividade possivelmente incomum como atividades de entrada irregulares, entradas de fontes desconhecidas ou de endereços IP com atividade suspeita ou entradas de dispositivos que possam estar infectados. O Identity Protection usa esses dados para gerar relatórios e alertas que permitem investigar esses eventos de risco e executar ações apropriadas. Para obter mais informações, confira Microsoft Entra ID Protection.

Você pode usar o recurso de relatório da ID do Microsoft Entra no portal do Azure para monitorar atividades relacionadas à segurança que ocorrem em seu sistema. Para obter mais informações sobre como usar esses relatórios, consulte Microsoft Entra ID Reporting Guide.

Validar topologia de rede

Configure o Microsoft Entra Connect para implementar uma topologia que mais se aproxime dos requisitos da sua organização. As topologias suportadas pelo Microsoft Entra Connect incluem:

• Floresta única, diretório único do Microsoft Entra. Nessa topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de um ou mais domínios em uma única floresta local em um único locatário do Microsoft Entra. Essa topologia é a implementação padrão pela instalação expressa do Microsoft Entra Connect.

  Observação

  Não use vários servidores do Microsoft Entra Connect Sync para conectar domínios diferentes na mesma floresta local ao mesmo locatário do Microsoft Entra, a menos que você esteja executando um servidor no modo de preparo, descrito abaixo.

• Várias florestas, um único diretório do Microsoft Entra. Nessa topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de várias florestas em um único locatário do Microsoft Entra. Use essa topologia se sua organização tiver mais de uma floresta local. Você pode consolidar informações de identidade para que cada usuário exclusivo seja representado uma vez no diretório Microsoft Entra, mesmo que o usuário exista em mais de uma floresta. Todas as florestas usam o mesmo servidor Microsoft Entra Connect Sync. O servidor Microsoft Entra Connect Sync não precisa fazer parte de nenhum domínio, mas deve estar acessível a partir de todas as florestas.

  Observação

  Nessa topologia, não use servidores separados do Microsoft Entra Connect Sync para conectar cada floresta local a um único locatário do Microsoft Entra. Isso pode resultar em informações de identidade duplicadas no Microsoft Entra ID se os usuários estiverem presentes em mais de uma floresta.

• Várias florestas e topologias separadas. Essa topologia mescla informações de identidade de florestas separadas em um único locatário do Microsoft Entra, tratando todas as florestas como entidades separadas. Essa topologia será útil se você estiver combinando florestas de diferentes organizações e as informações de identidade de cada usuário forem mantidas em uma única floresta.

  Observação

  Se as GALs (listas de endereços global) em cada floresta estiverem sincronizadas, um usuário em uma floresta poderá estar presente em outra como um contato. Isso poderá ocorrer se sua organização tiver implementado o GALSync com o Forefront Identity Manager 2010 ou o Microsoft Identity Manager 2016. Nesse cenário, você pode especificar que os usuários devem ser identificados pelo atributo Mail. Você também pode corresponder identidades usando os atributos ObjectSID e msExchMasterAccountSID. Isso será útil se você tiver uma ou mais florestas de recursos com contas desabilitadas.

• Servidor de preparo. Nessa configuração, você executa uma segunda instância do servidor Microsoft Entra Connect Sync em paralelo com a primeira. Essa estrutura dá suporte a cenários, como:

  • Alta disponibilidade.

  • Testando e implantando uma nova configuração do servidor Microsoft Entra Connect Sync.

  • Apresentando um novo servidor e desativando uma configuração antiga.

    Nesses cenários, a segunda instância é executada no modo de preparo. O servidor registra objetos importados e dados de sincronização em seu banco de dados, mas não passa os dados para o Microsoft Entra ID. Se você desabilitar o modo de preparo, o servidor começará a gravar dados no Microsoft Entra ID e também começará a executar write-backs de senha nos diretórios locais, quando apropriado. Para obter mais informações, consulte Microsoft Entra Connect Sync: tarefas e considerações operacionais.

• Vários diretórios do Microsoft Entra. Normalmente, você cria um único diretório do Microsoft Entra para uma organização, mas pode haver situações em que você precisa particionar informações em diretórios separados do Microsoft Entra. Nesse caso, evite problemas de sincronização e write-back de senha garantindo que cada objeto da floresta local apareça em apenas um diretório do Microsoft Entra. Para implementar esse cenário, configure servidores Microsoft Entra Connect Sync separados para cada diretório do Microsoft Entra e use a filtragem para que cada servidor do Microsoft Entra Connect Sync opere em um conjunto mutuamente exclusivo de objetos.

Para obter mais informações sobre essas topologias, consulte Topologias para o Microsoft Entra Connect.

Configurar autenticação de usuário

Por padrão, o servidor Microsoft Entra Connect Sync configura a sincronização de hash de senha entre o domínio local e a ID do Microsoft Entra. O serviço Microsoft Entra pressupõe que os usuários se autentiquem fornecendo a mesma senha que eles usam localmente. Para muitas organizações, essa estratégia é apropriada, mas você deve considerar as políticas e a infraestrutura existentes da sua organização. Por exemplo:

• A política de segurança da sua organização pode proibir a sincronização de hashes de senha para a nuvem. Nesse caso, sua organização deve considerar a autenticação de passagem.
• Você pode exigir que os usuários usem um SSO (logon único) perfeito ao acessar os recursos em nuvem por meio de computadores ingressados no domínio na rede corporativa.
• Talvez sua organização já tenha o Serviços de Federação do Active Directory (AD FS) ou uma implantação de provedor de federação de terceiros. Você pode configurar o Microsoft Entra ID para usar essa infraestrutura para implementar autenticação e SSO em vez de usar informações de senha mantidas na nuvem.

Para obter mais informações, consulte Opções de logon do usuário do Microsoft Entra Connect.

Configurar o proxy de aplicativo do Microsoft Entra

Use a ID do Microsoft Entra para fornecer acesso a aplicativos locais.

Exponha seus aplicativos Web locais usando conectores de proxy de aplicativo gerenciados pelo componente de proxy de aplicativo Microsoft Entra. O conector de proxy de aplicativo abre uma conexão de rede de saída para o proxy de aplicativo Microsoft Entra. As solicitações dos usuários remotos são roteadas de volta da ID do Microsoft Entra por meio dessa conexão de proxy com os aplicativos Web. Essa configuração elimina a necessidade de abrir portas de entrada no firewall local e reduz a superfície de ataque exposta pela sua organização.

Para obter mais informações, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.

Configurar a sincronização de objetos do Microsoft Entra

A configuração padrão do Microsoft Entra Connect sincroniza objetos do diretório local do Active Directory com base nas regras especificadas no artigo Microsoft Entra Connect Sync: Understanding the default configuration. Os objetos que atendem a essas regras são sincronizados enquanto todos os outros objetos são ignorados. Algumas regras de exemplo:

• Os objetos de usuário devem ter um único atributo sourceAnchor e o atributo accountEnabled deve estar populado.
• Os objetos de usuário devem ter um atributo sAMAccountName e não podem começar com o texto Azure AD_ ou MSOL_.

O Microsoft Entra Connect aplica várias regras a objetos User, Contact, Group, ForeignSecurityPrincipal e Computer. Use o Editor de Regras de Sincronização instalado com o Microsoft Entra Connect se precisar modificar o conjunto padrão de regras. Para obter mais informações, consulte Microsoft Entra Connect Sync: Noções básicas sobre a configuração padrão).

Você também pode definir seus próprios filtros para limitar os objetos a serem sincronizados por domínio ou OU (unidade organizacional). Como alternativa, você pode implementar uma filtragem personalizada mais complexa, como a descrita em Microsoft Entra Connect Sync: Configure Filtering.

Configurar agentes de monitoramento

O monitoramento de integridade é executado pelos seguintes agentes instalados localmente:

• O Microsoft Entra Connect instala um agente que captura informações sobre operações de sincronização. Use a folha Microsoft Entra Connect Health no portal do Azure para monitorar sua integridade e desempenho. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health para sincronização.
• Para monitorar a integridade dos domínios e diretórios do AD DS do Azure, instale o agente do Microsoft Entra Connect Health para AD DS em um computador dentro do domínio local. Use a folha Microsoft Entra Connect Health no portal do Azure para monitoramento de integridade. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health com o AD DS
• Instale o agente do Microsoft Entra Connect Health para AD FS para monitorar a integridade dos serviços em execução no local e use a folha Microsoft Entra Connect Health no portal do Azure para monitorar o AD FS. Para obter mais informações, consulte Usando o Microsoft Entra Connect Health com o AD FS

Para obter mais informações sobre como instalar os agentes do AD Connect Health e seus requisitos, consulte Instalação do agente do Microsoft Entra Connect Health.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

O serviço Microsoft Entra é distribuído geograficamente e é executado em vários datacenters espalhados pelo mundo com failover automatizado. Se um datacenter ficar indisponível, o Microsoft Entra ID garantirá que seus dados de diretório estejam disponíveis, por exemplo, para acesso em pelo menos mais dois datacenters regionalmente dispersos.

Considere provisionar uma segunda instância do servidor Microsoft Entra Connect Sync no modo de preparo para aumentar a disponibilidade, conforme discutido na seção de recomendações de topologia.

Se você não estiver usando a instância do SQL Server Express LocalDB que acompanha o Microsoft Entra Connect, considere usar o cluster SQL para obter alta disponibilidade. Soluções como espelhamento e Always On não são suportadas pelo Microsoft Entra Connect.

Para obter considerações adicionais sobre como obter alta disponibilidade do servidor Microsoft Entra Connect Sync e também como recuperar após uma falha, consulte Microsoft Entra Connect Sync: tarefas e considerações operacionais - Recuperação de desastres.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

Use o controle de acesso condicional para negar solicitações de autenticação de fontes inesperadas:

• Acione a autenticação multifator (MFA) do Microsoft Entra se um usuário tentar se conectar de um local não confiável, como pela Internet, em vez de uma rede confiável.

• Use o tipo de plataforma de dispositivo do usuário (iOS, Android, Windows Mobile, Windows) para determinar a política de acesso a aplicativos e recursos.

• Registre o estado de habilitação/desabilitação dos dispositivos dos usuários e incorpore essas informações nas verificações de política de acesso. Por exemplo, se o telefone de um usuário for perdido ou roubado, ele deverá ser gravado como desabilitado para impedir que seja usado para obter acesso.

• Controle o acesso de usuário a recursos com base na associação ao grupo. Use as regras de associação dinâmica do Microsoft Entra para simplificar a administração do grupo. Para obter uma visão geral de como isso funciona, consulte Introduction to Dynamic Memberships for Groups (Introdução às associações dinâmicas a grupos).

• Use políticas de risco de acesso condicional com o Microsoft Entra ID Protection para fornecer proteção avançada com base em atividades de entrada incomuns ou outros eventos.

Para obter mais informações, consulte Acesso condicional do Microsoft Entra.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Use a Calculadora de Preços do Azure para estimar os custos.

Entre as considerações de custo estão:

• Microsoft Entra Connect - O recurso de sincronização do Microsoft Entra Connect está disponível em todas as edições do Microsoft Entra ID.

  • Não há requisitos de licença adicionais para usar o Microsoft Entra Connect e está incluído em sua assinatura do Azure.

  • Para obter informações sobre preços sobre as edições do Microsoft Entra ID, consulte Preços do Microsoft Entra.

• VMs para aplicativo de N camadas - Para obter informações de custo sobre esses recursos, consulte [Executar VMs para uma arquitetura de N camadas][implementando uma arquitetura de várias camadas no Azure].

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Capacidade de gerenciamento

Há dois aspectos no gerenciamento do Microsoft Entra ID:

• Administrando o Microsoft Entra ID na nuvem.
• Manutenção dos servidores Microsoft Entra Connect Sync.

O Microsoft Entra ID fornece as seguintes opções para gerenciar domínios e diretórios na nuvem:

• Módulo do Microsoft Graph PowerShell - usado para criar scripts de tarefas administrativas comuns do Microsoft Entra, como gerenciamento de usuários, gerenciamento de domínio e configuração de logon único.
• Folha de gerenciamento do Microsoft Entra no portal do Azure - fornece uma exibição de gerenciamento interativo do diretório e permite que você controle e configure a maioria dos aspectos da ID do Microsoft Entra.

O Microsoft Entra Connect instala as seguintes ferramentas para manter os serviços do Microsoft Entra Connect Sync de seus computadores locais:

• Console do Microsoft Entra Connect - permite modificar a configuração do servidor de Sincronização do Azure AD, personalizar como a sincronização ocorre, habilitar ou desabilitar o modo de preparo e alternar o modo de entrada do usuário. Você pode habilitar a conexão do Serviço de Federação no Active Directory usando sua infraestrutura local.
• Synchronization Service Manager – use a guia Operações nesta ferramenta para gerenciar o processo de sincronização e detectar se alguma parte do processo falhou. Você pode disparar sincronizações manualmente usando essa ferramenta. A guia Conectores permite que você controle as conexões dos domínios aos quais o mecanismo de sincronização está associado.
• Editor de Regras de Sincronização - permite personalizar a maneira como os objetos são transformados quando são copiados entre um diretório local e a ID do Microsoft Entra. Essa ferramenta permite que você especifique atributos e objetos adicionais para sincronização e, em seguida, executa filtros para determinar quais objetos devem ou não devem ser sincronizados. Para obter mais informações, consulte a seção Editor de Regras de Sincronização no documento Microsoft Entra Connect Sync: Compreendendo a configuração padrão.

Para obter mais informações e dicas para gerenciar o Microsoft Entra Connect, consulte Microsoft Entra Connect Sync: práticas recomendadas para alterar a configuração padrão.

DevOps

Para obter considerações sobre o DevOps, confira Excelência operacional em Estender o AD DS (Active Directory Domain Services) para o Azure.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

O serviço Microsoft Entra oferece suporte à escalabilidade com base em réplicas, com uma única réplica primária que lida com operações de gravação e várias réplicas secundárias somente leitura. O Microsoft Entra ID redireciona de forma transparente as tentativas de gravação feitas em réplicas secundárias para a réplica primária e fornece consistência eventual. Todas as alterações feitas na réplica primária são propagadas para as réplicas secundárias. Essa arquitetura é bem dimensionada porque a maioria das operações no Microsoft Entra ID são leituras em vez de gravações. Para obter mais informações, consulte O que é a arquitetura do Microsoft Entra?

Para o servidor Microsoft Entra Connect Sync, determine quantos objetos você provavelmente sincronizará do diretório local. Se você tiver menos de 100.000 objetos, poderá usar o software padrão SQL Server Express LocalDB fornecido com o Microsoft Entra Connect. Se você tiver um número maior de objetos, deverá instalar uma versão de produção do SQL Server e executar uma instalação personalizada do Microsoft Entra Connect, especificando que ele deve usar uma instância existente do SQL Server.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

• Eric Woodruff | Especialista técnico do produto

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Analise as Considerações sobre Design de Identidade Híbrida do Microsoft Entra, que incluem mais informações sobre como tomar decisões sobre identidade híbrida.
• Revise as topologias do Microsoft Entra Connect para garantir que a topologia híbrida do Microsoft Entra Connect seja implantada em uma configuração com suporte.
• Saiba como usar o acesso condicional para proteger o acesso a aplicativos com Planejar uma implantação de acesso condicional.
• Para obter mais informações sobre como fornecer o AD DS no Azure como infraestrutura, confira Integrar o AD local ao Azure.
• Revise o proxy de aplicativo do Microsoft Entra se você pretende fornecer integrações do Microsoft Entra com aplicativos IaaS locais ou na nuvem.
• Como a identidade é o novo plano de controle da segurança, leia Práticas recomendadas de gerenciamento de identidade.
• Além disso, como a implantação dessa solução requer contas altamente privilegiadas, revise Protegendo o acesso privilegiado para entender os controles de segurança para contas privilegiadas.

Recursos relacionados

• Gerenciar a identidade em aplicativos multilocatários
• Integrar o AD local ao Azure
• Estender o AD FS local para o Azure