Identidade híbrida com Ative Directory e Microsoft Entra ID nas zonas de aterrissagem do Azure
Este artigo fornece orientação sobre como projetar e implementar a ID do Microsoft Entra e a identidade híbrida para zonas de aterrissagem do Azure.
As organizações que operam na nuvem precisam de um serviço de diretório para gerenciar as identidades dos usuários e o acesso aos recursos. O Microsoft Entra ID é um serviço de gerenciamento de identidade e acesso baseado em nuvem que fornece recursos robustos para gerenciar usuários e grupos. Você pode usá-lo como uma solução de identidade autônoma ou integrá-lo a uma infraestrutura dos Serviços de Domínio Microsoft Entra ou a uma infraestrutura local dos Serviços de Domínio Ative Directory (AD DS).
O Microsoft Entra ID fornece gerenciamento de identidade e acesso moderno e seguro que é adequado para muitas organizações e cargas de trabalho e está no centro dos serviços do Azure e do Microsoft 365. Se sua organização tiver uma infraestrutura do AD DS local, suas cargas de trabalho baseadas em nuvem podem exigir sincronização de diretórios com o Microsoft Entra ID para um conjunto consistente de identidades, grupos e funções entre seus ambientes locais e de nuvem. Ou, se você tiver aplicativos que dependem de mecanismos de autenticação herdados, talvez seja necessário implantar Serviços de Domínio gerenciados na nuvem.
A gestão de identidades com base na cloud é um processo iterativo. Você pode começar com uma solução nativa da nuvem com um pequeno conjunto de usuários e funções correspondentes para uma implantação inicial e, à medida que sua migração amadurece, talvez seja necessário integrar sua solução de identidade usando a sincronização de diretórios ou adicionar serviços de domínio hospedados na nuvem como parte de suas implantações na nuvem.
Com o tempo, revisite sua solução de identidade dependendo dos requisitos de autenticação da carga de trabalho e de outras necessidades, como alterações na estratégia de identidade organizacional e nos requisitos de segurança ou integração com outros serviços de diretório. Ao avaliar as soluções do Ative Directory, entenda as diferenças entre o Microsoft Entra ID, os Serviços de Domínio e o AD DS no Windows Server.
Para obter ajuda com sua estratégia de identidade, consulte Guia de decisão de identidade.
Serviços de gerenciamento de identidade e acesso nas zonas de aterrissagem do Azure
A equipa da plataforma é responsável pela administração da gestão de identidades e acessos. Os serviços de gerenciamento de identidade e acesso são fundamentais para a segurança organizacional. As organizações podem usar o Microsoft Entra ID para proteger os recursos da plataforma controlando o acesso administrativo. Essa abordagem impede que usuários fora da equipe da plataforma façam alterações na configuração ou nas entidades de segurança contidas no ID do Microsoft Entra.
As organizações que usam AD DS ou Serviços de Domínio também devem proteger os controladores de domínio contra acesso não autorizado. Os controladores de domínio são alvos particularmente atraentes para invasores e devem ter controles de segurança rigorosos e segregação de cargas de trabalho de aplicativos.
Os controladores de domínio e componentes associados, como servidores Microsoft Entra ID Connect, são implantados na assinatura Identity, que está no grupo de gerenciamento da plataforma. Os controladores de domínio não são delegados às equipes de aplicativos. Ao fornecer esse isolamento, os proprietários de aplicativos podem consumir os serviços de identidade sem precisar gerenciá-los, e o risco de comprometimento dos serviços de gerenciamento de identidade e acesso é reduzido. Os recursos na assinatura da plataforma Identity são um ponto crítico de segurança para seus ambientes de nuvem e locais.
As zonas de aterrissagem devem ser provisionadas para que os proprietários de aplicativos possam usar a ID do Microsoft Entra ou o AD DS e os Serviços de Domínio, conforme exigido por suas cargas de trabalho. Dependendo da solução de identidade usada, talvez seja necessário configurar outros serviços, conforme necessário. Por exemplo, talvez seja necessário habilitar e proteger a conectividade de rede para a rede virtual Identidade. Se utilizar um processo de venda automática de subscrições, inclua estas informações de configuração no seu pedido de subscrição.
Azure e domínios locais (identidade híbrida)
Os objetos de usuário criados inteiramente no Microsoft Entra ID são conhecidos como contas somente na nuvem. Eles oferecem suporte à autenticação moderna e ao acesso aos recursos do Azure e do Microsoft 365 e ao acesso para dispositivos locais que usam o Windows 10 ou o Windows 11.
No entanto, muitas organizações já têm diretórios AD DS de longa data que podem ser integrados a outros sistemas, como o ERP (planejamento de recursos de linha de negócios) ou empresarial por meio do protocolo LDAP. Esses domínios podem ter muitos computadores e aplicativos associados a domínios que usam Kerberos ou protocolos NTLMv2 mais antigos para autenticação. Nesses ambientes, você pode sincronizar objetos de usuário com o ID do Microsoft Entra para que os usuários possam entrar em sistemas locais e recursos de nuvem com uma única identidade. A união de serviços de diretório locais e na nuvem é conhecida como identidade híbrida. Você pode estender domínios locais para zonas de aterrissagem do Azure:
Para manter um único objeto de usuário em ambientes de nuvem e locais, você pode sincronizar usuários de domínio do AD DS com a ID do Microsoft Entra por meio do Microsoft Entra Connect ou do Microsoft Entra Connect Sync. Para determinar a configuração recomendada para seu ambiente, consulte Topologias para o Microsoft Entra Connect.
Para ingressar no domínio VMs do Windows e outros serviços, você pode implantar controladores de domínio do AD DS ou Serviços de Domínio no Azure. Com essa abordagem, os usuários do AD DS podem entrar em servidores Windows, compartilhamentos de Arquivos do Azure e outros recursos que usam o Ative Directory como fonte de autenticação. Você também pode usar outras tecnologias do Ative Directory, como a diretiva de grupo. Para obter mais informações, consulte Cenários comuns de implantação para os Serviços de Domínio Microsoft Entra.
Recomendações de identidade híbrida
Você pode usar os Serviços de Domínio para aplicativos que dependem de serviços de domínio e usam protocolos mais antigos. Às vezes, os domínios AD DS existentes oferecem suporte à compatibilidade com versões anteriores e permitem protocolos herdados, o que pode afetar negativamente a segurança. Em vez de estender um domínio local, considere usar os Serviços de Domínio para criar um novo domínio que não permita protocolos herdados e usá-lo como o serviço de diretório para aplicativos hospedados na nuvem.
Avalie os requisitos da solução de identidade compreendendo e documentando o provedor de autenticação usado por cada aplicativo. Considere as revisões para ajudar a planejar o tipo de serviço que sua organização deve usar. Para obter mais informações, consulte Comparar o Ative Directory com o Microsoft Entra ID e Guia de decisão de identidade.
Avalie cenários que envolvam a configuração de usuários externos, clientes ou parceiros para que eles possam acessar recursos. Determine se esses cenários envolvem o Microsoft Entra B2B ou o Microsoft Entra External ID para clientes. Para obter mais informações, consulte ID externa do Microsoft Entra.
Não use o proxy de aplicativo Microsoft Entra para acesso à intranet porque ele adiciona latência à experiência do usuário. Para obter mais informações, consulte Planejamento de proxy de aplicativo Microsoft Entra e Considerações de segurança de proxy de aplicativo Microsoft Entra.
Considere vários métodos que você pode usar para integrar o Ative Directory local com o Azure para atender aos seus requisitos organizacionais.
Se você tiver a federação dos Serviços de Federação do Ative Directory (AD FS) com a ID do Microsoft Entra, poderá usar a sincronização de hash de senha como backup. O AD FS não suporta o Microsoft Entra continuous single sign-on (SSO).
Determine a ferramenta de sincronização certa para sua identidade na nuvem.
Se você tiver requisitos para usar o AD FS, consulte Implantar o AD FS no Azure.
Importante
É altamente recomendável migrar para o Microsoft Entra ID, a menos que haja um requisito específico para usar o AD FS. Para obter mais informações, consulte Recursos para encerrar o AD FS e Migrar do AD FS para o Microsoft Entra ID.
ID do Microsoft Entra, Serviços de Domínio e AD DS
Os administradores devem se familiarizar com as opções para implementar os serviços de diretório da Microsoft:
Você pode implantar controladores de domínio do AD DS no Azure como máquinas virtuais (VMs) do Windows das quais os administradores de plataforma ou identidade têm controle total. Essa abordagem é uma solução de infraestrutura como serviço (IaaS). Você pode unir os controladores de domínio a um domínio existente do Ative Directory ou pode hospedar um novo domínio que tenha uma relação de confiança opcional com domínios locais existentes. Para obter mais informações, consulte Arquitetura de linha de base das Máquinas Virtuais do Azure em uma zona de aterrissagem do Azure.
Os Serviços de Domínio são um serviço gerenciado pelo Azure que você pode usar para criar um novo domínio gerenciado do Ative Directory hospedado no Azure. O domínio pode ter uma relação de confiança com domínios existentes e pode sincronizar identidades do Microsoft Entra ID. Os administradores não têm acesso direto aos controladores de domínio e não são responsáveis pela aplicação de patches e outras operações de manutenção.
Ao implantar Serviços de Domínio ou integrar ambientes locais no Azure, use locais com zonas de disponibilidade para aumentar a disponibilidade.
Depois que o AD DS ou os Serviços de Domínio forem configurados, você poderá ingressar no domínio de VMs do Azure e compartilhamentos de arquivos usando o mesmo método dos computadores locais. Para obter mais informações, consulte Comparar serviços baseados em diretório da Microsoft.
Recomendações do Microsoft Entra ID e AD DS
Para acessar aplicativos que usam autenticação local remotamente por meio do Microsoft Entra ID, use o proxy de aplicativo Microsoft Entra. Esse recurso fornece acesso remoto seguro a aplicativos Web locais. Não requer uma VPN ou quaisquer alterações na infraestrutura de rede. No entanto, ele é implantado como uma única instância no Microsoft Entra ID, portanto, os proprietários de aplicativos e as equipes de plataforma ou identidade devem colaborar para garantir que o aplicativo esteja configurado corretamente.
Avalie a compatibilidade de cargas de trabalho para AD DS no Windows Server e nos Serviços de Domínio. Para obter mais informações, consulte Casos de uso e cenários comuns.
Implante VMs de controlador de domínio ou conjuntos de réplicas de Serviços de Domínio na assinatura da plataforma de Identidade dentro do grupo de gerenciamento da plataforma.
Proteja a rede virtual que contém os controladores de domínio. Impeça a conectividade direta com a Internet de e para esses sistemas colocando os servidores AD DS em uma sub-rede isolada com um NSG (grupo de segurança de rede), fornecendo funcionalidade de firewall. Os recursos que usam controladores de domínio para autenticação devem ter uma rota de rede para a sub-rede do controlador de domínio. Habilite apenas uma rota de rede para aplicativos que exigem acesso a serviços na assinatura Identity. Para obter mais informações, consulte Implantar o AD DS em uma rede virtual do Azure.
Em uma organização multirregional, implante os Serviços de Domínio na região que hospeda os componentes principais da plataforma. Você só pode implantar os Serviços de Domínio em uma única assinatura. Você pode expandir os Serviços de Domínio para outras regiões adicionando até mais quatro conjuntos de réplicas em redes virtuais separadas emparelhadas à rede virtual primária. Para minimizar a latência, mantenha seus aplicativos principais próximos ou na mesma região da rede virtual para seus conjuntos de réplicas.
Ao implantar controladores de domínio do AD DS no Azure, implante-os em zonas de disponibilidade para aumentar a resiliência. Para obter mais informações, consulte Criar VMs em zonas de disponibilidade e Migrar VMs para zonas de disponibilidade.
A autenticação pode ocorrer na nuvem e no local ou apenas no local. Como parte do seu planejamento de identidade, explore os métodos de autenticação para o Microsoft Entra ID.
Se um usuário do Windows precisar de compartilhamentos de arquivos Kerberos para Arquivos do Azure, considere usar a autenticação Kerberos para ID do Microsoft Entra em vez de implantar controladores de domínio na nuvem.