Compartir a través de


¿Qué es Microsoft Entra Domain Services?

Microsoft Entra Domain Services proporciona servicios de dominio administrados como unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos/NTLM. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.

Un dominio administrado de Domain Services le permite ejecutar aplicaciones heredadas en la nube que no pueden usar métodos de autenticación modernos o donde no desea que las búsquedas de directorios siempre vuelvan a un entorno de AD DS local. Esas aplicaciones heredadas se pueden migrar mediante "lift-and-shift" del entorno local a un dominio administrado, sin necesidad de administrar el entorno de AD DS en la nube.

Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión en servicios y aplicaciones conectados al dominio administrado mediante sus credenciales existentes. También puede usar grupos existentes y cuentas de usuario para proteger el acceso a los recursos. Estas características proporcionan una migración y traslado más eficiente de los recursos locales en Azure.

Eche un vistazo a nuestro breve vídeo para obtener más información sobre Domain Services.

¿Cómo funciona Domain Services?

Al crear un dominio administrado de Domain Services, se define un espacio de nombres único. Este espacio de nombres corresponde al nombre de dominio, como aaddscontoso.com. A continuación, se implementan dos controladores de dominio (CONTROLADORES) de Windows Server en la región de Azure seleccionada. Esta implementación de controladores de dominio se conoce como "conjunto de réplicas".

No es necesario administrar, configurar ni actualizar estos controladores de dominio. La plataforma Azure administra los controladores de dominio como parte del dominio administrado, incluidas las copias de seguridad y el cifrado en reposo mediante Azure Disk Encryption.

Un dominio administrado está configurado para realizar una sincronización unidireccional desde el identificador de Entra de Microsoft para proporcionar acceso a un conjunto central de usuarios, grupos y credenciales. Puedes crear los recursos directamente en el dominio administrado, pero no se vuelven a sincronizar con Microsoft Entra ID. Las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan al dominio administrado pueden usar características comunes de AD DS, como la unión a un dominio, la directiva de grupo, LDAP y la autenticación Kerberos/NTLM.

En un entorno híbrido con un entorno de AD DS local, Microsoft Entra Connect sincroniza la información de identidad con el identificador de Microsoft Entra, que luego se sincroniza con el dominio administrado.

Sincronización en Microsoft Entra Domain Services con el identificador de Microsoft Entra y AD DS local mediante AD Connect

Domain Services replica la información de identidad desde Microsoft Entra ID, por lo que funciona con los inquilinos de Microsoft Entra que solo están en la nube o se sincronizan con un entorno de AD DS local. Existe el mismo conjunto de características de Domain Services para ambos entornos.

  • Si tiene un entorno de AD DS local existente, puede sincronizar la información de la cuenta de usuario para proporcionar una identidad coherente para los usuarios. Para más información, consulte Cómo se sincronizan los objetos y las credenciales en un dominio administrado.
  • Para entornos solo en la nube, no necesita un entorno de AD DS local tradicional para usar los servicios de identidad centralizados de Domain Services.

Puede ampliar un dominio administrado para que tenga más de un conjunto de réplicas por cada inquilino de Microsoft Entra. Los conjuntos de réplicas pueden agregarse a cualquier red virtual emparejada en cualquier región de Azure que admita Domain Services. Al agregar conjuntos de réplicas en diferentes regiones de Azure, puede proporcionar recuperación geográfica ante desastres para aplicaciones heredadas si una región de Azure se queda sin conexión. Para más información, consulte Conceptos y características de conjuntos de réplicas para dominios administrados.

Eche un vistazo a este vídeo sobre cómo Se integra Domain Services con sus aplicaciones y cargas de trabajo para proporcionar servicios de identidad en la nube:


Para ver los escenarios de implementación de Domain Services en acción, puede explorar los ejemplos siguientes:

Características y ventajas de Domain Services

Para proporcionar servicios de identidad a aplicaciones y máquinas virtuales en la nube, Domain Services es totalmente compatible con un entorno tradicional de AD DS para operaciones como unión a un dominio, LDAP seguro (LDAPS), directiva de grupo, administración de DNS y compatibilidad de enlace y lectura LDAP. La compatibilidad con la escritura LDAP está disponible para los objetos creados en el dominio administrado, pero no para los recursos sincronizados desde Microsoft Entra ID.

Para obtener más información sobre las opciones de identidad, compare los Servicios de Dominio con el ID de Microsoft Entra, AD DS en máquinas virtuales de Azure y AD DS en las instalaciones.

Las siguientes características de Domain Services simplifican las operaciones de implementación y administración:

  • Experiencia de implementación simplificada: Domain Services está habilitado para su inquilino de Microsoft Entra mediante un único asistente en el Centro de administración de Microsoft Entra.
  • Integrado con Microsoft Entra ID: Las cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente en el entorno de Microsoft Entra. Los nuevos usuarios, grupos o cambios en los atributos del inquilino de Microsoft Entra o el entorno de AD DS local se sincronizan automáticamente con Domain Services.
    • Las cuentas de directorios externos vinculadas a su identificador de Entra de Microsoft no están disponibles en Domain Services. Las credenciales no están disponibles para esos directorios externos, por lo que no se pueden sincronizar en un dominio administrado.
  • Utilice sus credenciales y contraseñas corporativas: Las contraseñas de los usuarios de Domain Services son las mismas que en su entorno de Microsoft Entra. Los usuarios pueden usar sus credenciales corporativas para las máquinas de unión a un dominio, iniciar sesión de forma interactiva o a través del escritorio remoto y autenticarse en el dominio administrado.
  • Autenticación NTLM y Kerberos: Con compatibilidad con la autenticación NTLM y Kerberos, puede implementar aplicaciones que dependen de la autenticación integrada de Windows.
  • Alta disponibilidad: Domain Services incluye varios controladores de dominio, que proporcionan alta disponibilidad para el dominio administrado. Esta alta disponibilidad garantiza el tiempo de actividad del servicio y la resistencia a los fallos.
    • En las regiones que admiten Zonas de disponibilidad de Azure, estos controladores de dominio también se distribuyen entre zonas para lograr resistencia adicional.
    • Los conjuntos de réplicas también se pueden usar para proporcionar recuperación geográfica ante desastres para aplicaciones heredadas si una región de Azure se queda sin conexión.

Algunos aspectos clave de un dominio administrado son los siguientes:

  • El dominio administrado es un dominio independiente. No es una extensión de un dominio local.
  • El equipo de TI no necesita administrar, aplicar revisiones ni supervisar controladores de dominio para este dominio administrado.

En el caso de entornos híbridos que ejecutan AD DS local, no es necesario administrar la replicación de AD en el dominio administrado. Las cuentas de usuario, las pertenencias a grupos y las credenciales del directorio local se sincronizan con el identificador de Microsoft Entra a través de Microsoft Entra Connect. Estas cuentas de usuario, pertenencias a grupos y credenciales están disponibles automáticamente en el dominio administrado.

Pasos siguientes

Para más información sobre Domain Services se compara con otras soluciones de identidad y cómo funciona la sincronización, consulte los siguientes artículos:

Para empezar, cree un dominio administrado mediante el Centro de administración de Microsoft Entra.