Opções de entrada do usuário do Microsoft Entra Connect
O Microsoft Entra Connect permite que os usuários se conectem a recursos de nuvem e locais usando as mesmas senhas. Este artigo descreve os principais conceitos de cada modelo de identidade, a fim de ajudá-lo a escolher a identidade que você deseja usar para entrar no Microsoft Entra ID.
Se já estiver familiarizado com o modelo de identidade do Microsoft Entra e desejar saber mais sobre um método específico, consulte o link apropriado:
- Sincronização de hash de senha com SSO (Logon Único) Contínuo
- Autenticação de passagem com SSO (Logon Único) Contínuo
- SSO federado (com Serviços de Federação do Active Directory (AD FS))
- Federação com PingFederate
Observação
É importante lembrar que ao configurar a federação do Microsoft Entra ID, você estabelece relação de confiança entre seu locatário do Microsoft Entra e seus domínios federados. Com este domínio federado de relação de confiança, os usuários terão acesso aos recursos de nuvem do Microsoft Entra no locatário.
Escolhendo um método de conexão do usuário para sua organização
A primeira decisão de implementar o Microsoft Entra Connect é escolher qual método de autenticação seus usuários usarão para fazer login. É importante que você escolha o método certo que atenda aos requisitos avançados e de segurança de sua organização. A autenticação é fundamental, pois validará as identidades dos usuários para acessar aplicativos e dados na nuvem. Para escolher o método de autenticação correto, você precisa considerar o tempo, a infraestrutura existente, a complexidade e o custo da implementação da sua escolha. Esses fatores são diferentes para cada organização e podem mudar ao longo do tempo.
O Microsoft Entra ID dá suporte aos seguintes métodos de autenticação:
- Autenticação de nuvem - quando você escolher esse método de autenticação do Microsoft Entra ID gerencia o processo de autenticação do usuário entrar. Com a autenticação na nuvem, é possível escolher entre duas opções:
- Sincronização de hash de senha (PHS) - A sincronização de hash de senha permite que os usuários usem o mesmo nome de usuário e senha que usam no local sem precisar implantar nenhuma infraestrutura adicional além do Microsoft Entra Connect.
- Autenticação de passagem (PTA) - Essa opção é semelhante à hash sync de senha, mas fornece uma validação de senha simples usando agentes de software locais para organizações com políticas de segurança e conformidade fortes.
- Autenticação federada - quando você escolhe esse método de autenticação, o Microsoft Entra ID transferirá o processo de autenticação para um sistema de autenticação confiável separado, como o AD FS ou um sistema de federação de terceiros, para validar a entrada do usuário.
Para a maioria das organizações que deseja apenas habilitar a conexão do usuário no Microsoft 365, em aplicativos SaaS e em outros recursos baseados no Microsoft Entra ID, recomendamos a opção de sincronização de hash de senha padrão.
Para obter informações detalhadas sobre como escolher um método de autenticação, confira Escolher o método de autenticação adequado para sua solução de identidade híbrida do Microsoft Entra
Sincronização de hash de senha
Com a sincronização de hash de senha, hashes de senhas de usuário são sincronizados do Active Directory local para o Microsoft Entra ID. Quando as senhas são alteradas ou redefinidas localmente, os novos hashes de senha são sincronizados com o Microsoft Entra ID imediatamente, para que os usuários sempre possam usar a mesma senha para recursos de nuvem e recursos locais. As senhas nunca são enviadas para o Microsoft Entra ID ou armazenadas no Microsoft Entra ID em texto não criptografado. É possível usar a sincronização de hash de senha em conjunto com write-back de senha para habilitar a redefinição de senha de autoatendimento no Microsoft Entra ID.
Além disso, você também pode habilitar o SSO contínuo para usuários em computadores ingressados no domínio que estão na rede corporativa. Com o logon único, os usuários habilitados só precisarão inserir um nome de usuário para ajudá-los a acessar com segurança os recursos de nuvem.
Para obter mais informações, consulte o artigo Sincronização de hash de senha.
Autenticação de passagem
Com a autenticação de passagem, a senha do usuário é validada no controlador do Active Directory local. A senha não precisa estar presente no Microsoft Entra ID em nenhum formato. Isso permite que as políticas locais, como restrições de horário de conexão, sejam avaliadas durante a autenticação em serviços de nuvem.
A autenticação de passagem usa um agente simples em um computador ingressado em domínio do Windows Server 2012 R2 no ambiente local. Esse agente escuta as solicitações de validação de senha. Ele não exige que nenhuma porta de entrada seja aberta para a Internet.
Além disso, você também pode habilitar o logon único para usuários em computadores ingressados no domínio que estão na rede corporativa. Com o logon único, os usuários habilitados só precisarão inserir um nome de usuário para ajudá-los a acessar com segurança os recursos de nuvem.
Para saber mais, veja:
Federação que usa um farm novo ou existente com o AD FS no Windows Server 2012 R2
Com a conexão federada, os usuários podem se conectar aos serviços baseados no Microsoft Entra ID com suas senhas locais. Embora eles estejam na rede corporativa, eles nem precisam inserir suas senhas. Ao usar a opção de federação com o AD FS, é possível implantar um farm novo ou existente com o AD FS no Windows Server 2012 R2. Se você optar por especificar um farm existente, o Microsoft Entra Connect configurará a relação de confiança entre o farm e o Microsoft Entra ID, para que os usuários possam se conectar.
Implantar a federação com o AD FS no Windows Server 2012 R2
Se você estiver implantando um novo farm, será necessário:
- Um servidor Windows Server 2012 R2 para o servidor de federação.
- Um servidor Windows Server 2012 R2 para o proxy de aplicativo Web.
- Um arquivo .pfx com um certificado TLS/SSL para o nome do serviço de federação desejado. Por exemplo: fs.contoso.com.
Se você estiver implantando um novo farm ou usando um farm existente, será necessário:
- Credenciais de administrador local nos servidores de federação.
- Credenciais de administrador local em servidores de grupo de trabalho (não ingressados no domínio) nos quais você pretende implantar a função de Proxy de Aplicativo Web.
- O computador no qual você executa o assistente precisa conseguir se conectar aos outros computadores nos quais você deseja instalar o AD FS ou o Proxy de Aplicativo Web usando o Gerenciamento Remoto do Windows.
Para obter mais informações, consulte Configurando o SSO com o AD FS.
Federação com PingFederate
Com a conexão federada, os usuários podem se conectar aos serviços baseados no Microsoft Entra ID com suas senhas locais. Embora eles estejam na rede corporativa, eles nem precisam inserir suas senhas.
Para obter mais informações sobre como configurar o PingFederate para uso com o Microsoft Entra ID, confira Integração do PingFederate com o Microsoft Entra ID e o Microsoft 365.
Para obter informações sobre como configurar o Microsoft Entra Connect usando o PingFederate, confira instalação personalizada do Microsoft Entra Connect
Conectar usando uma versão anterior do AD FS ou uma solução de terceiros
Se você já tiver configurado a conexão na nuvem usando uma versão anterior do AD FS (como o AD FS 2.0) ou um provedor de federação de terceiros, poderá optar por ignorar a configuração de conexão do usuário por meio do Microsoft Entra Connect. Isso permitirá obter a última sincronização e outras funcionalidades do Microsoft Entra Connect enquanto estiver usando a solução existente para conexão.
Para obter mais informações, consulte a lista de compatibilidade de federação de terceiros do Microsoft Entra.
Conexão do usuário e nome UPN
Entendendo o nome UPN
No Active Directory, o sufixo de nome UPN padrão é o nome DNS do domínio no qual a conta de usuário foi criada. Na maioria dos casos, esse é o nome de domínio registrado como o domínio corporativo na Internet. No entanto, é possível adicionar mais sufixos UPN usando Domínios e Relações de Confiança do Active Directory.
O UPN do usuário tem o formato username@domain. Por exemplo, para um Domínio do Active Directory chamado “contoso.com”, um usuário chamado Julio pode ter o UPN “john@contoso.com”. O UPN do usuário baseia-se em RFC 822. Embora o UPN e o email compartilhem o mesmo formato, o valor do UPN de um usuário pode ou não ser igual ao endereço de email do usuário.
Nome principal do usuário no Microsoft Entra ID
O assistente do Microsoft Entra Connect usa o atributo userPrincipalName ou permite especificar o atributo (em uma instalação personalizada) a ser usado de locais como o nome UPN no Microsoft Entra ID. Esse é o valor usado para entrar no Microsoft Entra ID. Se o valor do atributo userPrincipalName não corresponder a um domínio verificado no Microsoft Entra ID, o Microsoft Entra ID o substituirá por um valor .onmicrosoft.com padrão.
Cada diretório no Microsoft Entra ID é fornecido com um nome de domínio interno, com o formato contoso.onmicrosoft.com, que permite começar a usar o Azure ou outros serviços da Microsoft. É possível melhorar e simplificar a experiência de conexão usando domínios personalizados. Para obter informações sobre nomes de domínio personalizados no Microsoft Entra ID e como verificar um domínio, confira Adicionar seu nome de domínio personalizado ao Microsoft Entra ID.
Configuração de entrada do Microsoft Entra
Configuração de entrada do Microsoft Entra com o Microsoft Entra Connect
A experiência de entrada do Microsoft Entra depende de se o Microsoft Entra ID pode corresponder ao sufixo do nome UPN de um usuário que está sendo sincronizado com um dos domínios personalizados verificados no diretório do Microsoft Entra. O Microsoft Entra Connect fornece ajuda ao definir as configurações de conexão no Microsoft Entra, para que a experiência de conexão do usuário na nuvem seja semelhante à experiência local.
O Microsoft Entra Connect lista os sufixos UPN que estão definidos para os domínios e tenta correspondê-los a um domínio personalizado no Microsoft Entra ID. Em seguida, ele ajuda você com a ação apropriada que precisa ser tomada. A página de conexão do Microsoft Entra lista os sufixos UPN definidos para o Active Directory local e exibe o status correspondente em cada sufixo. Os valores de status podem ser um dos seguintes:
Estado | Descrição | Ação necessária |
---|---|---|
Verificado | O Microsoft Entra Connect encontrou um domínio verificado correspondente no Microsoft Entra ID. Todos os usuários deste domínio podem se conectar usando suas credenciais locais. | Nenhuma ação é necessária. |
Não verificado | O Microsoft Entra Connect encontrou um domínio personalizado correspondente no Microsoft Entra ID, mas ele não é verificado. O sufixo UPN dos usuários desse domínio será alterado para o sufixo .onmicrosoft.com padrão após a sincronização, caso o domínio não seja verificado. | Verificar o domínio personalizado no Microsoft Entra ID. |
Não adicionado | O Microsoft Entra Connect não encontrou um domínio personalizado que correspondesse ao sufixo UPN. O sufixo UPN dos usuários desse domínio será alterado para o sufixo .onmicrosoft.com padrão, caso o domínio não seja adicionado e verificado no Azure. | Adicione e verifique um domínio personalizado que corresponde ao sufixo UPN. |
A página de conexão do Microsoft Entra lista os sufixos UPN definidos para o Active Directory local e o domínio personalizado correspondente no Microsoft Entra ID com o status de verificação atual. Em uma instalação personalizada, agora é possível selecionar o atributo do nome UPN na página de conexão do Microsoft Entra.
É possível clicar no botão atualizar para buscar novamente o último status dos domínios personalizados do Microsoft Entra ID.
Selecionando o atributo para o nome UPN no Microsoft Entra ID
O atributo userPrincipalName é o atributo que os usuários usam ao se conectarem ao Microsoft Entra ID e ao Microsoft 365. É necessário verificar os domínios (também conhecidos como sufixos UPN) usados no Microsoft Entra ID antes de sincronizar os usuários.
É altamente recomendável manter o atributo userPrincipalName padrão. Se esse atributo não for roteável e se não puder ser verificado, será possível selecionar outro atributo (email, por exemplo) como o atributo que contém a ID de conexão. Isso é conhecido como a ID Alternativa. O valor de atributo da ID Alternativa deve seguir o padrão RFC 822. É possível usar uma ID Alternativa tanto com o SSO de senha quanto com o SSO de federação como a solução de conexão.
Observação
O uso de uma ID Alternativa não é compatível com todas as cargas de trabalho do Microsoft 365. Para obter mais informações, consulte Configurando uma ID de logon alternativa.
Diferentes estados de domínio personalizado e seu efeito sobre a experiência de conexão do Azure
É muito importante entender o relacionamento entre os estados de domínio personalizado no diretório do Microsoft Entra e os sufixos UPN definidos localmente. Vamos examinar as diferentes experiências de conexão possíveis no Azure ao configurar a sincronização usando o Microsoft Entra Connect.
Para as informações a seguir, suponhamos que o sufixo UPN contoso.com seja de nosso interesse, que é usado no diretório local como parte do UPN – por exemplo user@contoso.com.
Configurações expressas/sincronização de hash de senha
Estado | Efeito sobre a experiência de entrada do usuário do Azure |
---|---|
Não adicionado | Nesse caso, nenhum domínio personalizado para contoso.com foi adicionado no diretório do Microsoft Entra. Os usuários que têm o UPN local com o sufixo @contoso.com não poderão usar seus UPNs locais para entrar no Azure. Em vez disso, eles precisarão usar um novo UPN fornecido pelo Microsoft Entra ID adicionando o sufixo do diretório padrão do Microsoft Entra. Por exemplo, se você estiver sincronizando usuários com o diretório do Microsoft Entra azurecontoso.onmicrosoft.com, o usuário local user@contoso.com receberá um UPN igual a user@azurecontoso.onmicrosoft.com. |
Não verificado | Nesse caso, temos um domínio personalizado contoso.com que é adicionado ao diretório do Microsoft Entra. No entanto, ele ainda não foi verificado. Se você continuar a sincronização dos usuários sem verificar o domínio, os usuários serão atribuídos a um novo UPN do Microsoft Entra ID, exatamente como no cenário “Não adicionado”. |
Verificado(a) | Nesse caso, temos um domínio personalizado contoso.com já adicionado e verificado no Microsoft Entra ID para o sufixo UPN. Os usuários poderão usar seu nome UPN local, por exemplo user@contoso.com, para entrarem no Azure depois de serem sincronizados com o Microsoft Entra ID. |
Federação do AD FS
Não é possível criar uma federação com o domínio .onmicrosoft.com padrão no Microsoft Entra ID nem com um domínio personalizado não verificado no Microsoft Entra ID. Ao executar o assistente do Microsoft Entra Connect, se você selecionar um domínio não verificado para criar uma federação, o Microsoft Entra Connect solicitará que os registros necessários sejam criados no local em que o DNS está hospedado para o domínio. Para obter mais informações, consulte Verificar o domínio do Microsoft Entra selecionado para federação.
Se você selecionou a opção de conexão do usuário Federação com o AD FS, você deverá ter um domínio personalizado para continuar a criação de uma federação no Microsoft Entra ID. Para nossa discussão, isso significa que devemos ter um domínio personalizado contoso.com adicionado ao diretório do Microsoft Entra.
State | Efeito sobre a experiência de conexão do usuário do Azure |
---|---|
Não adicionado | Nesse caso, o Microsoft Entra Connect não encontrou um domínio personalizado correspondente para o sufixo UPN contoso.com no diretório do Microsoft Entra. Será necessário adicionar um domínio contoso.com personalizado se você precisar que os usuários se conectem usando o AD FS com seus UPNs locais (como user@contoso.com). |
Não verificado | Nesse caso, o Microsoft Entra Connect solicitará os detalhes adequados sobre como é possível verificar o domínio em um estágio posterior. |
Verificado | Nesse caso, é possível continuar a configuração sem nenhuma ação adicional. |
Alterando o método de conexão do usuário
É possível alterar o método de conexão do usuário de federação, sincronização de hash de senha ou autenticação de passagem usando as tarefas disponíveis no Microsoft Entra Connect após a configuração inicial do Microsoft Entra Connect com o assistente. Execute o assistente do Microsoft Entra Connect novamente e você verá uma lista de tarefas que podem ser executadas. Selecione Alterar a entrada do usuário na lista de tarefas.
Na próxima página, você deverá fornecer as credenciais do Microsoft Entra ID.
Na página Entrada de usuário, selecione a entrada do usuário desejada.
Observação
Se estiver fazendo apenas uma mudança temporária para a sincronização de hash de senha, marque a caixa de seleção Não converter contas de usuário. Não marcar a opção converterá cada usuário em federado, o que pode levar várias horas.