Identidade para a Contoso Corporation

  • Artigo

A Microsoft fornece iDaaS (Identidade como serviço) em suas ofertas de nuvem por meio de Microsoft Entra ID. Para adotar o Microsoft 365 para empresas, a solução Contoso IDaaS precisou usar seu provedor de identidade local e incluir a autenticação federada com seus provedores de identidade confiáveis e de terceiros existentes.

A floresta contoso Active Directory Domain Services

A Contoso usa uma única floresta de Active Directory Domain Services (AD DS) para contoso.com com sete subdomínios, um para cada região do mundo. A sede, escritórios de hub regionais e escritórios satélite contêm controladores de domínio para autenticação e autorização local.

Aqui está a floresta contoso com domínios regionais para as diferentes partes do mundo que contêm hubs regionais.

Floresta e domínios da Contoso em todo o mundo.

A Contoso decidiu usar as contas e grupos na floresta contoso.com para autenticação e autorização para suas cargas de trabalho e serviços do Microsoft 365.

A infraestrutura de autenticação federada da Contoso

A Contoso permite que:

  • Os clientes usarão suas contas microsoft, Facebook ou Google Mail para entrar no site público da empresa.
  • Fornecedores e parceiros para usar suas contas do LinkedIn, Salesforce ou Google Mail para entrar na extranet do parceiro da empresa.

Aqui está o Contoso DMZ que contém um site público, uma extranet de parceiro e um conjunto de servidores do AD FS (Serviços de Federação do Active Directory (AD FS)). O DMZ está conectado à Internet que contém clientes, parceiros e serviços de Internet.

Suporte da Contoso para autenticação federada para clientes e parceiros.

Os servidores do AD FS no DMZ facilitam a autenticação de credenciais do cliente por seus provedores de identidade para acesso ao site público e credenciais de parceiro para acesso à extranet do parceiro.

A Contoso decidiu manter essa infraestrutura e deducioná-la à autenticação do cliente e do parceiro. Os arquitetos de identidade da Contoso estão investigando a conversão dessa infraestrutura para Microsoft Entra soluções B2B e B2C.

Identidade híbrida com sincronização de hash de senha para autenticação baseada na nuvem

A Contoso queria usar sua floresta local do AD DS para autenticação nos recursos de nuvem do Microsoft 365. Ele decidiu usar a PHS (sincronização de hash de senha).

O PHS sincroniza a floresta local do AD DS com o locatário Microsoft Entra de sua assinatura do Microsoft 365 para empresas, copiando contas de usuário e grupo e uma versão hash das senhas da conta de usuário.

Para fazer a sincronização do diretório, a Contoso implantou a ferramenta Microsoft Entra Connect em um servidor em seu datacenter de Paris.

Aqui está o servidor que executa Microsoft Entra Conectar sondagem na floresta contoso AD DS para obter alterações e, em seguida, sincronizar essas alterações com o locatário Microsoft Entra.

A infraestrutura de sincronização do diretório PHS da Contoso.

Políticas de acesso condicional para Confiança Zero identidade e acesso ao dispositivo

A Contoso criou um conjunto de políticas de ID Microsoft Entra e acesso condicional do Intune para três níveis de proteção:

  • As proteções de ponto de partida se aplicam a todas as contas de usuário.
  • As proteções empresariais se aplicam à liderança sênior e à equipe executiva.
  • As proteções de segurança especializadas se aplicam a usuários específicos nos departamentos financeiro, jurídico e de pesquisa que têm acesso a dados altamente regulamentados.

Aqui está o conjunto resultante de políticas de acesso condicional de identidade contoso e dispositivo.

Políticas de acesso condicional de identidade e dispositivo da Contoso.

Próxima etapa

Saiba como a Contoso usa sua infraestrutura de Configuration Manager do Microsoft Endpoint para implantar e manter a Windows 10 Enterprise atual em toda a sua organização.

Confira também

Implantar a identidade para o Microsoft 365

Visão geral do Microsoft 365 para empresas

Guias de laboratório de teste