O que é um diretório do AD do Azure?
Atualizado em: 6 de julho de 2015
Aplica-se a: Azure, Office 365, Windows Intune
Observação
Este tópico fornece conteúdo de ajuda online para serviços de nuvem, como Microsoft Intune e Office 365, que dependem de Microsoft Azure Active Directory para serviços de identidade e diretório.
Este tópico explica conceitos importantes e tarefas relacionadas ao gerenciamento de diretórios do Azure. Ele inclui as seguintes seções:
O que é um locatário AD Azure?
Como obter um diretório do AD do Azure
Associar um diretório do Azure AD a uma nova assinatura do Azure
Criar um diretório do AD do Azure inscrevendo-se em um serviço como uma organização
Gerenciar um diretório padrão de provisionamento do Azure
Adicionar e gerenciar vários diretórios do AD do Azure
Excluir um diretório do AD do Azure
- Condições que devem ser atendidas para excluir um diretório do Azure AD
O que é um locatário AD Azure?
No local de trabalho físico, o termo “locatário” pode ser definido como um grupo ou empresa que ocupa um prédio. Por exemplo, sua organização pode possuir um escritório em um prédio. Esse prédio pode estar em uma rua com várias outras organizações. Sua organização seria considerada uma locatária desse prédio. Esse prédio é um ativo de sua organização, oferecendo segurança e garantindo que você possa conduzir os negócios com segurança. Ele também é separado das outras empresas em sua rua. Isso garante que sua organização e seus ativos estejam isolados de outras organizações.
No local de trabalho habilitado pela nuvem, um locatário pode ser definido como um cliente ou uma organização que possui e gerencia uma instância específica desse serviço em nuvem. Com a plataforma de identidade fornecida pelo Microsoft Azure, um locatário é simplesmente uma instância dedicada do Azure Active Directory (Azure AD) que sua organização recebe e detém quando se inscreve em um serviço de nuvem da Microsoft, como o Azure ou Office 365.
Cada diretório do Azure AD é distinto e separado de outros diretórios do Azure AD. Assim como um prédio de escritórios corporativos é um ativo seguro específico somente a sua organização, um diretório do Azure AD também foi projetado para ser um ativo seguro para ser usado somente por sua organização. A arquitetura do Azure AD isola os dados as informações de identidade do cliente, evitando que sejam misturados a outros. Isso significa que os usuários e administradores de um diretório do Azure AD não podem acessar acidentalmente ou maliciosamente dados em outro diretório.
.png "Azure AD Tenant")
Como obter um diretório do AD do Azure
Para obter um diretório AD do Azure, deverá inscrever-se em um serviço de nuvem da Microsoft. Você pode criar diretórios adicionais conforme necessário. Por exemplo, você pode manter seu primeiro diretório como um diretório de produção e, em seguida, criar um outro diretório para teste ou preparo.
Observação
Após se inscrever em seu primeiro serviço, recomendamos que você use a mesma conta de administrador associada à sua organização ao se inscrever para outros serviços de nuvem da Microsoft. Para obter mais informações sobre IDs de usuário, consulte Qual é a minha ID de usuário e por que preciso dela?.
Na primeira vez que você se inscrever em um serviço de nuvem da Microsoft, como o Azure, Microsoft Office 365 ou Microsoft Intune, será solicitado que você forneça detalhes sobre sua organização e o registro de nome de domínio da Internet da sua organização. Em seguida, essas informações são usadas para criar uma nova instância de diretório do Azure AD para sua organização. Esse mesmo diretório é usado para autenticar as tentativas de logon quando você se inscreve para vários serviços de nuvem da Microsoft.
Os serviços adicionais aproveitam totalmente quaisquer contas de usuário, políticas, configurações ou integração de diretório local que você configurar para ajudar a melhorar a eficiência entre a infraestrutura de identidade local e Azure AD da sua organização.
Por exemplo, se você originalmente se inscreveu para uma assinatura do Microsoft Intune e concluiu as etapas necessárias para integrar adicionalmente seu Active Directory local ao diretório do Azure AD, implantando a sincronização de diretórios e/ou servidores de conexão única, você pode se inscrever para outro serviço de nuvem da Microsoft, como o Office 365, que também poderá utilizar os mesmos benefícios de integração de diretório utilizados com o Microsoft Intune.
Para obter mais informações sobre como integrar seu diretório local ao Azure AD, consulte Integração de diretórios.
Associar um diretório do Azure AD a uma nova assinatura do Azure
Você pode associar uma nova assinatura do Azure ao mesmo diretório que autentica o logon para uma assinatura existente do Office 365 ou Microsoft Intune. Entre no Portal de Gerenciamento do Azure usando sua conta corporativa ou de estudante. O Portal de Gerenciamento do Azure devolve uma mensagem informando que não foi possível localizar qualquer assinatura para essa conta. Selecione Inscrever-se no Azure e seu diretório estará disponível para administração no Portal de Gerenciamento do Azure. Para obter mais informações, consulte Gerenciar o diretório para sua assinatura do Office 365 no Azure.
.png "Associate Account 2")
Para obter um vídeo sobre questões de uso comuns do Azure AD, consulte Azure Active Directory - Questões comuns sobre inscrição, logon e uso.
Criar um diretório do AD do Azure inscrevendo-se em um serviço como uma organização
Se você ainda não tiver uma assinatura para um serviço de nuvem da Microsoft, use um dos links abaixo para se inscrever. O ato de inscrever-se para seu primeiro serviço criará um diretório do Azure AD automaticamente.
Azure - Inscreva-se agora.
Office 365 – Inscreva-se agora.
- Microsoft Intune Sign agora.
Gerenciar um diretório padrão de provisionamento do Azure
Hoje, um diretório é criado automaticamente ao se inscrever para o Azure, e sua assinatura é associada a esse diretório. Mas se você tiver originalmente se inscrito no Azure antes de outubro de 2013, um diretório não terá sido criado automaticamente. Nesse caso, o Azure pode ter "aterrado" sua conta fornecendo um diretório padrão para ela. Sua assinatura é então associada a esse diretório padrão.
O aterramento de diretórios foi realizado em outubro de 2013 como parte de uma melhoria geral no modelo de segurança do Azure. Ele ajuda a oferecer recursos de identidade institucional a todos os clientes do Azure e garante que todos os recursos do Azure são acessados no contexto de um usuário no diretório. Você não pode usar o Azure sem um diretório. Para fazer isso, qualquer usuário que tenha se inscrito antes de 7 de julho de 2013, mas que não tivesse um diretório, precisava ter um criado. Se você já tivesse criado um diretório, sua assinatura era associada a esse diretório.
Não há nenhum custo associado ao uso do Azure AD. O diretório é um recurso gratuito. Há uma camada de Azure Active Directory Premium adicional que é licenciada separadamente e fornece recursos adicionais, como identidade visual da empresa e redefinição de senha de autoatendimento.
Para alterar o nome de exibição do seu diretório, clique no diretório no Portal de Gerenciamento e clique em Configurar. Conforme explicado neste tópico, você pode adicionar um novo diretório ou excluir um diretório de que não precisa mais. Para associar sua assinatura a um diretório diferente, clique em Configurações>Subscriptions>Editar Diretório. Você também pode criar um domínio personalizado usando um nome DNS que você registrou ao invés do domínio padrão *.onmicrosoft.com, que pode ser preferível com um serviço como o SharePoint Online.
Para obter mais informações sobre como gerenciar seu diretório, administre seu diretório Azure AD.
Adicionar e gerenciar vários diretórios do AD do Azure
Você pode adicionar um diretório do Azure AD no Portal de Gerenciamento do Azure. Selecione a extensão do Active Directory no lado esquerdo e clique em Adicionar.
Você pode gerenciar cada diretório como um recurso completamente independente: cada diretório é um par, com recursos completos e logicamente independente de outros diretórios que você gerencia; não há nenhuma relação de pai-filho entre os diretórios. Essa independência entre diretórios inclui independência de recursos, independência administrativa e independência de sincronização.
Independência de recursos. Se você criar ou excluir um recurso em um diretório, ele não afeta nenhum recurso em outro diretório, com a exceção parcial de usuários externos, como descrito abaixo. Se você usar um domínio personalizado "contoso.com" com um diretório, ele não pode ser usado com nenhum outro diretório.
Independência administrativa. Se um usuário não administrativo do diretório "Contoso" criar um diretório "Teste", então:
Por padrão, o usuário que cria um diretório é adicionado como um usuário externo nesse novo diretório e recebe a função de administrador global nesse diretório.
Os administradores do diretório "Contoso" não têm privilégios administrativos diretos para o diretório "Teste", a menos que um administrador de "Teste" conceda especificamente esses privilégios a eles. Os administradores do "Contoso" podem controlar o acesso ao diretório "Teste" por meio de seu controle da conta do usuário que criou "Teste".
E se você alterar (adicionar ou remover) uma função de administrador para um usuário em um diretório, a alteração não afeta nenhuma função de administrador que o usuário pode ter em outro diretório.
Independência de sincronização. Você pode configurar cada Azure AD independentemente para que os dados sejam sincronizados a partir de uma única instância de:
Ferramenta de sincronização do diretório, para sincronizar dados com uma única floresta do AD.
Azure Active Directory Connector para o Forefront Identity Manager, para sincronizar dados com uma ou mais florestas locais e/ou fontes de dados não AD.
Observe também que, ao contrário de outros recursos do Azure, seus diretórios não são recursos filhos de uma assinatura do Azure. Por isso, se cancelar ou deixar que a sua assinatura do Azure expire, você ainda poderá acessar os dados do seu diretório usando o Azure PowerShell, o Azure Graph API ou outras interfaces tais como o Centro de Administração do Office 365. Você também pode associar outra assinatura ao diretório.
Excluir um diretório do AD do Azure
Um administrador global pode excluir um diretório do AD do Azure do Portal de Gerenciamento do Azure. Quando um diretório é excluído, todos os recursos contidos no diretório também serão excluídos; portanto, você deve se certificar de que não precisa do diretório antes de excluí-lo.
Observação
Se o usuário estiver conectado com uma conta comercial ou de estudante, ele não deve tentar excluir seu diretório base. Por exemplo, se o usuário estiver conectado como joe@contoso.onmicrosoft.com, esse usuário não poderá excluir o diretório que tiver contoso.onmicrosoft.com como seu domínio padrão.
Condições que devem ser atendidas para excluir um diretório do Azure AD
O Azure AD requer que determinadas condições sejam atendidas para excluir um diretório. Isso reduz o risco de a exclusão de um diretório afetar negativamente os usuários ou aplicativos, como a capacidade dos usuários de entrar no Office 365 ou acessar recursos no Azure. Por exemplo, se um diretório para uma assinatura for acidentalmente excluído, então, os usuários não poderiam acessar os recursos do Azure para essa assinatura.
As seguintes condições são verificadas:
O único usuário no diretório é o administrador global, que excluirá o diretório. Quaisquer outros usuários devem ser excluídos antes que o diretório possa ser excluído. Se os usuários estiverem sincronizados no local, então a sincronização precisará ser desativada e os usuários deverão ser excluídos no diretório de nuvem usando o Portal de Gerenciamento ou o módulo do Azure para Windows PowerShell. Não há nenhum requisito de excluir grupos ou contatos, tais como contatos adicionados a partir do Centro de Administração do Office 365.
Não pode haver nenhum aplicativo no diretório. Qualquer aplicativo deve ser excluído antes que o diretório possa ser excluído.
Não pode haver assinaturas para Microsoft Online Services, como o Microsoft Azure, Office 365 ou Azure AD Premium associadas ao diretório. Por exemplo, se um diretório padrão tiver sido criado para você no Azure, você não poderá excluir esse diretório se sua assinatura do Azure ainda depender desse diretório para autenticação. Da mesma forma, você não pode excluir um diretório se outro usuário tiver associado uma assinatura a ele. Para associar sua assinatura a um diretório diferente, entre no Portal de Gerenciamento do Azure e clique em Configurações no painel de navegação esquerdo. Em seguida, clique em Assinaturas e Editar Diretório. Para obter mais informações sobre as assinaturas do Azure, consulte Como as assinaturas do Azure são associadas ao Azure AD.
Observação
Se sua assinatura estiver cancelada e você desejar excluir um diretório, entre usando uma assinatura diferente e adicione o administrador global do diretório como coadministrador da assinatura. Em seguida, saia e entre novamente usando a conta de coadministrador da assinatura. Você poderá excluir o diretório se todas as outras condições forem atendidas.
Nenhum provedor de autenticação multifator pode ser vinculado ao diretório.