Examine Microsoft Entra ID
Os alunos devem estar familiarizados com os Serviços de Domínio Ative Directory (AD DS ou tradicionalmente chamados apenas de "Ative Directory"). O AD DS é um serviço de diretório que fornece os métodos para armazenar dados de diretório, como contas de usuário e senhas, e disponibiliza esses dados para usuários da rede, administradores e outros dispositivos e serviços. Ele é executado como um serviço no Windows Server, conhecido como um controlador de domínio.
O Microsoft Entra ID faz parte da oferta de plataforma como serviço (PaaS) e opera como um serviço de diretório gerenciado pela Microsoft na nuvem. Não é uma parte da infraestrutura principal que os clientes possuem e gerenciam, nem é uma oferta de Infraestrutura como serviço. Embora isso implique que você tem menos controle sobre sua implementação, também significa que você não precisa dedicar recursos à sua implantação ou manutenção.
Com o Microsoft Entra ID, você também tem acesso a um conjunto de recursos que não estão disponíveis nativamente no AD DS, como suporte para autenticação multifator, proteção de identidade e redefinição de senha de autoatendimento.
Você pode usar o Microsoft Entra ID para fornecer acesso mais seguro a recursos baseados em nuvem para organizações e indivíduos:
- Configurando o acesso a aplicativos
- Configurando o logon único (SSO) para aplicativos SaaS baseados em nuvem
- Gerenciando usuários e grupos
- Provisionamento de usuários
- Habilitando a federação entre organizações
- Fornecendo uma solução de gerenciamento de identidade
- Identificação de atividade de início de sessão irregular
- Configurando a autenticação multifator
- Estendendo implementações existentes do Ative Directory local para o Microsoft Entra ID
- Configurando o Proxy de Aplicativo para aplicativos locais e na nuvem
- Configurando o Acesso Condicional para usuários e dispositivos
O Microsoft Entra constitui um serviço do Azure separado. Sua forma mais elementar, que qualquer nova assinatura do Azure inclui automaticamente, não incorre em nenhum custo extra e é chamada de camada Gratuita. Se subscrever qualquer serviço empresarial Microsoft Online (por exemplo, Microsoft 365 ou Microsoft Intune), obtém automaticamente o Microsoft Entra ID com acesso a todas as funcionalidades gratuitas.
Nota
Por padrão, quando você cria uma nova assinatura do Azure usando uma conta da Microsoft, a assinatura inclui automaticamente um novo locatário do Microsoft Entra chamado Diretório Padrão.
Alguns dos recursos mais avançados de gerenciamento de identidades exigem versões pagas do Microsoft Entra ID, oferecidas na forma de camadas Basic e Premium. Alguns desses recursos também são incluídos automaticamente nas instâncias do Microsoft Entra geradas como parte das assinaturas do Microsoft 365. As diferenças entre as versões do Microsoft Entra são discutidas posteriormente neste módulo.
Implementar o Microsoft Entra ID não é o mesmo que implantar máquinas virtuais no Azure, adicionar AD DS e, em seguida, implantar alguns controladores de domínio para uma nova floresta e domínio. O Microsoft Entra ID é um serviço diferente, muito mais focado em fornecer serviços de gerenciamento de identidade para aplicativos baseados na Web, ao contrário do AD DS, que é mais focado em aplicativos locais.
Locatários do Microsoft Entra
Ao contrário do AD DS, o Microsoft Entra ID é multilocatário por design e é implementado especificamente para garantir o isolamento entre suas instâncias de diretório individuais. É o maior diretório multilocatário do mundo, hospedando mais de um milhão de instâncias de serviços de diretório, com bilhões de solicitações de autenticação por semana. O termo locatário neste contexto normalmente representa uma empresa ou organização que se inscreveu para uma assinatura de um serviço baseado em nuvem da Microsoft, como Microsoft 365, Intune ou Azure, cada um dos quais usa o Microsoft Entra ID. No entanto, do ponto de vista técnico, o termo locatário representa uma instância individual do Microsoft Entra. Dentro de uma assinatura do Azure, você pode criar vários locatários do Microsoft Entra. Ter vários locatários do Microsoft Entra pode ser conveniente se você quiser testar a funcionalidade do Microsoft Entra em um locatário sem afetar os outros.
A qualquer momento, uma assinatura do Azure deve ser associada a um, e apenas um, locatário do Microsoft Entra. Essa associação permite que você conceda permissões a recursos na assinatura do Azure (via RBAC) para usuários, grupos e aplicativos que existem nesse locatário específico do Microsoft Entra.
Nota
Você pode associar o mesmo locatário do Microsoft Entra a várias assinaturas do Azure. Isso permite que você use os mesmos usuários, grupos e aplicativos para gerenciar recursos em várias assinaturas do Azure.
A cada locatário do Microsoft Entra é atribuído o nome de domínio DNS (Sistema de Nomes de Domínio) padrão, que consiste em um prefixo exclusivo. O prefixo, derivado do nome da conta da Microsoft que você usa para criar uma assinatura do Azure ou fornecido explicitamente ao criar um locatário do Microsoft Entra, é seguido pelo sufixo onmicrosoft.com . Adicionar pelo menos um nome de domínio personalizado ao mesmo locatário do Microsoft Entra é possível e comum. Esse nome utiliza o namespace de domínio DNS que a empresa ou organização correspondente possui. O locatário do Microsoft Entra serve como limite de segurança e contêiner para objetos do Microsoft Entra, como usuários, grupos e aplicativos. Um único locatário do Microsoft Entra pode dar suporte a várias assinaturas do Azure.
Esquema do Microsoft Entra
O esquema do Microsoft Entra contém menos tipos de objeto do que o do AD DS. Mais notavelmente, ele não inclui uma definição da classe de computador, embora inclua a classe de dispositivo. O processo de ingressar dispositivos no Microsoft Entra difere consideravelmente do processo de ingressar computadores no AD DS. O esquema Microsoft Entra também é facilmente extensível e suas extensões são totalmente reversíveis.
A falta de suporte para a associação de domínio de computador tradicional significa que você não pode usar o Microsoft Entra ID para gerenciar computadores ou configurações de usuário usando técnicas de gerenciamento tradicionais, como GPOs (Objetos de Política de Grupo). Em vez disso, o Microsoft Entra ID e seus serviços definem um conceito de gerenciamento moderno. A principal força do Microsoft Entra ID reside no fornecimento de serviços de diretório; armazenar e publicar dados de usuários, dispositivos e aplicativos; e lidar com a autenticação e autorização dos usuários, dispositivos e aplicativos. A eficácia e eficiência desses recursos são aparentes com base em implantações existentes de serviços de nuvem, como o Microsoft 365, que contam com o Microsoft Entra ID como seu provedor de identidade e suportam milhões de usuários.
O Microsoft Entra ID não inclui a classe de unidade organizacional (UO), o que significa que você não pode organizar seus objetos em uma hierarquia de contêineres personalizados, que é frequentemente usada em implantações locais do AD DS. No entanto, essa não é uma falha significativa, porque as UOs no AD DS são usadas principalmente para o escopo e a delegação da Diretiva de Grupo. Você pode realizar arranjos equivalentes organizando objetos com base em sua participação no grupo.
Os objetos das classes Application e servicePrincipal representam aplicativos no Microsoft Entra ID. Um objeto na classe Application contém uma definição de aplicativo e um objeto na classe servicePrincipal constitui sua instância no locatário atual do Microsoft Entra. Separar esses dois conjuntos de características permite definir um aplicativo em um locatário e usá-lo em vários locatários, criando um objeto principal de serviço para esse aplicativo em cada locatário. A ID do Microsoft Entra cria o objeto principal de serviço quando você registra o aplicativo correspondente nesse locatário do Microsoft Entra.