Compartilhar via


Identidade híbrida com Active Directory e ID do Microsoft Entra nas zonas de aterrissagem do Azure

Este artigo fornece orientação sobre como projetar e implementar a ID do Microsoft Entra e a identidade híbrida para zonas de aterrissagem do Azure.

As organizações que operam na nuvem exigem um serviço de diretório para gerenciar identidades de usuários e acesso a recursos. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece recursos robustos para gerenciar usuários e grupos. Você pode usar a ID do Microsoft Entra como uma solução de identidade autônoma ou integrá-la a uma infraestrutura dos Serviços de Domínio Microsoft Entra ou a uma infraestrutura local dos Serviços de Domínio Active Directory (AD DS).

A ID do Microsoft Entra fornece gerenciamento moderno de acesso e identidade segura para os serviços do Azure e do Microsoft 365. Você pode usar o Microsoft Entra ID para várias organizações e cargas de trabalho. Por exemplo, organizações com uma infraestrutura do AD DS local e cargas de trabalho baseadas em nuvem podem usar a sincronização de diretórios com o Microsoft Entra ID. A sincronização de diretórios garante que ambientes locais e na nuvem compartilhem um conjunto consistente de identidades, grupos e funções. Os aplicativos que exigem mecanismos de autenticação herdados podem precisar dos Serviços de Domínio para serviços de domínio gerenciado na nuvem e para estender a infraestrutura do AD DS local para o Azure.

Gerenciamento de identidades baseado em nuvem é um processo iterativo. Você pode começar com uma solução nativa da nuvem que tenha um pequeno conjunto de usuários e funções correspondentes para uma implantação inicial. À medida que a migração amadurece, talvez seja necessário integrar sua solução de identidade usando a sincronização de diretórios ou adicionar serviços de domínio hospedados na nuvem como parte de suas implantações de nuvem.

Ajuste sua solução de identidade ao longo do tempo, dependendo de seus requisitos de autenticação de carga de trabalho e outras necessidades, como alterações em sua estratégia de identidade organizacional e requisitos de segurança ou integração com outros serviços de diretório. Ao avaliar as soluções do Active Directory do Windows Server, entenda as diferenças entre o Microsoft Entra ID, os Serviços de Domínio e o AD DS no Windows Server.

Para obter mais informações, consulte Guia de decisão de identidade.

Serviços de gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure

A equipe da plataforma é responsável pela administração do gerenciamento de identidade e acesso. Os serviços de gerenciamento de identidade e acesso são fundamentais para a segurança organizacional. Sua organização pode usar o Microsoft Entra ID para controlar o acesso administrativo e proteger os recursos da plataforma. Essa abordagem impede que usuários fora da equipe da plataforma façam alterações na configuração ou nas entidades de segurança contidas no Microsoft Entra ID.

Se você usar o AD DS ou os Serviços de Domínio, deverá proteger os controladores de domínio contra acesso não autorizado. Os controladores de domínio são altamente vulneráveis a ataques e devem ter controles de segurança rígidos e segregação das cargas de trabalho do aplicativo.

Implante controladores de domínio e componentes associados, como servidores Microsoft Entra Connect, na assinatura Identity localizada no grupo de gerenciamento de plataforma. Os controladores de domínio não são delegados a equipes de aplicativos. Esse isolamento permite que os proprietários de aplicativos usem serviços de identidade sem precisar mantê-los, o que reduz o risco de comprometimento dos serviços de gerenciamento de identidade e acesso. Os recursos na assinatura da plataforma Identity são um ponto crítico de segurança para seus ambientes locais e de nuvem.

Provisione zonas de aterrissagem para que os proprietários de aplicativos possam escolher entre o Microsoft Entra ID ou o AD DS e os Serviços de Domínio para atender às suas necessidades de carga de trabalho. Talvez seja necessário configurar outros serviços, dependendo da sua solução de identidade. Por exemplo, talvez seja necessário habilitar e proteger a conectividade de rede com a rede virtual Identidade. Se você usar um processo de venda automática de assinatura, inclua essas informações de configuração em sua solicitação de assinatura.

Azure e domínios locais (identidade híbrida)

Os objetos de usuário que você cria inteiramente no Microsoft Entra ID são conhecidos como contas somente na nuvem. As contas somente na nuvem oferecem suporte à autenticação moderna e ao acesso aos recursos do Azure e do Microsoft 365 e oferecem suporte ao acesso para dispositivos locais que usam o Windows 10 ou o Windows 11.

Sua organização pode já ter diretórios AD DS de longa data que você integra a outros sistemas, como linha de negócios ou planejamento de recursos empresariais (ERP) por meio do LDAP (Lightweight Directory Access Protocol). Esses domínios podem ter muitos computadores e aplicativos ingressados no domínio que usam Kerberos ou protocolos NTLMv2 mais antigos para autenticação. Nesses ambientes, você pode sincronizar objetos de usuário com o Microsoft Entra ID para que os usuários possam entrar em sistemas locais e recursos de nuvem com uma única identidade. A unificação de serviços de diretório locais e na nuvem é conhecida como identidade híbrida. Você pode estender domínios locais para zonas de aterrissagem do Azure:

  • Para manter um único objeto de usuário em ambientes locais e na nuvem, você pode sincronizar usuários de domínio do AD DS com o Microsoft Entra ID por meio do Microsoft Entra Connect ou do Microsoft Entra Cloud Sync. Para determinar a configuração recomendada para seu ambiente, consulte Topologias para o Microsoft Entra Connect e Topologias para o Microsoft Entra Cloud Sync.

  • Para ingressar no domínio de máquinas virtuais (VMs) do Windows e outros serviços, você pode implantar controladores de domínio do AD DS ou Serviços de Domínio no Azure. Use essa abordagem para que os usuários do AD DS possam entrar em servidores Windows, compartilhamentos de arquivos do Azure e outros recursos que usam o Active Directory como fonte de autenticação. Você também pode usar outras tecnologias do Active Directory, como a diretiva de grupo, como uma fonte de autenticação. Para obter mais informações, consulte Cenários comuns de implantação para os Serviços de Domínio Microsoft Entra.

Recomendações de identidade híbrida

  • Para determinar os requisitos da solução de identidade, documente o provedor de autenticação que cada aplicativo usa. Use o guia de decisão de identidade para selecionar os serviços certos para sua organização. Para obter mais informações, consulte Comparar o Active Directory com o Microsoft Entra ID.

  • Você pode usar os Serviços de Domínio para aplicativos que dependem de serviços de domínio e usam protocolos mais antigos. Os domínios existentes do AD DS às vezes oferecem suporte à compatibilidade com versões anteriores e permitem protocolos herdados, o que pode afetar negativamente a segurança. Em vez de estender um domínio local, considere usar os Serviços de Domínio para criar um novo domínio que não permita protocolos herdados. Use o novo domínio como o serviço de diretório para aplicativos hospedados na nuvem.

  • Considere a resiliência como um requisito de design crítico para sua estratégia de identidade híbrida no Azure. O Microsoft Entra ID é um sistema globalmente redundante baseado em nuvem, mas os Serviços de Domínio e o AD DS não são. Planeje cuidadosamente a resiliência ao implementar os Serviços de Domínio e o AD DS. Ao projetar qualquer serviço, considere o uso de implantações de várias regiões para garantir a operação contínua do serviço no caso de um incidente regional.

  • Para estender uma instância do AD DS local no Azure e otimizar a implantação, incorpore suas regiões do Azure ao design do site do Active Directory. Crie um site em sites e serviços do AD DS para cada região do Azure onde você planeja implantar cargas de trabalho. Em seguida, crie um novo objeto de sub-rede em sites e serviços do AD DS para cada intervalo de endereços IP que você planeja implantar na região. Associe o novo objeto de sub-rede ao site do AD DS que você criou. Essa configuração garante que o serviço localizador do controlador de domínio direcione as solicitações de autorização e autenticação para os controladores de domínio AD DS mais próximos na mesma região do Azure.

  • Avalie cenários que configuram convidados, clientes ou parceiros para que eles possam acessar recursos. Determine se esses cenários envolvem o Microsoft Entra B2B ou a ID externa do Microsoft Entra para clientes. Para obter mais informações, consulte Microsoft Entra External ID.

  • Não use o proxy de aplicativo Microsoft Entra para acesso à intranet porque ele adiciona latência à experiência do usuário. Para obter mais informações, consulte Planejamento de proxy de aplicativo do Microsoft Entra e Considerações de segurança de proxy de aplicativo do Microsoft Entra.

  • Considere vários métodos que você pode usar para integrar o Active Directory local com o Azure para atender aos seus requisitos organizacionais.

  • Se você tiver a federação dos Serviços de Federação do Active Directory (AD FS) com o Microsoft Entra ID, poderá usar a sincronização de hash de senha como backup. O AD FS não oferece suporte ao logon único (SSO) contínuo do Microsoft Entra.

  • Determine a ferramenta de sincronização certa para sua identidade de nuvem.

  • Se você tiver requisitos para usar o AD FS, consulte Implantar o AD FS no Azure.

  • Se você usar o Microsoft Entra Connect como ferramenta de sincronização, considere implantar um servidor de preparo em uma região diferente do servidor principal do Microsoft Entra Connect para recuperação de desastres. Como alternativa, se você não usar várias regiões, implemente zonas de disponibilidade para alta disponibilidade.

  • Se você usar o Microsoft Entra Cloud Sync como sua ferramenta de sincronização, considere instalar pelo menos três agentes em servidores diferentes em várias regiões para recuperação de desastres. Como alternativa, você pode instalar os agentes em servidores em diferentes zonas de disponibilidade para alta disponibilidade.

Importante

É altamente recomendável que você migre para o Microsoft Entra ID, a menos que você exija especificamente o AD FS. Para obter mais informações, consulte Recursos para desativar o AD FS e Migrar do AD FS para o Microsoft Entra ID.

ID do Microsoft Entra, Serviços de Domínio e AD DS

Para implementar os serviços de diretório da Microsoft, familiarize os administradores com as seguintes opções:

  • Você pode implantar controladores de domínio do AD DS no Azure como VMs do Windows que os administradores de plataforma ou identidade controlam totalmente. Essa abordagem é uma solução de infraestrutura como serviço (IaaS). Você pode associar os controladores de domínio a um domínio existente do Active Directory ou hospedar um novo domínio que tenha uma relação de confiança opcional com domínios locais existentes. Para obter mais informações, consulte Arquitetura de linha de base de Máquinas Virtuais do Azure em uma zona de aterrissagem do Azure.

  • Os Serviços de Domínio são um serviço gerenciado pelo Azure que você pode usar para criar um novo domínio gerenciado do Active Directory hospedado no Azure. O domínio pode ter uma relação de confiança com domínios existentes e pode sincronizar identidades do Microsoft Entra ID. Os administradores não têm acesso direto aos controladores de domínio e não são responsáveis pela aplicação de patches e outras operações de manutenção.

  • Ao implantar os Serviços de Domínio ou integrar ambientes locais no Azure, use locais com zonas de disponibilidade para aumentar a disponibilidade quando possível. Considere também a implantação em várias regiões do Azure para aumentar a resiliência.

Depois de configurar o AD DS ou os Serviços de Domínio, você pode usar o mesmo método que os computadores locais para ingressar no domínio de VMs do Azure e compartilhamentos de arquivos. Para obter mais informações, consulte Comparar serviços baseados em diretório da Microsoft.

Recomendações do Microsoft Entra ID e AD DS

  • Use o proxy de aplicativo do Microsoft Entra para acessar aplicativos que usam autenticação local remotamente por meio da ID do Microsoft Entra. Esse recurso fornece acesso remoto seguro a aplicativos Web locais. O proxy de aplicativo do Microsoft Entra não requer uma VPN ou quaisquer alterações na infraestrutura de rede. No entanto, ele é implantado como uma única instância no Microsoft Entra ID, portanto, os proprietários do aplicativo e as equipes de plataforma ou identidade devem colaborar para garantir que o aplicativo seja configurado corretamente.

  • Avaliar a compatibilidade de cargas de trabalho para AD DS no Windows Server e nos Serviços de Domínio. Para obter mais informações, consulte Casos de uso e cenários comuns.

  • Implante VMs de controlador de domínio ou conjuntos de réplicas dos Serviços de Domínio na assinatura da plataforma de identidade dentro do grupo de gerenciamento de plataforma.

  • Proteja a rede virtual que contém os controladores de domínio. Para impedir a conectividade direta com a Internet de e para a rede virtual e o controlador de domínio, coloque os servidores AD DS em uma sub-rede isolada com um NSG (grupo de segurança de rede). O NSG fornece funcionalidade de firewall. Os recursos que usam controladores de domínio para autenticação devem ter uma rota de rede para a sub-rede do controlador de domínio. Habilite uma rota de rede somente para aplicativos que exigem acesso a serviços na assinatura de identidade. Para obter mais informações, confira Implantar o AD DS em uma rede virtual do Azure.

  • Use o Gerenciador de Rede Virtual do Azure para impor regras padrão que se aplicam a redes virtuais. Por exemplo, você pode usar a Política do Azure ou marcas de recursos de rede virtual para adicionar redes virtuais de zona de aterrissagem a um grupo de rede se elas exigirem serviços de identidade do Active Directory. O grupo de rede pode então ser usado para permitir o acesso à sub-rede do controlador de domínio somente de aplicativos que o exijam e bloquear o acesso de outros aplicativos.

  • Proteja as permissões de controle de acesso baseado em função (RBAC) que se aplicam às VMs do controlador de domínio e a outros recursos de identidade. Os administradores com atribuições de função RBAC no plano de controle do Azure, como Colaborador, Proprietário ou Colaborador de Máquina Virtual, podem executar comandos nas VMs. Certifique-se de que apenas administradores autorizados possam acessar as VMs na assinatura Identidade e que atribuições de função excessivamente permissivas não sejam herdadas de grupos de gerenciamento superiores.

  • Mantenha seus aplicativos principais próximos ou na mesma região que a rede virtual para seus conjuntos de réplicas para minimizar a latência. Em uma organização multirregional, implante os Serviços de Domínio na região que hospeda os componentes principais da plataforma. Você só pode implantar os Serviços de Domínio em uma única assinatura. Para expandir os Serviços de Domínio para outras regiões, você pode adicionar até mais quatro conjuntos de réplicas em redes virtuais separadas que são emparelhadas para a rede virtual primária.

  • Considere a implantação de controladores de domínio do AD DS em várias regiões do Azure e em zonas de disponibilidade para aumentar a resiliência e a disponibilidade. Para obter mais informações, consulte Criar VMs em zonas de disponibilidade e Migrar VMs para zonas de disponibilidade.

  • Explore os métodos de autenticação do Microsoft Entra ID como parte do seu planejamento de identidade. A autenticação pode ocorrer na nuvem e no local ou apenas no local.

  • Considere usar a autenticação Kerberos para a ID do Microsoft Entra em vez de implantar controladores de domínio na nuvem se um usuário do Windows exigir Kerberos para compartilhamentos de arquivos dos Arquivos do Azure.

Próxima etapa