Como este tema funciona na sua empresa
Pequenas empresas tipicamente não têm Active Directory on-premise — estrutura que exige servidor dedicado e overhead administrativo. Em vez disso, infraestrutura é nativa em nuvem (SaaS — Office 365, Google Workspace, Slack, etc.). Usuários são gerenciados diretamente na plataforma SaaS ou via Entra ID simples, sem sincronização de AD on-premise. Não há jornada de migração porque nunca houve AD local. Identidade é gerenciada no cloud desde o início.
Coexistência híbrida é modelo típico: AD on-premise gerencia identidade de colaboradores, computadores Windows, e aplicações legacy. Azure AD Connect sincroniza usuários e grupos entre AD on-prem e Entra ID na nuvem. Resultado: um usuário tem identidade única que funciona para login no Windows (AD) e acesso a Office 365 (Entra ID). Empresas médias começam a considerar migração, mas geralmente levam 3 a 5 anos — não é overnight porque muitos sistemas ainda dependem de AD on-premise.
Grandes empresas têm AD on-premise robusto (floresta com múltiplos domínios, redundância, milhares de usuários). Entra ID hybrid é implementado para oferecer acesso moderno (cloud apps, MFA, acesso condicional). Jornada de migração é multi-ano: dividida em fases por divisão, aplicação por aplicação. Algumas divisões podem estar em Entra ID puro (sem dependência de AD local), outras ainda completamente em AD. Roadmap busca consolidação em Entra ID, mas processo é longo porque infraestrutura herdada exige redesign.
Active Directory (AD), Azure AD e Entra ID são soluções de gerenciamento de identidade em posições diferentes da evolução tecnológica. Active Directory é serviço de diretório on-premise lançado em 1999 — gerencia identidades em rede Windows local, baseado em protocolos Kerberos e LDAP. Azure AD foi serviço de identidade em nuvem introduzido em 2009 — oferecia acesso a aplicações SaaS e recursos Azure, baseado em OAuth/OIDC. Historicamente, Microsoft renomeou Azure AD para Entra ID, sinalizando evolução estratégica: além de identidade, Entra ID agora cobre acesso a qualquer recurso (on-prem, cloud, SaaS)[1]. Para maioria das organizações, transição de AD para Entra ID é jornada de 3 a 5 anos, frequentemente passando por fase intermediária de coexistência híbrida.
Diferenças fundamentais entre AD on-premise e Entra ID
Apesar de ambos gerenciarem identidades, AD e Entra ID têm fundações diferentes que afetam como organizações devem planejar transição:
- Arquitetura: AD é diretório centralizado instalado on-premise — reside em servidores Windows da sua rede, você controla. Entra ID é serviço SaaS multi-tenant na nuvem Microsoft — você não instala nada, apenas configura. Implicação: AD requer investimento em servidores e administração; Entra ID é operacional (Microsoft gerencia infraestrutura).
- Escopo de recursos: AD gerencia principalmente identidades em rede Windows — login em PC, acesso a compartilhamentos de arquivo, autenticação em aplicações legacy. Entra ID gerencia acesso a recursos cloud — Office 365, aplicações SaaS, recursos Azure, com suporte crescente a recursos on-premise via agentes.
- Protocolos de autenticação: AD usa Kerberos (autenticação baseada em ingressos/tickets) e LDAP (diretório). Entra ID usa OAuth 2.0 e OpenID Connect (protocolos modernos para web e aplicações cloud). Protocolos diferentes refletem evolução: Kerberos é robusto mas projetado para rede corporativa local; OAuth/OIDC é padrão web moderno.
- Governança e controles: AD é governado localmente — você cria políticas de grupo, controles de acesso físico à infraestrutura. Entra ID é governado via portal Azure — acesso condicional, riscos detectados em tempo real, conformidade centralizada.
- Latência e resiliência: AD é local — acesso é instantâneo, mas falha de servidor local afeta tudo. Entra ID é cloud — pode ter latência de rede, mas infraestrutura é resiliente (múltiplos datacenters, failover automático).
Três cenários de arquitetura de identidade
Organizações podem estar em uma de três posições — cada uma com características e desafios distintos:
- AD on-premise puro: Organização usa apenas Active Directory local. Todos os usuários, computadores, aplicações dependem de AD. Modelo viável ainda, mas cada vez menos comum — significa infraestrutura local, sem cloud. Desafio: aplicações SaaS exigem connectors ou sincronização adicional. AD puro é inadequado para organizações com crescimento cloud.
- Híbrido (AD on-prem + Entra ID via Azure AD Connect): Modelo dominante em empresas médias e grandes. AD on-premise é fonte de verdade; Azure AD Connect sincroniza usuários, grupos e credenciais entre AD e Entra ID. Resultado: um usuário tem identidade única em ambos os sistemas. Acesso funciona assim: login no Windows ? autentica via AD local. Acesso a Office 365 ? autentica via Entra ID (credencial já sincronizada). Desafio: gerenciar duas identidades em paralelo, sincronização deve estar sempre funcionando[2].
- Entra ID puro (cloud-only): Sem AD on-premise. Todos os usuários vivem em Entra ID. Computadores podem ser Azure AD joined (sem necessidade de AD local) ou gerenciados via Intune. Modelo moderno, escalável, mas requer redesign completo de infraestrutura — especialmente para organizações com muitos sistemas legacy que esperavam AD local. Entra ID puro é futuro, mas jornada é longa para quem tem AD robusto.
Quando usar cada cenário de acordo com porte
Recomendação: Entra ID puro. Não vale investimento em AD local. Já nasce na nuvem com Entra ID, Intune para gerenciamento de dispositivos, Office 365. Escalável, sem overhead administrativo local. Se crescer, continua Entra ID — não precisa refatorar.
Recomendação: Hybrid por 3 a 5 anos como estágio intermediário. Se já tem AD, mantém. Se está começando, considere cloud-first — Entra ID puro. Se começa com Entra ID, não volte para AD. Se tem AD, roadmap deve ser: Hybrid ? Entra ID puro em 3-5 anos, com aplicações migrando gradualmente.
Recomendação: Hybrid agora, roadmap para Entra ID puro. AD robusto é realidade — não abandona overnight. Fase 1: implementar Entra ID hybrid (2 anos), estabilizar sincronização. Fase 2: migrar aplicações divisão por divisão (2-3 anos). Fase 3: decommission AD (2+ anos). Total: 6-8 anos é timeline realista para migração completa.
Arquitetura híbrida: como Azure AD Connect funciona na prática
Modelo híbrido é transição comum. Funciona assim:
- Azure AD Connect é o bridge: Software instalado em servidor on-premise que se conecta simultaneamente a AD local e Entra ID na nuvem. Sincroniza continuamente — quando usuário é criado em AD, é replicado para Entra ID automaticamente (alguns minutos de latência).
- Fluxo de autenticação: Usuário faz login em PC Windows, digita credencial. Windows autentica contra AD local (Kerberos, rápido). Segundo, usuário acessa Office 365 — navegador é redirecionado para Entra ID, que autentica usando credencial já sincronizada de AD. Para usuário, experiência é transparente — uma credencial funciona em ambos os lugares.
- Sincronização é unidirecional por padrão: AD é fonte de verdade — mudanças em AD (novo usuário, promoção, desligamento) são sincronizadas para Entra ID. Mudanças diretas em Entra ID (ex: adicionar atributo no portal Azure) são sobrescrita na próxima sincronização se conflitarem com AD. Isto reduz complexidade — AD é fonte única.
- Falha de sincronização é risco crítico: Se Azure AD Connect cai, sincronização pára. Usuários novo em AD não aparecem em Entra ID. Mudanças de senha em AD não são sincronizadas. Resultado: usuários não conseguem logar em Office 365. Por isto, Sync deve ser monitorado 24/7 e ter redundância (múltiplos servidores em HA, fallback).
Desafios comuns em ambientes híbridos
Coexistência híbrida resolve transição, mas introduz complexidade:
- Sincronização fora de sincronia: Se Sync falha, AD e Entra ID divergem. Usuário foi desligado em AD mas credencial ainda funciona em Office 365. Ou senha foi mudada em AD mas Entra ID não foi notificado. Mitigação: monitoramento 24/7 de Sync, alertas imediatos, plano de falha (sincronização secundária ou fallback para Entra ID direto).
- Aplicações exigem AD ou Entra ID, não ambos: Aplicação legacy espera autenticação Kerberos (AD), mas usuário está em nuvem e quer SSO de Entra ID. Solução: federação (ADFS) ou Application Proxy, que mapeia Entra ID para AD por trás dos panos. Complexidade adicional.
- Mudança de senha sincroniza com atraso: Usuário muda senha em Windows (AD), leva alguns minutos para sincronizar com Entra ID. Se usuário tenta logar em Office 365 imediatamente, pode falhar temporariamente. Mitigação: password writeback — Office 365 pode sincronizar mudança de senha de volta para AD, mas exige configuração adicional.
- Identidades duplicadas ou órfãs: Usuário criado manualmente em Entra ID (em vez de via Sync) resulta em duas identidades — uma em AD, outra em Entra ID. Ou usuário deletado em AD mas permanece em Entra ID como órfão. Gerenciamento de limpeza é crítico.
Roadmap prático de migração: do AD puro para Entra ID
Para organizações com AD robusto, migração não é um evento — é jornada estruturada:
- Fase 0 (Assessment — 2 a 4 semanas): Mapear dependências — quais aplicações usam AD, quais usam Entra ID, qual é roadmap delas. Identificar gaps: aplicações legacy que só falam Kerberos. Estimar volume (usuários, grupos, dispositivos).
- Fase 1 (Hybrid Setup — 3 a 6 meses): Implementar Azure AD Connect, sincronizar usuários de teste, estabilizar sincronização. Pilotar com grupo pequeno (ex: departamento de TI) para validar. Só depois ampliar para toda organização.
- Fase 2 (Application Migration — 1 a 2 anos): Migrar aplicações uma por uma. Aplicações cloud (SaaS) primeiro — usam Entra ID nativamente. Depois aplicações web que podem ser modernizadas (OIDC em vez de LDAP). Por último, legacy que exigem workarounds (federation, proxies).
- Fase 3 (Endpoint Modernization — 1 a 2 anos paralelo a Fase 2): Começar a juntar PCs Windows a Entra ID em vez de AD (em vez de domain join tradicional, usar Azure AD join). Usar Intune para gerenciamento em vez de Group Policy. Gradualmente remover dependência de AD local.
- Fase 4 (Decommission — 6 meses a 1 ano): Quando migração está 95% completa, desligar AD. Mas verificar backups, ter rollback plan — sempre há sistemas esquecidos que ainda dependem de AD.
Sinais de que sua infraestrutura de identidade precisa evoluir
Se você se reconhece em três ou mais cenários, migração de identidade deve estar no roadmap.
- AD on-premise ainda é fonte única de autenticação — sem Entra ID ou cloud identity
- Acessar aplicações SaaS (Office 365, Salesforce, etc.) exige sincronização manual ou VPN sempre
- Não há MFA (autenticação multifator) para acesso remoto ou cloud — apenas senha
- Mudanças de RH (contratação, desligamento) levam dias para propagar a todos sistemas de identidade
- AD é infraestrutura crítica — falha de Sync prejudica negócio significativamente
- Crescimento cloud é limitado porque aplicações exigem AD local e sincronização complexa
- Custo de manutenção de AD on-premise é alto (servidores, overhead administrativo, backup)
Caminhos para modernizar arquitetura de identidade
Transição de identidade pode ser conduzida internamente ou com suporte de consultoria especializadaem migração.
Viável se time de TI tem experiência com AD e Azure/Microsoft 365.
- Primeiro passo: Setup de Azure AD Connect em ambiente de teste. Sincronizar grupo piloto de usuários. Validar que credenciais funcionam em AD e Entra ID simultaneamente.
- Segundo passo: Expandir sincronização para toda organização. Monitorar Sync — alertas se falhar. Configurar password writeback (mudança de senha sincroniza bidirecionally).
- Terceiro passo: Iniciar migração de aplicações — começar com SaaS que suporta Entra ID nativamente (Office 365, Slack). Depois modernizar aplicações web.
- Timeline: Hybrid estável em 6 meses. Migração completa de aplicações em 2 anos. Decommission AD em 3+ anos.
Recomendado para migração de larga escala ou quando AD é robusto e complexo.
- Tipo de fornecedor: Consultoria de Identidade com experiência em migração AD ? Entra ID (Microsoft Gold Partner é bom indicador)
- Vantagem: Experiência com pitfalls comuns, aceleração da jornada, menos riscos, conhecimento de fallbacks e contingências
- Escopo típico: Assessment (2-4 semanas), design de solução (2-4 semanas), implementação Hybrid (2-3 meses), migração de aplicações (1-2 anos com suporte contínuo)
- Custo: Variável — pequeno projeto (50-100 usuários) $20-50k, grande projeto (5000+ usuários) $200k+
Precisa planejar migração de identidade da sua empresa?
Se sua infraestrutura de identidade ainda é AD on-premise e cloud está crescendo, o oHub conecta você gratuitamente a consultorias especializadas em transição de identidade e modernização de infraestrutura. Em menos de 3 minutos, descreva sua situação atual e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre Active Directory e Azure AD?
Active Directory é diretório on-premise instalado localmente — gerencia identidades em rede Windows. Azure AD (agora Entra ID) é serviço de identidade SaaS na nuvem — gerencia acesso a aplicações cloud. AD é local e usa Kerberos/LDAP. Entra ID é cloud e usa OAuth/OIDC. Ambos gerenciam identidade, mas para ambientes diferentes — AD para infraestrutura Windows local, Entra ID para cloud.
O que é Entra ID e como substitui Azure AD?
Entra ID é renome de Azure AD historicamente — Microsoft sinaliza que não é apenas identidade para Azure, mas identidade empresarial moderna. Functionalidade é mesma, nome mudou. Entra ID é serviço cloud que gerencia identidade para qualquer recurso — aplicações SaaS, recursos Azure, recursos on-premise via agentes. Substitui Azure AD porque expande escopo além apenas cloud — qualquer recurso, qualquer lugar.
Devemos migrar de AD on-prem para Entra ID?
Dependente de contexto. Se infraestrutura é digital-first ou SaaS-first, Entra ID puro. Se tem AD robusto com dependências em aplicações legacy, resposta é: sim, mas é jornada multi-ano (3-5 anos). Transição passa por híbrido: manter AD local enquanto aplicações são modernizadas, depois decommission AD. Benefício: sem overhead de AD local, menos licenças Windows, mais cloud-native.
Como gerenciar identidade em ambiente híbrido?
Azure AD Connect sincroniza usuarios de AD para Entra ID. AD on-prem é fonte de verdade — mudanças ocorrem em AD e se replicam para Entra ID. Usuario tem identidade única em ambos os sistemas. Desafio: Sync deve rodar 24/7 sem falhas. Configurar monitoração de Sync, alertas de falha, redundância (múltiplos servidores). Password writeback permite que mudanças de senha em cloud sincronizem de volta para AD.
Qual é o custo de migração de AD para Entra ID?
Custo varia por tamanho. Pequena empresa (50-100 usuários) pode fazer com time interno se tiver expertise, custo principalmente em tempo. Média empresa (500-1000 usuários) típico $50-100k em consultoria + tempo interno. Grande empresa (5000+ usuários) pode ser $200k-500k+ dependendo de complexidade de aplicações. Inclui também: treinamento de time, ferramentas, licenças Entra ID/Intune.
Azure AD vai ser descontinuado?
Não. Renomeação para Entra ID é estratégica, não descontinuação. Microsoft suportará Azure AD por muitos anos (típico 10+ anos de mainstream support). Ambientes existentes em Azure AD/Entra ID continuarão funcionando. Novo nome reflete expansão de escopo — não é mais "apenas para Azure", é para qualquer recurso. AD on-premise também não será descontinuado rapidamente — suporte se estende por décadas.
Referências
- Microsoft Learn: Entra ID fundamentals. Disponível em: https://learn.microsoft.com/en-us/entra/fundamentals/
- Microsoft Learn: Azure AD Connect documentation. Disponível em: https://learn.microsoft.com/en-us/entra/fundamentals/
- NIST SP 800-53 Rev. 5: Identity management requirements. Disponível em: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final