Este artigo vai analisar o Active Directory (AD), o Azure Active Directory (Azure AD) e explicar como eles diferem e podem se complementar. Também vamos comparar essas soluções da Microsoft com alguns dos principais provedores de identidade alternativos.
Este artigo não pretende ser um recurso exaustivo e não fornecerá instruções passo a passo sobre como implantar esses serviços, mas o Petri tem excelentes artigos que abordam esses tópicos.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
O Active Directory é amplamente utilizado pela grande maioria das organizações desde o seu lançamento há mais de duas décadas – foi lançado para fabricação em 15 de dezembro de 1999 e alcançou a disponibilidade geral em 17 de fevereiro de 2000.
Seus usuários estão bem acostumados ao Active Directory sem nem mesmo perceber: Eles simplesmente ligam seus dispositivos clientes, inserem seus nomes de usuário (tipicamente, mas nem sempre pré-armazenados em cache) e senha, e continuam com suas atividades diárias. O Active Directory é direto, rápido, seguro e seguro se estiver configurado e mantido da maneira que você deseja.
A central identity provider
O Active Directory geralmente funciona como seu provedor de identidade central, frequentemente abrangendo vários domínios e florestas, alguns com usuários e outros somente com recursos. Ele gerencia seus usuários e computadores (estações de trabalho e servidores clientes), mas não gerencia nativamente dispositivos móveis ou tablets (iOS e Android) ou aplicativos de software como serviço (SaaS).
Você precisa hospedar o Active Directory, configurá-lo, mantê-lo, cuidar da segurança, replicação, backup, alta disponibilidade, escalabilidade, etc. Pode ser uma rede simples com dois controladores de domínio (DCs), ou você pode ter mais de 100 DCs em dezenas de locais combinados com DCs somente leitura.
Seus DCs devem idealmente executar apenas serviços relacionados ao diretório, além de DNS e talvez DHCP. É uma boa prática não executar outras aplicações neles, como servidores web ou de banco de dados, tanto por uma questão de desempenho quanto (especialmente) de segurança. Isso também ajuda no agendamento de tempo de inatividade para reinicializações.
Licenciamento do Active Directory
Ao contrário de seu equivalente na nuvem, o Active Directory não possui um modelo de licenciamento complexo. Você licencia seus controladores de domínio, sempre uma máquina Windows Server e idealmente uma recente. Como lembrete, o Windows Server versão 2022 foi lançado em agosto de 2021.
Quando hospedado em seus próprios data centers ou salas de comunicações, você pode adquirir uma única edição Datacenter do Windows Server, que é destinada a data centers virtualizados, pois permite executar instâncias ilimitadas no hardware licenciado. Certifique-se de pesquisar este tópico e falar com seu especialista em licenciamento, muitas pessoas cometem erros nesse aspecto e violam inadvertidamente seu contrato de licença.
O que é o Azure Active Directory?
O Azure Active Directory é um serviço de identidade empresarial que oferece logon único (SSO), Autenticação Multifator (MFA) e Acesso Condicional (CA) quase pronto para uso. Para ser justo, há um pouco de trabalho de configuração a ser feito por você (o proprietário do locatário ou administrador), mas é muito mais simples e direto para alcançar esses serviços no Azure AD em comparação a hospedá-los por conta própria.
Seus usuários vão ligar seus dispositivos, que podem ser corporativos e gerenciados ou pessoais se sua empresa tiver configurado uma política de traga seu próprio dispositivo (BYOD). Os usuários então precisarão inserir seus nomes de usuário e senhas, idealmente, serão solicitados para um desafio de MFA (até mesmo um desafio de SMS é melhor do que nada), e o que você permitir que eles usem estará disponível para eles.
Com o SSO, eles poderiam usar um aplicativo hospedado externamente (RH, financeiro, etc.), acessar treinamentos e muito mais sem precisar inserir suas credenciais toda vez. Isso melhorará a produtividade, a segurança e a satisfação do usuário. A simples ideia de seus usuários não precisarem gerenciar vários conjuntos de nomes de usuário e senhas é um salva-vidas (isso vem de um cara de TI mal-humorado).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
O Azure AD está totalmente integrado em vários serviços em nuvem da Microsoft como Office 365, fornecendo um diretório central para seus usuários e dispositivos. Também facilita a colaboração com outros locatários e usuários externos.
O Azure AD se destaca no gerenciamento de dispositivos móveis (há suporte nativo para iOS e Android) e aplicativos SaaS. Ele fornece integrações excelentes e simplificadas com muitos aplicativos em várias categorias, como gestão empresarial, colaboração e finanças. Consulte a seção do Azure Active Directory da Azure Marketplace para mais exemplos.
A Microsoft oferece uma versão gratuita do Azure AD chamada Free, mas também existem mais três edições chamadas Office 365 apps, Premium P1 e Premium P2, com diferenças variadas em conteúdo de recursos e preços. Você se torna um usuário do nível gratuito do Azure AD ao se inscrever em vários serviços em nuvem da Microsoft, como Azure, Office 365, Dynamics 365, Intune e Power Platform.
Por exemplo, quanto tempo sua organização gasta redefinindo as senhas dos usuários? O recurso de redefinição de senha de autoatendimento (SSPR) por si só pode ser o suficiente para justificar a licença premium para o seu diretor financeiro. Confira o Como funciona: redefinição de senha de autoatendimento do Azure AD da Microsoft para mais detalhes.
Certifique-se de examinar as funcionalidades premium para determinar se as mesmas são desejáveis ou necessárias e se o preço pago pelo plano premium é justo. Não estou tentando vendê-lo licenças da Microsoft, mas considerando o estado da Internet, com relatos quase diários de grandes organizações sendo hackeadas ( frequentemente com êxito), pagar por essas funcionalidades adicionais pode mesmo manter você no seu trabalho e sua empresa fora dos jornais.
Veja o site de preços do Azure Active Directory (Azure AD) da Microsoft para obter uma visão geral dos preços do Azure AD, e você também pode visitar e ler o nosso artigo Comparação de Funcionalidades entre o Azure Active Directory Premium P1 e P2 para saber mais sobre as diferentes funcionalidades.
Usando Active Directory e Azure Active Directory juntos
Agora que covermos os dois tópicos principais e entendemos as diferenças entre o Active Directory e o Azure Active Directory, vamos olhar para como podemos usá-los juntos de forma otimizada.
Azure AD Connect
O Azure AD Connect da Microsoft nos permite criar uma identidade híbrida, sincronizando objetos como usuários do nosso Active Directory local com o Azure AD baseado na nuvem.
Com a sincronização de hash de senha (PHS), o Azure AD Connect também sincronizará um hash da senha de seus usuários, possibilitando a autenticação de passagem (PTA), serviços de Federação do Active Directory (AD FS) e muito mais. A configuração pode ser muito simples para uma pequena organização e bastante complexa para um ambiente mais complicado.
A Microsoft está planejando descontinuar as versões 1.x do Azure AD Connect até 31 de agosto de 2022, e algumas versões mais antigas 2.x do utilitário de sincronização também deixarão de ter suporte em março de 2023. Você pode saber mais sobre quais versões do Azure AD Connect são atualmente suportadas em nosso post separado.
Active Directory Federation Services (AD FS)
AD FS é um serviço de identidade de SSO que permite compartilhar suas informações de identidade com parceiros fora de sua organização. AD FS usa autenticação de controle de acesso baseada em declarações.
Embora o AD FS ainda seja amplamente utilizado, especialmente por organizações mais maduras e maiores, a Microsoft hoje o considera um serviço descontinuado. Para ser claro, a Microsoft pode não chamá-lo de depreciado, mas as tendências recentes certamente apoiam essa afirmação.
O AD FS requer uma considerável investimento e planejamento adequado na infraestrutura local, bem como uma dependência muito impactante em seus parceiros externos – se eles mudarem uma configuração (para melhor, para pior ou por nenhuma razão), isso afetará seu ambiente ao ponto de quebrar as coisas imediatamente). Eu usei o AD FS com sucesso muitas vezes, mas hoje em dia eu não recomendaria facilmente para uma nova ou configuração existente.
Azure Active Directory Domain Services (AADDS)
O Azure Active Directory Domain Services (AADDS) é a mais recente adição da Microsoft à sua família de serviços de diretório. AADDS é a oferta de Active Directory gerenciado da Microsoft, totalmente hospedado em sua nuvem Azure.
Um dos principais atrativos do AADDS é que ele permite que você execute aplicativos legados na nuvem que não podem utilizar métodos de autenticação modernos. Sua antiga, mas ainda crítica, aplicação de RH ou financeira, adorada por seus usuários que a conhecem muito bem e estão fazendo o máximo para resistir à mudança, terá mais alguns anos de uso enquanto você prepara um substituto. Você pode migrar esses aplicativos legados de seu ambiente local para um domínio AADDS gerenciado sem precisar gerenciar o domínio na nuvem.
Existem algumas limitações em comparação com a execução do seu próprio Active Directory: as políticas de grupo (GPOs) não são sincronizadas do seu domínio local para o domínio gerenciado. Em um ambiente estabelecido, isso pode ser um problema significativo, já que muita coisa é tratada por GPOs.
O mesmo acontece com suas unidades organizacionais (OUs), elas também não são transferidas. Consulte o Como objetos e credenciais são sincronizados em um domínio gerenciado pelo Azure Active Directory Domain Services da Microsoft para obter mais informações.
Fornecedores de identidade de terceiros
Seus requisitos individuais podem exigir que você considere outros provedores de identidade além do Azure AD. Você pode já estar utilizando um deles e estar perfeitamente satisfeito, ou pode preferir ter uma camada adicional de segurança. A conformidade costuma ser também um motivo para separar seu provedor de identidade do resto da sua infraestrutura.
Utilizar provedores de identidade de terceiros em combinação com o Azure AD também funciona. Todos os principais fornecedores publicam guias de integração e ficarão felizes em apoiá-lo com sua implantação, especialmente porque é do interesse deles manter você como cliente. Alguns dos principais fornecedores neste espaço incluem Okta, PingIdentity, OneLogin, Auth0, ZScaler e CyberArk.
Conclusão
No espaço de serviços de diretório, a Microsoft atende à maioria, senão todos os cenários possíveis. Um ambiente puramente local, que está se tornando cada vez mais raro, ainda funcionará bem apenas com o Active Directory.
Organizações com prioridade na nuvem com uma força de trabalho distribuída, que capacitam seus usuários a se conectarem usando dispositivos pessoais ou de propriedade corporativa e a acessarem recursos SaaS baseados em nuvem e no local, serão melhor atendidas com o Azure AD. Devido à exposição, isso também exigirá mais investimento em cibersegurança.
Nenhuma solução se ajusta a todas as necessidades. Uma configuração híbrida de identidade entre o Active Directory e o Azure AD será a escolha mais óbvia para muitos ambientes. Por fim, você não deve desconsiderar o AADDS gerenciado pela Microsoft e todos os fornecedores de identidade terceirizados.
Artigo Relacionado: