Integrar domínios locais do Active Directory com o Microsoft Entra ID
O Microsoft Entra ID é um serviço de identidade e diretório baseado em nuvem. Esta arquitetura de referência mostra as práticas recomendadas para a integração de domínios do Active Directory local com o Microsoft Entra ID para fornecer autenticação de identidade baseada em nuvem.
Architecture
Baixe um arquivo do Visio dessa arquitetura.
Note
Para simplificar, esse diagrama mostra apenas as conexões diretamente relacionadas à ID do Microsoft Entra e não ao tráfego relacionado ao protocolo que podem ocorrer como parte da autenticação e da federação de identidade. Por exemplo, um aplicativo Web pode redirecionar o navegador da Web para autenticar a solicitação por meio da ID do Microsoft Entra. Após a autenticação, a solicitação pode ser passada de volta para o aplicativo Web juntamente com as informações de identidade apropriadas.
Components
Locatário do Microsoft Entra: Uma instância da ID do Microsoft Entra criada pela sua organização. Ela atua como um serviço de diretório para aplicativos de nuvem armazenando objetos copiados do Active Directory local e fornece serviços de identidade.
Sub-rede da camada da Web: Essa sub-rede hospeda VMs (máquinas virtuais) que executam um aplicativo Web. A ID do Microsoft Entra serve como um agente de identidade para este aplicativo.
Servidor do AD DS (Active Directory Domain Services) local: Um serviço de identidade e diretório local. O diretório do AD DS pode ser sincronizado com o Microsoft Entra ID para habilitá-lo a autenticar usuários locais.
Servidor de Sincronização do Microsoft Entra Connect: Um computador local que executa o serviço de sincronização do Microsoft Entra Connect . Esse serviço sincroniza informações armazenadas no Active Directory local com a ID do Microsoft Entra. Por exemplo, provisionar ou desprovisionar usuários e grupos locais sincroniza automaticamente essas alterações na ID do Microsoft Entra.
Note
Por motivos de segurança, a ID do Microsoft Entra armazena senhas de usuário como hashes. Se um usuário exigir uma redefinição de senha, a redefinição deverá ser executada localmente e o hash atualizado deverá ser enviado para a ID do Microsoft Entra. As edições P1 ou P2 do Microsoft Entra incluem recursos que permitem que alterações de senha sejam iniciadas na nuvem e, em seguida, gravadas novamente no AD DS local.
VMs para aplicativos de N camadas: VMs que dão suporte a aplicativos escalonáveis, resilientes e seguros separando cargas de trabalho em camadas individuais, como Web, lógica de negócios e dados. Para obter mais informações sobre esses recursos, consulte a arquitetura de N camadas em VMs.
Scenario details
Possíveis casos de uso
Considere os seguintes usos típicos para esta arquitetura de referência:
Aplicativos Web implantados no Azure que fornecem acesso a usuários remotos que pertencem à sua organização.
Implementando recursos de autoatendimento para os clientes, como redefinir suas senhas e delegar o gerenciamento de grupo. Essa funcionalidade requer a edição P1 ou P2 da ID do Microsoft Entra.
Arquiteturas nas quais a rede local e a rede virtual do Azure do aplicativo não estão conectadas usando um túnel VPN ou um circuito do Azure ExpressRoute.
Note
O Microsoft Entra ID pode autenticar a identidade de usuários e aplicativos que existem no diretório da organização. Alguns aplicativos e serviços, como o SQL Server, podem exigir autenticação de computador, caso em que essa solução não é apropriada.
Recommendations
Você pode aplicar as recomendações a seguir à maioria dos cenários. Siga estas recomendações, a menos que você tenha um requisito específico que as substitua.
Configurar o serviço Microsoft Entra Connect Sync
O serviço Microsoft Entra Connect Sync garante que as informações de identidade armazenadas na nuvem sejam consistentes com as informações de identidade armazenadas localmente. Instale esse serviço usando o software do Microsoft Entra Connect.
Antes de implementar o Microsoft Entra Connect Sync, determine os requisitos de sincronização da sua organização. Por exemplo, considere o que sincronizar, quais domínios incluir e com que frequência a sincronização deve ocorrer.
Você pode executar o serviço Microsoft Entra Connect Sync em uma VM ou em um computador hospedado localmente. Dependendo da volatilidade das informações no seu diretório do Active Directory, a carga no serviço Microsoft Entra Connect Sync provavelmente não será alta após a sincronização inicial com o Microsoft Entra ID. Executar o serviço em uma VM torna mais fácil expandir o servidor, se necessário. Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.
Se você tiver vários domínios locais em uma floresta, recomendamos armazenar e sincronizar informações de toda a floresta com um único locatário do Microsoft Entra. Filtre informações para identidades que ocorrem em mais de um domínio para que cada identidade apareça apenas uma vez na ID do Microsoft Entra em vez de ser duplicada. A duplicação pode resultar em inconsistências quando os dados são sincronizados. Para obter mais informações, consulte a seção Validar topologia de rede .
Use a filtragem para que apenas os dados necessários sejam armazenados no Microsoft Entra ID. Por exemplo, talvez sua organização não queira armazenar informações sobre contas inativas no Microsoft Entra ID. A filtragem pode ser baseada em grupo, baseada em domínio, baseada em UO (unidade organizacional) ou baseada em atributo. É possível combinar filtros para gerar regras mais complexas. Por exemplo, você pode sincronizar objetos mantidos em um domínio que tenha um valor específico em um atributo selecionado. Para obter mais informações, consulte Microsoft Entra Connect Sync: Configurar a filtragem.
Para implementar a alta disponibilidade para o serviço de sincronização do Active Directory Connect, execute um servidor de preparo secundário. For more information, see Staging mode.
Note
A sincronização de nuvem do Microsoft Entra é uma oferta da Microsoft projetada para atender e atingir suas metas de identidade híbrida para sincronização de usuários, grupos e contatos com a ID do Microsoft Entra. Com a sincronização de nuvem do Microsoft Entra, o provisionamento do Active Directory para o Microsoft Entra ID é orquestrado no Microsoft 365.
Validar a configuração e a política de segurança
Gerenciamento de senha do usuário. As edições P1 ou P2 do Microsoft Entra dão suporte a write-back de senha. Esse recurso permite que os usuários locais executem redefinições de senha de autoatendimento no portal do Azure. Esse recurso deve ser habilitado somente depois que você examinar a política de segurança de senha da sua organização. Por exemplo, você pode restringir quais usuários podem alterar suas senhas e personalizar a experiência de gerenciamento de senhas. Para obter mais informações, consulte [Personalizar a experiência do usuário para a redefinição de senha de autoatendimento do Microsoft Entra].
Proteja aplicativos locais que podem ser acessados externamente. Use o proxy de aplicativo do Microsoft Entra para fornecer acesso controlado a aplicativos Web locais para usuários externos à rede por meio do Microsoft Entra ID. Somente os usuários que têm credenciais válidas no diretório do Azure têm permissão para usar o aplicativo. Para obter mais informações, consulte Habilitar proxy de aplicativo na ID do Microsoft Entra.
Monitore ativamente o Microsoft Entra ID em busca de sinais de atividades suspeitas. Considere usar a edição P2 do Microsoft Entra ID, que inclui o Microsoft Entra ID Protection. O ID Protection usa algoritmos de aprendizado de máquina adaptáveis e heurística para detectar anomalias e eventos de risco que podem indicar que uma identidade foi comprometida. Por exemplo, ele pode detectar atividades potencialmente incomuns, como atividades de entrada irregulares, entradas de fontes desconhecidas ou de endereços IP com atividade suspeita ou entradas de dispositivos que podem estar infectados. O Identity Protection usa esses dados para gerar relatórios e alertas que permitem investigar esses eventos de risco e executar ações apropriadas. For more information, see ID Protection.
Você pode usar o recurso de relatório da ID do Microsoft Entra no portal do Azure para monitorar atividades relacionadas à segurança que ocorrem em seu sistema. Para obter mais informações sobre como usar esses relatórios, consulte o monitoramento e a integridade do Microsoft Entra.
Validar topologia de rede
Configure o Microsoft Entra Connect para implementar uma topologia que mais se aproxime dos requisitos da sua organização. O Microsoft Entra Connect dá suporte às seguintes topologias:
Floresta única, diretório único do Microsoft Entra: Nesta topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de um ou mais domínios em uma única floresta local em um único locatário do Microsoft Entra. Essa é topologia é a implementação padrão pela instalação expressa do Microsoft Entra Connect.
Note
Não use vários servidores do Microsoft Entra Connect Sync para conectar domínios diferentes na mesma floresta local ao mesmo locatário do Microsoft Entra. Essa configuração só será apropriada se um dos servidores estiver em execução no modo de preparo, conforme descrito na seção a seguir.
Várias florestas, diretório único do Microsoft Entra: Nesta topologia, o Microsoft Entra Connect sincroniza objetos e informações de identidade de várias florestas em um único locatário do Microsoft Entra. Use essa topologia se sua organização tiver mais de uma floresta local. Você pode consolidar informações de identidade para que cada usuário exclusivo seja representado uma vez no diretório do Microsoft Entra, mesmo que o usuário exista em mais de uma floresta. Todas as florestas usam o mesmo servidor do Microsoft Entra Connect Sync. O servidor do Microsoft Entra Connect Sync não precisa fazer parte de nenhum domínio, mas deve ser acessível para todas as florestas.
Note
Nessa topologia, não use servidores do Microsoft Entra Connect Sync separados para conectar cada floresta local a um único locatário do Microsoft Entra. Essa configuração pode resultar em informações de identidade duplicadas na ID do Microsoft Entra se os usuários estiverem presentes em mais de uma floresta.
Várias florestas, topologias separadas: Essa topologia mescla informações de identidade de florestas separadas em um único locatário do Microsoft Entra e trata todas as florestas como entidades separadas. Essa topologia será útil se você combinar florestas de diferentes organizações e as informações de identidade de cada usuário forem mantidas em apenas uma floresta.
Note
Se as listas de endereços globais em cada floresta forem sincronizadas, um usuário em uma floresta poderá estar presente em outra como um contato. Esse comportamento poderá ocorrer se sua organização tiver implementado o GALSync com o Forefront Identity Manager 2010 ou o Microsoft Identity Manager 2016. In this scenario, you can specify that users should be identified by their Mail attribute. You can also match identities by using the ObjectSID and msExchMasterAccountSID attributes. Essa abordagem será útil se você tiver uma ou mais florestas de recursos que tenham contas desabilitadas.
Staging server: In this configuration, you run a second instance of the Microsoft Entra Connect Sync server in parallel with the first. Essa estrutura dá suporte aos seguintes cenários:
High availability
Testando e implantando uma nova configuração do servidor de Sincronização do Microsoft Entra Connect
Apresentando um novo servidor e desativando uma configuração antiga
In these scenarios, the second instance runs in staging mode. O servidor registra objetos importados e dados de sincronização em seu banco de dados, mas não passa os dados para a ID do Microsoft Entra. Se você desabilitar o modo de preparo, o servidor começará a gravar dados na ID do Microsoft Entra. Ele também começa a executar write-backs de senha nos diretórios locais, quando apropriado. Para obter mais informações, consulte Microsoft Entra Connect Sync: considerações e tarefas operacionais.
Vários diretórios do Microsoft Entra: Normalmente, você cria um único diretório do Microsoft Entra para uma organização. Mas pode haver cenários em que você precisa particionar informações em diretórios separados do Microsoft Entra. Nesse caso, evite problemas de sincronização e write-back de senha, garantindo que cada objeto da floresta local apareça em apenas um diretório do Microsoft Entra. Para implementar este cenário, configure servidores do Microsoft Entra Connect Sync separados para cada diretório do Microsoft Entra e use a filtragem de forma que cada servidor do Microsoft Entra Connect Sync opere em um conjunto de objetos mutuamente exclusivo.
Para obter mais informações sobre essas topologias, consulte Topologias para o Microsoft Entra Connect.
Configurar autenticação de usuário
Por padrão, o servidor do Microsoft Entra Connect Sync configura a sincronização de hash de senha entre o domínio local e o Microsoft Entra ID. O serviço do Microsoft Entra pressupõe que os usuários se autentiquem fornecendo a mesma senha que usam localmente. Para muitas organizações, essa estratégia é apropriada, mas você deve considerar as políticas e a infraestrutura existentes da sua organização. Considere os seguintes fatores:
A política de segurança da sua organização pode proibir a sincronização de hashes de senha para a nuvem. In this case, your organization should consider pass-through authentication.
Você pode exigir que os usuários usem um SSO (logon único) perfeito ao acessar os recursos em nuvem por meio de computadores ingressados no domínio na rede corporativa.
Sua organização pode já ter os Serviços de Federação do Active Directory (AD FS) ou um provedor de federação que não seja da Microsoft implantado. Você pode configurar a ID do Microsoft Entra para usar essa infraestrutura para implementar a autenticação e o SSO em vez de usar informações de senha mantidas na nuvem.
Para obter mais informações, consulte as opções de entrada do usuário do Microsoft Entra Connect.
Configurar o proxy de aplicativo do Microsoft Entra
Use o Microsoft Entra ID para fornecer acesso a aplicativos locais.
Exponha seus aplicativos Web locais usando conectores de proxy de aplicativo que o componente proxy de aplicativo do Microsoft Entra gerencia. O conector de proxy de aplicativo abre uma conexão de rede de saída com o proxy de aplicativo do Microsoft Entra. As solicitações de usuários remotos são roteados de volta do Microsoft Entra ID por meio dessa conexão de proxy para os aplicativos Web. Essa configuração elimina a necessidade de abrir portas de entrada no firewall local e reduz a superfície de ataque exposta pela sua organização.
Para obter mais informações, consulte Publicar aplicativos usando o proxy de aplicativo do Microsoft Entra.
Configurar a sincronização de objetos do Microsoft Entra
A configuração padrão do Microsoft Entra Connect sincroniza objetos do diretório local do Active Directory com base nas regras especificadas no Microsoft Entra Connect Sync: Entenda a configuração padrão. Os objetos que atendem a essas regras são sincronizados enquanto todos os outros objetos são ignorados. Considere as seguintes regras de exemplo:
User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
User objects must have a sAMAccountName attribute and can't start with the text Azure AD_ or MSOL_.
O Microsoft Entra Connect aplica várias regras aos objetos User, Contact, Group, ForeignSecurityPrincipal e Computer. Use o Editor de Regras de Sincronização instalado com o Microsoft Entra Connect se precisar modificar o conjunto padrão de regras.
Você também pode definir seus próprios filtros para limitar os objetos a serem sincronizados por domínio ou OU (unidade organizacional). Alternatively, you can implement more complex custom filtering.
Configurar agentes de monitoramento
Os seguintes agentes instalados localmente executam o monitoramento de integridade:
O Microsoft Entra Connect instala um agente que captura informações sobre operações de sincronização. Use a folha Microsoft Entra Connect Health no portal do Azure para monitorar sua integridade e seu desempenho. Para obter mais informações, consulte Usar o Microsoft Entra Connect Health para sincronização.
Para monitorar a integridade dos domínios do AD DS e dos diretórios do Azure, instale o Microsoft Entra Connect Health para agente do AD DS em um computador no domínio local. Use a folha Microsoft Entra Connect Health no portal do Azure para monitoramento de integridade. Para obter mais informações, consulte Usar o Microsoft Entra Connect Health com o AD DS.
Instale o agente do Microsoft Entra Connect Health para AD FS para monitorar a integridade dos serviços executados localmente e use a folha Integridade do Microsoft Entra Connect no portal do Azure para monitorar o AD FS. Para obter mais informações, consulte Usar o Microsoft Entra Connect Health com o AD FS.
Para obter mais informações, confira Instalação do agente do Microsoft Entra Connect Health.
Considerations
Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. For more information, see Well-Architected Framework.
Reliability
A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você faz aos seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design parade confiabilidade.
O serviço do Microsoft Entra é distribuído geograficamente e é executado em vários data centers espalhados pelo mundo com failover automático. Se um datacenter ficar indisponível, a ID do Microsoft Entra garantirá que os dados do diretório estejam disponíveis, por exemplo, o acesso em um mínimo de dois datacenters distribuídos geograficamente.
Note
O SLA (contrato de nível de serviço) para a camada do Microsoft 365 Apps AD e os serviços Premium garante pelo menos 99,9% disponibilidade. Não há nenhum SLA para a camada gratuita da ID do Microsoft Entra. Para obter informações, confira Meus Aplicativos do Microsoft Entra.
Considere o provisionamento de uma segunda instância do servidor Microsoft Entra Connect Sync no modo de preparo para aumentar a disponibilidade.
Se você não estiver usando a instância do SQL Server Express LocalDB que vem com o Microsoft Entra Connect, considere usar o clustering do SQL para obter alta disponibilidade. O Microsoft Entra Connect não dá suporte a soluções como espelhamento e Always On.
Para outras considerações sobre como obter alta disponibilidade do servidor microsoft Entra Connect Sync e também como se recuperar após uma falha, consulte Microsoft Entra Connect Sync: Tarefas operacionais e considerações – recuperação de desastre.
Segurança
A segurança oferece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design parade segurança.
Use o controle de Acesso Condicional do Microsoft Entra para negar solicitações de autenticação de fontes inesperadas:
Dispare a MFA (autenticação multifator) do Microsoft Entra se um usuário tentar se conectar de um local não confiável, como de toda a Internet, em vez de uma rede confiável.
Use o tipo de plataforma de dispositivo do usuário, como iOS, Android ou Windows, para determinar a política de acesso a aplicativos e recursos.
Registre o estado habilitado ou desabilitado dos dispositivos dos usuários. Incorpore essas informações nas verificações de política de acesso. Por exemplo, se o telefone de um usuário for perdido ou roubado, ele deverá ser registrado como desabilitado para impedir que ele seja usado para obter acesso.
Controle o acesso de usuário a recursos com base na associação ao grupo. Use as Regras de associação dinâmica do Microsoft Entra para simplificar a administração de grupo.
Use políticas baseadas em risco de Acesso Condicional com Proteção contra ID para fornecer proteção avançada com base em atividades de entrada incomuns ou outros eventos.
Para obter mais informações, consulte políticas de acesso baseadas em risco.
Cost Optimization
A Otimização de Custos concentra-se em maneiras de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Lista de verificação de revisão de design parade Otimização de Custos.
Use a Calculadora de Preços do Azure para estimar os custos.
Considere as seguintes considerações de custo:
Microsoft Entra Connect: O recurso de sincronização do Microsoft Entra Connect está disponível em todas as edições da ID do Microsoft Entra.
Não há requisitos extras de licença para usar o Microsoft Entra Connect. E ele está incluído na sua assinatura do Azure.
Para obter informações de preços sobre as edições oferecidas pelo Microsoft Entra ID, consulte Preços do Microsoft Entra.
VMs para aplicativo N-Tier: Para obter informações de custo sobre esses recursos, consulte as práticas recomendadas de arquitetura para máquinas virtuais do Azure e conjuntos de dimensionamento.
Operational Excellence
A Excelência Operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução em produção. Para obter mais informações, consulte Lista de verificação de revisão de design parade Excelência Operacional.
Manageability
Há dois aspectos para gerenciar o Microsoft Entra ID:
- Administrando a ID do Microsoft Entra na nuvem
- Mantendo os servidores de Sincronização do Microsoft Entra Connect
O Microsoft Entra ID fornece as seguintes opções para o gerenciamento de domínios e diretórios na nuvem:
O módulo do Microsoft Graph PowerShell é usado para criar scripts de tarefas administrativas comuns do Microsoft Entra, como gerenciamento de usuário, gerenciamento de domínio e configuração de SSO.
A folha de gerenciamento do Microsoft Entra no portal do Azure fornece uma exibição interativa de gerenciamento do diretório. Ele também permite que você controle e configure a maioria dos aspectos da ID do Microsoft Entra.
O Microsoft Entra Connect instala as seguintes ferramentas para manter os serviços do Microsoft Entra Connect Sync a partir de suas máquinas locais:
O console do Microsoft Entra Connect permite modificar a configuração do servidor de Sincronização do Microsoft Entra Connect, personalizar como a sincronização ocorre, habilitar ou desabilitar o modo de preparo e alternar o modo de entrada do usuário. Você pode habilitar a entrada do AD FS usando sua infraestrutura local.
O Gerenciador de Serviços de Sincronização usa a guia Operações nesta ferramenta para gerenciar o processo de sincronização e detectar se alguma parte do processo falhou. Você pode disparar sincronizações manualmente usando essa ferramenta. The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
O editor de regras de sincronização permite personalizar como os objetos são transformados quando são copiados entre um diretório local e a ID do Microsoft Entra. Essa ferramenta permite que você especifique atributos e objetos extras para sincronização. Em seguida, ele implementa filtros para determinar quais objetos devem ou não ser sincronizados. Para obter mais informações, consulte Microsoft Entra Connect Sync: Entenda a configuração padrão e a Sincronizaçãodo Microsoft Entra Connect: práticas recomendadas para alterar a configuração padrão.
DevOps
Para considerações sobre o DevOps, consulte Excelência Operacional na Implantação do AD DS em uma rede virtual do Azure.
Performance Efficiency
A Eficiência de Desempenho refere-se à capacidade da carga de trabalho de dimensionar para atender às demandas do usuário com eficiência. Para obter mais informações, consulte Lista de verificação de design parade Eficiência de Desempenho.
O serviço Microsoft Entra dá suporte à escalabilidade com base em réplicas. Ele tem uma única réplica primária que manipula operações de gravação e várias réplicas secundárias somente leitura. A ID do Microsoft Entra redireciona de forma transparente as tentativas de gravações feitas em réplicas secundárias para a réplica primária e mantém a consistência eventual. Todas as alterações feitas na réplica primária são propagadas para as réplicas secundárias. Essa arquitetura é dimensionada efetivamente porque a maioria das operações executadas na ID do Microsoft Entra são leituras em vez de gravações. Para obter mais informações, consulte a arquitetura do Microsoft Entra.
Para o servidor do Microsoft Entra Connect Sync, determine quantos objetos você provavelmente vai sincronizar de seu diretório local. Se você tiver menos de 100.000 objetos, poderá usar o software padrão do SQL Server Express LocalDB fornecido com o Microsoft Entra Connect. Se você tiver um número maior de objetos, instale uma versão de produção do SQL Server. Em seguida, execute uma instalação personalizada do Microsoft Entra Connect e especifique que ele deve usar uma instância existente do SQL Server.
Contributors
A Microsoft mantém este artigo. Os colaboradores a seguir escreveram este artigo.
Principal author:
- Eric Woodruff | Product Technical Specialist
Para ver perfis não públicos no LinkedIn, entre no LinkedIn.
Next steps
- Examine topologias do Microsoft Entra Connect para garantir que a topologia híbrida do Microsoft Entra Connect seja implantada em uma configuração com suporte.
- Saiba como usar a implantação de Acesso Condicional para proteger o acesso aos seus aplicativos.
- Examine a integração do AD local ao Microsoft Entra ID para obter mais informações sobre como fornecer o AD DS no Azure como infraestrutura.
- Examine o proxy de aplicativo do Microsoft Entra se você pretende fornecer integrações do Microsoft Entra com a infraestrutura local ou de nuvem como um aplicativo de serviço.
- Examine as práticas recomendadas de gerenciamento de identidade porque a identidade é o novo plano de controle para segurança.
- Examine o acesso privilegiado seguro porque a implantação dessa solução requer contas altamente privilegiadas.