Este artigo irá analisar o Active Directory (AD), o Azure Active Directory (Azure AD) e explicar como eles diferem e podem se complementar. Também iremos comparar essas soluções da Microsoft com alguns dos principais provedores de identidade alternativos.
Este artigo não pretende ser um recurso exaustivo e não fornecerá instruções passo a passo sobre como implantar esses serviços, mas o Petri possui excelentes artigos que abordam esses tópicos.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
O Active Directory é amplamente utilizado pela grande maioria das organizações desde o seu lançamento há mais de duas décadas – foi lançado para fabricação em 15 de dezembro de 1999 e alcançou a disponibilidade geral em 17 de fevereiro de 2000.
Seus usuários estão acostumados com o Active Directory sem nem mesmo saberem: eles simplesmente ligam seus dispositivos clientes, inserem seu nome de usuário (tipicamente, mas nem sempre pré-armazenado) e senha, e continuam com suas atividades diárias. O Active Directory é direto, rápido, seguro e seguro se estiver configurado e mantido da maneira que você deseja.
A central identity provider
O Active Directory geralmente atua como seu provedor de identidade central, frequentemente abrangendo múltiplas florestas e domínios, alguns com usuários e outros apenas com recursos. Ele gerencia seus usuários e computadores (estações de trabalho cliente e servidores), mas não gerencia nativamente dispositivos móveis ou tablets (iOS e Android) ou aplicativos (SaaS).
Você precisa hospedar o Active Directory, configurá-lo, mantê-lo, prestar atenção à segurança, replicação, backup, alta disponibilidade, escalabilidade, etc. Pode ser uma rede simples com dois controladores de domínio (DCs), ou você pode ter bem mais de 100 DCs em dezenas de locais combinados com DCs somente leitura.
Seus DCs devem idealmente executar apenas serviços relacionados ao diretório, assim como DNS e talvez DHCP. É uma boa prática não executar outras aplicações neles, como servidores web ou de banco de dados, tanto do ponto de vista de desempenho quanto (especialmente) de segurança. Também auxilia no agendamento de tempo de inatividade para reinicializações.
Licenciamento do Active Directory
Ao contrário do seu irmão na nuvem, o Active Directory não possui um modelo de licenciamento complexo. Você licencia seus controladores de domínio, sempre uma máquina Windows Server e idealmente uma recente. Como lembrete, o Windows Server versão 2022 foi lançado em agosto de 2021.
Quando hospedado em seus próprios data centers ou salas de comunicação, então você poderia comprar uma única edição do Windows Server Datacenter, que é destinada a data centers virtualizados, pois permite executar instâncias ilimitadas no hardware licenciado. Certifique-se de pesquisar este tópico e falar com seu especialista em licenciamento, muitas pessoas cometem erros e violam inadvertidamente seu acordo de licenciamento.
O que é o Azure Active Directory?
O Azure Active Directory é um serviço de identidade empresarial que fornece login único (SSO), Autenticação Multifator (MFA) e Acesso Condicional (CA) quase pronto a usar. Para ser justo, há um pouco de trabalho de configuração a ser feito por você (o proprietário ou administrador do inquilino), mas é muito mais simples e direto alcançar esses serviços no Azure AD em comparação com hospedá-los você mesmo.
Seus usuários ligarão seus dispositivos, que podem ser de propriedade e gerenciados pela empresa ou pessoais, se sua empresa tiver estabelecido uma política de traga seu próprio dispositivo (BYOD). Os usuários então precisarão inserir seus nomes de usuário e senhas, com sorte, serem solicitados a um desafio de MFA (mesmo um desafio por SMS é melhor do que nada), e o que você permitir que eles usem estará disponível para eles.
Com o SSO, eles podem usar um aplicativo hospedado externamente (RH, financeiro, etc.), acessar treinamento e muito mais sem ter que inserir suas credenciais toda vez. Isso irá melhorar a produtividade, segurança e satisfação do usuário. A simples fato de seus usuários não terem que gerenciar vários conjuntos de nomes de usuário e senhas é um salva-vidas (acredite em um cara de TI rabugento).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
O Azure AD está totalmente integrado em vários serviços de nuvem da Microsoft, como Office 365, fornecendo um diretório central para seus usuários e dispositivos. Também facilita a colaboração com outros locatários e usuários externos.
O Azure AD se destaca na gestão de dispositivos móveis (há suporte nativo para iOS e Android) e aplicativos SaaS. Ele oferece integrações excelentes e simplificadas com muitos aplicativos em várias categorias, como gestão empresarial, colaboração e finanças. Confira a seção do Microsoft Azure Active Directory no Azure Marketplace para mais exemplos.
A Microsoft oferece uma versão gratuita do Azure AD chamada Free, mas também há três outras edições chamadas Office 365 apps, Premium P1 e Premium P2, com diferenças variadas no conteúdo de recursos e preços. Você realmente se torna um usuário da camada Free do Azure AD quando se inscreve em um número de serviços em nuvem da Microsoft como Azure, Office 365, Dynamics 365, Intune e Power Platform.
Por exemplo, quanto tempo a sua organização gasta redefinindo as senhas dos usuários? Somente o recurso de redefinição de senha de autoatendimento (SSPR) pode ser suficiente para justificar a licença premium para o seu diretor financeiro. Confira o Como funciona: redefinição de senha de autoatendimento do Azure AD da Microsoft para mais detalhes.
Certifique-se de dar uma boa olhada nas funcionalidades premium para determinar se você as quer ou precisa e se o preço premium vale a pena pagar. Não estou tentando vender licenças da Microsoft, mas considerando o estado da Internet com quase relatórios diários de grandes organizações sendo hackeadas (muitas vezes com sucesso), pagar por essas funcionalidades adicionais pode mantê-lo no seu emprego e manter sua empresa fora dos jornais.
Dê uma olhada no site de preços do Azure Active Directory (Azure AD) da Microsoft para ter uma visão geral dos preços do Azure AD, e você também pode visitar nosso artigo Azure Active Directory Premium P1 vs. P2: Comparação de Funcionalidades para saber mais sobre as diferentes funcionalidades.
Usando Active Directory e Azure Active Directory juntos
Agora que cobrimos os dois tópicos principais e entendemos as diferenças entre o Active Directory e o Azure Active Directory, vamos ver como podemos usá-los da melhor forma juntos.
Azure AD Connect
O Azure AD Connect da Microsoft nos permite criar uma identidade híbrida, sincronizando objetos como usuários do nosso Active Directory local para o Azure AD baseado na nuvem.
Com a sincronização de hash de senha (PHS, na sigla em inglês), o Azure AD Connect também sincronizará um hash da senha dos seus usuários, habilitará a Autenticação por Passagem (PTA, na sigla em inglês), os Serviços de Federação do Active Directory (AD FS) e muito mais. A configuração pode ser muito simples para uma organização pequena e bastante complexa para um ambiente mais elaborado.
A Microsoft está planejando desativar as versões 1.x do Azure AD Connect até 31 de agosto de 2022 e algumas versões mais antigas 2.x da ferramenta de sincronização também estão saindo de suporte em março de 2023. Você pode saber mais sobre quais versões do Azure AD Connect estão atualmente suportadas em nosso post separado.
Active Directory Federation Services (AD FS)
O AD FS é um serviço de identidade de SSO que permite compartilhar suas informações de identidade com parceiros fora de sua organização. O AD FS usa a autenticação de controle de acesso baseada em declarações.
Embora o AD FS ainda seja amplamente utilizado, especialmente por organizações mais maduras e maiores, a Microsoft hoje o considera um serviço descontinuado. Para ser claro, a Microsoft pode não chamá-lo de depreciado, mas as tendências recentes certamente apóiam essa afirmação.
O AD FS requer um investimento considerável e planejamento adequado na infraestrutura local, bem como uma dependência muito impactante em seus parceiros externos – se eles mudarem uma configuração (para melhor, pior ou sem motivo), isso afetará seu ambiente ao ponto de quebrar as coisas imediatamente). Eu usei o AD FS com sucesso muitas vezes, mas hoje em dia não recomendaria facilmente para uma nova ou configuração existente.
Azure Active Directory Domain Services (AADDS)
O Azure Active Directory Domain Services (AADDS) é a mais recente adição da Microsoft à sua família de serviços de diretório. AADDS é a oferta de Active Directory gerenciado da Microsoft, totalmente hospedada em sua nuvem Azure.
Um dos principais pontos de venda do AADDS é que ele permite executar aplicativos legados na nuvem que não podem usar métodos de autenticação modernos. Sua antiga, mas ainda crítica aplicação de RH ou financeira, adorada pelos seus usuários que a conhecem de dentro para fora e estão fazendo o possível para resistir à mudança, terá mais alguns anos de uso enquanto você prepara um substituto para ela. Você pode migrar esses aplicativos legados do seu ambiente local para um domínio AADDS gerenciado sem a necessidade de gerenciar o domínio na nuvem.
Existem algumas limitações em comparação com a execução do seu próprio Active Directory: As políticas de grupo (GPOs) não são sincronizadas do seu domínio local para seu domínio gerenciado. Em um ambiente estabelecido, isso pode ser um problema considerável, uma vez que muitas coisas são manipuladas por GPOs.
O mesmo acontece com as suas unidades organizacionais (OUs), elas também não são transferidas. Consulte o documento da Microsoft Como objetos e credenciais são sincronizados em um domínio gerenciado por Serviços de Domínio do Active Directory do Azure para obter mais informações.
Provedores de identidade de terceiros
Seus requisitos individuais podem exigir que você considere outros provedores de identidade além do Azure AD. Você pode estar usando um deles e estar perfeitamente satisfeito, ou pode preferir ter uma camada adicional de segurança. A conformidade muitas vezes é uma razão para separar seu provedor de identidade do restante da infraestrutura.
Usando provedores de identidade de terceiros em combinação com o Azure AD também funciona. Todas as principais empresas publicam guias de integração e ficarão felizes em apoiar você em sua implantação, especialmente porque é em seu melhor interesse mantê-lo como cliente. Alguns dos principais fornecedores nesse espaço incluem Okta, PingIdentity, OneLogin, Auth0, ZScaler e CyberArk.
Conclusão
No espaço de serviços de diretório, a Microsoft atende a quase todos, senão todos, os cenários possíveis. Um ambiente puramente on-premises que está lentamente, mas seguramente, se tornando uma raridade, ainda funcionará bem com o Active Directory.
Organizações com foco na nuvem e uma força de trabalho distribuída, capacitando seus usuários a se conectarem usando dispositivos pessoais ou corporativos e acessando recursos SaaS locais e baseados em nuvem serão melhor atendidas com o Azure AD. Devido à exposição, isso também exigirá mais investimento em cibersegurança.
Não há uma solução que atenda a todas as necessidades. Uma configuração de identidade híbrida entre o Active Directory e o Azure AD será a escolha mais óbvia para muitos ambientes. Por fim, não se deve negligenciar o AADDS gerenciado pela Microsoft e todos os provedores de identidade de terceiros.
Artigo Relacionado: