Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Contoso na
nuvem da
Microsoft 1 2 3 4 5Este tópico é o 1 de 6 em uma série
The Contoso Corporation
Organização mundial da Contoso
Elementos de Implementação da Contoso da nuvem da Microsoft
Rede
Rede inclui a conectividade às ofertas de
nuvem Microsoft e largura de banda
suficiente para ter um bom desempenho sob
cargas de pico. Alguma conectividade será
local por conexões de Internet locais e
alguma será por infraestrutura de rede
privada da Contoso.
Identidade
A Contoso usa uma floresta do AD do
Windows Server para seu provedor de
identidade interno e também faz federação
com provedores de terceiros para clientes e
parceiros. A Contoso deve aproveitar o
conjunto interno de contas para ofertas de
nuvem da Microsoft. Acesso a aplicativos
baseados em nuvem para clientes e parceiros
deve aproveitar provedores de identidade de
terceiros também.
Segurança
Segurança para identidades e dados
baseados em nuvem deve incluir proteção
de dados, gerenciamento de privilégio
administrativo, reconhecimento de ameaça
e implementação de políticas de
governança e segurança de dados.
Gerenciamento
Gerenciamento para aplicativos baseados
em nuvem e cargas de trabalho SaaS
precisará poder realizar a manutenção de
configurações, dados, contas, políticas e
permissões e monitorar o desempenho e a
integridade em andamento. Ferramentas de
gerenciamento de servidor existentes serão
usadas para gerenciar máquinas virtuais no
Azure IaaS.
Os arquitetos de TI da Contoso identificaram os seguintes elementos ao planejar a adoção de ofertas de nuvem da Microsoft.
Identidade de nuvem da
Microsoft para arquitetos da
empresa
Identidade de nuvem da
Microsoft para arquitetos da
empresa
Rede da nuvem da Microsoft
para arquitetos da empresa
Rede da nuvem da Microsoft
para arquitetos da empresa
Segurança de nuvem da
Microsoft para arquitetos da
empresa
Segurança de nuvem da
Microsoft para arquitetos da
empresa
Escritórios da Contoso no mundo todo seguem um design de três camadas.
A Contoso Corporation é uma empresa global sediada em Paris, França. É uma organização de conglomerado de fabricação, vendas e suporte com mais de 100 mil produtos.
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
FiliaisHubs regionaisSedeSede
A sede da Contoso Corporation é
um grande campus corporativo nos
arredores de Paris com dezenas de
prédios com instalações
administrativas, de fabricação e de
engenharia. Todos os datacenters da
Contoso e sua presença na Internet
estão hospedados na sede de Paris.
A matriz tem 15 mil trabalhadores.
Os escritórios do hub regional
escritórios atendem a uma região
específica do mundo com 60% de
equipe de vendas e suporte. Cada
hub regional está conectado à sede
Paris por um link WAN de ampla
largura de banda.
Cada hub regional tem uma média
de 2 mil trabalhadores.
As filiais têm 80% de equipe de
vendas e suporte e oferecem uma
presença física e local para os clientes
da Contoso nas principais cidades ou
sub-regiões. Cada filial está
conectada a um hub regional por um
link WAN ampla largura de banda.
Cada filial tem uma média de 250
funcionários.
25% da força de
trabalho da Contoso é
somente móvel, com
um percentual maior
de funcionários apenas
móveis nos hubs
regionais e nas filiais.
Fornecer suporte
melhor para
trabalhadores somente
móveis é uma
importante meta de
negócios da Contoso.
6
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Contoso na
nuvem da
Microsoft
Infraestrutura e necessidades de TI da Contoso
Mapeando as necessidades de negócios da Contoso para as ofertas de nuvem da Microsoft
Infraestrutura de TI existente da Contoso
SaaSSoftware como Serviço
Azure PaaSPlataforma como Serviço
Azure IaaSInfraestrutura como Serviço
A Contoso usa principalmente a infraestrutura de TI local centralizada, com datacenters de aplicativo
na sede de Paris.
A Contoso está no processo de transição de uma infraestrutura de TI centralizada local para uma infraestrutura incluindo
nuvem que incorpore cargas de trabalho, aplicativos e cenários híbridos de produtividade pessoal baseados em nuvem.
Necessidades de negócios da Contoso
Cumprir os requisitos regulamentares regionais
Para evitar multas e manter boas relações com os governos locais, a Contoso deve garantir a conformidade com os regulamentos de criptografia e armazenamento de dados.
1Melhorar o gerenciamento de fornecedores e parceiros
A extranet do parceiro está envelhecendo e tem alto custo de manutenção. A Contoso quer substituí-la por uma solução baseada em nuvem que use autenticação federada.
2Melhorar a produtividade, o gerenciamento de dispositivos e o acesso da força de trabalho móvel
A força de trabalho somente móvel da Contoso está se expandindo e precisa de gerenciamento de dispositivos para garantir a proteção de propriedade intelectual e acesso mais eficiente aos recursos.
3
Reduzir a infraestrutura de acesso remoto
Ao mover recursos comumente acessados por trabalhadores remotos para a nuvem, a Contoso economizará dinheiro reduzindo os custos de manutenção e suporte para sua solução de acesso remoto.
4Reduzir verticalmente datacenters locais
Os datacenters da Contoso contêm centenas de servidores, alguns dos quais estão executando funções herdadas ou de arquivamento que desviam a atenção da equipe de TI da manutenção decargas de trabalho dealto valor comercial.
5Escalar verticalmente recursos de computação e armazenamento para processamento de final de trimestre
Contabilidade financeira de final do trimestre e processamento de projeção, juntamente com o gerenciamento de estoque, requerem aumentos de curto prazo em servidores e armazenamento.
6
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
InternetInternetDMZDMZ
Extranet do
parceiro
Acesso/proxy
remoto
Acesso/proxy
remoto
Site públicoSite público
Trabalhadores
remotos e
somente móveis
Trabalhadores
remotos e
somente móveis
Firewall internoFirewall interno Firewall externoFirewall externo
Na DMZ da Contoso, diferentes conjuntos
de servidores oferecem:
• Acesso remoto à intranet da Contoso e
proxy Web para os funcionários na sede
Paris.
• Hospedagem para o site público da
Contoso, do qual os clientes podem
solicitar produtos, peças ou
suprimentos.
• Hospedagem para a extranet do
parceiro da Contoso para comunicação
e colaboração do parceiro.
SedeSede
Datacenters de
aplicativo
Datacenters de
aplicativo
Funcionários
locais
Funcionários
locais
Office 365: principais
aplicativos de produtividade
pessoal e de grupo na nuvem.
Dynamics 365: use
gerenciamento de cliente e
fornecedor baseado em
nuvem. Remova a extranet do
parceiro na DMZ.
Intune/EMS: gerencie
dispositivos iOS e Android.
Hospede documentos de
vendas e suporte e sistemas
de informação utilizando
aplicativos baseados em
nuvem.
Aplicativos móveis são
baseados em nuvem, em vez
de serem baseados no
datacenter de Paris.
Mova sistemas de arquivamento e
herdados para servidores
baseados em nuvem.
Migre aplicativos e dados de baixo
uso para fora dos datacenters
locais.
Adicione servidores e
armazenamento temporários para
as necessidades de processamento
de final de trimestre.
2
1 3
3
3
3 4
5
5
6
5
1 2 3 4 5Este tópico é o 2 de 6
em uma série
6
Campus de ParisCampus de Paris
Hub regionalHub regional
Contoso na
nuvem da
Microsoft
Rede
Infraestrutura de rede da Contoso
Para adotar uma infraestrutura de nuvem inclusiva, os engenheiros de rede da Contoso fizeram
a mudança fundamental na maneira como o tráfego de rede para serviços baseados em nuvem
ocorre. Em vez de apenas otimizar o tráfego para servidores e datacenters locais, a mesma
atenção foi dedicada a otimizar o tráfego para a borda de Internet e em toda a Internet.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Infraestrutura do aplicativo Contoso
A Contoso tem a seguinte infraestrutura de rede.
Rede local
Links WAN conectam a sede de Paris a escritórios
regionais e os escritórios regionais a filiais em uma
configuração raio e hub.
Dentro de cada escritório, roteadores distribuem o
tráfego para hosts ou pontos de acesso sem fio em
sub-redes, que usam o espaço de endereço IP particular.
Conectividade com a Internet
Cada escritório tem a própria conectividade com a Internet
por meio de um servidor proxy.
Isso geralmente é implementado como um link WAN para
um ISP local que também fornece endereços IP públicos
para o servidor proxy.
Presença na Internet
A Contoso detém o nome de domínio público contoso.com.
O site público da Contoso para pedidos de produtos é um
conjunto de servidores em um datacenter conectado à
Internet no campus de Paris.
A Contoso usa um intervalo de endereços IP público /24 na
Internet.
Servidores de
aplicativo
regionais
Servidores de
aplicativo
regionais
Datacenters
centrais do
aplicativo
Datacenters
centrais do
aplicativo
FilialFilial
Servidor de
caching
Servidor de
caching
A Contoso projetou sua infraestrutura de aplicativo e
servidor para o seguinte:
• Filiais usam servidores de caching locais para
armazenar documentos acessados com frequência
e sites internos.
• Hubs regionais usam servidores de aplicativo
regionais para os escritórios regionais e as filiais.
Esses servidores sincronizam-se com os servidores
da matriz de Paris.
• O campus de Paris tem os datacenters que contêm
os servidores de aplicativo centralizados que
atendem toda a organização.
Para usuários nas filiais ou hubs regionais, 60% dos
recursos de que os funcionários precisam podem ser
atendidos por servidores de filiais e hubs regionais. Os
outros 40% das solicitações de recursos devem ir pelo
link de WAN para o campus de Paris.
60%
100%
Continua na próxima página
1 2 3 4 5Este tópico é o 3 de 6
em uma série
6
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
Recursos de rede
na nuvem
Uso da ExpressRoute pela Contoso
A ExpressRoute é uma conexão WAN dedicada de seu local para um local de
emparelhamento da Microsoft que conecta a sua rede à rede de nuvem da Microsoft.
As conexões ExpressRoute oferecem desempenho previsível e um SLA de tempo de
atividade de 99,9%.
Com uma conexão ExpressRoute, você é conectado à rede de nuvem da Microsoft e a
todos os locais de datacenter Microsoft no mesmo continente. O tráfego entre o local
de emparelhamento de nuvem e o datacenter Microsoft de destino é feito através da
rede de nuvem da Microsoft.
Com o ExpressRoute Premium, você pode acessar qualquer data center Microsoft em
qualquer continente de qualquer local de emparelhamento da Microsoft em qualquer
continente. O tráfego entre continentes é feito através da rede de nuvem da
Microsoft.
Otimizar os computadores dos funcionários para acesso à Internet
Computadores individuais serão verificados para garantir que as atualizações mais recentes de pilha de TCP/IP, navegador, drivers da NIC e segurança e sistema
operacional estejam instaladas.
1 Analisar a utilização da conexão de Internet em cada escritório e aumentar conforme necessário
Será analisado o uso que cada escritório faz da Internet atual, e largura de banda do link WAN será aumentada se ele estiver
operando a uma utilização de 70% ou mais.
2 Analisar sistemas DMZ em cada escritório quanto ao desempenho ideal
Firewalls, IDSs e outros sistemas no caminho da Internet serão analisados quanto ao desempenho ideal. Servidores proxy serão atualizados conforme
necessário.
3
Caminho da Contoso para a preparação de rede na nuvem
Aqui estão os resultados da análise da Contoso das alterações necessárias na rede para
acomodar as categorias diferentes de ofertas de nuvem da Microsoft.
A adoção bem-sucedida dos serviços SaaS pelos usuários depende de conectividade altamente disponível e de alto desempenho à Internet ou diretamente aos serviços em nuvem da Microsoft.
Para usuários móveis, será presumido que o acesso à Internet atual é adequado.
Para os usuários na intranet da Contoso, cada escritório deve ser analisado e otimizado para produtividade para a Internet e tempos de viagem de ida e volta ao datacenter da Europa da Microsoft que hospeda os locatários do Office 365, do EMS e do Dynamics 365.
Ofertas de nuvem SaaSOffice 365, EMS e Dynamics 365
Para dar um suporte melhor aos trabalhadores móveis, aplicativos herdados e alguns sites de compartilhamento de arquivos estão sendo reformulados e implantados como aplicativos Azure PaaS. Para o desempenho ideal, a Contoso planeja implantar os novos aplicativos de vários datacenters do Azure no mundo todo. O Gerenciador de Tráfego do Azure deverá enviar solicitações de aplicativo cliente, originadas tanto de um usuário móvel quanto de um computador no escritório, para o datacenter Azure mais próximo que hospede o aplicativo.
O departamento de TI precisará adicionar desempenho de aplicativo PaaS e distribuição de tráfego à solução de monitoramento de integridade de rede.
Azure PaaSAplicativos móveis
Para transferir alguns servidores herdados e de arquivamento para fora dos datacenters do campus de Paris e adicionar servidores conforme necessário para processamento do final do trimestre, a Contoso planeja usar máquinas virtuais em execução nos serviços de infraestrutura do Azure.
As redes virtuais Azure que contêm esses servidores devem ser projetadas para espaços de endereço, roteamento e DNS integrado não sobrepostos.
O departamento de TI deve incluir esses novos servidores ao seu sistema de gerenciamento e monitoramento de rede.
Azure IaaSCargas de trabalho baseadas em servidor
Análise de rede da Contoso
Com base na análise de tráfegos atuais e futuros para ofertas de nuvem da Microsoft e seus requisitos
de alta qualidade de serviço para comunicações baseadas em Skype, a Contoso realizou uma avaliação
da rede e implementou uma conexão ExpressRoute Premium de qualquer uma para qualquer uma
(baseada em MPLS) da sede de Paris para o local de emparelhamento da Microsoft na Europa.
Desempenho consistente para a
equipe do campus de Paris para
aplicativos SaaS
Com 15 mil funcionários no campus de
Paris, todos acessando simultaneamente o
Office 365, o Intune e o 365 Dynamics, a
Contoso deseja garantir que o acesso
tenha um desempenho consistentemente
alto e não concorra com tráfego de
Internet regional.
Desempenho consistente para a
administração de aplicativos do
Azure PaaS distribuídos
Todos os desenvolvedores de aplicativos e os
administradores de TI de infraestrutura principal
da Contoso estão no campus de Paris.
Com aplicativos Azure PaaS distribuídos a
diferentes data centers Azure em todo o mundo,
a Contoso precisa de desempenho consistente do
campus de Paris para administrar os aplicativos e
seus recursos de armazenamento, que consistem
em TB de documentos.
Desempenho consistente para
administração de servidores no
Azure IaaS
Os administradores do datacenter da Contoso
estão no campus de Paris e os servidores a serem
implantados no Azure são uma extensão do
datacenter de Paris.
A Contoso precisa de desempenho consistente
para esses novos servidores para acessar
aplicativos herdados e armazenamento de
arquivamento e para processamento de final de
trimestre.
Adicionar ExpressRoute Premium para o campus de Paris
Fornece acesso consistente ao ofertas de nuvem SaaS para trabalhadores do campus de Paris e administração de cargas de trabalho do Azure PaaS e IaaS em todo o
mundo.
4 Criar e testar um perfil do Gerenciador de Tráfego do Azure para aplicativos do Azure PaaS
Teste um perfil do Gerenciador de Tráfego do Azure que use o método de roteamento de desempenho para obter experiência na distribuição tráfego de Internet para locais
regionais.
5 Reservar espaço de endereço particular para VNets do Azure
Com base nos números de projetado servidores de curto e longo prazos projetados no Azure IaaS, reserve espaço de endereço particular para VNets do
Azure e suas sub-redes.
6
http://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para Office 365
http://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para Office 365ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
Rede da nuvem da Microsoft
para arquitetos da empresa
Rede da nuvem da Microsoft
para arquitetos da empresa
http://aka.ms/cloudarchnetworking
Rede da nuvem da Microsoft
para arquitetos da empresa
http://aka.ms/cloudarchnetworking
Contoso na
nuvem da
Microsoft
Identidade
Floresta do AD do Windows Server da Contoso
A Microsoft fornece IDaaS (Identidade como um Serviço) em suas ofertas de nuvem. Para adotar uma
infraestrutura que inclua nuvem, a solução de IDaaS da Contoso deve aproveitar seu provedor de identidade
local e incluir autenticação federada com seus atuais provedores de identidade confiáveis de terceiros.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
InternetInternetDMZDMZ
Extranet do
parceiro
Extranet do
parceiro
Site públicoSite públicoClientes e
parceiros
Clientes e
parceiros
Firewall externoFirewall externo
Infraestrutura de autenticação federada da Contoso
AD FSAD FS
A Contoso usa uma única floresta do AD (Active Directory) do Windows Server para contoso.com com sete domínios, um para cada região do mundo. A sede, os
escritórios de hubs regionais e filiais contêm controladores de domínio para autenticação e autorização locais.
A Contoso deseja usar as contas e os grupos na floresta contoso.com para autenticação e autorização para seus aplicativos e cargas de trabalho baseados em nuvem.
A Contoso permite que:
• Clientes usem as contas da Microsoft, Facebook ou
Google Mail para entrar no site público.
• Fornecedores e parceiros usem as contas do LinkedIn, do
Salesforce ou do Google Mail para entrar na extranet do
parceiro.
Os servidores AD FS (Serviços de Federação do Active
Directory) na DMZ autenticam as credenciais do cliente para
acessar o site público e as credenciais de parceiro para
acessar a extranet do parceiro.
Quando a Contoso faz a transição do seu site público para
um aplicativo Web do Azure e da extranet do parceiro para
365 Dynamics, ela quer continuar usando esses provedores
de identidade de terceiros para seus clientes e parceiros.
Isso será feito configurando a federação entre locatários do
Azure AD da Contoso e esses provedores de identidade de
terceiros.
Continua na próxima página
1 2 3 4 5Este tópico é o 4 de 6
em uma série
6
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
Recursos de
identidade da
nuvem
Sincronização de diretórios para a floresta do AD do Windows Server da Contoso
A Contoso implantou a ferramenta Azure AD Connect em um cluster de
servidores em seu data center de Paris. O Azure AD Connect sincroniza as
alterações à floresta do AD do Windows Server de contoso.com com o
locatário do Azure AD compartilhado pelas assinaturas do Office 365, do
EMS, do 365 Dynamics e do Azure da Contoso. Para obter mais
informações sobre assinaturas, licenças, contas de usuário e locatários,
consulte o tópico 5.
A Contoso configurou autenticação federada, que fornece logon único para
trabalhadores da Contoso. Quando um usuário que já tiver entrado na
floresta do AD do Windows Server de contoso.com acessar um recurso de
nuvem da Microsoft SaaS ou PaaS, ele não será solicitado a informar uma
senha.
O tráfego para a sincronização de diretório vai da conexão do ExpressRoute
Premium do campus da sede para a rede de nuvem da Microsoft.
Escritório regional 1 Escritório regional 2 Escritório regional 3
Locação do
Office 365 na
Europa
Servidores de
autenticação
SedeSede
Servidor do
Azure AD
Connect
Servidor do
Azure AD
Connect
Microsoft cloud
ExpressRoute
Premium
ExpressRoute
Premium
Azure Locatário do AD
Azure Locatário do AD
Azure Locatário do AD
Distribuição geográfica do tráfego de autenticação da ContosoPara melhor atender à sua força de trabalho móvel e remota, a Contoso implantou conjuntos de servidores de autenticação em se us escritórios regionais. Essa
infraestrutura distribui a carga e fornece redundância e o melhor desempenho ao autenticar credenciais de usuário para acesso a ofertas de nuvem da Microsoft
que usam o locatário Azure AD comum.
Para distribuir a carga de solicitações de autenticação, a Contoso configurou o Gerenciador de Tráfego do Azure com um perfil que usa o método de roteamento
de desempenho, que encaminha clientes de autenticação ao conjunto de servidores de autenticação mais próximos na região.
Redundância para a infraestrutura de autenticação da sede no Azure IaaS
Gerenciador de tráfego
Gerenciador de tráfego
5. O computador cliente envia uma solicitação de autenticação para um servidor
proxy do aplicativo Web, que encaminha a solicitação a um servidor do AD FS.
6. O servidor do AD FS solicita as credenciais do usuário do computador cliente.
7. O computador cliente envia as credenciais do usuário sem avisar o usuário.
8. O servidor AD FS valida as credenciais com um controlador de domínio do AD
do Windows Server no escritório regional e retorna um token de segurança no
computador cliente.
9. O computador cliente envia o token de segurança ao Office 365.
10. Após a validação bem-sucedida, o Office 365 armazena em cache o token de
segurança e envia a página da Web solicitada na etapa 1 ao computador cliente.
1. O computador cliente inicia a comunicação com uma página da Web
no locatário do Office 365 na Europa (como sharepoint.contoso.com).
2. O Office 365 envia de volta uma solicitação para enviar uma prova de
autenticação. A solicitação contém a URL para o contato para a
autenticação.
3. O computador cliente tenta resolver o nome DNS na URL para um
endereço IP.
4. O Gerenciador de Tráfego do Azure recebe a consulta DNS e responde
ao computador cliente com o endereço IP de um servidor proxy do
aplicativo Web do escritório regional mais próximo do computador
cliente.
Exemplo de processo de autenticação:
DMZ
Proxies do
aplicativo Web
Proxies do
aplicativo Web
Servidores do
AD FS
Servidores do
AD FS
Escritório regional
Firewall internoFirewall interno
Controladores
de domínio do
AD do Windows
Server
Controladores
de domínio do
AD do Windows
Server
Solicitação
de
autenticação
DMZ
Proxies de
aplicativo Web
Proxies de
aplicativo WebServidores do
AD FS
Servidores do
AD FS
SedeSede
Datacenters
centrais do
aplicativo
Datacenters
centrais do
aplicativo
Interno
firewall
Interno
firewall
Rede virtual
ExpressRoute
Premium
ExpressRoute
Premium
Proxies de
aplicativo Web
Proxies de
aplicativo Web
Servidores do
AD FS
Servidores do
AD FS
Servidores de
autenticação
Servidores de
autenticação
Para fornecer redundância para os trabalhadores remotos e móveis de sede de Paris, que tem
15 mil trabalhadores, a Contoso implantou um segundo conjunto de proxies de aplicativo e
servidores AD FS no Azure IaaS.
Quando os servidores de autenticação primários na DMZ da sede não estão disponíveis, a
equipe de TI muda para o conjunto redundante implantado no Azure IaaS. Solicitações de
autenticação subsequentes de computadores do escritório de Paris usam o conjunto no
Azure IaaS até que o problema de disponibilidade ser corrigido.
Para mudar e voltar, a Contoso atualiza o perfil
do Gerenciador de Tráfego do Azure para a
região de Paris usar um conjunto diferente de
endereços IP para os proxies de aplicativo Web:
• Quando os servidores de autenticação da
DMZ estão disponíveis, use os endereços IP
dos servidores na DMZ.
• Quando os servidores de autenticação da
DMZ não estiverem disponíveis, use os
endereços IP dos servidores no Azure IaaS.
http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282
Infográfico: Gerenciamento de
acesso e identidade na nuvem
http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281
Synchronizing your directory with
Office 365 is easy (É fácil sincronizar
seu diretório com o Office 365)
Computador do cliente
GatewayGateway
Identidade de nuvem da
Microsoft para arquitetos da
empresahttp://aka.ms/cloudarchidentity
Identidade de nuvem da
Microsoft para arquitetos da
empresahttp://aka.ms/cloudarchidentity
Contoso na
nuvem da
Microsoft
Assinaturas, licenças e contas de usuário
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
Estrutura da Contoso
Para fornecer um uso consistente de identidades e cobrança para todas as ofertas de nuvem, a Microsoft fornece uma hierarquia de organização/assinaturas/licenças/contas de usuário.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Intune/EMS500 licençasIntune/EMS500 licenças
Dynamics 365100 licenças
Dynamics 365100 licenças
Assinaturas do Azure regionaisAssinaturas do Azure regionais
Contoso Corporation
Azure Locatário do AD
Azure Locatário do AD
Office 365Office 365
Enterprise E3500 licenças
Contas de usuário sincronizadas da floresta do AD do
Windows Server de contoso.com
Enterprise E5200 licenças
Assinaturas do Azure da Contoso A Contoso desenvolveu a seguinte hierarquia para suas
assinaturas do Azure:
• A Contoso está no topo, com base em seu Enterprise
Agreement com a Microsoft.
• Há um conjunto de contas correspondentes a
diferentes regiões da Contoso Corporation em todo o
mundo, com base nos domínios da floresta do AD do
Windows Server da Contoso.
• Em cada região, há uma ou mais assinaturas com base
nas necessidades de implantação de desenvolvimento,
teste e produção da região.
Cada assinatura do Azure pode ser associada um único
locatário Azure AD que contém as contas de usuário e
grupos para autenticação e autorização para os serviços
do Azure. Assinaturas de produção usam o locatário
comum Contoso Azure AD.
Organização
A entidade de negócios que está usando ofertas de nuvem da Microsoft, normalmente identificada por um nome de domínio DNS público, como contoso.com.
Assinaturas
Para ofertas de nuvem SaaS da Microsoft (Office 365, Intune /EMS e Dynamics 365), uma assinatura é um produto específico e um conjunto adquirido de licenças de usuário.
Para o Azure, uma assinatura permite a cobrança da organização por serviços de nuvem consumidos.
Licenças
Para ofertas de nuvem da Microsoft SaaS, uma licença permite que uma conta de usuário específica use serviços de nuvem.
Para o Azure, licenças de software estão integradas ao preço do serviço, mas, em alguns casos, você precisará comprar licenças de software adicionais.
Contas de usuário
Contas de usuário são armazenadas em um locatário do Azure AD e podem ser sincronizadas de um provedor de identidade local, como o AD do Windows Server.
Organização A Contoso Corporation é identificada por seu nome de domínio público contoso.com.
Assinaturas e licenças A Contoso Corporation está usando o seguinte:
• O produto Office 365 Enterprise E3 com 500 licenças• O produto Office 365 Enterprise E5 com 200 licenças• O produto EMS com 500 licenças• O produto Dynamics 365 com 100 licenças• Várias assinaturas do Azure com base em regiões
Contas de usuário Um locatário comum do Azure AD contém a lista de contas de usuário e grupos usado por todas as assinaturas da Contoso, com exceção de assinaturas do Azure de desenvolvimento e teste.
• Para ofertas de nuvem SaaS, o locatário é o local regional que engloba os
servidores que fornecem serviços de nuvem. A Contoso escolheu a região
europeia para hospedar seus locatários do Office 365, do EMS e do
Dynamics 365.
• Os serviços e aplicativos do Azure PaaS e as cargas de trabalho de TI IaaS
podem ter locação em qualquer datacenter do Azure no mundo todo.
• Um locatário do Azure AD é uma instância específica do Azure AD contendo
contas e grupos. O locatário comum do Azure AD que contém as contas
sincronizadas da floresta do AD do Windows Server da Contoso oferece
IDaaS em ofertas de nuvem da Microsoft.
Assinaturas, licenças, contas e locatários para ofertas de nuvem da MicrosoftAssinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft
Locatários:
1 2 3 4 5Este tópico é o 5 de 6 em uma série
6
contoso.com
Diretrizes de contas e assinatura do AzureDiretrizes de contas e assinatura do Azure
Contoso na
nuvem da
Microsoft
SegurançaA Contoso leva a sério a segurança e a proteção das informações. Ao fazer a transição da infraestrutura
de TI para uma incluindo nuvem, ela garantiu o suporte e a implementação dos requisitos de segurança
local nas ofertas de nuvem da Microsoft.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
ACLs de acesso de
privilégios mínimos
As permissões da conta para acessar recursos na nuvem e o que eles têm permissão para fazer devem seguir as diretrizes de
privilégios mínimos.
Criptografia de dados em
repouso na nuvemTodos os dados armazenados em disco ou em outro lugar na nuvem devem estar no formato criptografado.
Criptografia para o tráfego
pela Internet
Nenhum dado enviado pela Internet está em formato de texto sem formatação. Sempre use conexões HTTPS, IPsec ou outros
métodos de criptografia de dados de ponta a ponta.
Autenticação forte para
recursos na nuvemO acesso a recursos na nuvem deve ser autenticado e, quando possível, aproveitar autenticação multifator.
Requisitos de segurança da Contoso na nuvem
Classificação de confidencialidade de dados da Contoso
Nível 1: baixo valor de negócios
Os dados são criptografados e estão disponíveis somente a usuários autenticados
Fornecido para todos os dados armazenados localmente e em armazenamento e cargas de trabalho baseados em nuvem, como Office 365. Os dados são criptografados enquanto estão no serviço e em trânsito entre o serviço e os dispositivos do cliente.
Exemplos de dados de Nível 1 são comunicações de negócios normais (email) e arquivos para
trabalhadores administrativos, de vendas e de suporte.
Nível 2: médio valor de negócios
Nível 1 mais autenticação forte e proteção contra perda de dados
Autenticação forte inclui autenticação multifator com validação de SMS. Prevenção de perda de dados garante que informações confidenciais ou críticas não trafeguem fora da rede local.
Exemplos de dados de nível 2 são informações financeiras e legais e dados de pesquisa e
desenvolvimento para novos produtos.
Nível 3: alto valor de negócios
Nível 2 mais os níveis mais altos de criptografia, autenticação e auditoria
Os níveis mais altos de criptografia de dados em repouso e na nuvem, de modo compatível com os regulamentos regionais, combinados com autenticação multifator com cartões inteligentes e auditoria e alertas granulares.
Exemplos de dados de nível 3 são informações de identificação do usuário do cliente e do parceiro e especificações de engenharia de produto e técnicas de
fabricação proprietárias.
Kit de ferramentas de classificação de dadosKit de ferramentas de classificação de dados
Usando as informações do Kit de ferramentas de classificação de dados da Microsoft, a Contoso realizou uma análise de seus
dados e determinou os níveis a seguir.
Mapeamento de recursos e ofertas de nuvem da Microsoft para os níveis de dados
da Contoso
• HTTPS para todas as conexões• Criptografia em repouso
• MFA (autenticação multifator) do Azure AD com SMS
• RMS (Sistema de RightsManagement) do Azure
• MFA do Azure AD com cartões inteligentes
• Acesso condicional Intune
Nível 1: baixo valor de negócios
Nível 2: médio valor de negócios
Nível 3: alto valor de negócios
• Suporte apenas a conexões HTTPS• Criptografar arquivos armazenados
no Azure
• Usar Cofre de Chaves do Azure parachaves de criptografia
• MFA do Azure AD com SMS
• Azure RMS• MFA do Azure AD com cartões
inteligentes
• Exigir HTTPS ou IPsec para acesso aoservidor
• Criptografia de disco do Azure
• MFA com SMS
• MFA com cartões inteligentes
1 2 3 4 5Este tópico é o 6 de 6
em uma série
6
Continua na próxima página
Azure IaaSAzure PaaSSaaS
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no [email protected].
Recursos de
segurança da
nuvem
Políticas de informações da Contoso
Otimizar contas de administrador para a
nuvem
A Contoso fez um amplo exame das contas
de administrador existentes do AD do
Windows Server e configurou uma série de
grupos e contas de administrador de nuvem.
1 Executar análise de classificação de
dados em três níveis
A Contoso fez um exame cuidadoso e
determinou os três níveis, que foram
usados para determinar os recursos da
oferta de nuvem da Microsoft para proteger
os dados mais valiosos da Contoso.
2 Determinar políticas de acesso, de
retenção e de proteção de informações
para níveis de dados
Com base nos níveis de dados, a Contoso
determinou requisitos detalhados, que
serão usados para qualificar cargas de
trabalho de TI futuras que estejam sendo
movidas para a nuvem.
3
Caminho da Contoso para preparação para segurança da nuvem
• Permitir acesso a todos
• Permitir acesso a funcionários,fornecedores e parceiros da Contoso
• Usar MFA, TLS e MAM
• Permitir acesso aos executivos eclientes potenciais em engenharia e fabricação
• RMS com dispositivos de redegerenciados somente
Nível 1: baixo valor de negócios
Nível 2: médio valor de negócios
Nível 3: alto valor de negócios
6 meses
2 anos
7 anos
Usar criptografia
Usar valores de hash para integridade de dados
Usar assinaturas digitais para não repúdio
Acesso Retenção de dados Proteção de informações
Curso da Microsoft Virtual Academy Security in a Cloud-Enabled World (Segurança em um mundo habilitado para a nuvem)
http://aka.ms/securecustomermva
Curso da Microsoft Virtual Academy Security in a Cloud-Enabled World (Segurança em um mundo habilitado para a nuvem)
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Proteção de informações para o
Office 365
http://aka.ms/o365infoprotect
Proteção de informações para o
Office 365Segurança de nuvem da Microsoft
para arquitetos da empresa
http://aka.ms/cloudarchsecurity
Segurança de nuvem da Microsoft
para arquitetos da empresa
http://aka.ms/cloudarchsecurity