Contoso na Como uma organização global fictícia,

mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 1 de 6

em uma série
1 2 3 4 5 6

The Contoso Corporation

A Contoso Corporation é uma empresa global sediada em Paris, França. É uma organização de
conglomerado de fabricação, vendas e suporte com mais de 100 mil produtos.

Organização mundial da Contoso

Escritórios da Contoso no mundo todo seguem um design de três camadas.

25% da força de
Sede Hubs regionais Filiais trabalho da Contoso é
somente móvel, com
um percentual maior
A sede da Contoso Corporation é Os escritórios do hub regional As filiais têm 80% de equipe de de funcionários apenas
um grande campus corporativo nos escritórios atendem a uma região vendas e suporte e oferecem uma
arredores de Paris com dezenas de específica do mundo com 60% de
móveis nos hubs
presença física e local para os clientes
prédios com instalações equipe de vendas e suporte. Cada da Contoso nas principais cidades ou regionais e nas filiais.
administrativas, de fabricação e de hub regional está conectado à sede sub-regiões. Cada filial está
engenharia. Todos os datacenters da Paris por um link WAN de ampla conectada a um hub regional por um Fornecer suporte
Contoso e sua presença na Internet largura de banda. link WAN ampla largura de banda. melhor para
estão hospedados na sede de Paris. trabalhadores somente
Cada hub regional tem uma média Cada filial tem uma média de 250 móveis é uma
A matriz tem 15 mil trabalhadores. de 2 mil trabalhadores. funcionários. importante meta de
negócios da Contoso.

Elementos de Implementação da Contoso da nuvem da Microsoft

Os arquitetos de TI da Contoso identificaram os seguintes elementos ao planejar a adoção de ofertas de nuvem da Microsoft.

Rede Identidade Segurança Gerenciamento

Rede inclui a conectividade às ofertas de
nuvem Microsoft e largura de banda
suficiente para ter um bom desempenho sob
cargas de pico. Alguma conectividade será
local por conexões de Internet locais e
alguma será por infraestrutura de rede
privada da Contoso.
Rede da nuvem da Microsoft
para arquitetos da empresa
Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.
A Contoso usa uma floresta do AD do
Windows Server para seu provedor de
identidade interno e também faz federação
com provedores de terceiros para clientes e
parceiros. A Contoso deve aproveitar o
conjunto interno de contas para ofertas de
nuvem da Microsoft. Acesso a aplicativos
baseados em nuvem para clientes e parceiros
deve aproveitar provedores de identidade de
terceiros também.
Identidade de nuvem da
Microsoft para arquitetos da
empresa
Segurança para identidades e dados
baseados em nuvem deve incluir proteção
de dados, gerenciamento de privilégio
administrativo, reconhecimento de ameaça
e implementação de políticas de
governança e segurança de dados.
Segurança de nuvem da
Microsoft para arquitetos da
empresa
Gerenciamento para aplicativos baseados
em nuvem e cargas de trabalho SaaS
precisará poder realizar a manutenção de
configurações, dados, contas, políticas e
permissões e monitorar o desempenho e a
integridade em andamento. Ferramentas de
gerenciamento de servidor existentes serão
usadas para gerenciar máquinas virtuais no
Azure IaaS.
 Contoso na Como uma organização global fictícia,
mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 2 de 6

em uma série
1 2 3 4 5 6

Infraestrutura e necessidades de TI da Contoso

A Contoso está no processo de transição de uma infraestrutura de TI centralizada local para uma infraestrutura incluindo
nuvem que incorpore cargas de trabalho, aplicativos e cenários híbridos de produtividade pessoal baseados em nuvem.

Infraestrutura de TI existente da Contoso

A Contoso usa principalmente a infraestrutura de TI local centralizada, com datacenters de aplicativo
na sede de Paris.

Na DMZ da Contoso, diferentes conjuntos

Sede DMZ Internet de servidores oferecem:

• Acesso remoto à intranet da Contoso e

proxy Web para os funcionários na sede
Paris.
Acesso/proxy • Hospedagem para o site público da
remoto Trabalhadores Contoso, do qual os clientes podem
Datacenters de remotos e solicitar produtos, peças ou
aplicativo somente móveis suprimentos.
• Hospedagem para a extranet do
Site público
parceiro da Contoso para comunicação
e colaboração do parceiro.
Funcionários
locais Extranet do
parceiro

Firewall interno Firewall externo

Necessidades de negócios da Contoso

Cumprir os requisitos regulamentares
1 regionais
Para evitar multas e manter boas relações
com os governos locais, a Contoso deve
garantir a conformidade com os
regulamentos de criptografia e
armazenamento de dados.
Melhorar o gerenciamento de
2 fornecedores e parceiros
A extranet do parceiro está envelhecendo e
tem alto custo de manutenção. A Contoso
quer substituí-la por uma solução baseada
em nuvem que use autenticação federada.
Melhorar a produtividade, o gerenciamento
3 de dispositivos e o acesso da força de
trabalho móvel
A força de trabalho somente móvel da
Contoso está se expandindo e precisa de
gerenciamento de dispositivos para garantir
a proteção de propriedade intelectual e
acesso mais eficiente aos recursos.

Reduzir a infraestrutura de acesso remoto
4 Ao mover recursos comumente acessados
por trabalhadores remotos para a nuvem, a
Contoso economizará dinheiro reduzindo
os custos de manutenção e suporte para
sua solução de acesso remoto.
Reduzir verticalmente datacenters locais
5 Os datacenters da Contoso contêm
centenas de servidores, alguns dos quais
estão executando funções herdadas ou de
arquivamento que desviam a atenção da
equipe de TI da manutenção decargas de
trabalho dealto valor comercial.
Escalar verticalmente recursos de
6 computação e armazenamento para
processamento de final de trimestre
Contabilidade financeira de final do trimestre
e processamento de projeção, juntamente
com o gerenciamento de estoque, requerem
aumentos de curto prazo em servidores e
armazenamento.

Mapeando as necessidades de negócios da Contoso para as ofertas de nuvem da Microsoft

SaaS Azure PaaS Azure IaaS

Software como Serviço Plataforma como Serviço Infraestrutura como Serviço

Office 365: principais Hospede documentos de Mova sistemas de arquivamento e 5

aplicativos de produtividade
pessoal e de grupo na nuvem.
Dynamics 365: use
gerenciamento de cliente e
fornecedor baseado em
nuvem. Remova a extranet do
parceiro na DMZ.
Intune/EMS: gerencie
dispositivos iOS e Android.
1 3 5 vendas e suporte e sistemas 3 herdados para servidores
de informação utilizando baseados em nuvem.
aplicativos baseados em
nuvem. Migre aplicativos e dados de baixo
2 uso para fora dos datacenters 5
locais.
Aplicativos móveis são 3 4
baseados em nuvem, em vez Adicione servidores e
de serem baseados no armazenamento temporários para 6
datacenter de Paris. as necessidades de processamento
3 de final de trimestre.

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.
 Contoso na Como uma organização global fictícia,
mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 3 de 6

em uma série
1 2 3 4 5 6

Rede
Para adotar uma infraestrutura de nuvem inclusiva, os engenheiros de rede da Contoso fizeram
a mudança fundamental na maneira como o tráfego de rede para serviços baseados em nuvem
ocorre. Em vez de apenas otimizar o tráfego para servidores e datacenters locais, a mesma
atenção foi dedicada a otimizar o tráfego para a borda de Internet e em toda a Internet.

Infraestrutura de rede da Contoso

A Contoso tem a seguinte infraestrutura de rede.

Rede local Conectividade com a Internet Presença na Internet

Links WAN conectam a sede de Paris a escritórios
regionais e os escritórios regionais a filiais em uma
configuração raio e hub.
Dentro de cada escritório, roteadores distribuem o
tráfego para hosts ou pontos de acesso sem fio em
sub-redes, que usam o espaço de endereço IP particular.
Cada escritório tem a própria conectividade com a Internet
por meio de um servidor proxy.
Isso geralmente é implementado como um link WAN para
um ISP local que também fornece endereços IP públicos
para o servidor proxy.
A Contoso detém o nome de domínio público contoso.com.
O site público da Contoso para pedidos de produtos é um
conjunto de servidores em um datacenter conectado à
Internet no campus de Paris.
A Contoso usa um intervalo de endereços IP público /24 na
Internet.

Infraestrutura do aplicativo Contoso 100%

60%
A Contoso projetou sua infraestrutura de aplicativo e
servidor para o seguinte:
Campus
Filial Hub regional
• Filiais usam servidores de caching locais para de Paris
armazenar documentos acessados com frequência
e sites internos.
• Hubs regionais usam servidores de aplicativo
regionais para os escritórios regionais e as filiais.
Esses servidores sincronizam-se com os servidores
da matriz de Paris.
• O campus de Paris tem os datacenters que contêm
os servidores de aplicativo centralizados que
atendem toda a organização. Servidor de Servidores de Datacenters
caching aplicativo centrais do
Para usuários nas filiais ou hubs regionais, 60% dos regionais aplicativo
recursos de que os funcionários precisam podem ser
atendidos por servidores de filiais e hubs regionais. Os
outros 40% das solicitações de recursos devem ir pelo
link de WAN para o campus de Paris.
Continua na próxima página
Análise de rede da Contoso
Aqui estão os resultados da análise da Contoso das alterações necessárias na rede para
acomodar as categorias diferentes de ofertas de nuvem da Microsoft.

Ofertas de nuvem SaaS Azure PaaS Azure IaaS

Office 365, EMS e Dynamics 365 Aplicativos móveis Cargas de trabalho baseadas em servidor

A adoção bem-sucedida dos serviços SaaS pelos
usuários depende de conectividade altamente
disponível e de alto desempenho à Internet ou
diretamente aos serviços em nuvem da
Microsoft.
Para usuários móveis, será presumido que o
acesso à Internet atual é adequado.
Para os usuários na intranet da Contoso, cada
escritório deve ser analisado e otimizado para
produtividade para a Internet e tempos de
viagem de ida e volta ao datacenter da Europa
da Microsoft que hospeda os locatários do
Office 365, do EMS e do Dynamics 365.
Para dar um suporte melhor aos trabalhadores
móveis, aplicativos herdados e alguns sites de
compartilhamento de arquivos estão sendo
reformulados e implantados como aplicativos
Azure PaaS. Para o desempenho ideal, a Contoso
planeja implantar os novos aplicativos de vários
datacenters do Azure no mundo todo. O
Gerenciador de Tráfego do Azure deverá enviar
solicitações de aplicativo cliente, originadas tanto
de um usuário móvel quanto de um computador
no escritório, para o datacenter Azure mais
próximo que hospede o aplicativo.
O departamento de TI precisará adicionar
desempenho de aplicativo PaaS e distribuição de
tráfego à solução de monitoramento de
integridade de rede.
Para transferir alguns servidores herdados e de
arquivamento para fora dos datacenters do
campus de Paris e adicionar servidores conforme
necessário para processamento do final do
trimestre, a Contoso planeja usar máquinas
virtuais em execução nos serviços de
infraestrutura do Azure.
As redes virtuais Azure que contêm esses
servidores devem ser projetadas para espaços
de endereço, roteamento e DNS integrado não
sobrepostos.
O departamento de TI deve incluir esses novos
servidores ao seu sistema de gerenciamento e
monitoramento de rede.

Uso da ExpressRoute pela Contoso

A ExpressRoute é uma conexão WAN dedicada de seu local para um local de
emparelhamento da Microsoft que conecta a sua rede à rede de nuvem da Microsoft.
As conexões ExpressRoute oferecem desempenho previsível e um SLA de tempo de
atividade de 99,9%.
Com uma conexão ExpressRoute, você é conectado à rede de nuvem da Microsoft e a
todos os locais de datacenter Microsoft no mesmo continente. O tráfego entre o local
de emparelhamento de nuvem e o datacenter Microsoft de destino é feito através da
rede de nuvem da Microsoft.
Com o ExpressRoute Premium, você pode acessar qualquer data center Microsoft em
qualquer continente de qualquer local de emparelhamento da Microsoft em qualquer
continente. O tráfego entre continentes é feito através da rede de nuvem da
Microsoft.

Com base na análise de tráfegos atuais e futuros para ofertas de nuvem da Microsoft e seus requisitos
de alta qualidade de serviço para comunicações baseadas em Skype, a Contoso realizou uma avaliação
da rede e implementou uma conexão ExpressRoute Premium de qualquer uma para qualquer uma
(baseada em MPLS) da sede de Paris para o local de emparelhamento da Microsoft na Europa.

Desempenho consistente para a Desempenho consistente para a Desempenho consistente para

equipe do campus de Paris para
aplicativos SaaS
Com 15 mil funcionários no campus de
Paris, todos acessando simultaneamente o
Office 365, o Intune e o 365 Dynamics, a
Contoso deseja garantir que o acesso
tenha um desempenho consistentemente
alto e não concorra com tráfego de
Internet regional.
administração de aplicativos do
Azure PaaS distribuídos
Todos os desenvolvedores de aplicativos e os
administradores de TI de infraestrutura principal
da Contoso estão no campus de Paris.
Com aplicativos Azure PaaS distribuídos a
diferentes data centers Azure em todo o mundo,
a Contoso precisa de desempenho consistente do
campus de Paris para administrar os aplicativos e
seus recursos de armazenamento, que consistem
em TB de documentos.
administração de servidores no
Azure IaaS
Os administradores do datacenter da Contoso
estão no campus de Paris e os servidores a serem
implantados no Azure são uma extensão do
datacenter de Paris.
A Contoso precisa de desempenho consistente
para esses novos servidores para acessar
aplicativos herdados e armazenamento de
arquivamento e para processamento de final de
trimestre.

Caminho da Contoso para a preparação de rede na nuvem

1 Otimizar os computadores dos
funcionários para acesso à Internet
Computadores individuais serão verificados
para garantir que as atualizações mais
recentes de pilha de TCP/IP, navegador,
drivers da NIC e segurança e sistema
operacional estejam instaladas.
2 Analisar a utilização da conexão de
Internet em cada escritório e aumentar
conforme necessário
Será analisado o uso que cada escritório faz
da Internet atual, e largura de banda do link
WAN será aumentada se ele estiver
operando a uma utilização de 70% ou mais.
3 Analisar sistemas DMZ em cada
escritório quanto ao desempenho ideal
Firewalls, IDSs e outros sistemas no
caminho da Internet serão analisados
quanto ao desempenho ideal. Servidores
proxy serão atualizados conforme
necessário.

4 Adicionar ExpressRoute Premium para o
campus de Paris
Fornece acesso consistente ao ofertas de
nuvem SaaS para trabalhadores do campus
de Paris e administração de cargas de
trabalho do Azure PaaS e IaaS em todo o
mundo.
5 Criar e testar um perfil do Gerenciador
de Tráfego do Azure para aplicativos do
Azure PaaS
Teste um perfil do Gerenciador de Tráfego
do Azure que use o método de roteamento
de desempenho para obter experiência na
distribuição tráfego de Internet para locais
regionais.
6 Reservar espaço de endereço particular
para VNets do Azure
Com base nos números de projetado
servidores de curto e longo prazos
projetados no Azure IaaS, reserve espaço
de endereço particular para VNets do
Azure e suas sub-redes.

Planejamento de rede e ajuste de

Recursos de rede Rede da nuvem da Microsoft
para arquitetos da empresa
na nuvem http://aka.ms/cloudarchnetworking
desempenho para Office 365
ExpressRoute para Office 365
http://aka.ms/tune http://aka.ms/expressrouteoffice365

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.
 Contoso na Como uma organização global fictícia,
mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 4 de 6

em uma série
1 2 3 4 5 6

Identidade
A Microsoft fornece IDaaS (Identidade como um Serviço) em suas ofertas de nuvem. Para adotar uma
infraestrutura que inclua nuvem, a solução de IDaaS da Contoso deve aproveitar seu provedor de identidade
local e incluir autenticação federada com seus atuais provedores de identidade confiáveis de terceiros.

Floresta do AD do Windows Server da Contoso

A Contoso usa uma única floresta do AD (Active Directory) do Windows Server para contoso.com com sete domínios, um para cada região do mundo. A sede, os
escritórios de hubs regionais e filiais contêm controladores de domínio para autenticação e autorização locais.
A Contoso deseja usar as contas e os grupos na floresta contoso.com para autenticação e autorização para seus aplicativos e cargas de trabalho baseados em nuvem.

Infraestrutura de autenticação federada da Contoso

A Contoso permite que:

DMZ Internet • Clientes usem as contas da Microsoft, Facebook ou

Google Mail para entrar no site público.
• Fornecedores e parceiros usem as contas do LinkedIn, do
Salesforce ou do Google Mail para entrar na extranet do
parceiro.
Clientes e Os servidores AD FS (Serviços de Federação do Active
Site público Extranet do
parceiros Directory) na DMZ autenticam as credenciais do cliente para
parceiro
acessar o site público e as credenciais de parceiro para
acessar a extranet do parceiro.
Quando a Contoso faz a transição do seu site público para
um aplicativo Web do Azure e da extranet do parceiro para
365 Dynamics, ela quer continuar usando esses provedores
AD FS de identidade de terceiros para seus clientes e parceiros.
Isso será feito configurando a federação entre locatários do
Azure AD da Contoso e esses provedores de identidade de
terceiros.
Firewall externo

Continua na próxima página

Sincronização de diretórios para a floresta do AD do Windows Server da Contoso
A Contoso implantou a ferramenta Azure AD Connect em um cluster de
Sede Microsoft cloud servidores em seu data center de Paris. O Azure AD Connect sincroniza as
alterações à floresta do AD do Windows Server de contoso.com com o
locatário do Azure AD compartilhado pelas assinaturas do Office 365, do
EMS, do 365 Dynamics e do Azure da Contoso. Para obter mais
informações sobre assinaturas, licenças, contas de usuário e locatários,
consulte o tópico 5.

Servidor do A Contoso configurou autenticação federada, que fornece logon único para
Azure AD
Azure trabalhadores da Contoso. Quando um usuário que já tiver entrado na
Locatário do AD
Connect floresta do AD do Windows Server de contoso.com acessar um recurso de
nuvem da Microsoft SaaS ou PaaS, ele não será solicitado a informar uma
ExpressRoute senha.
Premium
O tráfego para a sincronização de diretório vai da conexão do ExpressRoute
Premium do campus da sede para a rede de nuvem da Microsoft.

Distribuição geográfica do tráfego de autenticação da Contoso

Para melhor atender à sua força de trabalho móvel e remota, a Contoso implantou conjuntos de servidores de autenticação em se us escritórios regionais. Essa
infraestrutura distribui a carga e fornece redundância e o melhor desempenho ao autenticar credenciais de usuário para acesso a ofertas de nuvem da Microsoft
que usam o locatário Azure AD comum.
Para distribuir a carga de solicitações de autenticação, a Contoso configurou o Gerenciador de Tráfego do Azure com um perfil que usa o método de roteamento
de desempenho, que encaminha clientes de autenticação ao conjunto de servidores de autenticação mais próximos na região.

Exemplo de processo de autenticação:

Computador do Locação do 1. O computador cliente inicia a comunicação com uma página da Web
cliente Office 365 na no locatário do Office 365 na Europa (como sharepoint.contoso.com).
Europa
2. O Office 365 envia de volta uma solicitação para enviar uma prova de
autenticação. A solicitação contém a URL para o contato para a
Gerenciador de autenticação.
tráfego
3. O computador cliente tenta resolver o nome DNS na URL para um
Servidores Servidores Servidores endereço IP.
de de de
autenticação autenticação autenticação 4. O Gerenciador de Tráfego do Azure recebe a consulta DNS e responde
ao computador cliente com o endereço IP de um servidor proxy do
Escritório regional 1 Escritório regional 2 Escritório regional 3 aplicativo Web do escritório regional mais próximo do computador
cliente.

5. O computador cliente envia uma solicitação de autenticação para um servidor

proxy do aplicativo Web, que encaminha a solicitação a um servidor do AD FS.
Escritório DMZ
regional 6. O servidor do AD FS solicita as credenciais do usuário do computador cliente.
7. O computador cliente envia as credenciais do usuário sem avisar o usuário.
Solicitação
8. O servidor AD FS valida as credenciais com um controlador de domínio do AD
de
do Windows Server no escritório regional e retorna um token de segurança no
autenticação
Controladores Servidores do Proxies do computador cliente.
de domínio do AD FS aplicativo Web 9. O computador cliente envia o token de segurança ao Office 365.
AD do Windows
Server 10. Após a validação bem-sucedida, o Office 365 armazena em cache o token de
segurança e envia a página da Web solicitada na etapa 1 ao computador cliente.

Firewall interno

Redundância para a infraestrutura de autenticação da sede no Azure IaaS

Para fornecer redundância para os trabalhadores remotos e móveis de sede de Paris, que tem
15 mil trabalhadores, a Contoso implantou um segundo conjunto de proxies de aplicativo e
Sede DMZ servidores AD FS no Azure IaaS.
Quando os servidores de autenticação primários na DMZ da sede não estão disponíveis, a
equipe de TI muda para o conjunto redundante implantado no Azure IaaS. Solicitações de
autenticação subsequentes de computadores do escritório de Paris usam o conjunto no
Azure IaaS até que o problema de disponibilidade ser corrigido.
Servidores do Proxies de
AD FS aplicativo Web
Datacenters Para mudar e voltar, a Contoso atualiza o perfil
centrais do Rede virtual do Gerenciador de Tráfego do Azure para a
aplicativo região de Paris usar um conjunto diferente de
endereços IP para os proxies de aplicativo Web:
Interno
• Quando os servidores de autenticação da
firewall
DMZ estão disponíveis, use os endereços IP
Servidores do Proxies de dos servidores na DMZ.
Gateway AD FS aplicativo Web
ExpressRoute • Quando os servidores de autenticação da
Premium DMZ não estiverem disponíveis, use os
endereços IP dos servidores no Azure IaaS.

Recursos de Identidade de nuvem da Infográfico: Gerenciamento de Synchronizing your directory with

Office 365 is easy (É fácil sincronizar
Microsoft para arquitetos da acesso e identidade na nuvem
identidade da empresa seu diretório com o Office 365)
nuvem http://aka.ms/cloudarchidentity http://go.microsoft.com/fwlink/p/?LinkId=524282 http://go.microsoft.com/fwlink/p/?LinkId=524281

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.
 Contoso na Como uma organização global fictícia,
mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 5 de 6

em uma série
1 2 3 4 5 6

Assinaturas, licenças e contas de usuário

Para fornecer um uso consistente de identidades e cobrança para todas as ofertas de nuvem, a
Microsoft fornece uma hierarquia de organização/assinaturas/licenças/contas de usuário.
Organização Assinaturas
A entidade de negócios que está usando Para ofertas de nuvem SaaS da Microsoft
ofertas de nuvem da Microsoft, (Office 365, Intune /EMS e Dynamics 365),
normalmente identificada por um nome de uma assinatura é um produto específico e
domínio DNS público, como contoso.com. um conjunto adquirido de licenças de
usuário.
Para o Azure, uma assinatura permite a
cobrança da organização por serviços de
nuvem consumidos.
Licenças
Para ofertas de nuvem da Microsoft SaaS,
uma licença permite que uma conta de
usuário específica use serviços de nuvem.
Para o Azure, licenças de software estão
integradas ao preço do serviço, mas, em
alguns casos, você precisará comprar
licenças de software adicionais.
Contas de usuário
Contas de usuário são armazenadas em
um locatário do Azure AD e podem ser
sincronizadas de um provedor de
identidade local, como o AD do Windows
Server.

Estrutura da Contoso
Organização A Contoso Corporation é identificada por seu nome de
domínio público contoso.com.
Office 365

Enterprise E3 Assinaturas e licenças A Contoso Corporation está usando o

500 licenças seguinte:
Enterprise E5
• O produto Office 365 Enterprise E3 com 500 licenças
200 licenças
• O produto Office 365 Enterprise E5 com 200 licenças
• O produto EMS com 500 licenças
• O produto Dynamics 365 com 100 licenças
Intune/EMS • Várias assinaturas do Azure com base em regiões
500 licenças

Contas de usuário Um locatário comum do Azure AD

Dynamics 365 Azure contém a lista de contas de usuário e grupos usado por
100 licenças Locatário do AD
Contas de usuário todas as assinaturas da Contoso, com exceção de assinaturas
sincronizadas da do Azure de desenvolvimento e teste.
floresta do AD do
Windows Server de
contoso.com Locatários:
• Para ofertas de nuvem SaaS, o locatário é o local regional que engloba os
Assinaturas do
servidores que fornecem serviços de nuvem. A Contoso escolheu a região
Azure regionais
europeia para hospedar seus locatários do Office 365, do EMS e do
Dynamics 365.
Contoso • Os serviços e aplicativos do Azure PaaS e as cargas de trabalho de TI IaaS
Corporation podem ter locação em qualquer datacenter do Azure no mundo todo.
contoso.com • Um locatário do Azure AD é uma instância específica do Azure AD contendo
contas e grupos. O locatário comum do Azure AD que contém as contas
sincronizadas da floresta do AD do Windows Server da Contoso oferece
IDaaS em ofertas de nuvem da Microsoft.
Assinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft

Assinaturas do Azure da Contoso A Contoso desenvolveu a seguinte hierarquia para suas

assinaturas do Azure:

• A Contoso está no topo, com base em seu Enterprise

Agreement com a Microsoft.
• Há um conjunto de contas correspondentes a
diferentes regiões da Contoso Corporation em todo o
mundo, com base nos domínios da floresta do AD do
Windows Server da Contoso.
• Em cada região, há uma ou mais assinaturas com base
nas necessidades de implantação de desenvolvimento,
teste e produção da região.

Cada assinatura do Azure pode ser associada um único

locatário Azure AD que contém as contas de usuário e
grupos para autenticação e autorização para os serviços
do Azure. Assinaturas de produção usam o locatário
comum Contoso Azure AD.

Diretrizes de contas e assinatura do Azure

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.
 Contoso na Como uma organização global fictícia,
mas representativa, implementou a

nuvem da Microsoft Cloud

Microsoft Este tópico é o 6 de 6

em uma série
1 2 3 4 5 6

Segurança
A Contoso leva a sério a segurança e a proteção das informações. Ao fazer a transição da infraestrutura
de TI para uma incluindo nuvem, ela garantiu o suporte e a implementação dos requisitos de segurança
local nas ofertas de nuvem da Microsoft.

Requisitos de segurança da Contoso na nuvem

Autenticação forte para
O acesso a recursos na nuvem deve ser autenticado e, quando possível, aproveitar autenticação multifator.
recursos na nuvem

Criptografia para o tráfego Nenhum dado enviado pela Internet está em formato de texto sem formatação. Sempre use conexões HTTPS, IPsec ou outros
pela Internet métodos de criptografia de dados de ponta a ponta.

Criptografia de dados em
Todos os dados armazenados em disco ou em outro lugar na nuvem devem estar no formato criptografado.
repouso na nuvem

ACLs de acesso de As permissões da conta para acessar recursos na nuvem e o que eles têm permissão para fazer devem seguir as diretrizes de
privilégios mínimos privilégios mínimos.

Classificação de confidencialidade de dados da Contoso

Usando as informações do Kit de ferramentas de classificação de dados da Microsoft, a Contoso realizou uma análise de seus
dados e determinou os níveis a seguir.

Nível 1: baixo valor de negócios Nível 2: médio valor de negócios Nível 3: alto valor de negócios

Os dados são criptografados e estão disponíveis Nível 1 mais autenticação forte e proteção Nível 2 mais os níveis mais altos de criptografia,
somente a usuários autenticados contra perda de dados autenticação e auditoria

Fornecido para todos os dados armazenados
localmente e em armazenamento e cargas de trabalho
baseados em nuvem, como Office 365. Os dados são
criptografados enquanto estão no serviço e em
trânsito entre o serviço e os dispositivos do cliente.
Exemplos de dados de Nível 1 são comunicações de
negócios normais (email) e arquivos para
trabalhadores administrativos, de vendas e de suporte.
Autenticação forte inclui autenticação multifator com
validação de SMS. Prevenção de perda de dados
garante que informações confidenciais ou críticas não
trafeguem fora da rede local.
Exemplos de dados de nível 2 são informações
financeiras e legais e dados de pesquisa e
desenvolvimento para novos produtos.
Os níveis mais altos de criptografia de dados em
repouso e na nuvem, de modo compatível com os
regulamentos regionais, combinados com
autenticação multifator com cartões inteligentes e
auditoria e alertas granulares.
Exemplos de dados de nível 3 são informações de
identificação do usuário do cliente e do parceiro e
especificações de engenharia de produto e técnicas de
fabricação proprietárias.

Kit de ferramentas de classificação de dados

Mapeamento de recursos e ofertas de nuvem da Microsoft para os níveis de dados

da Contoso
SaaS Azure PaaS Azure IaaS

• Suporte apenas a conexões HTTPS • Exigir HTTPS ou IPsec para acesso ao

Nível 1: baixo valor • HTTPS para todas as conexões
• Criptografar arquivos armazenados servidor
de negócios • Criptografia em repouso
no Azure • Criptografia de disco do Azure

• Usar Cofre de Chaves do Azure para

Nível 2: médio valor • MFA (autenticação multifator) do
chaves de criptografia • MFA com SMS
de negócios Azure AD com SMS
• MFA do Azure AD com SMS

• RMS (Sistema de Rights

Management) do Azure • Azure RMS
Nível 3: alto valor • MFA do Azure AD com cartões • MFA do Azure AD com cartões • MFA com cartões inteligentes
de negócios
inteligentes inteligentes
• Acesso condicional Intune

Continua na próxima página

Políticas de informações da Contoso
Acesso Retenção de dados Proteção de informações

Nível 1: baixo valor

de negócios
• Permitir acesso a todos 6 meses Usar criptografia

• Permitir acesso a funcionários,

Nível 2: médio valor fornecedores e parceiros da Usar valores de hash para
de negócios
2 anos
Contoso integridade de dados
• Usar MFA, TLS e MAM

• Permitir acesso aos executivos e

clientes potenciais em
Nível 3: alto valor Usar assinaturas digitais para não
engenharia e fabricação 7 anos
de negócios repúdio
• RMS com dispositivos de rede
gerenciados somente

Caminho da Contoso para preparação para segurança da nuvem

1 Otimizar contas de administrador para a
nuvem
A Contoso fez um amplo exame das contas
de administrador existentes do AD do
Windows Server e configurou uma série de
grupos e contas de administrador de nuvem.
2 Executar análise de classificação de
dados em três níveis
A Contoso fez um exame cuidadoso e
determinou os três níveis, que foram
usados para determinar os recursos da
oferta de nuvem da Microsoft para proteger
os dados mais valiosos da Contoso.
3 Determinar políticas de acesso, de
retenção e de proteção de informações
para níveis de dados
Com base nos níveis de dados, a Contoso
determinou requisitos detalhados, que
serão usados para qualificar cargas de
trabalho de TI futuras que estejam sendo
movidas para a nuvem.

Recursos de Segurança de nuvem da Microsoft Proteção de informações para o

Curso da Microsoft Virtual Academy Security
in a Cloud-Enabled World (Segurança em
segurança da para arquitetos da empresa Office 365 um mundo habilitado para a nuvem)
nuvem http://aka.ms/cloudarchsecurity http://aka.ms/o365infoprotect http://aka.ms/securecustomermva

Setembro de 2016 © 2016 Microsoft Corporation. Todos os direitos reservados. Para enviar comentários sobre essa documentação, escreva para nós no CloudAdopt@microsoft.com.