Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

Contoso na

nuvem da

Microsoft 1 2 3 4 5Este tópico é o 1 de 6 em uma série

The Contoso Corporation

Organização mundial da Contoso

Elementos de Implementação da Contoso da nuvem da Microsoft

Rede

Rede inclui a conectividade às ofertas de

nuvem Microsoft e largura de banda

suficiente para ter um bom desempenho sob

cargas de pico. Alguma conectividade será

local por conexões de Internet locais e

alguma será por infraestrutura de rede

privada da Contoso.

Identidade

A Contoso usa uma floresta do AD do

Windows Server para seu provedor de

identidade interno e também faz federação

com provedores de terceiros para clientes e

parceiros. A Contoso deve aproveitar o

conjunto interno de contas para ofertas de

nuvem da Microsoft. Acesso a aplicativos

baseados em nuvem para clientes e parceiros

deve aproveitar provedores de identidade de

terceiros também.

Segurança

Segurança para identidades e dados

baseados em nuvem deve incluir proteção

de dados, gerenciamento de privilégio

administrativo, reconhecimento de ameaça

e implementação de políticas de

governança e segurança de dados.

Gerenciamento

Gerenciamento para aplicativos baseados

em nuvem e cargas de trabalho SaaS

precisará poder realizar a manutenção de

configurações, dados, contas, políticas e

permissões e monitorar o desempenho e a

integridade em andamento. Ferramentas de

gerenciamento de servidor existentes serão

usadas para gerenciar máquinas virtuais no

Azure IaaS.

Os arquitetos de TI da Contoso identificaram os seguintes elementos ao planejar a adoção de ofertas de nuvem da Microsoft.

Identidade de nuvem da

Microsoft para arquitetos da

empresa

Identidade de nuvem da

Microsoft para arquitetos da

empresa

Rede da nuvem da Microsoft

para arquitetos da empresa

Rede da nuvem da Microsoft

para arquitetos da empresa

Segurança de nuvem da

Microsoft para arquitetos da

empresa

Segurança de nuvem da

Microsoft para arquitetos da

empresa

Escritórios da Contoso no mundo todo seguem um design de três camadas.

A Contoso Corporation é uma empresa global sediada em Paris, França. É uma organização de conglomerado de fabricação, vendas e suporte com mais de 100 mil produtos.

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

FiliaisHubs regionaisSedeSede

A sede da Contoso Corporation é

um grande campus corporativo nos

arredores de Paris com dezenas de

prédios com instalações

administrativas, de fabricação e de

engenharia. Todos os datacenters da

Contoso e sua presença na Internet

estão hospedados na sede de Paris.

A matriz tem 15 mil trabalhadores.

Os escritórios do hub regional

escritórios atendem a uma região

específica do mundo com 60% de

equipe de vendas e suporte. Cada

hub regional está conectado à sede

Paris por um link WAN de ampla

largura de banda.

Cada hub regional tem uma média

de 2 mil trabalhadores.

As filiais têm 80% de equipe de

vendas e suporte e oferecem uma

presença física e local para os clientes

da Contoso nas principais cidades ou

sub-regiões. Cada filial está

conectada a um hub regional por um

link WAN ampla largura de banda.

Cada filial tem uma média de 250

funcionários.

25% da força de

trabalho da Contoso é

somente móvel, com

um percentual maior

de funcionários apenas

móveis nos hubs

regionais e nas filiais.

Fornecer suporte

melhor para

trabalhadores somente

móveis é uma

importante meta de

negócios da Contoso.

6

Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

Contoso na

nuvem da

Microsoft

Infraestrutura e necessidades de TI da Contoso

Mapeando as necessidades de negócios da Contoso para as ofertas de nuvem da Microsoft

Infraestrutura de TI existente da Contoso

SaaSSoftware como Serviço

Azure PaaSPlataforma como Serviço

Azure IaaSInfraestrutura como Serviço

A Contoso usa principalmente a infraestrutura de TI local centralizada, com datacenters de aplicativo

na sede de Paris.

A Contoso está no processo de transição de uma infraestrutura de TI centralizada local para uma infraestrutura incluindo

nuvem que incorpore cargas de trabalho, aplicativos e cenários híbridos de produtividade pessoal baseados em nuvem.

Necessidades de negócios da Contoso

Cumprir os requisitos regulamentares regionais

Para evitar multas e manter boas relações com os governos locais, a Contoso deve garantir a conformidade com os regulamentos de criptografia e armazenamento de dados.

1Melhorar o gerenciamento de fornecedores e parceiros

A extranet do parceiro está envelhecendo e tem alto custo de manutenção. A Contoso quer substituí-la por uma solução baseada em nuvem que use autenticação federada.

2Melhorar a produtividade, o gerenciamento de dispositivos e o acesso da força de trabalho móvel

A força de trabalho somente móvel da Contoso está se expandindo e precisa de gerenciamento de dispositivos para garantir a proteção de propriedade intelectual e acesso mais eficiente aos recursos.

3

Reduzir a infraestrutura de acesso remoto

Ao mover recursos comumente acessados por trabalhadores remotos para a nuvem, a Contoso economizará dinheiro reduzindo os custos de manutenção e suporte para sua solução de acesso remoto.

4Reduzir verticalmente datacenters locais

Os datacenters da Contoso contêm centenas de servidores, alguns dos quais estão executando funções herdadas ou de arquivamento que desviam a atenção da equipe de TI da manutenção decargas de trabalho dealto valor comercial.

5Escalar verticalmente recursos de computação e armazenamento para processamento de final de trimestre

Contabilidade financeira de final do trimestre e processamento de projeção, juntamente com o gerenciamento de estoque, requerem aumentos de curto prazo em servidores e armazenamento.

6

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

InternetInternetDMZDMZ

Extranet do

parceiro

Acesso/proxy

remoto

Acesso/proxy

remoto

Site públicoSite público

Trabalhadores

remotos e

somente móveis

Trabalhadores

remotos e

somente móveis

Firewall internoFirewall interno Firewall externoFirewall externo

Na DMZ da Contoso, diferentes conjuntos

de servidores oferecem:

• Acesso remoto à intranet da Contoso e

proxy Web para os funcionários na sede

Paris.

• Hospedagem para o site público da

Contoso, do qual os clientes podem

solicitar produtos, peças ou

suprimentos.

• Hospedagem para a extranet do

parceiro da Contoso para comunicação

e colaboração do parceiro.

SedeSede

Datacenters de

aplicativo

Datacenters de

aplicativo

Funcionários

locais

Funcionários

locais

Office 365: principais

aplicativos de produtividade

pessoal e de grupo na nuvem.

Dynamics 365: use

gerenciamento de cliente e

fornecedor baseado em

nuvem. Remova a extranet do

parceiro na DMZ.

Intune/EMS: gerencie

dispositivos iOS e Android.

Hospede documentos de

vendas e suporte e sistemas

de informação utilizando

aplicativos baseados em

nuvem.

Aplicativos móveis são

baseados em nuvem, em vez

de serem baseados no

datacenter de Paris.

Mova sistemas de arquivamento e

herdados para servidores

baseados em nuvem.

Migre aplicativos e dados de baixo

uso para fora dos datacenters

locais.

Adicione servidores e

armazenamento temporários para

as necessidades de processamento

de final de trimestre.

2

1 3

3

3

3 4

5

5

6

5

1 2 3 4 5Este tópico é o 2 de 6

em uma série

6

Campus de ParisCampus de Paris

Hub regionalHub regional

Contoso na

nuvem da

Microsoft

Rede

Infraestrutura de rede da Contoso

Para adotar uma infraestrutura de nuvem inclusiva, os engenheiros de rede da Contoso fizeram

a mudança fundamental na maneira como o tráfego de rede para serviços baseados em nuvem

ocorre. Em vez de apenas otimizar o tráfego para servidores e datacenters locais, a mesma

atenção foi dedicada a otimizar o tráfego para a borda de Internet e em toda a Internet.

Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

Infraestrutura do aplicativo Contoso

A Contoso tem a seguinte infraestrutura de rede.

Rede local

Links WAN conectam a sede de Paris a escritórios

regionais e os escritórios regionais a filiais em uma

configuração raio e hub.

Dentro de cada escritório, roteadores distribuem o

tráfego para hosts ou pontos de acesso sem fio em

sub-redes, que usam o espaço de endereço IP particular.

Conectividade com a Internet

Cada escritório tem a própria conectividade com a Internet

por meio de um servidor proxy.

Isso geralmente é implementado como um link WAN para

um ISP local que também fornece endereços IP públicos

para o servidor proxy.

Presença na Internet

A Contoso detém o nome de domínio público contoso.com.

O site público da Contoso para pedidos de produtos é um

conjunto de servidores em um datacenter conectado à

Internet no campus de Paris.

A Contoso usa um intervalo de endereços IP público /24 na

Internet.

Servidores de

aplicativo

regionais

Servidores de

aplicativo

regionais

Datacenters

centrais do

aplicativo

Datacenters

centrais do

aplicativo

FilialFilial

Servidor de

caching

Servidor de

caching

A Contoso projetou sua infraestrutura de aplicativo e

servidor para o seguinte:

• Filiais usam servidores de caching locais para

armazenar documentos acessados com frequência

e sites internos.

• Hubs regionais usam servidores de aplicativo

regionais para os escritórios regionais e as filiais.

Esses servidores sincronizam-se com os servidores

da matriz de Paris.

• O campus de Paris tem os datacenters que contêm

os servidores de aplicativo centralizados que

atendem toda a organização.

Para usuários nas filiais ou hubs regionais, 60% dos

recursos de que os funcionários precisam podem ser

atendidos por servidores de filiais e hubs regionais. Os

outros 40% das solicitações de recursos devem ir pelo

link de WAN para o campus de Paris.

60%

100%

Continua na próxima página

1 2 3 4 5Este tópico é o 3 de 6

em uma série

6

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

Recursos de rede

na nuvem

Uso da ExpressRoute pela Contoso

A ExpressRoute é uma conexão WAN dedicada de seu local para um local de

emparelhamento da Microsoft que conecta a sua rede à rede de nuvem da Microsoft.

As conexões ExpressRoute oferecem desempenho previsível e um SLA de tempo de

atividade de 99,9%.

Com uma conexão ExpressRoute, você é conectado à rede de nuvem da Microsoft e a

todos os locais de datacenter Microsoft no mesmo continente. O tráfego entre o local

de emparelhamento de nuvem e o datacenter Microsoft de destino é feito através da

rede de nuvem da Microsoft.

Com o ExpressRoute Premium, você pode acessar qualquer data center Microsoft em

qualquer continente de qualquer local de emparelhamento da Microsoft em qualquer

continente. O tráfego entre continentes é feito através da rede de nuvem da

Microsoft.

Otimizar os computadores dos funcionários para acesso à Internet

Computadores individuais serão verificados para garantir que as atualizações mais recentes de pilha de TCP/IP, navegador, drivers da NIC e segurança e sistema

operacional estejam instaladas.

1 Analisar a utilização da conexão de Internet em cada escritório e aumentar conforme necessário

Será analisado o uso que cada escritório faz da Internet atual, e largura de banda do link WAN será aumentada se ele estiver

operando a uma utilização de 70% ou mais.

2 Analisar sistemas DMZ em cada escritório quanto ao desempenho ideal

Firewalls, IDSs e outros sistemas no caminho da Internet serão analisados quanto ao desempenho ideal. Servidores proxy serão atualizados conforme

necessário.

3

Caminho da Contoso para a preparação de rede na nuvem

Aqui estão os resultados da análise da Contoso das alterações necessárias na rede para

acomodar as categorias diferentes de ofertas de nuvem da Microsoft.

A adoção bem-sucedida dos serviços SaaS pelos usuários depende de conectividade altamente disponível e de alto desempenho à Internet ou diretamente aos serviços em nuvem da Microsoft.

Para usuários móveis, será presumido que o acesso à Internet atual é adequado.

Para os usuários na intranet da Contoso, cada escritório deve ser analisado e otimizado para produtividade para a Internet e tempos de viagem de ida e volta ao datacenter da Europa da Microsoft que hospeda os locatários do Office 365, do EMS e do Dynamics 365.

Ofertas de nuvem SaaSOffice 365, EMS e Dynamics 365

Para dar um suporte melhor aos trabalhadores móveis, aplicativos herdados e alguns sites de compartilhamento de arquivos estão sendo reformulados e implantados como aplicativos Azure PaaS. Para o desempenho ideal, a Contoso planeja implantar os novos aplicativos de vários datacenters do Azure no mundo todo. O Gerenciador de Tráfego do Azure deverá enviar solicitações de aplicativo cliente, originadas tanto de um usuário móvel quanto de um computador no escritório, para o datacenter Azure mais próximo que hospede o aplicativo.

O departamento de TI precisará adicionar desempenho de aplicativo PaaS e distribuição de tráfego à solução de monitoramento de integridade de rede.

Azure PaaSAplicativos móveis

Para transferir alguns servidores herdados e de arquivamento para fora dos datacenters do campus de Paris e adicionar servidores conforme necessário para processamento do final do trimestre, a Contoso planeja usar máquinas virtuais em execução nos serviços de infraestrutura do Azure.

As redes virtuais Azure que contêm esses servidores devem ser projetadas para espaços de endereço, roteamento e DNS integrado não sobrepostos.

O departamento de TI deve incluir esses novos servidores ao seu sistema de gerenciamento e monitoramento de rede.

Azure IaaSCargas de trabalho baseadas em servidor

Análise de rede da Contoso

Com base na análise de tráfegos atuais e futuros para ofertas de nuvem da Microsoft e seus requisitos

de alta qualidade de serviço para comunicações baseadas em Skype, a Contoso realizou uma avaliação

da rede e implementou uma conexão ExpressRoute Premium de qualquer uma para qualquer uma

(baseada em MPLS) da sede de Paris para o local de emparelhamento da Microsoft na Europa.

Desempenho consistente para a

equipe do campus de Paris para

aplicativos SaaS

Com 15 mil funcionários no campus de

Paris, todos acessando simultaneamente o

Office 365, o Intune e o 365 Dynamics, a

Contoso deseja garantir que o acesso

tenha um desempenho consistentemente

alto e não concorra com tráfego de

Internet regional.

Desempenho consistente para a

administração de aplicativos do

Azure PaaS distribuídos

Todos os desenvolvedores de aplicativos e os

administradores de TI de infraestrutura principal

da Contoso estão no campus de Paris.

Com aplicativos Azure PaaS distribuídos a

diferentes data centers Azure em todo o mundo,

a Contoso precisa de desempenho consistente do

campus de Paris para administrar os aplicativos e

seus recursos de armazenamento, que consistem

em TB de documentos.

Desempenho consistente para

administração de servidores no

Azure IaaS

Os administradores do datacenter da Contoso

estão no campus de Paris e os servidores a serem

implantados no Azure são uma extensão do

datacenter de Paris.

A Contoso precisa de desempenho consistente

para esses novos servidores para acessar

aplicativos herdados e armazenamento de

arquivamento e para processamento de final de

trimestre.

Adicionar ExpressRoute Premium para o campus de Paris

Fornece acesso consistente ao ofertas de nuvem SaaS para trabalhadores do campus de Paris e administração de cargas de trabalho do Azure PaaS e IaaS em todo o

mundo.

4 Criar e testar um perfil do Gerenciador de Tráfego do Azure para aplicativos do Azure PaaS

Teste um perfil do Gerenciador de Tráfego do Azure que use o método de roteamento de desempenho para obter experiência na distribuição tráfego de Internet para locais

regionais.

5 Reservar espaço de endereço particular para VNets do Azure

Com base nos números de projetado servidores de curto e longo prazos projetados no Azure IaaS, reserve espaço de endereço particular para VNets do

Azure e suas sub-redes.

6

http://aka.ms/tune

Planejamento de rede e ajuste de

desempenho para Office 365

http://aka.ms/tune

Planejamento de rede e ajuste de

desempenho para Office 365ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

ExpressRoute para Office 365

http://aka.ms/expressrouteoffice365

Rede da nuvem da Microsoft

para arquitetos da empresa

Rede da nuvem da Microsoft

para arquitetos da empresa

http://aka.ms/cloudarchnetworking

Rede da nuvem da Microsoft

para arquitetos da empresa

http://aka.ms/cloudarchnetworking

Contoso na

nuvem da

Microsoft

Identidade

Floresta do AD do Windows Server da Contoso

A Microsoft fornece IDaaS (Identidade como um Serviço) em suas ofertas de nuvem. Para adotar uma

infraestrutura que inclua nuvem, a solução de IDaaS da Contoso deve aproveitar seu provedor de identidade

local e incluir autenticação federada com seus atuais provedores de identidade confiáveis de terceiros.

Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

InternetInternetDMZDMZ

Extranet do

parceiro

Extranet do

parceiro

Site públicoSite públicoClientes e

parceiros

Clientes e

parceiros

Firewall externoFirewall externo

Infraestrutura de autenticação federada da Contoso

AD FSAD FS

A Contoso usa uma única floresta do AD (Active Directory) do Windows Server para contoso.com com sete domínios, um para cada região do mundo. A sede, os

escritórios de hubs regionais e filiais contêm controladores de domínio para autenticação e autorização locais.

A Contoso deseja usar as contas e os grupos na floresta contoso.com para autenticação e autorização para seus aplicativos e cargas de trabalho baseados em nuvem.

A Contoso permite que:

• Clientes usem as contas da Microsoft, Facebook ou

Google Mail para entrar no site público.

• Fornecedores e parceiros usem as contas do LinkedIn, do

Salesforce ou do Google Mail para entrar na extranet do

parceiro.

Os servidores AD FS (Serviços de Federação do Active

Directory) na DMZ autenticam as credenciais do cliente para

acessar o site público e as credenciais de parceiro para

acessar a extranet do parceiro.

Quando a Contoso faz a transição do seu site público para

um aplicativo Web do Azure e da extranet do parceiro para

365 Dynamics, ela quer continuar usando esses provedores

de identidade de terceiros para seus clientes e parceiros.

Isso será feito configurando a federação entre locatários do

Azure AD da Contoso e esses provedores de identidade de

terceiros.

Continua na próxima página

1 2 3 4 5Este tópico é o 4 de 6

em uma série

6

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

Recursos de

identidade da

nuvem

Sincronização de diretórios para a floresta do AD do Windows Server da Contoso

A Contoso implantou a ferramenta Azure AD Connect em um cluster de

servidores em seu data center de Paris. O Azure AD Connect sincroniza as

alterações à floresta do AD do Windows Server de contoso.com com o

locatário do Azure AD compartilhado pelas assinaturas do Office 365, do

EMS, do 365 Dynamics e do Azure da Contoso. Para obter mais

informações sobre assinaturas, licenças, contas de usuário e locatários,

consulte o tópico 5.

A Contoso configurou autenticação federada, que fornece logon único para

trabalhadores da Contoso. Quando um usuário que já tiver entrado na

floresta do AD do Windows Server de contoso.com acessar um recurso de

nuvem da Microsoft SaaS ou PaaS, ele não será solicitado a informar uma

senha.

O tráfego para a sincronização de diretório vai da conexão do ExpressRoute

Premium do campus da sede para a rede de nuvem da Microsoft.

Escritório regional 1 Escritório regional 2 Escritório regional 3

Locação do

Office 365 na

Europa

Servidores de

autenticação

SedeSede

Servidor do

Azure AD

Connect

Servidor do

Azure AD

Connect

Microsoft cloud

ExpressRoute

Premium

ExpressRoute

Premium

Azure Locatário do AD

Azure Locatário do AD

Azure Locatário do AD

Distribuição geográfica do tráfego de autenticação da ContosoPara melhor atender à sua força de trabalho móvel e remota, a Contoso implantou conjuntos de servidores de autenticação em se us escritórios regionais. Essa

infraestrutura distribui a carga e fornece redundância e o melhor desempenho ao autenticar credenciais de usuário para acesso a ofertas de nuvem da Microsoft

que usam o locatário Azure AD comum.

Para distribuir a carga de solicitações de autenticação, a Contoso configurou o Gerenciador de Tráfego do Azure com um perfil que usa o método de roteamento

de desempenho, que encaminha clientes de autenticação ao conjunto de servidores de autenticação mais próximos na região.

Redundância para a infraestrutura de autenticação da sede no Azure IaaS

Gerenciador de tráfego

Gerenciador de tráfego

5. O computador cliente envia uma solicitação de autenticação para um servidor

proxy do aplicativo Web, que encaminha a solicitação a um servidor do AD FS.

6. O servidor do AD FS solicita as credenciais do usuário do computador cliente.

7. O computador cliente envia as credenciais do usuário sem avisar o usuário.

8. O servidor AD FS valida as credenciais com um controlador de domínio do AD

do Windows Server no escritório regional e retorna um token de segurança no

computador cliente.

9. O computador cliente envia o token de segurança ao Office 365.

10. Após a validação bem-sucedida, o Office 365 armazena em cache o token de

segurança e envia a página da Web solicitada na etapa 1 ao computador cliente.

1. O computador cliente inicia a comunicação com uma página da Web

no locatário do Office 365 na Europa (como sharepoint.contoso.com).

2. O Office 365 envia de volta uma solicitação para enviar uma prova de

autenticação. A solicitação contém a URL para o contato para a

autenticação.

3. O computador cliente tenta resolver o nome DNS na URL para um

endereço IP.

4. O Gerenciador de Tráfego do Azure recebe a consulta DNS e responde

ao computador cliente com o endereço IP de um servidor proxy do

aplicativo Web do escritório regional mais próximo do computador

cliente.

Exemplo de processo de autenticação:

DMZ

Proxies do

aplicativo Web

Proxies do

aplicativo Web

Servidores do

AD FS

Servidores do

AD FS

Escritório regional

Firewall internoFirewall interno

Controladores

de domínio do

AD do Windows

Server

Controladores

de domínio do

AD do Windows

Server

Solicitação

de

autenticação

DMZ

Proxies de

aplicativo Web

Proxies de

aplicativo WebServidores do

AD FS

Servidores do

AD FS

SedeSede

Datacenters

centrais do

aplicativo

Datacenters

centrais do

aplicativo

Interno

firewall

Interno

firewall

Rede virtual

ExpressRoute

Premium

ExpressRoute

Premium

Proxies de

aplicativo Web

Proxies de

aplicativo Web

Servidores do

AD FS

Servidores do

AD FS

Servidores de

autenticação

Servidores de

autenticação

Para fornecer redundância para os trabalhadores remotos e móveis de sede de Paris, que tem

15 mil trabalhadores, a Contoso implantou um segundo conjunto de proxies de aplicativo e

servidores AD FS no Azure IaaS.

Quando os servidores de autenticação primários na DMZ da sede não estão disponíveis, a

equipe de TI muda para o conjunto redundante implantado no Azure IaaS. Solicitações de

autenticação subsequentes de computadores do escritório de Paris usam o conjunto no

Azure IaaS até que o problema de disponibilidade ser corrigido.

Para mudar e voltar, a Contoso atualiza o perfil

do Gerenciador de Tráfego do Azure para a

região de Paris usar um conjunto diferente de

endereços IP para os proxies de aplicativo Web:

• Quando os servidores de autenticação da

DMZ estão disponíveis, use os endereços IP

dos servidores na DMZ.

• Quando os servidores de autenticação da

DMZ não estiverem disponíveis, use os

endereços IP dos servidores no Azure IaaS.

http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282

Infográfico: Gerenciamento de

acesso e identidade na nuvem

http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281

Synchronizing your directory with

Office 365 is easy (É fácil sincronizar

seu diretório com o Office 365)

Computador do cliente

GatewayGateway

Identidade de nuvem da

Microsoft para arquitetos da

empresahttp://aka.ms/cloudarchidentity

Identidade de nuvem da

Microsoft para arquitetos da

empresahttp://aka.ms/cloudarchidentity

Contoso na

nuvem da

Microsoft

Assinaturas, licenças e contas de usuário

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

Estrutura da Contoso

Para fornecer um uso consistente de identidades e cobrança para todas as ofertas de nuvem, a Microsoft fornece uma hierarquia de organização/assinaturas/licenças/contas de usuário.

Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

Intune/EMS500 licençasIntune/EMS500 licenças

Dynamics 365100 licenças

Dynamics 365100 licenças

Assinaturas do Azure regionaisAssinaturas do Azure regionais

Contoso Corporation

Azure Locatário do AD

Azure Locatário do AD

Office 365Office 365

Enterprise E3500 licenças

Contas de usuário sincronizadas da floresta do AD do

Windows Server de contoso.com

Enterprise E5200 licenças

Assinaturas do Azure da Contoso A Contoso desenvolveu a seguinte hierarquia para suas

assinaturas do Azure:

• A Contoso está no topo, com base em seu Enterprise

Agreement com a Microsoft.

• Há um conjunto de contas correspondentes a

diferentes regiões da Contoso Corporation em todo o

mundo, com base nos domínios da floresta do AD do

Windows Server da Contoso.

• Em cada região, há uma ou mais assinaturas com base

nas necessidades de implantação de desenvolvimento,

teste e produção da região.

Cada assinatura do Azure pode ser associada um único

locatário Azure AD que contém as contas de usuário e

grupos para autenticação e autorização para os serviços

do Azure. Assinaturas de produção usam o locatário

comum Contoso Azure AD.

Organização

A entidade de negócios que está usando ofertas de nuvem da Microsoft, normalmente identificada por um nome de domínio DNS público, como contoso.com.

Assinaturas

Para ofertas de nuvem SaaS da Microsoft (Office 365, Intune /EMS e Dynamics 365), uma assinatura é um produto específico e um conjunto adquirido de licenças de usuário.

Para o Azure, uma assinatura permite a cobrança da organização por serviços de nuvem consumidos.

Licenças

Para ofertas de nuvem da Microsoft SaaS, uma licença permite que uma conta de usuário específica use serviços de nuvem.

Para o Azure, licenças de software estão integradas ao preço do serviço, mas, em alguns casos, você precisará comprar licenças de software adicionais.

Contas de usuário

Contas de usuário são armazenadas em um locatário do Azure AD e podem ser sincronizadas de um provedor de identidade local, como o AD do Windows Server.

Organização A Contoso Corporation é identificada por seu nome de domínio público contoso.com.

Assinaturas e licenças A Contoso Corporation está usando o seguinte:

• O produto Office 365 Enterprise E3 com 500 licenças• O produto Office 365 Enterprise E5 com 200 licenças• O produto EMS com 500 licenças• O produto Dynamics 365 com 100 licenças• Várias assinaturas do Azure com base em regiões

Contas de usuário Um locatário comum do Azure AD contém a lista de contas de usuário e grupos usado por todas as assinaturas da Contoso, com exceção de assinaturas do Azure de desenvolvimento e teste.

• Para ofertas de nuvem SaaS, o locatário é o local regional que engloba os

servidores que fornecem serviços de nuvem. A Contoso escolheu a região

europeia para hospedar seus locatários do Office 365, do EMS e do

Dynamics 365.

• Os serviços e aplicativos do Azure PaaS e as cargas de trabalho de TI IaaS

podem ter locação em qualquer datacenter do Azure no mundo todo.

• Um locatário do Azure AD é uma instância específica do Azure AD contendo

contas e grupos. O locatário comum do Azure AD que contém as contas

sincronizadas da floresta do AD do Windows Server da Contoso oferece

IDaaS em ofertas de nuvem da Microsoft.

Assinaturas, licenças, contas e locatários para ofertas de nuvem da MicrosoftAssinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft

Locatários:

1 2 3 4 5Este tópico é o 5 de 6 em uma série

6

contoso.com

Diretrizes de contas e assinatura do AzureDiretrizes de contas e assinatura do Azure

Contoso na

nuvem da

Microsoft

SegurançaA Contoso leva a sério a segurança e a proteção das informações. Ao fazer a transição da infraestrutura

de TI para uma incluindo nuvem, ela garantiu o suporte e a implementação dos requisitos de segurança

local nas ofertas de nuvem da Microsoft.

Como uma organização global fictícia,

mas representativa, implementou a

Microsoft Cloud

ACLs de acesso de

privilégios mínimos

As permissões da conta para acessar recursos na nuvem e o que eles têm permissão para fazer devem seguir as diretrizes de

privilégios mínimos.

Criptografia de dados em

repouso na nuvemTodos os dados armazenados em disco ou em outro lugar na nuvem devem estar no formato criptografado.

Criptografia para o tráfego

pela Internet

Nenhum dado enviado pela Internet está em formato de texto sem formatação. Sempre use conexões HTTPS, IPsec ou outros

métodos de criptografia de dados de ponta a ponta.

Autenticação forte para

recursos na nuvemO acesso a recursos na nuvem deve ser autenticado e, quando possível, aproveitar autenticação multifator.

Requisitos de segurança da Contoso na nuvem

Classificação de confidencialidade de dados da Contoso

Nível 1: baixo valor de negócios

Os dados são criptografados e estão disponíveis somente a usuários autenticados

Fornecido para todos os dados armazenados localmente e em armazenamento e cargas de trabalho baseados em nuvem, como Office 365. Os dados são criptografados enquanto estão no serviço e em trânsito entre o serviço e os dispositivos do cliente.

Exemplos de dados de Nível 1 são comunicações de negócios normais (email) e arquivos para

trabalhadores administrativos, de vendas e de suporte.

Nível 2: médio valor de negócios

Nível 1 mais autenticação forte e proteção contra perda de dados

Autenticação forte inclui autenticação multifator com validação de SMS. Prevenção de perda de dados garante que informações confidenciais ou críticas não trafeguem fora da rede local.

Exemplos de dados de nível 2 são informações financeiras e legais e dados de pesquisa e

desenvolvimento para novos produtos.

Nível 3: alto valor de negócios

Nível 2 mais os níveis mais altos de criptografia, autenticação e auditoria

Os níveis mais altos de criptografia de dados em repouso e na nuvem, de modo compatível com os regulamentos regionais, combinados com autenticação multifator com cartões inteligentes e auditoria e alertas granulares.

Exemplos de dados de nível 3 são informações de identificação do usuário do cliente e do parceiro e especificações de engenharia de produto e técnicas de

fabricação proprietárias.

Kit de ferramentas de classificação de dadosKit de ferramentas de classificação de dados

Usando as informações do Kit de ferramentas de classificação de dados da Microsoft, a Contoso realizou uma análise de seus

dados e determinou os níveis a seguir.

Mapeamento de recursos e ofertas de nuvem da Microsoft para os níveis de dados

da Contoso

• HTTPS para todas as conexões• Criptografia em repouso

• MFA (autenticação multifator) do Azure AD com SMS

• RMS (Sistema de RightsManagement) do Azure

• MFA do Azure AD com cartões inteligentes

• Acesso condicional Intune

Nível 1: baixo valor de negócios

Nível 2: médio valor de negócios

Nível 3: alto valor de negócios

• Suporte apenas a conexões HTTPS• Criptografar arquivos armazenados

no Azure

• Usar Cofre de Chaves do Azure parachaves de criptografia

• MFA do Azure AD com SMS

• Azure RMS• MFA do Azure AD com cartões

inteligentes

• Exigir HTTPS ou IPsec para acesso aoservidor

• Criptografia de disco do Azure

• MFA com SMS

• MFA com cartões inteligentes

1 2 3 4 5Este tópico é o 6 de 6

em uma série

6

Continua na próxima página

Azure IaaSAzure PaaSSaaS

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.© 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.

Recursos de

segurança da

nuvem

Políticas de informações da Contoso

Otimizar contas de administrador para a

nuvem

A Contoso fez um amplo exame das contas

de administrador existentes do AD do

Windows Server e configurou uma série de

grupos e contas de administrador de nuvem.

1 Executar análise de classificação de

dados em três níveis

A Contoso fez um exame cuidadoso e

determinou os três níveis, que foram

usados para determinar os recursos da

oferta de nuvem da Microsoft para proteger

os dados mais valiosos da Contoso.

2 Determinar políticas de acesso, de

retenção e de proteção de informações

para níveis de dados

Com base nos níveis de dados, a Contoso

determinou requisitos detalhados, que

serão usados para qualificar cargas de

trabalho de TI futuras que estejam sendo

movidas para a nuvem.

3

Caminho da Contoso para preparação para segurança da nuvem

• Permitir acesso a todos

• Permitir acesso a funcionários,fornecedores e parceiros da Contoso

• Usar MFA, TLS e MAM

• Permitir acesso aos executivos eclientes potenciais em engenharia e fabricação

• RMS com dispositivos de redegerenciados somente

Nível 1: baixo valor de negócios

Nível 2: médio valor de negócios

Nível 3: alto valor de negócios

6 meses

2 anos

7 anos

Usar criptografia

Usar valores de hash para integridade de dados

Usar assinaturas digitais para não repúdio

Acesso Retenção de dados Proteção de informações

Curso da Microsoft Virtual Academy Security in a Cloud-Enabled World (Segurança em um mundo habilitado para a nuvem)

http://aka.ms/securecustomermva

Curso da Microsoft Virtual Academy Security in a Cloud-Enabled World (Segurança em um mundo habilitado para a nuvem)

http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect

Proteção de informações para o

Office 365

http://aka.ms/o365infoprotect

Proteção de informações para o

Office 365Segurança de nuvem da Microsoft

para arquitetos da empresa

http://aka.ms/cloudarchsecurity

Segurança de nuvem da Microsoft

para arquitetos da empresa

http://aka.ms/cloudarchsecurity