Azul Active Directory (Azure AD, agora chamado Entra ID) é o serviço de gerenciamento de identidade e acesso baseado em nuvem da Microsoft. Ele fornece login único e autenticação multifator para ajudar as organizações a acessar com segurança aplicativos em nuvem e aplicativos locais.
Entra ID permite que as organizações gerenciem usuários e grupos. Ele pode ser integrado com o local Active Directory para fornecer uma solução de identidade híbrida.
Principais características de Entra ID
Entra IDOs principais recursos do incluem:
- Logon único (SSO) – permite que os usuários façam login uma vez com uma conta para acessar vários recursos. Isso reduz o número de senhas necessárias e melhora a segurança.
- Autenticação multifator (MFA) – Fornece uma camada extra de segurança para fazer login em recursos. Ele requer não apenas uma senha, mas também um código de verificação enviado ao telefone do usuário ou uma notificação de aplicativo.
- Gerenciamento de aplicativos – Os administradores podem adicionar, configurar e gerenciar o acesso a aplicativos SaaS como Office 365, Dropbox, Salesforce, etc. Entra ID painel de acesso.
- Controle de acesso baseado em função (RBAC) – Fornece gerenciamento de acesso refinado para recursos e aplicativos Entra com base na função de um usuário. Isso garante que os usuários tenham acesso apenas ao que precisam para realizar seus trabalhos.
- Monitoramento e relatórios – Entra ID fornece logs, relatórios e alertas para ajudar a monitorar atividades e obter insights sobre acesso e uso. Essas informações podem ajudar a detectar possíveis problemas de segurança.
- Redefinição de senha por autoatendimento – permite que os usuários redefinam suas próprias senhas sem ligar para o suporte técnico. Isso reduz custos e melhora a experiência do usuário.
- Provisionamento de usuários – Os usuários podem ser criados e gerenciados manualmente no Entra ID portal, permitindo que os administradores definam atributos, funções e direitos de acesso.
- E mais – Outros recursos incluem gerenciamento de dispositivos móveis, colaboração B2B, análises de acesso, acesso condicional, etc.
Como funciona o dobrador de carta de canal Entra ID Obras
Entra ID funciona sincronizando com diretórios locais e permitindo logon único para aplicativos em nuvem. Os usuários podem fazer login uma vez com uma conta e obter acesso a todos os seus recursos. Entra ID também permite autenticação multifatorial, gerenciamento de acesso, monitoramento e relatórios de segurança para ajudar a proteger contas de usuário e controlar o acesso.
Como funciona a sincronização de diretórios
Entra ID O Connect sincroniza diretórios locais como Active Directory Serviços de Domínio com Entra ID. Isso permite que os usuários usem as mesmas credenciais para recursos locais e na nuvem. Entra ID O Connect sincroniza objetos como:
- Contas de usuário
- Grupos
- Contactos
Este processo de sincronização combina objetos de diretório local com seus Entra ID homólogos e garante que as alterações sejam refletidas em ambos os diretórios.
Log-in único
No logon único (SSO), os usuários podem acessar vários aplicativos com um único login. Entra ID fornece SSO por meio dos protocolos Security Assertion Markup Language (SAML) e OpenID Connect (OIDC) com milhares de aplicativos pré-integrados. Com acesso contínuo, os usuários não precisam inserir novamente suas credenciais sempre que acessam um aplicativo.
Acesso Condicional
Entra ID O Acesso Condicional permite que os administradores definam controles de acesso com base em condições como:
- Localização do usuário
- Estado do dispositivo
- Nível de risco
- Aplicativo acessado
Os administradores podem bloquear o acesso ou exigir autenticação multifator para ajudar a reduzir o risco. O Acesso Condicional fornece uma camada extra de segurança para acessar recursos.
O que é o Windows? Active Directory?
Windows Active Directory (AD) é o serviço de diretório da Microsoft para redes de domínio do Windows. Ele armazena informações sobre objetos na rede, como usuários, grupos e computadores. O AD permite que administradores de rede gerenciem usuários e recursos em um ambiente Windows.
AD usa um banco de dados hierárquico para armazenar informações sobre objetos no diretório. Os objetos incluem:
- Usuários – representam usuários individuais como funcionários. Contém informações como nome de usuário, senha e grupos aos quais pertencem.
- Grupos – Coleções de usuários e outros grupos. Usado para atribuir permissões a vários usuários ao mesmo tempo.
- Computadores – Representam máquinas individuais na rede. Armazena informações como nome do computador, endereço IP e grupos aos quais pertence.
- Unidades Organizacionais (OUs) – Contêineres usados para agrupar usuários, grupos, computadores e outras UOs. Ajude a organizar objetos no diretório e atribuir permissões.
- Domínios – Representam um namespace e um limite de segurança. Composto por UOs, usuários, grupos e computadores. O serviço de diretório garante que objetos com o mesmo nome de domínio compartilhem as mesmas políticas de segurança.
- Trusts – Permite que usuários de um domínio acessem recursos em outro domínio. Criado entre dois domínios para permitir a autenticação entre domínios.
- Sites – Representam locais físicos de sub-redes na rede. Usado para otimizar o tráfego de rede entre objetos localizados no mesmo site.
O AD permite que administradores de sistema tenham um local centralizado para gerenciar usuários e recursos em um ambiente Windows. Ao organizar objetos como usuários, grupos e computadores em uma estrutura hierárquica, o AD facilita a aplicação de políticas e permissões em toda uma rede.
Diferença entre Windows AD e Entra ID
Windows Active Directory (AD) e Entra ID são ambos serviços de diretório da Microsoft, mas servem a propósitos diferentes. O Windows AD é um serviço de diretório local para gerenciar usuários e recursos em uma organização. Entra ID é o serviço de gerenciamento de identidade e diretório baseado em nuvem multilocatário da Microsoft.
O Windows AD requer controladores de domínio físico para armazenar dados e gerenciar a autenticação. Entra ID está hospedado nos serviços em nuvem da Microsoft, portanto, não são necessários servidores locais. O Windows AD usa o protocolo LDAP, enquanto Entra ID usa APIs RESTful. O Windows AD foi projetado principalmente para recursos locais, enquanto Entra ID foi projetado para gerenciar identidades e acesso a aplicativos em nuvem, aplicativos de software como serviço (SaaS) e aplicativos locais.
Gerenciamento de usuários
No Windows AD, os usuários são sincronizados a partir de servidores Windows locais e gerenciados localmente. Em Entra ID, os usuários podem ser criados e gerenciados no portal da nuvem ou sincronizados a partir de diretórios locais usando Entra ID Conecte-se Entra ID também oferece suporte à criação e atualizações de usuários em massa por meio do Entra ID API gráfica ou PowerShell.
Gerenciamento de aplicativos
O Windows AD requer configuração manual para publicar aplicativos locais. Entra ID possui uma variedade de aplicativos SaaS pré-integrados e permite o provisionamento automático de usuários. Aplicativos personalizados também podem ser adicionados a Entra ID para logon único usando SAML ou OpenID Connect.
Métodos de autenticação
O Windows AD usa Kerberos e NTLM para autenticação local. Entra ID suporta protocolos de autenticação como SAML, OpenID Connect, WS-Federation e OAuth 2.0. Entra ID também fornece autenticação multifator, políticas de acesso condicional e Proteção de identidade.
Sincronização de diretório
Entra ID O Connect pode sincronizar identidades do Windows AD para Entra ID. Isso permite que os usuários façam login no Entra ID e Office 365 usando o mesmo nome de usuário e senha. A sincronização de diretórios é unidirecional, atualizando Entra ID com alterações do Windows AD.
Em resumo, enquanto o Windows AD e Entra ID são ambos serviços de diretório da Microsoft, eles servem a propósitos muito diferentes. O Windows AD serve para gerenciar recursos locais, enquanto Entra ID é um serviço baseado em nuvem para gerenciar o acesso a aplicativos SaaS e outros recursos de nuvem. Para muitas organizações, usando o Windows AD e Entra ID juntos fornecem a solução mais completa.
Entra ID Funcionalidades
Entra ID fornece essencial gerenciamento de identidade e acesso recursos para Azure e Microsoft 365. Oferece serviços de diretório principais, governança avançada de identidade, segurança e gerenciamento de acesso a aplicativos.
Serviços de diretório principais
Entra ID atua como um diretório em nuvem multilocatário e serviço de gerenciamento de identidade. Ele armazena informações sobre usuários, grupos e aplicativos e sincroniza com diretórios locais. Entra ID fornece acesso de logon único (SSO) a aplicativos e recursos. Ele oferece suporte a padrões abertos como OAuth 2.0, OpenID Connect e SAML para integrações SSO.
Governança de identidade
Entra ID inclui recursos para gerenciar o ciclo de vida da identidade. Ele fornece ferramentas para provisionar e desprovisionar contas de usuário com base em dados de RH ou quando os funcionários ingressam, mudam de dentro ou saem de uma organização. As políticas de acesso condicional podem ser configuradas para exigir autenticação multifator, conformidade de dispositivos, restrições de localização e muito mais ao acessar recursos. Entra ID também permite que os administradores configurem redefinição de senha de autoatendimento, revisões de acesso e gerenciamento de identidade privilegiada.
Segurança
Entra ID utiliza algoritmos de aprendizado de máquina adaptativos e heurísticas para detectar atividades de login suspeitas e vulnerabilidades potenciais. Ele fornece relatórios e alertas de segurança para ajudar a identificar e remediar ameaças. A Microsoft também oferece Entra ID Premium P2 que inclui proteção de identidade e gerenciamento de identidade privilegiada para maior segurança.
Gerenciamento de acesso a aplicativos
O Entra AD permite acesso de logon único a milhares de aplicativos SaaS pré-integrados na galeria de aplicativos Entra AD. Ele oferece suporte ao provisionamento de usuários e também à ativação de SSO para aplicativos personalizados. O proxy de aplicativo fornece acesso remoto seguro a aplicativos Web locais. O Entra AD B2C oferece gerenciamento de identidade e acesso do cliente para aplicativos voltados para o cliente.
Em resumo, o Azure AD é o diretório de nuvem multilocatário e o serviço de gerenciamento de identidade da Microsoft. Ele fornece recursos essenciais, como serviços de diretório principal, governança de identidade, recursos de segurança e gerenciamento de acesso a aplicativos para permitir que as organizações gerenciem identidades de usuários e protejam o acesso a recursos no Azure, Microsoft 365 e outros aplicativos SaaS.
Benefícios do Entra AD
O Entra AD oferece vários benefícios para as organizações:
Maior segurança
O Entra AD oferece recursos de segurança robustos, como autenticação multifator, acesso condicional e proteção de identidade. A MFA adiciona uma camada extra de segurança para logins de usuários. O acesso condicional permite que as organizações implementem controles de acesso com base em fatores como localização do usuário ou estado do dispositivo. A proteção de identidade detecta possíveis vulnerabilidades e riscos para a conta de um usuário.
Gerenciamento de acesso simplificado
O Entra AD simplifica o gerenciamento de contas e acessos de usuários. Ele fornece um local único para gerenciar usuários e grupos, definir políticas de acesso e atribuir licenças ou permissões. Isso ajuda a reduzir a sobrecarga administrativa e garante a aplicação consistente de políticas em toda a organização.
Logon único perfeito
Com o Entra AD, os usuários podem fazer login uma vez usando sua conta organizacional e acessar todos os seus aplicativos locais e na nuvem. Essa experiência de logon único melhora a produtividade e reduz o cansaço dos usuários com senhas. O Entra AD suporta logon único para milhares de aplicativos pré-integrados, bem como aplicativos personalizados.
Produtividade aumentada
Ao permitir o logon único e simplificar o gerenciamento de acesso, o Entra AD ajuda a aumentar a produtividade do usuário final. Os usuários podem acessar rapidamente todos os seus aplicativos e recursos sem precisar fazer login repetidamente com credenciais diferentes. Eles gastam menos tempo gerenciando vários logins e senhas e mais tempo envolvidos com os aplicativos e recursos de que precisam.
Economia de Custos
Para muitas organizações, o Entra AD pode ajudar a reduzir custos associados a soluções de identidade locais. Elimina a necessidade de adquirir e manter hardware e software para gerenciamento de identidades. E ao simplificar o gerenciamento de acesso e permitir o logon único, pode ajudar a reduzir os custos de suporte técnico relacionados a redefinições de senha e problemas de acesso.
Ataques comuns contra o Entra AD
Os ataques comuns contra o Entra AD incluem:
Ataques de spray de senha
Os ataques de pulverização de senha são tentativas de acessar várias contas adivinhando credenciais comuns. Os invasores tentarão senhas como “Senha1” ou “1234”, esperando que correspondam às contas da organização. Habilitar a autenticação multifatorial e políticas de senha pode ajudar a prevenir esses tipos de ataques de força bruta.
Ataques de phishing
Os ataques de phishing tentam roubar credenciais de usuários, instalar malware ou enganar os usuários para que concedam acesso às contas. Os invasores enviarão e-mails fraudulentos ou direcionarão os usuários para sites maliciosos que imitam a aparência das páginas legítimas de login do Entra AD. Educar os usuários sobre técnicas de phishing e habilitar a autenticação multifator pode ajudar a reduzir o risco de comprometimento por phishing.
Roubo de token e repetição
Os tokens de acesso emitidos pelo Entra AD podem ser roubados e reproduzidos para obter acesso aos recursos. Os invasores tentarão enganar os usuários ou aplicativos para que revelem tokens de acesso e, em seguida, usarão esses tokens para acessar dados e sistemas. Habilitar a autenticação multifator e emitir apenas tokens de acesso de curta duração ajuda a prevenir o roubo de tokens e ataques de repetição.
Criação de conta desonesta
Os invasores criarão contas no Entra AD para uso em reconhecimento, como ponto de partida para movimento lateral na rede ou para se misturar como uma conta legítima. Reforçar as políticas de criação de contas, permitir a autenticação multifator e monitorar atividades anômalas de contas pode ajudar a detectar a criação de contas não autorizadas.
Malware e aplicativos maliciosos
Malware, aplicativos maliciosos e software comprometido podem ser usados para extrair dados do Entra AD, espalhar-se para outras contas e sistemas ou manter a persistência na rede. Controlar cuidadosamente quais aplicativos de terceiros têm acesso aos seus dados e contas do Entra AD, monitorar sinais de comprometimento e educar os usuários sobre o uso seguro de aplicativos ajudam a reduzir o risco de software malicioso.
Conclusão
O Entra AD fornece recursos essenciais de gerenciamento de identidade e acesso, como autenticação multifator, acesso condicional, proteção de identidade, gerenciamento de identidade privilegiada e muito mais. Para qualquer organização que procure melhorar a segurança e gerir eficientemente identidades na nuvem, o Entra AD deve ser considerado uma solução robusta e confiável.