O que é um diretório do Azure AD?

Atualizado: 6 de julho de 2015

Aplica-se a: Azure, Office 365, Windows Intune

Nota

Este tópico fornece conteúdos de ajuda online para serviços na nuvem, como Microsoft Intune e Office 365, que dependem de Microsoft Azure Ative Directory para serviços de identidade e diretório.

Este tópico explica conceitos e tarefas importantes relacionadas com a gestão de Azure AD diretórios, e inclui as seguintes secções:

• O que é um inquilino do Azure AD?

• Como obter um diretório de Azure AD

  • Associar um diretório do Azure AD a uma nova subscrição do Azure

  • Crie um diretório Azure AD ao inscrever-se para um serviço como organização

  • Gerir um diretório Predefinido aprovisionado pelo Azure

• Adicione e gere vários diretórios de Azure AD

• Apagar um diretório de Azure AD

  • Condições que devem cumprir para eliminar um diretório do Azure AD

O que é um inquilino do Azure AD?

Na área de trabalho física, o termo inquilino pode ser definido como um grupo ou uma empresa que ocupa um edifício. Por exemplo, a sua organização poderá ser a proprietária de um escritório num edifício. Esse edifício poderá encontrar-se numa rua com várias outras organizações. A sua organização será considerada como inquilino desse edifício. Esse edifício é um recurso da sua organização que fornece segurança e garante-lhe a possibilidade de fazer negócios em segurança. Está também separado dos outros negócios na sua rua. Tal garante que a organização e respetivos recursos estão isolados de outras organizações.

Na área de trabalho ativada na nuvem, um inquilino pode ser definido com um cliente ou uma organização que possui e gere uma instância específica do referido serviço em nuvem. Com a plataforma de identidade fornecida pelo Microsoft Azure, um inquilino não é mais do que uma instância dedicada do Azure Active Directory (Azure AD) que a sua organização recebe e possui quando se inscreve num serviço em nuvem da Microsoft, como o Azure ou o Office 365.

Cada diretório do Azure AD é distinto e separado de outros diretórios do Azure AD. Tal como um edifício de escritórios empresariais é um recurso seguro específico apenas para a sua organização, um diretório do Azure AD também foi concebido para ser um recurso com utilização segura apenas para a sua organização. A arquitetura do Azure AD impede que os dados do cliente e as informações de identidade se misturem. Isto significa que os utilizadores e administradores de um diretório do Azure AD não podem, acidental ou intencionalmente, aceder aos dados de outro diretório.

Como obter um diretório de Azure AD

Receberá um Azure AD diretório quando se inscrever num serviço de cloud da Microsoft. Pode criar diretórios adicionais, conforme necessário. Por exemplo, poderá manter o primeiro diretório como um diretório de produção e criar posteriormente outro diretório para o processo de teste e transição.

Nota

Depois de se inscrever no primeiro serviço, recomendamos que utilize a mesma conta de administrador associada à sua organização sempre que se inscrever noutros Cloud Services da Microsoft. Para obter mais informações sobre iDs de utilizador, consulte qual é o meu ID do utilizador e por que preciso?.

A primeira vez que se inscreve num serviço de cloud da Microsoft, como Azure, Microsoft Office 365 ou Microsoft Intune, é solicitado que forneça detalhes sobre a sua organização e o registo de nome de domínio da Internet da sua organização. Estas informações são posteriormente utilizadas para criar uma nova instância do diretório do Azure AD para a sua organização. Esse mesmo diretório é utilizado para autenticar as tentativas de início de sessão, caso subscreva vários Cloud Services da Microsoft.

Os serviços adicionais alavancam totalmente quaisquer contas de utilizador, políticas, configurações ou integração de diretórios existentes que você configura para ajudar a melhorar a eficiência entre a infraestrutura de identidade da sua organização no local e Azure AD.

Por exemplo, se inicialmente tiver assinado uma subscrição do Microsoft Intune e concluído os passos necessários para integrar o Active Directory no local ao diretório do Azure AD através da implementação da sincronização de diretórios e/ou servidores de início de sessão único, poderá subscrever outro serviço em nuvem da Microsoft, como o Office 365, que também pode potenciar a integração do mesmo diretório que utiliza com o Microsoft Intune.

Para obter mais informações acerca da integração do diretório no local com o Azure AD, consulte o artigo Integração de diretórios.

Associar um diretório do Azure AD a uma nova subscrição do Azure

Pode associar uma nova subscrição do Azure ao mesmo diretório que autentica o início de sessão de uma subscrição existente do Office 365 ou do Microsoft Intune. Inscreva-se no Portal de Gestão do Azure utilizando o seu trabalho ou conta escolar. O Portal de Gestão Azure retorna uma mensagem de que não foi possível encontrar nenhuma subscrição para essa conta. Selecione 'Inscreva-se para O Azure' e o seu diretório estará disponível para administração dentro do Portal de Gestão Azure. Para obter mais informações, consulte Gerir o diretório da subscrição do Office 365 no Azure.

Para obter um vídeo com as perguntas comuns de utilização do Azure AD, consulte Azure Active Directory – perguntas comuns sobre a utilização da inscrição e do início de sessão.

Crie um diretório Azure AD ao inscrever-se para um serviço como organização

Se ainda não tiver uma subscrição do serviço em nuvem da Microsoft, utilize uma das ligações abaixo para se inscrever. Aquando da inscrição ao primeiro serviço, será automaticamente criado um diretório do Azure AD.

• Rio Azure - Inscreva-se agora.

• Office 365 - Inscreva-se agora.

• - Microsoft Intune Sinsinha-se agora.

Gerir um diretório Predefinido aprovisionado pelo Azure

Hoje em dia, um diretório é automaticamente criado quando se inscreve no Azure, sendo a subscrição associada a esse diretório. No entanto, não foi automaticamente criado nenhum diretório se se inscreveu no Azure antes de outubro de 2013. Nesse caso, o Azure pode ter “preenchido” a sua conta, facultando um diretório Predefinido. Em seguida, a subscrição foi associada a esse diretório Predefinido.

O preenchimento dos diretórios foi realizado em outubro de 2013, como parte de uma melhoria geral do modelo de segurança do Azure. Isso ajuda a oferecer funcionalidades de identidade organizacional a todos os clientes do Azure, garantindo ainda que todos os recursos do Azure são acedidos no contexto de um utilizador no diretório. Não pode utilizar o Azure sem um diretório. Para tal, qualquer utilizador que se tenha inscrito antes do 7 de julho de 2013 e não possui um diretório, terá de criar um. Se já tiver criado um diretório, a subscrição foi associada a esse diretório.

A utilização do Azure AD é gratuita. O diretório é um recurso gratuito. Existe um nível adicional de Azure Ative Directory Premium que é licenciado separadamente e fornece funcionalidades adicionais, tais como branding da empresa e redefinição de senha de autosserviço.

Para alterar o nome do ecrã do seu diretório, clique no diretório no Portal de Gestão e clique em Configurar. Conforme explicado posteriormente neste tópico, pode adicionar um novo diretório ou eliminar um diretório que já não necessita. Para associar a sua subscrição a um diretório diferente, clique em Definições>Subscrições>Editar Diretório. Em vez do domínio predefinido *.onmicrosoft.com, pode criar um domínio personalizado com um nome DNS que registou, o que poderá ser preferível com um serviço como o SharePoint Online.

Para mais informações sobre como gerir o seu diretório, administrar o seu diretório de Azure AD.

Adicione e gere vários diretórios de Azure AD

Pode adicionar um diretório do Azure AD no Portal de Gestão do Azure. Selecione a extensão Active Directory à esquerda e clique em Adicionar.

Pode gerir cada diretório como um recurso totalmente independente: cada diretório é um par, completo e logicamente independente dos outros diretórios que gere; não existe nenhuma relação principal-subordinado entre diretórios. Esta independência entre diretórios inclui independência de recursos, independência administrativa e independência de sincronização.

• Independência de recursos. Se criar ou eliminar um recurso num diretório, isso não terá impacto em nenhum outro recurso de nenhum outro diretório, com a exceção parcial dos utilizadores externos, descritos abaixo. Se utilizar um domínio personalizado “contoso.com” com um diretório, não o poderá utilizar com qualquer outro diretório.

• Independência administrativa. Se um utilizador não administrativo do diretório “Contoso” criar um diretório de “Teste”, então:

  • Por padrão, o utilizador que cria um diretório é adicionado como utilizador externo nesse novo diretório, e atribuiu o papel de administrador global nesse diretório.

  • Os administradores do diretório “Contoso” não têm privilégios administrativos diretos para o diretório de “Teste”, exceto se um administrador de “Teste” lhes conceder esses privilégios. Os administradores da “Contoso” podem controlar o acesso ao diretório de “Teste” controlando a conta de utilizador que tiver criado o “Teste”.

  E, se alterar (adicionar ou remover) uma função de administrador de um utilizador num diretório, a alteração não afetará nenhuma função de administrador que o utilizador possa ter em qualquer outro diretório.

• Independência de sincronização. Pode configurar cada Azure AD independentemente para a sincronização dos dados a partir de uma única instância:

  • A ferramenta de sincronização de diretórios, para sincronizar dados com uma floresta única do AD.

  • Do Conector Azure Active Directory para Forefront Identity Manager, para sincronizar dados com uma ou mais florestas no local e/ou fontes de dados não AD.

Tenha também em atenção que, ao contrário de outros recursos do Azure, os diretórios não são recursos subordinados de uma subscrição do Azure. Assim, se cancelar ou permitir que a subscrição do Azure expire, ainda pode aceder aos seus dados de diretório utilizando Azure PowerShell, o Azure Graph API ou outras interfaces, como o Administração do Office 365 Center. Também pode associar outra subscrição ao diretório.

Apagar um diretório de Azure AD

Um administrador global pode apagar um diretório de Azure AD do Portal de Gestão Azure. Quando um diretório é eliminado, também são eliminados todos os recursos contidos no diretório; por isso, certifique-se de que não precisa do diretório antes de o eliminar.

Nota

Se o utilizador tiver iniciado sessão com uma conta profissional ou escolar, o utilizador não deverá tentar eliminar o diretório raiz. Por exemplo, se o utilizador tiver iniciado sessão como joe@contoso.onmicrosoft.com, esse utilizador não poderá eliminar o diretório contoso.onmicrosoft.com, uma vez que se trata do domínio predefinido.

Condições que devem cumprir para eliminar um diretório do Azure AD

O Azure AD requer que certas condições sejam cumpridas para eliminar um diretório. Isso reduz o risco de eliminar um diretório que poderia ter um impacto negativo sobre os utilizadores ou aplicações, como a capacidade de os utilizadores iniciarem sessão no Office 365 ou acederem a recursos no Azure. Por exemplo, se um diretório de uma subscrição tiver sido eliminado involuntariamente, os utilizadores não poderão aceder aos recursos do Azure daquela subscrição.

Verificam-se as seguintes condições:

• O único utilizador no diretório é o administrador global que irá eliminar o diretório. Deverão ser eliminados todos os outros utilizadores antes de eliminar o diretório. Se os utilizadores forem sincronizados no local, a sincronização terá de ser desativada e os utilizadores eliminados do diretório em nuvem através do Portal de Gestão ou do módulo do Azure para Windows PowerShell. Não é necessário eliminar grupos ou contactos, tais como contactos adicionados a partir do Centro de Administração do Office 365.

• Não podem existir aplicações no diretório. As aplicações devem ser eliminadas antes de eliminar o diretório.

• Não podem existir subscrições para quaisquer Serviços Online da Microsoft, como o Microsoft Azure, o Office 365 ou o Azure AD Premium, associadas ao diretório. Por exemplo, se tiver criado um diretório predefinido no Azure, não o poderá eliminar se a sua subscrição do Azure ainda depender desse diretório para a autenticação. Do mesmo modo, não pode eliminar um diretório se outro utilizador tiver uma subscrição associada. Para associar a sua subscrição a um diretório diferente, inscreva-se no Portal de Gestão do Azure e clique em Definições na navegação à esquerda. Em seguida, clique em Subscrições e Edite Diretório. Para obter mais informações sobre as subscrições do Azure, consulte Como estão associadas as subscrições do Azure ao Azure AD.

  Nota

  Se a sua subscrição for cancelada e pretender apagar um diretório, inscreva-se utilizando uma subscrição diferente e adicione o administrador global do diretório como coadministrador da subscrição. Em seguida, assine e inscreva-se de volta usando a conta de coadministrador de subscrição. Em seguida, deverá ser capaz de apagar o diretório se todas as outras condições estiverem satisfeitas.

• Não podem ser associados ao diretório nenhuns fornecedores Multi-Factor Authentication.

Recursos comunitários

Mapa de conteúdo de Azure AD Fórum Azure AD para Profissionais de TI Fórum Azure AD para Desenvolvedores