Compreender as opções do Office 365 e do Azure Active Directory
Shrnutí: O Office 365 usa o serviço de autenticação de usuário baseado em nuvem Azure Active Directory para gerenciar usuários.
Pokyny
Você pode escolher entre três modelos de identidade principais no Office 365 ao configurar e gerenciar contas de usuário:
|
|
|
|
| Gerencie suas contas de usuário somente no Office 365. Nenhum servidor local é necessário para gerenciar usuários; Tudo é feito na nuvem. |
Sincronize objetos de diretório local com o Office 365 e gerencie seus usuários localmente. Você também pode sincronizar senhas para que os usuários tenham a mesma senha no local e na nuvem, mas eles terão que entrar novamente para usar o Office 365. |
Sincronize objetos de diretório local com o Office 365 e gerencie seus usuários localmente. Os usuários têm a mesma senha no local e na nuvem e não precisam entrar novamente para usar o Office 365. Isso geralmente é chamado de logon único. |
É importante considerar cuidadosamente qual modelo de identidade usar para entrar em funcionamento. Pense no tempo, na complexidade existente e no custo. Esses fatores são diferentes para cada organização; Este tópico analisará esses conceitos-chave para cada modelo de identidade para ajudá-lo a escolher a identidade que deseja usar para sua implantação.
Você também pode alternar para um modelo de identidade diferente se seus requisitos mudarem.
Identidade no Office 365 para Empresas
Nesse modelo, você cria e gerencia usuários no Portal do Microsoft Office e armazena as contas no Azure AD. O Azure AD verifica as senhas. O Azure AD é o diretório de nuvem usado pelo Office 365. Nenhum servidor local é necessário — a Microsoft gerencia tudo isso para você. Quando a identidade e a autenticação são tratadas completamente na nuvem, você pode gerenciar contas de usuário e licenças de usuário por meio do Portal Online da Microsoft ou cmdlets do Windows PowerShell.
O gráfico a seguir resume como gerenciar usuários no modelo de identidade da nuvem.
-
O administrador se conecta ao portal on-line da Microsoft na plataforma de nuvem da Microsoft para criar ou gerenciar usuários.
-
As solicitações de criação ou gerenciamento são passadas para o Azure AD.
-
Se esta for uma solicitação de alteração, a alteração será feita e copiada de volta para o Portal do Microsoft Office
-
Novas contas de usuário e alterações em contas de usuário existentes são copiadas de volta para o Portal do Microsoft Office.
Quando você usaria a identidade na nuvem? O Cloud Identity será uma boa opção se:
- Você não tem nenhum outro diretório de usuário no local.
- Você tem um diretório local muito complexo e simplesmente quer evitar o trabalho de integração com ele.
- Você tem um diretório local existente, mas deseja executar uma avaliação ou um piloto do Office 365. Posteriormente, você poderá corresponder os usuários da nuvem aos usuários locais quando estiver pronto para se conectar ao diretório local
Integrando o Office 365 a um serviço de diretório existente
Se você tiver um ambiente de diretório existente localmente, poderá integrar o Office 365 ao seu diretório usando identidade sincronizada ou logon único e identidade federada para criar e gerenciar seus usuários no Office 365.
Nesse modelo, você gerencia a identidade do usuário em um servidor local e sincroniza as contas e, opcionalmente, as senhas para a nuvem. O usuário insere a mesma senha no local que na nuvem e, ao entrar, a senha é verificada pelo Azure AD. Esse modelo usa uma ferramenta de sincronização de diretórios para sincronizar a identidade local com o Office 365.
Para configurar o modelo de identidade sincronizado, você precisa ter um diretório local para sincronizar e você precisa instalar uma ferramenta de sincronização de diretórios. Você executará algumas verificações de consistência em seu diretório local antes de sincronizar as contas.
Quando usar identidades sincronizadas ou federadas:
| Este modelo: |
Funciona nestas situações: |
| Identidades sincronizadas |
Quando você tem um diretório local e deseja sincronizar contas de usuário e, opcionalmente, senhas. Se você também sincronizar senhas, seus usuários usarão a mesma senha para acessar recursos locais e o Office 365. Quando, em última análise, você quer identidades federadas, mas está executando um piloto do Office 365 ou, por algum outro motivo, ainda não está pronto para dedicar tempo à implantação dos servidores dos Serviços de Federação do Active Directory (AD FS). |
| Identidades federadas |
Quando você precisa de um cenário avançado, como: federação existente, política ou requisitos técnicos |
O diagrama a seguir mostra um cenário de identidade sincronizada com uma sincronização de senha. A ferramenta de sincronização mantém suas identidades de usuários corporativos locais e na nuvem sincronizadas.
-
Instalar um Microsoft Azure Active Directory Connect.
-
Você cria novos usuários em seu diretório local.
-
A ferramenta de sincronização verificará periodicamente seu diretório local em busca de novas identidades que você criou. Em seguida, provisiona essas identidades no Azure AD, vincula as identidades local e na nuvem umas às outras, sincroniza senhas e as torna visíveis para você por meio do Portal do Microsoft Office.
-
À medida que você faz alterações nos usuários no diretório local, essas alterações são sincronizadas com o Azure AD e disponibilizadas para você por meio do Portal do Microsoft Office.
Esse modelo requer uma identidade sincronizada, mas com uma alteração nesse modelo: a senha do usuário é verificada pelo provedor de identidade local. Isso significa que o hash de senha não precisa ser sincronizado com o Azure AD. Esse modelo usa os Serviços de Federação do Active Directory (AD FS) ou um provedor de identidade de terceiros.
Os motivos para usar uma identidade federada incluem:
Infraestrutura existente
- Se você já tiver o AD FS implantado por algum outro motivo, provavelmente também desejará usá-lo para o Office 365.
- Se você já usa algum outro provedor de identidade, convém usar a identidade federada com o Office 365.
- Se você usar o Forefront Identity Manager, também desejará usar a identidade federada com o Office 365.
Requisitos técnicos
- Você tem várias florestas em seus Serviços de Domínio Active Directory (AD DS) locais.
- Você tem uma solução de smart card integrada no local.
- Você tem um aplicativo híbrido personalizado existente, por exemplo, com o SharePoint ou o Microsoft Exchange Server.
Requisitos da política
- Você precisa de auditoria de entrada e/ou desativação imediata.
- Você precisa de logon único.
- Você tem restrições de logon por local de rede ou horário de trabalho.
- Você tem outras políticas em vigor que exigem identidade federada.
O diagrama a seguir mostra um cenário de identidade federada com uma implementação híbrida no local e na nuvem. O diretório local neste exemplo é o AD FS. A ferramenta de sincronização mantém suas identidades de usuários corporativos locais e na nuvem sincronizadas.
-
Você instala o Azure Active Directory Connect A ferramenta de sincronização ajuda a manter o Azure AD atualizado com as alterações mais recentes feitas em seu diretório local. Você precisará usar uma instalação personalizada do Azure AD Connect para configurar o logon único.
-
Você cria novos usuários no Active Directory local.
-
A ferramenta de sincronização verificará periodicamente o servidor do Active Directory local em busca de novas identidades que você criou. Em seguida, provisiona essas identidades no Azure AD, vincula as identidades local e na nuvem umas às outras e as torna visíveis para você por meio do Portal do Microsoft Office.
-
À medida que as alterações são feitas na identidade no Active Directory local, essas alterações são sincronizadas com o Azure AD.
-
Essas alterações são disponibilizadas por meio do Portal do Microsoft Office.
-
Seus usuários federados entram com seu AD FS.
-
O AD FS gera um token de segurança e esse token é passado para o Azure AD. O token é verificado e validado, e os usuários são autorizados para o Office 365.
