Implementar um Active Directory do Azure – [2/4] – [70-533]

Share-it!
Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

Fala galera, td bem? Dando prosseguimento ao post anterior. . . 

#       Integrating Azure Active Directory w/ Office 365        #

O Azure e Ofice 365 são vendidos em contas separadas. Porém, o Azure Active Directory, é um serviço que liga esses dois produtos. Isso acontece porque o diretório que você usa no Office 365 é basicamente inquilino (tenant) do Azure. O que não significa que vc precisa ter um conjunto de serviços no Azure, já está integrado.

Portanto, se vc tem uma assinatura Office 365, o Azure Active Directory pode ser integrado com sua assinatura. Se você não tiver uma assinatura de Office 365, ela poderá também ser adicionada à sua conta através da Application Gallery.

Com isso sua empresa terá benefícios únicos e bem importantes como:

  • Usuários autorizados no AAD pode prover recursos na assinatura Azure.
  • As aplicações da empresa que são entregues cmo SaaS podem ser gerenciadas pelos usuários no diretório, através do Portal Azure.
  • As aplicações que são desenvolvidas internamente, podem ser protegidas de acesso indevido, permitindo acesso apenas usuários que estejam no diretório.

 #      Sign up for Azure as an Organization Using Office 365 Organization Accounts      #

Se você possui uma assinatura Office 365, mas não tem uma assinatura do Azure não tem problema. Você pode adicionar uma assinatura Azure pelo http://azure.com, clicque na opção "Start a free trial subscription". Quando pedir usuário e senha, você fornece sua conta de Office 365 e sua senha da conta.

Não esqueça de cumprir as 4 etapas:

  1. Prover informações de contato. Algum dos campos, já vêm preenchidos da sua assinatura O365.
  2. Coloque seu telefone como um segundo fator de autenticação
  3. Insira as informações de pagamento
  4. Aceite os termos de assinatura do Azure

Assim que completar a criação da sua conta, sua assinatura será criada e seu diretório do Office 365 será integrado e poderá ser acessado pelo portal do Azure. O mais legal, é que você pode atribuir acessos co-administrativos para gerência das assinaturas.

 #    Integrate an Office 365 directory with a existing Azure Subscription   #

Se você possui uma conta Office 365 e uma conta Azure você pode integrá-las. Para integrar, você deverá logar no Portal de Gerenciamento do Office 365 (usando sua conta associada com o Azure). Clique em New > App Service > Active Directory > Directory e Custom Create. Uma caixa de diálogo será aberta, para que você possa adicionar o diretório.

Lembre-se, você deverá sair do portal de gerenciamento e logue novamente, usando a conta de um administrador global no diretório do Office 365. Caso não seja feita com a conta de administrador global do Office 365, o diretório não poderá ser incluso, ou seja, a integração não é feita com sucesso.

Tanto o Office 365, quando o Azure Active Diretory, fornecem contas diferentes de administradores, que possuem atribuições variadas.

  • Billing Administrator: Esse usuário pode comprar novos serviços Azure, gerenciar assinaturas e criar tickets de suporte e monitorar a saúde do serviço.
  • Global Administrator: Esse usuário pode acessar todas as funções administrativas no diretório e pode atribuir à outros usuários várias funções administrativas.
  • Password Administrador: Esse usuário pode resetar senha de outros usuários, apenas não reseta senha dos usuários que são Global Administrator.
  • Service Administrator: Esse usuário pode gerenciar serviços e monitorar a saúde dos mesmos.
  • User Administrator: Esse usuário pode resetar senha de outros usuários,  gerenciar contas de usuário, grupos e serviços.

Após efetuar esses passos, o diretório do Office 365 será o diretório padrão ("default") associado à sua assinatura Azure. Portanto, você poderá logar no portal usando a mesma conta para ambos os serviços.

#   Adding Office 365 to na existing Azure Subscription   #

Se você possui apenas uma conta Azure, mas deseja adquirir o produto Office 365, você pode adicioná-lo usando um usuário com permissões de "Global Administrator", no AAD. A menos que você tenha criado um AAD diferente em sua subscrição, o diretório padrão da sua assinatura Azure, será o mesmo para a sua assinatura O365.

Para adicionar uma conta O365, usando sua estrutura já criada do Azure é simples. Logue no https://portal.office.com com suas credenciais de "Global Administrator". Depois do login você será direcionado ao Office 365 Admin Portal. Porém, você não tem uma subscrição associada ainda. Prossiga com as configurações que estarão na tela, para adicionar sua conta e vincular os serviços.

#             Configuring a Custom Domain               # 

Toda a assinatura Azure possui um diretório e DNS padrão nomeado com um domínio.onmicrosoft.com. Por exemplo sua empresa chama ABCDEF, quando você fizer a subscrição com esse nome o diretório padrão e o nome DNS de sua conta Azure será ABCDEF.onmicrosoft.com.

Embora esse domínio seja totalmente funcional, o nome dele não é amigável, e é muito extenso. Imagina um usuário tendo que logar em alguma aplicação, ficaria algo assim: joao@abcdef.onmicrosoft.com. No Azure, temos a opção de "Custom Domain", ouseja, vocÊ pode criar um domínio com um nome customizado. Ou seja, o domínio abcdef@onmicrosoft.com pode ser transformado em abcdef.cloud. (Exemplo)

Para que isso seja possível você deverá seguir alguns passos:

  1. Obtenha propriedade do domínio, caso você não tenha um
  2. Adicione esse domínio no Azure Active Directory
  3. Atualize o registro DNS em seu administrador de domínio. (Hostgator, Registro.BR)
  4. Verifique o domínio no portal de gerenciamento
  5. Mude o domínio primário para o diretório

Após assumir a propriedade do domínio, você deverá logar no portal Azure e Adicionar o Domínio na lista de domínios. (Será necessária a assinatura Premium para adicionar mais de um domínio)

Depois de adicionar seu domínio, você deverá criar uma entrada DNS em seu registrador de domínio, apontado para o Azure. A entrada tem que ser do tipo TXT ou então pode ser MX também. Ex.: Alias: @ | Destination or Points to Address: MS=ms17869257 | TTL: 3600 (minutes)

Ao concluir, aparecerá em seu dashboard no portal, os seu novo domínio já validado e pronto para uso.

#             Monitoring Azure Active Directory       #

O AAD provê ao usuário alguns meios de monitorar as atividades dos usuários no diretório. Usando relatórios, notificações e outros serviços do AAD é possível ver a atividade de sign-in, atividades suspeitas de login e inclusive identificar uso nas aplicações.

 #      User and group activity sign-in reports       #

É bem simples obter a relação dos usuários logados, usando o portal. Para ver a atividade, clique em cima do usuário o qual você deseja obter um relatório (na página de usuários) e pronto. É possível ter informações como por exemplo:

  • Dia e hora do Login
  • A Aplicação que foi acessada
  • O IP do Host
  • A localização do login. (Cidade, Estado, País)
  • O tipo de cliente utilizado. (Windows 8, 7 etc)

É possível também baixar o relatório no formato .csv, para possíveis e futuras auditorias.

#                               Azure Reports                         #

O Azure Active Directory Reports são relatórios de monitoramento precisos e usuais que podem ser utilizados para que possamos ter uma visibilidade maior sobre os potenciais riscos de segurança da informação que estamos expostos em nossas empresas. Os relatórios estão disponíveis no portal em três grupos:

  • Anomalous Activity: São utilizados para ver as atividades de login fora da normalidade, ou que são inconsistentes.
  • Activity Logs: Relatório utilizado apenas para ver a atividade de um usuário. Onde ele logou, de onde, qual ip, etc.
  • Integrated Applications:  Relatório utilizado para identificar as aplicações de maior acesso e outros eventos de negação ou permissão de acesso à aplicações SaaS .

#                               Notifications                           #

As notificações estão disponíveis apenas para os usuários do AAD Premium. As notificações podem ser disparadas em forma de um email, onde o administrador pode ficar sabendo de um acesso indevido ou acesso suspeita à alguma aplicação. As notificações podem enviar emails contendo informações de:

  • Atividade suspeita (Anomalous Sign Ins)
  • Reset de Senha de Administradores ( Quando um adm reseta sua senha)
  • Quando os usuários resetam sua própria senha (Writeback).

#                      Cloud App Discovery                       #

Ao contrário dos relatórios de uso de aplicativos que relatam o uso de aplicativos para aplicativos que você forneceu, você descobre aplicativos que estão sendo usados e que não foram provisionados em seu diretório. Esse serviço funciona coletando dados de acesso à outras aplicações pelos usuários. Basicamente você faz o download de um agente (Microsoft Cloud App Discovery Endpoint Agent) e instala nas máquinas para monitorar o acesso e saber quais aplicações estão sendo utilizadas.

O agente transfere periodicamente os dados de acesso à uma aplicação e você pode ver no portal Cloud App Discovery todo o histórico de uso. É possível também verificar o acesso à uma aplicação e com isso adicioná-la no AAD e provisionar um grupo para acesso à ela. Do contrário, é possível também decidir que essa aplicação não é aceita pela organização e com isso restringir o acesso à mesma.

. . . Continua no próximo post! 😉

#enjoy #rock #azure #cloud

Um Forte Abraço!

Gustavo Magella

| MSP LEAD | MCSA | MTA| MCTS | ITIL | ISO 27.002 | EXIN CLOUD
| EXIN CERTIFIED INTEGRATOR SECURE CLOUD SERVICES |
***********************************************************************************
Apaixonado por tecnologia, enxergo na Cloud Computing um enorme potencial para alavancar seus negócios e transformar o mundo. Follow Me and Discover ! 😉

Author: Gustavo Magella

| MSP LEAD | MCSA | MTA| MCTS | ITIL | ISO 27.002 | EXIN CLOUD | EXIN CERTIFIED INTEGRATOR SECURE CLOUD SERVICES | *********************************************************************************** Apaixonado por tecnologia, enxergo na Cloud Computing um enorme potencial para alavancar seus negócios e transformar o mundo. Follow Me and Discover ! ;)

Leave a Reply

Your email address will not be published. Required fields are marked *

Responda o enigma: * Time limit is exhausted. Please reload CAPTCHA.