ID do Microsoft Entra e identidade híbrida

Uma decisão de design crítica para as organizações empresariais que adotam o Azure é se os domínios de identidade local atuais devem ser estendidos para o Azure ou se outros domínios de identidade devem ser criados.

A maioria dos ambientes do Azure usa a ID do Microsoft Entra para autenticação de malha do Azure. Os ambientes locais usam a autenticação de host local do AD DS (Active Directory Domain Services) e o gerenciamento de política de grupo.

ID do Microsoft Entra, Serviços de Domínio Microsoft Entra e AD DS no Windows Server

Ao avaliar qual tipo de solução do Active Directory adotar, entenda os recursos e as diferenças do Microsoft Entra ID, dos Serviços de Domínio Microsoft Entra (Serviços de Domínio Microsoft Entra) e do AD DS no Windows Server.

Considerações sobre o design

Recomendações sobre design

  • Use as responsabilidades centralizadas e delegadas baseadas nos requisitos de função e de segurança para gerenciar os recursos na zona de destino. Para obter mais informações, confira Estabelecer práticas de gerenciamento operacional na nuvem.

  • Os tipos de operações privilegiadas a seguir exigem permissões especiais. Considere os usuários que vão processar essas solicitações e como proteger e monitorar as contas deles adequadamente.

    • Criar objetos de entidade de serviço e aplicativo.
    • Registrando aplicativos no Microsoft Entra ID.
    • Aquisição e processamento de certificados ou de certificados curinga.
  • Para acessar aplicativos que usam autenticação local remotamente por meio do Microsoft Entra ID, use o proxy de aplicativo do Microsoft Entra.

  • Avalie a compatibilidade de cargas de trabalho para os Serviços de Domínio Microsoft Entra e para o AD DS no Windows Server.

  • Crie sua rede para que os recursos que exigem o AD DS no Windows Server para autenticação e gerenciamento locais possam acessar os respectivos controladores de domínio. Para o AD DS no Windows Server, considere os ambientes de serviços compartilhados que oferecem autenticação local e gerenciamento de host em um contexto de rede mais amplo em toda a empresa.

  • Ao implantar os Serviços de Domínio do Microsoft Entra ou integrar ambientes locais no Azure, use locais com Zonas de Disponibilidade para aumentar a disponibilidade.

  • Implante os Serviços de Domínio Microsoft Entra na região primária, pois você só pode projetar esse serviço em uma assinatura. Você pode expandir os Serviços de Domínio do Microsoft Entra para outras regiões com conjuntos de réplicas.

  • Use identidades gerenciadas em vez de entidades de serviço para autenticação nos serviços do Azure. Essa abordagem reduz a exposição ao roubo de credenciais. Para saber mais, confira Gerenciar identidades para recursos do Azure.

Identidade híbrida local e do Azure

Para hospedar soluções de identidade híbrida de IaaS (infraestrutura como serviço), avalie as seguintes considerações e recomendações:

Considerações sobre o design

  • Para ver as opções que atendem aos requisitos organizacionais na integração do Active Directory local ao Azure, confira Integrar o AD local ao Azure.

  • A autenticação pode ocorrer na nuvem e no local ou apenas no local. Como parte do seu planejamento de identidade, explore os métodos de autenticação que o Microsoft Entra ID oferece. Para obter mais informações, consulte Autenticação para soluções de identidade híbrida do Microsoft Entra.

  • Se você tiver a federação dos Serviços de Federação do Active Directory (AD FS) com o Microsoft Entra ID, poderá usar a sincronização de hash de senha como backup. O AD FS não dá suporte ao SSO (logon único) contínuo.

  • Determine a ferramenta de sincronização certa para sua identidade de nuvem. Para obter mais informações, consulte Determinar os requisitos de sincronização de diretório.

Recomendações sobre design

  • Para os aplicativos hospedados parcialmente localmente e em parte no Azure, verifique qual integração faz sentido com base no seu cenário. Para obter mais informações, confira Implantar o AD DS em uma rede virtual do Azure.

  • Se você tiver o AD FS, migre para a nuvem para centralizar a identidade e reduzir o esforço operacional. Se o AD FS ainda fizer parte da sua solução de identidade, instale e use o Microsoft Entra Connect.

Próximas etapas