Desafio 16: Microsoft Entra ID e Autenticação
25-35 min | Custo: Gratuito | Domínio: Arquitetura e Serviços Azure (35-40%)
Habilidades do exame cobertas
- Descrever serviços de diretório (Microsoft Entra ID, Entra Domain Services)
- Descrever métodos de autenticação (SSO, MFA, passwordless)
Visão Geral
Microsoft Entra ID (anteriormente Azure Active Directory) é o serviço de gerenciamento de identidade e acesso baseado em nuvem do Azure. Ele lida com autenticação (provar quem você é) e autorização (o que você tem permissão para fazer).
Diferente do Active Directory tradicional (que roda no Windows Server), o Entra ID é nativo da nuvem e projetado para autenticação em escala de internet, incluindo aplicações web, aplicativos móveis e serviços SaaS.
Explorar
Tarefa 1: Entender Entra ID vs Active Directory
| Recurso | Active Directory (on-prem) | Microsoft Entra ID (nuvem) |
|---|---|---|
| Protocolo | Kerberos, LDAP | OAuth 2.0, SAML, OpenID Connect |
| Escopo | Apenas rede interna | Abrangência pela internet |
| Estrutura | OUs, florestas, domínios | Tenant plano |
| Gerenciamento de dispositivos | Group Policy | Intune + Conditional Access |
| Autenticação | Usuário/senha | MFA, passwordless, SSO |
Tarefa 2: Explorar Entra ID no Portal
- No Azure Portal, pesquise por Microsoft Entra ID
- Clique nele para abrir o blade do Entra ID
- Explore:
- Overview: Nome do tenant, ID, nível de licença
- Users: Todos os usuários no seu tenant
- Groups: Grupos de segurança e grupos Microsoft 365
- Enterprise applications: Apps SaaS integrados
- Esta é uma exploração somente leitura — sem custo
Tarefa 3: Entender métodos de autenticação
| Método | Segurança | Experiência do usuário | Exemplo |
|---|---|---|---|
| Apenas senha | Baixa | Fácil | Login tradicional |
| MFA (Multi-Factor) | Alta | Moderada | Senha + aprovação no telefone |
| Passwordless | Muito alta | Excelente | Windows Hello, chave FIDO2 |
| SSO (Single Sign-On) | Varia | Melhor | Um login para todos os apps |
Multi-Factor Authentication (MFA) usa 2+ de:
- Algo que você sabe (senha, PIN)
- Algo que você tem (telefone, chave de segurança)
- Algo que você é (impressão digital, rosto)
Tarefa 4: Entender SSO
Single Sign-On (SSO) significa que um login dá acesso a múltiplas aplicações:
User logs in ONCE to Entra ID
→ Access Microsoft 365 ✓
→ Access Salesforce ✓
→ Access GitHub ✓
→ Access custom apps ✓
Benefícios:
- Usuários lembram uma senha (menos chamadas ao help desk)
- Controle de acesso centralizado
- Mais fácil desabilitar acesso quando funcionário sai
Tarefa 5: Entra Domain Services
Microsoft Entra Domain Services fornece serviços de domínio gerenciados:
- Ingresso no domínio, group policy, LDAP, Kerberos/NTLM
- Sem necessidade de gerenciar controladores de domínio
- Integra com seu tenant Entra ID
- Caso de uso: Apps legados que precisam de protocolos tradicionais do AD
| Cenário | Use |
|---|---|
| App web moderno precisa de autenticação | Entra ID |
| App legado precisa de LDAP/Kerberos | Entra Domain Services |
| Servidores on-prem precisam de Group Policy | AD tradicional (on-prem) |
# List users in your Entra ID tenant (first 5)
az ad user list --query "[0:5].{Name:displayName, UPN:userPrincipalName}" --output table
# Show your tenant info
az account show --query "{TenantId:tenantId, Name:name}" --output table
Conceitos-Chave
| Conceito | Descrição |
|---|---|
| Microsoft Entra ID | Gerenciamento de identidade e acesso baseado em nuvem (anteriormente Azure AD) |
| Tenant | Uma instância dedicada do Entra ID para sua organização |
| Autenticação | Provar identidade (quem é você?) |
| Autorização | Verificar permissões (o que você pode fazer?) |
| MFA | Requer 2+ métodos de verificação para login |
| SSO | Um login fornece acesso a múltiplas aplicações |
| Passwordless | Login sem senha (biometria, chaves de segurança) |
| Entra Domain Services | Serviços de domínio gerenciados (LDAP, Kerberos) sem controladores de domínio |
Verificação de Conhecimento
1. O que é Microsoft Entra ID?
2. Multi-Factor Authentication (MFA) requer no mínimo quantos métodos de verificação?
3. Uma empresa quer que os funcionários façam login uma vez e acessem todas as aplicações de negócios sem fazer login novamente. Qual recurso fornece isso?
4. Uma organização tem uma aplicação legada que requer autenticação LDAP e Kerberos. Eles querem executá-la no Azure sem gerenciar controladores de domínio. O que devem usar?
5. Qual método de autenticação é considerado o mais seguro e fornece a melhor experiência do usuário?
Saiba Mais
- 📚 Study Guide AZ-900 — Materiais de estudo selecionados
- Microsoft Learn: Describe Azure identity, access, and security
- Microsoft Entra ID documentation