Partilhar via


Passo 1. Determinar o modelo de identidade da cloud

Veja todos os conteúdos da nossa pequena empresa em Pequenas empresas para ajudar a & aprendizagem.

O Microsoft 365 utiliza Microsoft Entra ID, um serviço de autenticação e identidade de utilizador baseado na cloud incluído na sua subscrição do Microsoft 365, para gerir identidades e autenticação para o Microsoft 365. Configurar corretamente a sua infraestrutura de identidade é vital para gerir o acesso e as permissões dos utilizadores do Microsoft 365 para a sua organização.

Antes de começar, watch este vídeo para obter uma descrição geral dos modelos de identidade e autenticação do Microsoft 365.

A sua primeira escolha de planeamento é o modelo de identidade da cloud.

Modelos de identidade da Microsoft Cloud

Para planear contas de utilizador, primeiro tem de compreender os dois modelos de identidade no Microsoft 365. Pode manter as identidades da sua organização apenas na cloud ou manter as suas identidades de Active Directory no local Domain Services (AD DS) e utilizá-las para autenticação quando os utilizadores acederem aos serviços cloud do Microsoft 365.

Aqui estão os dois tipos de identidade e o seu melhor ajuste e benefícios.

Atributo Identidade apenas na nuvem Identidade híbrida
Definição A conta de utilizador só existe no inquilino Microsoft Entra da sua subscrição do Microsoft 365. A conta de utilizador existe no AD DS e também existe uma cópia no inquilino Microsoft Entra da sua subscrição do Microsoft 365. A conta de utilizador no Microsoft Entra ID também pode incluir uma versão com hash da palavra-passe da conta de utilizador do AD DS já com hash.
Como o Microsoft 365 autentica as credenciais de utilizador O Microsoft Entra inquilino da sua subscrição do Microsoft 365 efetua a autenticação com a conta de identidade da cloud. O Microsoft Entra inquilino da sua subscrição do Microsoft 365 processa o processo de autenticação ou redireciona o utilizador para outro fornecedor de identidade.
Melhor para Organizações que não têm ou precisam de um AD DS no local. Organizações que utilizam o AD DS ou outro fornecedor de identidade.
Maior benefício Simples de utilizar. Não são necessárias ferramentas de diretório ou servidores adicionais. Os utilizadores podem utilizar as mesmas credenciais quando acedem a recursos no local ou baseados na cloud.

Identidade apenas na nuvem

Uma identidade apenas na cloud utiliza contas de utilizador que existem apenas no Microsoft Entra ID. Normalmente, a identidade apenas na cloud é utilizada por pequenas organizações que não têm servidores no local ou não utilizam o AD DS para gerir identidades locais.

Eis os componentes básicos da identidade apenas na cloud.

Componentes básicos da identidade apenas na cloud.

Os utilizadores no local e remoto (online) utilizam as respetivas contas de utilizador e palavras-passe Microsoft Entra para aceder aos serviços cloud do Microsoft 365. Microsoft Entra autentica as credenciais de utilizador com base nas respetivas contas de utilizador e palavras-passe armazenadas.

Administração

Uma vez que as contas de utilizador só são armazenadas no Microsoft Entra ID, pode gerir identidades da cloud com ferramentas como o centro de administração do Microsoft 365 e o Windows PowerShell.

Identidade híbrida

A identidade híbrida utiliza contas com origem num AD DS no local e têm uma cópia no inquilino Microsoft Entra de uma subscrição do Microsoft 365. A maioria das alterações, com exceção de atributos de conta específicos, só fluem de uma forma. As alterações efetuadas às contas de utilizador do AD DS são sincronizadas com a respetiva cópia no Microsoft Entra ID.

Microsoft Entra Connect fornece a sincronização da conta em curso. É executado num servidor no local, verifica se há alterações no AD DS e reencaminha essas alterações para Microsoft Entra ID. Microsoft Entra Connect fornece a capacidade de filtrar que contas são sincronizadas e se pretende sincronizar uma versão hash de palavras-passe de utilizador, conhecida como sincronização do hash de palavras-passe (PHS).

Quando implementa a identidade híbrida, o AD DS no local é a origem autoritativa das informações da conta. Isto significa que executa tarefas de administração principalmente no local, que são depois sincronizadas com Microsoft Entra ID.

Eis os componentes da identidade híbrida.

Componentes da identidade híbrida.

O inquilino Microsoft Entra tem uma cópia das contas do AD DS. Nesta configuração, tanto os utilizadores no local como os utilizadores remotos que acedem aos serviços cloud do Microsoft 365 autenticam-se no Microsoft Entra ID.

Nota

Tem sempre de utilizar o Microsoft Entra Ligar para sincronizar contas de utilizador para identidade híbrida. Precisa das contas de utilizador sincronizadas no Microsoft Entra ID para efetuar a atribuição de licenças e a gestão de grupos, configurar permissões e outras tarefas administrativas que envolvam contas de utilizador.

Identidade híbrida e sincronização de diretórios do Microsoft 365

Consoante as suas necessidades empresariais e requisitos técnicos, o modelo de identidade híbrida e a sincronização de diretórios são a escolha mais comum para clientes empresariais que estão a adotar o Microsoft 365. A sincronização de diretórios permite-lhe gerir identidades no seu Active Directory Domain Services (AD DS) e todas as atualizações para contas de utilizador, grupos e contactos são sincronizadas com o inquilino Microsoft Entra da sua subscrição do Microsoft 365.

Nota

Quando as contas de utilizador do AD DS são sincronizadas pela primeira vez, não lhes é atribuída automaticamente uma licença do Microsoft 365 e não podem aceder aos serviços do Microsoft 365, como o e-mail. Primeiro, tem de lhes atribuir uma localização de utilização. Em seguida, atribua uma licença a estas contas de utilizador, individual ou dinamicamente através da associação a grupos.

Autenticação para identidade híbrida

Existem dois tipos de autenticação ao utilizar o modelo de identidade híbrida:

  • Autenticação gerida

    Microsoft Entra ID processa o processo de autenticação com uma versão hash armazenada localmente da palavra-passe ou envia as credenciais para um agente de software no local para ser autenticado pelo AD DS no local.

  • Autenticação federada

    Microsoft Entra ID redireciona o computador cliente a pedir autenticação para outro fornecedor de identidade.

Autenticação gerida

Existem dois tipos de autenticação gerida:

  • Sincronização do hash de palavras-passe (PHS)

    Microsoft Entra ID efetua a própria autenticação.

  • Autenticação pass-through (PTA)

    Microsoft Entra ID tem o AD DS a efetuar a autenticação.

Sincronização do hash de palavras-passe (PHS)

Com o PHS, sincroniza as suas contas de utilizador do AD DS com o Microsoft 365 e gere os seus utilizadores no local. Os hashes de palavras-passe de utilizador são sincronizados do AD DS para Microsoft Entra ID para que os utilizadores tenham a mesma palavra-passe no local e na cloud. Esta é a forma mais simples de ativar a autenticação para identidades do AD DS no Microsoft Entra ID.

Sincronização do hash de palavras-passe (PHS).

Quando as palavras-passe são alteradas ou repostas no local, os novos hashes de palavras-passe são sincronizados com Microsoft Entra ID para que os seus utilizadores possam sempre utilizar a mesma palavra-passe para recursos na cloud e recursos no local. As palavras-passe de utilizador nunca são enviadas para Microsoft Entra ID ou armazenadas em Microsoft Entra ID em texto não encriptado. Algumas funcionalidades premium do ID de Microsoft Entra, como o Identity Protection, requerem PHS, independentemente do método de autenticação selecionado.

Veja escolher o método de autenticação certo para saber mais.

Autenticação pass-through (PTA)

O PTA fornece uma validação de palavra-passe simples para Microsoft Entra serviços de autenticação através de um agente de software em execução num ou mais servidores no local para validar os utilizadores diretamente com o AD DS. Com o PTA, sincroniza as contas de utilizador do AD DS com o Microsoft 365 e gere os seus utilizadores no local.

Autenticação pass-through (PTA).

O PTA permite que os seus utilizadores iniciem sessão nos recursos e aplicações no local e no Microsoft 365 com a respetiva conta e palavra-passe no local. Esta configuração valida as palavras-passe dos utilizadores diretamente no AD DS no local sem armazenar hashes de palavras-passe no Microsoft Entra ID.

O PTA também se destina a organizações com um requisito de segurança para impor imediatamente estados de conta de utilizador no local, políticas de palavra-passe e horas de início de sessão.

Veja escolher o método de autenticação certo para saber mais.

Autenticação federada

A autenticação federada destina-se principalmente a grandes organizações empresariais com requisitos de autenticação mais complexos. As identidades do AD DS são sincronizadas com o Microsoft 365 e as contas de utilizador são geridas no local. Com a autenticação federada, os utilizadores têm a mesma palavra-passe no local e na cloud e não têm de iniciar sessão novamente para utilizar o Microsoft 365.

A autenticação federada pode suportar requisitos de autenticação adicionais, como a autenticação baseada em smartcard ou uma autenticação multifator de terceiros e é normalmente necessária quando as organizações têm um requisito de autenticação não suportado nativamente por Microsoft Entra ID.

Veja escolher o método de autenticação certo para saber mais.

Para fornecedores de identidade e autenticação de terceiros, os objetos de diretório no local podem ser sincronizados com o Microsoft 365 e o acesso a recursos na cloud que são geridos principalmente por um fornecedor de identidade (IdP) de terceiros. Se a sua organização utilizar uma solução de federação de terceiros, pode configurar o início de sessão com essa solução para o Microsoft 365, desde que a solução de federação de terceiros seja compatível com Microsoft Entra ID.

Veja a lista de compatibilidade de federação Microsoft Entra para saber mais.

Administração

Uma vez que as contas de utilizador originais e autoritativas são armazenadas no AD DS no local, pode gerir as suas identidades com as mesmas ferramentas que gere o AD DS.

Não utiliza o centro de administração do Microsoft 365 ou o PowerShell para Microsoft 365 para gerir contas de utilizador sincronizadas no Microsoft Entra ID.

Passo seguinte

Proteger as suas contas com privilégios do Microsoft 365

Continue com o Passo 2 para proteger as suas contas de administrador global.