02-06-2016, 13:41
Os tempos mudaram e se antigamente as empresas tinham os seus servidores dentro de portas ou mesmo alojados num datancenter próximo das suas instalações, hoje há um esforço em mudar para a cloud.
Serviços tais como Email, Telefone, Sharepoint, Active Directory , Anti-virus ou até mesmo gestão de assinturas do email , todos passaram para a cloud.
Desta forma, as empresas deixaram de se preocupar com problemas relacionados com o custo inicial do hardware ou até mesmo a sua substituição ao fim de alguns anos de uso, deixaram ainda de se preocupar com problemas relacionados com o seus serviços estarem em baixo por tempo indetermiado e nos custos traduzidos para a empresa nessas situações.
Como todos sabemos o Windows 10, vejo tentar levar ainda mais a cloud a um novo nível.
Neste caso, estamos a falar da funcionalidade Azure Active Directory disponível para todos os users Windows 10 com subscrição Office 365.
O que vamos cobrir entao neste artigo:
- Auto provisionamento de equipamentos da empresa,
- Utilizacao de contas da empresa para autenticação,
- Autenticação única (Single Sing-On ou SSO) para todas as ferramentas da empresa,
- Autenticação única para ferramentas dentro da empresa,
Azure Active directory, Onde podemos poupar tempo e dinheiro?
Senário 1: As suas aplicações e ferramentas estão maioritariamente na Cloud
Se está a mudar a sua empresa para a cloud utilizando aplicações SaaS tal como Office 365 para produtividade, deverá então considerar Azure AD. Os seus empregados poderão juntar máquinas a correr Windows 10 ao Azure AD durante o setup inicial ou então através das definições de sistema. Desta forma poderão fazer login utilizando as suas credenciais e ter acesso a todas as ferramentas disponibilizadas pela empresa de imediato bem como todas as aplicações que utilizem autenticação Azure AD, incluindo acesso ao painel de control Azure AD (myapps.microsoft.com).
Senário 2: Trabalhadores temporários, estudantes ou trabalhadores remotos
Muitos dos nossos clientes tem trabalhadores temporários, trabalhadores remotos ou até mesmo estudantes que trabalham para as suas empresas, antes era complicado de gerir esta situação pois nem sempre as máquinas utilizadas pelos mesmos pertenciam a empresa ou até mesmo o utilizador estava dentro da empresa para proceder a autenticação nas mais variadas ferramentas disponibilizadas, havendo então a necessidade de autenticacao numa VPN para que depois fosse possivel aceder aos seus serviços de uma forma segura e para que fosse garantida um alto nivel de privacidade para a empresa. Com o Azure AD isso deixou de ser necessario, basta uma ligação a Internet e o utilizador pode trabalhar 100% como se estivesse dentro da empresa.
Senário 3: Trabalhadores remotos em que os equipamentos se danificam ou eram roubados
Imaginemos a situação de um trabalhador da empresa XPTO que foi em viagem de negocios em que por alguma razao a sua maquina avariou ou foi roubada.
Antes, para que pudessemos voltar a ter o utilizador a trabalhar teriamos de reconfigurar uma maquina e enviar para o utilizador.
Hoje, o utilizador pode pura e simplesmente comprar uma nova maquina numa qualquer loja, adicionar a mesma ao dominio de forma simples e rápida e terá novamente acesso a todos os serviços.
Senário 4: Mas eu já tenho um servidor Active Directory na empresa, vou ter de reconfigurar tudo novamente?
Não, pode continuar a utilizar o seu servidor sem qualquer tipo de problema bastando sincronizar o servidor com Azure AD sem qualquer interupção de serviços ou memso que alguem sinta alguma diferenca (tirando a versatibilidade claro).
Vamos então configurar o Azure Active Directory.
Primeiro vamos claro falar acerca de provisionar os utilizadores no Azure AD. Tal como provavelmente sabem, existem varias formas de o fazer, incluindo o provisionamento manual, importar em bulk ou mesmo a sincronização com o seu servidor Active Directory actual. Neste caso, vou assumir que já concluiu este processo e que todos os utilizadores já estao criados.
Agora, necessitamos de dar acesso ao utilizador para adicicionar os seus dispositivos ao Azure AD no Azure Admin Portal .
![[Imagem: 052815_1724_AzureADJoin1.jpg]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin1.jpg)
Pode ainda configurar as seguintes opções:
- Número máximo de dispositivos por utilizador
Defenir um numero maximo de dispositivos que cada utilizador pode adicionar ao dominio. Se o utilizador atingir este numero máximo este não ira conseguir adicionar novos dispositivos até que outro dos seus dispositivos seja removido.
- Activar autenticação em dois passos para adicionar novos dispositivos.
Active esta opção para um nivel de seguranca mais alto, desta forma sempre que um utilizador pretenda acionar um novo dispositivo ao dominio este terá de se autenticar de duas formas diferentes.
- Administradores adicionais para dispositivos adicionados ao Azure AD.
Com o Azure AD Premium ou Enterprise Mobility Suite (EMS), pode decidir quais utilizadores irao ter permissoes de administrador local nos dispositivos.
Nota: Administradores Globais e o dono do equipamento terá direitos de administrador local por defeito.
Agora, o que é que os utilizadores podem fazer?
Os utilizadores tem algumas opções para se juntarem a um Azure AD.
O senário mais provavel é o utilizador receber um novo dispositivo a correr Windows 10 e adicionar o mesmo ao dominio durante a primeira configuração da maquina. Utilizadores que acabaram de fazer o upgrade para Windows 10 tambem podem adicionar a sua maquina ao Azure AD através das preferencias de sistema (este senário tipicamente comeca com os utilizadores autenticados com uma conta local).
![[Imagem: 052815_1724_AzureADJoin3.png]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin3.png)
![[Imagem: 052815_1724_AzureADJoin4.png]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin4.png)
o processo de antenticação inclui todos os passos necessários para completar o processo, não sendo necessário alterar qualquer tipo de defenição em outro local. O utilizador irá apenas ter de concluir a sua autenticação e está feito.
![[Imagem: 052815_1724_AzureADJoin5.png]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin5.png)
Depois de completarem o processo de juntar a maquina ao dominio, o utilizador devera fazer logout da conta local e no ecra de login, ira ter uma opção de "Outro utilizador" para que se possam autenticar com os seu email e password.
![[Imagem: 052815_1724_AzureADJoin6.png]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin6.png)
Assim que fizer login, todas as suas defenições serao automaticamente configuradas bem como não necessitara de se voltar a autenticar por exemplo para acesso ao seu email
![[Imagem: 052815_1724_AzureADJoin8.png]](https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/51/31/metablogapi/052815_1724_AzureADJoin8.png)
Gerir os equipamentos na sua empresa
Gerir os equipamentos ligados ao dominio é muito simples. Basta ir até ao Azure Admin Portal onde será mostrado os equipamentos que cada utilizador possui no Azure AD.
Através do portal, os equipamentos podem ser eliminados, bloqueados ou até mesmo podem ser defenidas novas politicas ou mesmo instalar software automaticamente.
Qualquer questao estao a vontade para colocar como é obvio bem como se o Pplware pretender transcrever este meu post para o blog, também estará a vontade de o fazer na integra.
Para quem quiser testar e não tenha subscrição Office365, podem usar os links abaixo para a criação de contas Trial (30 dias, extensiveis até 60dias) para cada um dos planos.
Microsoft Office 365 Business
Microsoft Office 365 Business Premium
Microsoft Office 365 Enterprise E3
Microsoft Office 365 Developer
Microsoft Office 365 Enterprise E5
Microsoft Intune
Azure Active Directory Premium
Azure Rights Management Premium
Serviços tais como Email, Telefone, Sharepoint, Active Directory , Anti-virus ou até mesmo gestão de assinturas do email , todos passaram para a cloud.
Desta forma, as empresas deixaram de se preocupar com problemas relacionados com o custo inicial do hardware ou até mesmo a sua substituição ao fim de alguns anos de uso, deixaram ainda de se preocupar com problemas relacionados com o seus serviços estarem em baixo por tempo indetermiado e nos custos traduzidos para a empresa nessas situações.
Como todos sabemos o Windows 10, vejo tentar levar ainda mais a cloud a um novo nível.
Neste caso, estamos a falar da funcionalidade Azure Active Directory disponível para todos os users Windows 10 com subscrição Office 365.
O que vamos cobrir entao neste artigo:
- Auto provisionamento de equipamentos da empresa,
- Utilizacao de contas da empresa para autenticação,
- Autenticação única (Single Sing-On ou SSO) para todas as ferramentas da empresa,
- Autenticação única para ferramentas dentro da empresa,
Azure Active directory, Onde podemos poupar tempo e dinheiro?
Senário 1: As suas aplicações e ferramentas estão maioritariamente na Cloud
Se está a mudar a sua empresa para a cloud utilizando aplicações SaaS tal como Office 365 para produtividade, deverá então considerar Azure AD. Os seus empregados poderão juntar máquinas a correr Windows 10 ao Azure AD durante o setup inicial ou então através das definições de sistema. Desta forma poderão fazer login utilizando as suas credenciais e ter acesso a todas as ferramentas disponibilizadas pela empresa de imediato bem como todas as aplicações que utilizem autenticação Azure AD, incluindo acesso ao painel de control Azure AD (myapps.microsoft.com).
Senário 2: Trabalhadores temporários, estudantes ou trabalhadores remotos
Muitos dos nossos clientes tem trabalhadores temporários, trabalhadores remotos ou até mesmo estudantes que trabalham para as suas empresas, antes era complicado de gerir esta situação pois nem sempre as máquinas utilizadas pelos mesmos pertenciam a empresa ou até mesmo o utilizador estava dentro da empresa para proceder a autenticação nas mais variadas ferramentas disponibilizadas, havendo então a necessidade de autenticacao numa VPN para que depois fosse possivel aceder aos seus serviços de uma forma segura e para que fosse garantida um alto nivel de privacidade para a empresa. Com o Azure AD isso deixou de ser necessario, basta uma ligação a Internet e o utilizador pode trabalhar 100% como se estivesse dentro da empresa.
Senário 3: Trabalhadores remotos em que os equipamentos se danificam ou eram roubados
Imaginemos a situação de um trabalhador da empresa XPTO que foi em viagem de negocios em que por alguma razao a sua maquina avariou ou foi roubada.
Antes, para que pudessemos voltar a ter o utilizador a trabalhar teriamos de reconfigurar uma maquina e enviar para o utilizador.
Hoje, o utilizador pode pura e simplesmente comprar uma nova maquina numa qualquer loja, adicionar a mesma ao dominio de forma simples e rápida e terá novamente acesso a todos os serviços.
Senário 4: Mas eu já tenho um servidor Active Directory na empresa, vou ter de reconfigurar tudo novamente?
Não, pode continuar a utilizar o seu servidor sem qualquer tipo de problema bastando sincronizar o servidor com Azure AD sem qualquer interupção de serviços ou memso que alguem sinta alguma diferenca (tirando a versatibilidade claro).
Vamos então configurar o Azure Active Directory.
Primeiro vamos claro falar acerca de provisionar os utilizadores no Azure AD. Tal como provavelmente sabem, existem varias formas de o fazer, incluindo o provisionamento manual, importar em bulk ou mesmo a sincronização com o seu servidor Active Directory actual. Neste caso, vou assumir que já concluiu este processo e que todos os utilizadores já estao criados.
Agora, necessitamos de dar acesso ao utilizador para adicicionar os seus dispositivos ao Azure AD no Azure Admin Portal .
Pode ainda configurar as seguintes opções:
- Número máximo de dispositivos por utilizador
Defenir um numero maximo de dispositivos que cada utilizador pode adicionar ao dominio. Se o utilizador atingir este numero máximo este não ira conseguir adicionar novos dispositivos até que outro dos seus dispositivos seja removido.
- Activar autenticação em dois passos para adicionar novos dispositivos.
Active esta opção para um nivel de seguranca mais alto, desta forma sempre que um utilizador pretenda acionar um novo dispositivo ao dominio este terá de se autenticar de duas formas diferentes.
- Administradores adicionais para dispositivos adicionados ao Azure AD.
Com o Azure AD Premium ou Enterprise Mobility Suite (EMS), pode decidir quais utilizadores irao ter permissoes de administrador local nos dispositivos.
Nota: Administradores Globais e o dono do equipamento terá direitos de administrador local por defeito.
Agora, o que é que os utilizadores podem fazer?
Os utilizadores tem algumas opções para se juntarem a um Azure AD.
O senário mais provavel é o utilizador receber um novo dispositivo a correr Windows 10 e adicionar o mesmo ao dominio durante a primeira configuração da maquina. Utilizadores que acabaram de fazer o upgrade para Windows 10 tambem podem adicionar a sua maquina ao Azure AD através das preferencias de sistema (este senário tipicamente comeca com os utilizadores autenticados com uma conta local).
o processo de antenticação inclui todos os passos necessários para completar o processo, não sendo necessário alterar qualquer tipo de defenição em outro local. O utilizador irá apenas ter de concluir a sua autenticação e está feito.
Depois de completarem o processo de juntar a maquina ao dominio, o utilizador devera fazer logout da conta local e no ecra de login, ira ter uma opção de "Outro utilizador" para que se possam autenticar com os seu email e password.
Assim que fizer login, todas as suas defenições serao automaticamente configuradas bem como não necessitara de se voltar a autenticar por exemplo para acesso ao seu email
Gerir os equipamentos na sua empresa
Gerir os equipamentos ligados ao dominio é muito simples. Basta ir até ao Azure Admin Portal onde será mostrado os equipamentos que cada utilizador possui no Azure AD.
Através do portal, os equipamentos podem ser eliminados, bloqueados ou até mesmo podem ser defenidas novas politicas ou mesmo instalar software automaticamente.
Qualquer questao estao a vontade para colocar como é obvio bem como se o Pplware pretender transcrever este meu post para o blog, também estará a vontade de o fazer na integra.
Para quem quiser testar e não tenha subscrição Office365, podem usar os links abaixo para a criação de contas Trial (30 dias, extensiveis até 60dias) para cada um dos planos.
Microsoft Office 365 Business
Microsoft Office 365 Business Premium
Microsoft Office 365 Enterprise E3
Microsoft Office 365 Developer
Microsoft Office 365 Enterprise E5
Microsoft Intune
Azure Active Directory Premium
Azure Rights Management Premium