Partilhar via

Implementação e gestão dos Serviços de Domínio Microsoft Entra para Fornecedores de Soluções na Nuvem do Azure

  • Artigo

O Azure Cloud Solution Providers (CSP) é um programa para Parceiros Microsoft e fornece um canal de licença para vários serviços de nuvem da Microsoft. O Azure CSP permite que os parceiros gerenciem vendas, sejam donos da relação de cobrança, forneçam suporte técnico e de cobrança e sejam o único ponto de contato do cliente. Além disso, o Azure CSP fornece um conjunto completo de ferramentas, incluindo um portal de autoatendimento e APIs que o acompanham. Essas ferramentas permitem que os parceiros CSP provisionem e gerenciem facilmente os recursos do Azure e forneçam cobrança para clientes e suas assinaturas.

O portal do Partner Center é o ponto de entrada para todos os parceiros do Azure CSP e fornece recursos avançados de gerenciamento de clientes, processamento automatizado e muito mais. Os parceiros do Azure CSP podem usar os recursos do Partner Center usando uma interface do usuário baseada na Web ou usando o PowerShell e várias chamadas de API.

O diagrama a seguir ilustra como o modelo CSP funciona em um alto nível. Aqui, a Contoso tem um locatário do Microsoft Entra. Eles têm uma parceria com um CSP, que implanta e gerencia recursos em sua assinatura do Azure CSP. A Contoso também pode ter assinaturas regulares (diretas) do Azure, que são cobradas diretamente à Contoso.

Visão geral do modelo CSP

O locatário do parceiro CSP tem três grupos especiais de agentes: agentes administrativos , agentes de helpdesk e agentes de vendas .

O grupo Agentes administradores é atribuído à função de administrador de locatário no locatário Microsoft Entra da Contoso. Como resultado, um usuário pertencente ao grupo de agentes administrativos do parceiro CSP tem privilégios de administrador de locatário no locatário Microsoft Entra da Contoso.

Quando o parceiro CSP provisiona uma assinatura do Azure CSP para a Contoso, seu grupo de agentes administradores é atribuído à função de proprietário dessa assinatura. Como resultado, os agentes de administração do parceiro CSP têm os privilégios necessários para provisionar recursos do Azure, como máquinas virtuais, redes virtuais e Serviços de Domínio Microsoft Entra em nome da Contoso.

Para obter mais informações, consulte a visão geral do Azure CSP

Benefícios de usar os Serviços de Domínio em uma assinatura do Azure CSP

Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM que é totalmente compatível com os Serviços de Domínio Ative Directory do Windows Server. Ao longo das décadas, muitos aplicativos foram criados para funcionar contra o AD usando esses recursos. Muitos fornecedores independentes de software (ISVs) criaram e implantaram aplicativos nas instalações de seus clientes. Esses aplicativos são difíceis de suportar, pois muitas vezes você precisa de acesso aos diferentes ambientes onde os aplicativos são implantados. Com as assinaturas do Azure CSP, você tem uma alternativa mais simples com a escala e a flexibilidade do Azure.

Os Serviços de Domínio dão suporte a assinaturas do Azure CSP. Você pode implantar seu aplicativo em uma assinatura do Azure CSP vinculada ao locatário do Microsoft Entra do seu cliente. Como resultado, seus funcionários (equipe de suporte) podem gerenciar, administrar e prestar serviços às VMs nas quais seu aplicativo é implantado usando as credenciais corporativas da sua organização.

Você também pode implantar um domínio gerenciado dos Serviços de Domínio no locatário do Microsoft Entra do seu cliente. Seu aplicativo é então conectado ao domínio gerenciado do cliente. Os recursos do seu aplicativo que dependem de Kerberos/NTLM, LDAP ou da API System.DirectoryServices funcionam perfeitamente no domínio do cliente. Os clientes finais se beneficiam ao consumir seu aplicativo como um serviço, sem precisar se preocupar com a manutenção da infraestrutura na qual o aplicativo é implantado.

Toda a cobrança dos recursos do Azure que você consome nessa assinatura, incluindo os Serviços de Domínio, é cobrada de volta. Você mantém controle total sobre o relacionamento com o cliente quando se trata de vendas, faturamento, suporte técnico e assim por diante. Com a flexibilidade da plataforma Azure CSP, uma pequena equipe de agentes de suporte pode atender muitos desses clientes que têm instâncias do seu aplicativo implantadas.

Modelos de implantação CSP para Serviços de Domínio

Há duas maneiras de usar os Serviços de Domínio com uma assinatura do Azure CSP. Escolha a opção certa com base nas considerações de segurança e simplicidade dos seus clientes.

Modelo de implantação direta

Neste modelo de implantação, os Serviços de Domínio são habilitados em uma rede virtual que pertence à assinatura do Azure CSP. Os agentes administrativos do parceiro CSP têm os seguintes privilégios:

É necessário um Administrador Global para gerir esta funcionalidade.

Os privilégios de proprietário da assinatura na assinatura do Azure CSP são necessários para esse recurso.

Modelo de implantação direta

Nesse modelo de implantação, os agentes de administração do provedor CSP podem administrar identidades para o cliente. Esses agentes de administração podem executar tarefas como provisionar novos usuários ou grupos ou adicionar aplicativos dentro do locatário do Microsoft Entra do cliente.

Esse modelo de implantação pode ser adequado para organizações menores que não têm um administrador de identidade dedicado ou preferem que o parceiro CSP administre identidades em seu nome.

Modelo de implantação emparelhado

Neste modelo de implantação, os Serviços de Domínio são habilitados em uma rede virtual pertencente ao cliente - uma assinatura direta do Azure paga pelo cliente. O parceiro CSP pode implantar aplicativos em uma rede virtual pertencente à assinatura CSP do cliente. As redes virtuais podem ser conectadas usando o emparelhamento de rede virtual do Azure.

Com essa implantação, as cargas de trabalho ou aplicativos implantados pelo parceiro CSP na assinatura do Azure CSP podem se conectar ao domínio gerenciado do cliente provisionado na assinatura direta do Azure do cliente.

Modelo de implantação emparelhado

Esse modelo de implantação fornece uma separação de privilégios e permite que os agentes de helpdesk do parceiro CSP administrem a assinatura do Azure e implantem e gerenciem recursos nela. No entanto, os agentes de helpdesk do parceiro CSP não precisam de uma função altamente privilegiada no diretório Microsoft Entra do cliente. Os administradores de identidade do cliente podem continuar a gerenciar identidades para sua organização.

Esse modelo de implantação pode ser adequado para cenários em que um ISV fornece uma versão hospedada de seu aplicativo local, que também precisa se conectar à ID do Microsoft Entra do cliente.

Administrar Serviços de Domínio em assinaturas CSP

As seguintes considerações importantes se aplicam ao administrar um domínio gerenciado em uma assinatura do Azure CSP:

  • Os agentes de administração do CSP podem provisionar um domínio gerenciado usando suas credenciais: os Serviços de Domínio dão suporte a assinaturas do Azure CSP. Os usuários pertencentes ao grupo de agentes administrativos de um parceiro CSP podem provisionar um novo domínio gerenciado.

  • Os CSPs podem criar scripts de criação de novos domínios gerenciados para seus clientes usando o PowerShell: Veja como habilitar os Serviços de Domínio usando o PowerShell para obter detalhes.

  • Os agentes de administração do CSP não podem executar tarefas de gerenciamento contínuo no domínio gerenciado usando suas credenciais: os usuários administradores do CSP não podem executar tarefas de gerenciamento de rotina no domínio gerenciado usando suas credenciais. Esses usuários são externos ao locatário do Microsoft Entra do cliente e suas credenciais não estão disponíveis no locatário do Microsoft Entra do cliente. Os Serviços de Domínio não têm acesso aos hashes de senha Kerberos e NTLM para esses usuários, portanto, os usuários não podem ser autenticados em domínios gerenciados.

    Advertência

    Você deve criar uma conta de usuário no diretório do cliente para executar tarefas de administração contínuas no domínio gerenciado.

    Não é possível entrar no domínio gerenciado usando as credenciais de um usuário administrador do CSP. Use as credenciais de uma conta de usuário pertencente ao locatário do Microsoft Entra do cliente para fazer isso. Você precisa dessas credenciais para tarefas como ingressar VMs no domínio gerenciado, administrar DNS ou administrar a Diretiva de Grupo.

  • A conta de usuário criada para administração contínua deve ser adicionada ao grupo Administradores de DC do AAD: o grupo Administradores de DC do AAD tem privilégios para executar determinadas tarefas de administração delegada no domínio gerenciado. Essas tarefas incluem configurar o DNS, criar unidades organizacionais e administrar a diretiva de grupo.

    Para que um parceiro CSP execute essas tarefas em um domínio gerenciado, uma conta de usuário deve ser criada no locatário do Microsoft Entra do cliente. As credenciais dessa conta devem ser compartilhadas com os agentes administrativos do parceiro CSP. Além disso, essa conta de usuário deve ser adicionada ao grupo Administradores de DC do AAD para permitir que as tarefas de configuração no domínio gerenciado sejam executadas usando essa conta de usuário.

Próximos passos

Para começar, inscreva-se no programa Azure CSP. Em seguida, você pode habilitar os Serviços de Domínio do Microsoft Entra usando o centro de administração do Microsoft Entra ou o Azure PowerShell.