Identidade híbrida

Concluído

A Tailwind Traders utiliza o Active Directory Domain Services (AD DS) como o seu fornecedor de identidade no local no seu ambiente de rede no local desde que efetuou a migração a partir do Windows NT 4.0 no início da década de 2000. Muitas aplicações existentes da Tailwind Traders têm uma dependência no Active Directory. Algumas destas aplicações têm uma dependência simples no Active Directory como um fornecedor de identidade. Outras têm dependências mais profundas, como requisitos de Política de Grupo complexos, partições de domínio personalizadas e extensões de esquema personalizadas.

À medida que a Tailwind Traders começa a mover alguns recursos e a desenvolver novas aplicações no Azure, a empresa quer evitar a criação de uma solução de identidade paralela que exigiria informações de início de sessão separadas para recursos no local e na cloud.

Nesta unidade, irá saber mais sobre as diferentes maneiras de implementar a identidade híbrida.

Implementar controladores de domínio no Azure

Abaixo, é descrita a maneira mais simples de proporcionar no Azure o mesmo ambiente do AD DS que uma organização tem no local.

  1. Implemente um par de controladores de domínio do AD DS numa sub-rede numa rede virtual do Azure.

  2. Ligue essa rede virtual à rede no local.

  3. Configure essa sub-rede como um novo local do AD DS, conforme mostrado na seguinte imagem.

    Diagram that shows replication of an on-premises identity hosted in Active Directory Domain Services to Microsoft Entra ID.

Outra opção consiste em configurar o domínio do AD DS alojado na cloud como um subdomínio da floresta do domínio no local. Uma opção adicional é configurar os controladores de domínio do AD DS em execução na cloud como uma floresta separada que tenha uma relação de confiança com a floresta no local. A seguinte imagem mostra esta topologia de floresta de recursos.

Diagram that shows on-premises AD DS configured in a trust relationship with an AD DS deployment hosted on an Azure subnet.

Quando as organizações implementam controladores de domínio em máquinas virtuais (VMs) no Azure, essas organizações podem depois implementar cargas de trabalho que exigem uma linha de visão para um controlador de domínio na mesma sub-rede de Rede Virtual do Azure na qual implementaram as VMs do controlador de domínio. Em termos concetuais, este é um modelo simples de cloud híbrida para muitas organizações, pois os datacenters do Azure são tratados como um local remoto do Active Directory.

Para a Tailwind Traders, a extensão do respetivo domínio do Active Directory ou floresta no local para o Azure pode ser suficiente, consoante os requisitos da aplicação. A desvantagem de implementar esta opção é que as VMs que estão a ser executadas o tempo todo, da forma como os controladores de domínio devem estar, têm uma despesa contínua associada.

O que é o Microsoft Entra Connect?

O Microsoft Entra Connect (anteriormente Azure AD Connect) permite que as organizações sincronizem as identidades presentes em sua instância local do Ative Directory com a ID do Microsoft Entra (anteriormente Azure AD). Isto permite que utilize a mesma identidade para recursos da cloud e recursos no local. O Microsoft Entra Connect é usado com mais frequência quando as organizações adotam o Microsoft 365 para permitir que aplicativos como o Microsoft SharePoint e o Exchange em execução na nuvem sejam acessados por meio de aplicativos locais.

Se o Tailwind Traders planeja adotar tecnologias do Microsoft 365, como Exchange Online ou Microsoft Teams, precisará configurar o Microsoft Entra Connect para replicar identidades de seu ambiente AD DS local para o Azure. Se a empresa também quiser usar identidades locais com aplicativos no Azure, mas não quiser implantar controladores de domínio AD DS em VMs, também precisará implantar o Microsoft Entra Connect.

O que é o Microsoft Entra Domain Services?

Você pode usar os Serviços de Domínio do Microsoft Entra para projetar um domínio do Microsoft Entra em uma sub-rede virtual do Azure. Quando o fizer, os serviços como a associação a um domínio, a Política de Grupo, o LDAP (Lightweight Directory Access Protocol) e a autenticação Kerberos e NTLM ficam disponíveis para qualquer VM implementada na sub-rede.

Os Serviços de Domínio Microsoft Entra permitem que você tenha um ambiente gerenciado básico do Ative Directory disponível para VMs sem se preocupar em gerenciar, manter e pagar pelas VMs que são executadas como controladores de domínio. Os Serviços de Domínio do Microsoft Entra também permitem que você use identidades locais por meio do Microsoft Entra Connect para interagir com VMs em execução em uma sub-rede da Rede Virtual do Azure especialmente configurada.

Uma desvantagem dos Serviços de Domínio do Microsoft Entra é que a implementação da Diretiva de Grupo é básica. Inclui um conjunto fixo de políticas e não permite criar Objetos de Política de Grupo (GPOs). Embora as identidades utilizadas no local estejam disponíveis no Azure, as políticas configuradas no local não estarão disponíveis.

Para os Tailwind Traders, o Microsoft Entra Domain Services fornece um bom meio termo para cargas de trabalho híbridas. Possibilita a utilização de identidades associadas a um domínio, bem como uma quantidade significativa de configuração de Política de Grupo. Contudo, não suportará aplicações que exigem funcionalidades complexas do Active Directory, tais como extensões de esquema e partições de domínio personalizadas.

Verifique o seu conhecimento

1.

Entre as máquinas virtuais que a Tailwind Traders está a planear migrar para fora do datacenter de Auckland, há várias aplicações anfitriãs que têm dependências no AD DS que incluem extensões de esquema personalizadas e partições do AD DS personalizadas. Quais das soluções de identidade híbrida a seguir podem ser utilizadas pela empresa para suportar estas aplicações se as máquinas virtuais que alojam as aplicações forem migradas para serem executadas como VMs de IaaS (infraestrutura como serviço) do Azure?

2.

Uma subsidiária da Tailwind Traders está implantando VMs IaaS do Windows Server 2022 em uma sub-rede em uma rede virtual do Azure. Esta rede virtual está ligada a uma subscrição separada e ao arrendamento do Microsoft Entra. Estes computadores precisam de estar associados a um domínio para fins de segurança e identidade, mas não exigem configuração complexa da política de grupo. Estas VMs não exigem identidades sincronizadas de nenhuma instância do AD DS da Tailwind Traders no local. Quer minimizar o número de VMs implementadas para atingir este objetivo. Qual das seguintes soluções é apropriada?