Partilhar via


Como o Microsoft Entra ID oferece gerenciamento controlado pela nuvem para cargas de trabalho locais

O Microsoft Entra ID é uma solução abrangente de identidade como serviço (IDaaS) usada por milhões de organizações que abrange todos os aspetos de identidade, gerenciamento de acesso e segurança. O Microsoft Entra ID contém mais de um bilhão de identidades de usuários e ajuda os usuários a entrar e acessar com segurança:

  • Recursos externos, como o Microsoft 365, o centro de administração do Microsoft Entra e milhares de outros aplicativos SaaS (Software como Serviço).
  • Recursos internos, como aplicativos na rede corporativa e intranet de uma organização, juntamente com quaisquer aplicativos em nuvem desenvolvidos por essa organização.

As organizações podem usar o Microsoft Entra ID se forem 'nuvem pura' ou como uma implantação 'híbrida' se tiverem cargas de trabalho locais. Uma implantação híbrida do Microsoft Entra ID pode fazer parte de uma estratégia para uma organização migrar seus ativos de TI para a nuvem ou continuar a integrar a infraestrutura local existente junto com novos serviços de nuvem.

Historicamente, as organizações "híbridas" têm visto o Microsoft Entra ID como uma extensão de sua infraestrutura local existente. Nessas implantações, a administração de governança de identidade local, o Ative Directory do Windows Server ou outros sistemas de diretório internos são os pontos de controle, e os usuários e grupos são sincronizados desses sistemas para um diretório de nuvem, como o Microsoft Entra ID. Depois que essas identidades estiverem na nuvem, elas poderão ser disponibilizadas para o Microsoft 365, Azure e outros aplicativos.

Ciclo de vida da identidade

À medida que as organizações movem mais de sua infraestrutura de TI junto com seus aplicativos para a nuvem, muitas estão procurando a segurança aprimorada e os recursos de gerenciamento simplificados do gerenciamento de identidades como um serviço. Os recursos IDaaS fornecidos na nuvem no Microsoft Entra ID aceleram a transição para o gerenciamento governado pela nuvem, fornecendo as soluções e os recursos que permitem que as organizações adotem e movam rapidamente mais de seu gerenciamento de identidades de sistemas locais tradicionais para o Microsoft Entra ID, enquanto continuam a oferecer suporte a aplicativos existentes e novos.

Este documento descreve a estratégia da Microsoft para IDaaS híbrida e descreve como as organizações podem usar o Microsoft Entra ID para seus aplicativos existentes.

A abordagem do Microsoft Entra ID para o gerenciamento de identidades governado pela nuvem

À medida que as organizações fazem a transição para a nuvem, elas precisam de garantias de que têm controles sobre todo o seu ambiente - mais segurança e mais visibilidade das atividades, apoiadas pela automação e insights proativos. "Gerenciamento governado pela nuvem" descreve como as organizações gerenciam e governam seus usuários, aplicativos, grupos e dispositivos a partir da nuvem.

Neste mundo moderno, as organizações precisam ser capazes de gerenciar efetivamente em escala, devido à proliferação de aplicativos SaaS e ao papel crescente da colaboração e das identidades externas. O novo cenário de risco da nuvem significa que uma organização deve ser mais responsiva - um ator mal-intencionado que compromete um usuário de nuvem pode afetar aplicativos locais e na nuvem.

Em particular, as organizações híbridas precisam ser capazes de delegar e automatizar tarefas, o que historicamente a TI fazia manualmente. Para automatizar tarefas, eles precisam de APIs e processos que orquestram o ciclo de vida dos diferentes recursos relacionados à identidade (usuários, grupos, aplicativos, dispositivos), para que possam delegar o gerenciamento diário desses recursos a mais indivíduos fora da equipe de TI principal. O Microsoft Entra ID aborda esses requisitos por meio do gerenciamento de contas de usuário e da autenticação nativa para usuários sem exigir infraestrutura de identidade local. Não criar infraestrutura local pode beneficiar organizações que têm novas comunidades de usuários, como parceiros de negócios, que não se originaram em seu diretório local, mas cujo gerenciamento de acesso é essencial para alcançar resultados de negócios.

Além disso, a gestão não está completa sem --- de governança e a governança neste novo mundo é uma parte integrada do sistema de identidade e não um complemento. A governança de identidade oferece às organizações a capacidade de gerenciar o ciclo de vida de identidade e acesso entre funcionários, parceiros de negócios e fornecedores, além de serviços e aplicativos.

A incorporação da governança de identidade facilita a transição da organização para o gerenciamento governado pela nuvem, permite que a TI escale, lida com novos desafios com os hóspedes e fornece insights e automação mais profundos do que os clientes tinham com a infraestrutura local. Governança neste novo mundo significa a capacidade de uma organização ter transparência, visibilidade e controles adequados sobre o acesso aos recursos dentro da organização. Com o Microsoft Entra ID, as equipes de operações de segurança e auditoria têm visibilidade sobre quem tem --- e quem deve ter - acesso a quais recursos na organização (em quais dispositivos), o que esses usuários estão fazendo com esse acesso e se a organização tem e usa controles apropriados para remover ou restringir o acesso de acordo com as políticas da empresa ou regulatórias.

O novo modelo de gerenciamento beneficia as organizações com aplicativos SaaS e de linha de negócios (LOB), pois elas são mais facilmente capazes de gerenciar e proteger o acesso a esses aplicativos. Ao integrar aplicativos com o Microsoft Entra ID, as organizações poderão usar e gerenciar o acesso em identidades originadas na nuvem e no local de forma consistente. O gerenciamento do ciclo de vida do aplicativo torna-se mais automatizado e o Microsoft Entra ID fornece informações detalhadas sobre o uso do aplicativo que não eram facilmente alcançáveis no gerenciamento de identidades local. Por meio da ID do Microsoft Entra, grupos do Microsoft 365 e recursos de autoatendimento do Teams, as organizações podem criar facilmente grupos para gerenciamento de acesso e colaboração e adicionar ou remover usuários na nuvem para habilitar os requisitos de colaboração e gerenciamento de acesso.

Selecionar os recursos corretos do Microsoft Entra para gerenciamento controlado pela nuvem depende dos aplicativos a serem usados e de como esses aplicativos serão integrados ao Microsoft Entra ID. As seções a seguir descrevem as abordagens a serem adotadas para aplicativos integrados ao AD e aplicativos que usam protocolos de federação (por exemplo, SAML, OAuth ou OpenID Connect).

Gerenciamento controlado pela nuvem para aplicativos integrados ao AD

O Microsoft Entra ID melhora o gerenciamento de aplicativos integrados ao Ative Directory local de uma organização por meio de acesso remoto seguro e acesso condicional a esses aplicativos. Além disso, o Microsoft Entra ID também fornece gerenciamento do ciclo de vida da conta e gerenciamento de credenciais para as contas AD existentes do usuário, incluindo:

  • Acesso remoto seguro e acesso condicional para aplicativos locais

Para muitas organizações, a primeira etapa no gerenciamento do acesso da nuvem para aplicativos baseados na Web e na área de trabalho remota integrados ao AD no local é implantar o proxy de aplicativo na frente desses aplicativos para fornecer acesso remoto seguro.

Após um logon único no Microsoft Entra ID, os usuários podem acessar aplicativos na nuvem e locais por meio de uma URL externa ou de um portal de aplicativos interno. Por exemplo, o Proxy de Aplicativo fornece acesso remoto e logon único para Área de Trabalho Remota, SharePoint, bem como aplicativos como Tableau e Qlik, e aplicativos de linha de negócios (LOB). Além disso, as políticas de Acesso Condicional podem incluir a exibição dos termos de uso e garantir que o usuário concordou com eles antes de poder acessar um aplicativo.

Arquitetura de proxy de aplicativo

  • Gerenciamento automático do ciclo de vida para contas do Ative Directory

A governança de identidade ajuda as organizações a alcançar um equilíbrio entre produtividade --- com que rapidez uma pessoa pode ter acesso aos recursos de que precisa, como quando ingressa na organização? --- e segurança --- como deve o seu acesso mudar ao longo do tempo, por exemplo, quando o estatuto laboral dessa pessoa muda? O gerenciamento do ciclo de vida da identidade é a base para a governança de identidade, e uma governança eficaz em escala requer a modernização da infraestrutura de gerenciamento do ciclo de vida da identidade para aplicativos.

Para muitas organizações, o ciclo de vida da identidade dos funcionários está vinculado à representação desse usuário em um sistema de gerenciamento de capital humano (HCM). Para organizações que usam o Workday como seu sistema HCM, o Microsoft Entra ID pode garantir que as contas de usuário no AD sejam automaticamente provisionadas e desprovisionadas para os trabalhadores no Workday. Isso leva a uma maior produtividade do usuário por meio da automação de contas de direito de nascença e gerencia o risco, garantindo que o acesso ao aplicativo seja atualizado automaticamente quando um usuário muda de função ou sai da organização. O plano de implantação de provisionamento de usuário orientado pelo Workday é um guia passo a passo que orienta as organizações pela implementação de práticas recomendadas do Workday para a solução de provisionamento de usuários do Ative Directory em um processo de cinco etapas.

O Microsoft Entra ID P1 ou P2 também inclui o Microsoft Identity Manager, que pode importar registros de outros sistemas HCM locais, incluindo SAP, Oracle eBusiness e Oracle PeopleSoft.

A colaboração entre empresas requer cada vez mais a concessão de acesso a pessoas fora da sua organização. A colaboração B2B do Microsoft Entra permite que as organizações compartilhem com segurança seus aplicativos e serviços com usuários convidados e parceiros externos, mantendo o controle sobre seus próprios dados corporativos.

O Microsoft Entra ID pode criar automaticamente contas no AD para usuários convidados, conforme necessário, permitindo que os hóspedes corporativos acessem aplicativos locais integrados ao AD sem precisar de outra senha. As organizações podem configurar políticas de autenticação multifator para usuáriosconvidados para que as verificações de MFA sejam feitas durante a autenticação de proxy de aplicativo. Além disso, todas as revisões de acesso feitas em usuários B2B na nuvem se aplicam a usuários locais. Por exemplo, se o usuário da nuvem for excluído por meio de políticas de gerenciamento do ciclo de vida, o usuário local também será excluído.

Gerenciamento de credenciais para contas do Ative Directory

A redefinição de senha de autoatendimento no Microsoft Entra ID permite que os usuários que esqueceram suas senhas sejam reautenticados e redefina suas senhas, com as senhas alteradas gravadas no Ative Directory local. O processo de redefinição de senha também pode usar as diretivas de senha do Ative Directory local: quando um usuário redefine sua senha, ela é verificada para garantir que ela atenda à política do Ative Directory local antes de confirmá-la nesse diretório. O plano de implantação de redefinição de senha de autoatendimento descreve as práticas recomendadas para implantar a redefinição de senha de autoatendimento para os usuários por meio de experiências integradas à Web e ao Windows.

Arquitetura SSPR do Microsoft Entra

Finalmente, para organizações que permitem que os usuários alterem suas senhas no AD, o AD pode ser configurado para usar a mesma política de senha que a organização está usando no Microsoft Entra ID por meio do recurso de proteção por senha do Microsoft Entra, atualmente em visualização pública.

Quando uma organização está pronta para mover um aplicativo integrado ao AD para a nuvem movendo o sistema operacional que hospeda o aplicativo para o Azure, os Serviços de Domínio Microsoft Entra fornecem serviços de domínio compatíveis com AD (como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM). Os Serviços de Domínio do Microsoft Entra integram-se com o locatário existente do Microsoft Entra da organização, possibilitando que os usuários entrem usando suas credenciais corporativas. Além disso, os grupos e contas de usuário existentes podem ser usados para proteger o acesso aos recursos, garantindo uma "elevação e deslocamento" mais suave dos recursos locais para os serviços de infraestrutura do Azure.

Microsoft Entra Domain Services

Gerenciamento controlado pela nuvem para aplicativos baseados em federação local

Para uma organização que já usa um provedor de identidade local, mover aplicativos para o Microsoft Entra ID permite um acesso mais seguro e uma experiência administrativa mais fácil para o gerenciamento de federação. O Microsoft Entra ID permite configurar controles de acesso granulares por aplicativo, incluindo a autenticação multifator do Microsoft Entra, usando o Acesso Condicional do Microsoft Entra. O Microsoft Entra ID oferece suporte a mais recursos, incluindo certificados de assinatura de token específicos do aplicativo e datas de expiração de certificados configuráveis. Esses recursos, ferramentas e orientações permitem que as organizações aposentem seus provedores de identidade locais. A própria TI da Microsoft, por exemplo, moveu 17.987 aplicativos dos Serviços de Federação do Ative Directory (AD FS) internos da Microsoft para o Microsoft Entra ID.

Evolução do Microsoft Entra

Para começar a migrar aplicativos federados para o Microsoft Entra ID como o provedor de https://aka.ms/migrateapps identidade, consulte que inclui links para:

  • O white paper Migrando seus aplicativos para o Microsoft Entra ID, que apresenta os benefícios da migração e descreve como planejar a migração em quatro fases claramente delineadas: descoberta, classificação, migração e gerenciamento contínuo. Você será guiado sobre como pensar sobre o processo e dividir seu projeto em partes fáceis de consumir. Ao longo do documento estão links para recursos importantes que irão ajudá-lo ao longo do caminho.

  • O guia de solução Migrando a autenticação de aplicativos dos Serviços de Federação do Ative Directory para o Microsoft Entra ID explora com mais detalhes as mesmas quatro fases de planejamento e execução de um projeto de migração de aplicativos. Neste guia, você aprenderá como aplicar essas fases ao objetivo específico de mover um aplicativo dos Serviços de Federação do Ative Directory (AD FS) para o Microsoft Entra ID.

  • O Script de Preparação para Migração dos Serviços de Federação do Ative Directory pode ser executado em servidores AD FS (Serviços de Federação do Ative Directory) locais existentes para determinar a preparação dos aplicativos para migração para o Microsoft Entra ID.

Gerenciamento contínuo de acesso em aplicativos locais e na nuvem

As organizações precisam de um processo para gerenciar o acesso que seja escalável. Os usuários continuam a acumular direitos de acesso e acabam indo além do que foi inicialmente provisionado para eles. Além disso, as organizações empresariais precisam ser capazes de escalar de forma eficiente para desenvolver e aplicar políticas e controles de acesso de forma contínua.

Normalmente, a TI delega as decisões de aprovação de acesso aos tomadores de decisões de negócios. Além disso, as TI podem envolver os próprios utilizadores. Por exemplo, os utilizadores que acedem a dados confidenciais de clientes numa aplicação de marketing de uma empresa na Europa precisam de conhecer as políticas da empresa. Os usuários convidados também podem não estar cientes dos requisitos de tratamento de dados em uma organização para a qual foram convidados.

As organizações podem automatizar o processo do ciclo de vida do acesso por meio de tecnologias como grupos dinâmicos de associação, juntamente com o provisionamento de usuários para aplicativos SaaS ou aplicativos integrados usando o padrão System for Cross-Domain Identity Management (SCIM). As organizações também podem controlar quais usuários convidados têm acesso a aplicativos locais. Esses direitos de acesso podem ser revisados regularmente usando revisões recorrentes de acesso do Microsoft Entra.

Direções futuras

Em ambientes híbridos, a estratégia da Microsoft é permitir implantações em que a nuvem é o plano de controle para identidade, e diretórios locais e outros sistemas de identidade, como o Ative Directory e outros aplicativos locais, são o destino para provisionar usuários com acesso. Essa estratégia continuará a garantir os direitos, identidades e acesso nos aplicativos e cargas de trabalho que dependem deles. Nesse estado final, as organizações poderão impulsionar a produtividade do usuário final inteiramente a partir da nuvem.

Arquitetura do Microsoft Entra

Próximos passos

Para obter mais informações sobre como começar essa jornada, consulte os planos de implantação do Microsoft Entra. Esses planos fornecem orientação completa para a implantação de recursos do Microsoft Entra. Cada plano explica o valor comercial, as considerações de planejamento, o design e os procedimentos operacionais necessários para implantar com êxito os recursos comuns do Microsoft Entra. A Microsoft atualiza continuamente os planos de implantação com as práticas recomendadas aprendidas com as implantações dos clientes e outros comentários quando adicionamos novos recursos ao gerenciamento a partir da nuvem com o Microsoft Entra ID.