¿Qué es Microsoft Entra Domain Services?

Microsoft Entra Domain Services proporciona servicios de dominio administrados como unión a un dominio, directiva de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos/NTLM. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.

Un dominio administrado de Domain Services le permite ejecutar aplicaciones heredadas en la nube que no pueden usar métodos de autenticación modernos o cuando no quiere que las búsquedas de directorio regresen siempre a un entorno de AD DS local. Esas aplicaciones heredadas se pueden migrar mediante "lift-and-shift" del entorno local a un dominio administrado, sin necesidad de administrar el entorno de AD DS en la nube.

Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión en los servicios y las aplicaciones conectadas al dominio administrado con sus credenciales existentes. También puede usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos. Estas características proporcionan una migración mediante lift-and-shift más fluida de los recursos locales a Azure.

Para empezar, cree un dominio administrado de Domain Services mediante el centro de administración de Microsoft Entra.

Para más información sobre Domain Services, vea nuestro breve vídeo.

¿Cómo funciona Domain Services?

Cuando cree un dominio administrado de Domain Services, defina un espacio de nombres único. Este espacio de nombres es el nombre de dominio, por ejemplo, aaddscontoso.com. A continuación, se implementan dos controladores de dominio de Windows Server en la región de Azure seleccionada. Esta implementación de controladores de dominio se conoce como "conjunto de réplicas".

No es necesario administrar, configurar ni actualizar estos controladores de dominio. La plataforma Azure administra los controladores de dominio como parte del dominio administrado, incluidas las copias de seguridad y el cifrado en reposo mediante Azure Disk Encryption.

Un dominio administrado está configurado para realizar una sincronización unidireccional desde Microsoft Entra ID y proporcionar acceso a un conjunto central de usuarios, grupos y credenciales. Puede crear los recursos directamente en el dominio administrado, pero no se vuelven a sincronizar con Microsoft Entra ID. En ese caso, las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan al dominio administrado pueden usar las características de AD DS comunes, como unión a un dominio, directiva de grupo, LDAP y la autenticación Kerberos o NTLM.

En un entorno híbrido con un entorno de AD DS local, Microsoft Entra Connect sincroniza la información de identidad con Microsoft Entra ID, que se sincroniza posteriormente con el dominio administrado.

Domain Services replica la información de identidad desde Microsoft Entra ID, por lo que funciona con los inquilinos de Microsoft Entra que solo están en la nube o se sincronizan con un entorno de AD DS local. El mismo conjunto de características de Domain Services existe para ambos entornos.

• Si tiene un entorno de AD DS local, puede sincronizar la información de las cuentas de usuario para proporcionar una identidad coherente para los usuarios. Para más información, consulte Procedimiento para sincronizar objetos y credenciales en un dominio administrado.
• En el caso de los entornos solo en la nube, no se necesita un entorno de AD DS local tradicional para usar los servicios de identidad centralizados de Domain Services.

Puede ampliar un dominio administrado para que tenga más de un conjunto de réplicas por cada inquilino de Microsoft Entra. Los conjuntos de réplicas pueden agregarse a cualquier red virtual emparejada en cualquier región de Azure que admita Domain Services. Al agregar conjuntos de réplicas en diferentes regiones de Azure, puede ofrecer recuperación ante desastres geográficos de las aplicaciones heredadas si una región de Azure se queda sin conexión. Para más información, consulte el artículo sobre los conceptos y características de los conjuntos de réplicas en dominios administrados.

Eche un vistazo a este vídeo sobre el modo en que Domain Services se integra con las aplicaciones y las cargas de trabajo para proporcionar servicios de identidad en la nube:

Para ver escenarios de implementación de Domain Services en acción, puede explorar los ejemplos siguientes:

• Domain Services para organizaciones híbridas
• Domain Services para las organizaciones solo de nube

Características y ventajas de Domain Services

Para proporcionar servicios de identidad a aplicaciones y máquinas virtuales en la nube, Domain Services es totalmente compatible con un entorno de AD DS tradicional para las operaciones como la unión a un dominio, LDAP seguro (LDAPS), directiva de grupo, administración de DNS y la compatibilidad con la lectura y el enlace LDAP. La compatibilidad con la escritura LDAP está disponible para los objetos creados en el dominio administrado, pero no para los recursos sincronizados desde Microsoft Entra ID.

Para más información sobre las opciones de identidad, compare Domain Services con Microsoft Entra ID, AD DS en máquinas virtuales de Azure y AD DS local.

Las siguientes características de Domain Services simplifican las operaciones de implementación y administración:

• Experiencia de implementación simplificada: Domain Services está habilitado para el inquilino de Microsoft Entra con un solo asistente en el centro de administración de Microsoft Entra.
• Integrado con Microsoft Entra ID: las cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente en el inquilino de Microsoft Entra. Los nuevos usuarios, grupos o cambios de atributos que se producen en el inquilino de Microsoft Entra o en el entorno local de AD DS se sincronizan automáticamente con Domain Services.
  • Las cuentas de directorios externos vinculadas a Microsoft Entra ID no están disponibles en Domain Services. No hay credenciales para esos directorios externos, por lo que no se pueden sincronizar con un dominio administrado.
• Uso de sus credenciales/contraseñas corporativas: las contraseñas de los usuarios en Domain Services son las mismas que en su inquilino de Microsoft Entra. Los usuarios pueden utilizar sus credenciales corporativas para las máquinas de unión al dominio, iniciar sesión de forma interactiva o a través de escritorio remoto y autenticarse en el dominio administrado.
• Autenticación Kerberos y NTLM: con compatibilidad para la autenticación Kerberos y NTLM, puede implementar las aplicaciones que dependen de la autenticación integrada de Windows.
• Alta disponibilidad: Domain Services incluye varios controladores de dominio, que proporcionan alta disponibilidad para el dominio administrado. Esta alta disponibilidad garantiza el tiempo de actividad del servicio y la resistencia a los errores.
  • En las regiones que admiten Azure Availability Zones, estos controladores de dominio también se distribuyen entre zonas para obtener resistencia adicional.
  • Se pueden usar también conjuntos de réplicas para proporcionar recuperación ante desastres geográfica de las aplicaciones heredadas si una región de Azure se queda sin conexión.

Algunos de los aspectos clave de un dominio administrado son los siguientes:

• El dominio administrado es un dominio independiente. No es una extensión de un dominio local.
  • Si es necesario, puede crear relaciones de confianza de bosque de salida unidireccionales de Domain Services a un entorno de AD DS local. Para más información, consulte Conceptos y características del bosque en Domain Services.
• El equipo de TI no necesita administrar, revisar ni supervisar controladores de dominio de este dominio administrado.

En entornos híbridos que ejecutan AD DS de forma local, no es necesario administrar la replicación de AD en el dominio administrado. Las cuentas de usuario, las pertenencias a grupos y las credenciales del directorio local se sincronizan con Microsoft Entra ID mediante Microsoft Entra Connect. Estas cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente dentro de este dominio administrado.

Pasos siguientes

Para más información acerca de las comparaciones de Domain Services con otras soluciones de identidad y cómo funciona la sincronización, consulte los siguientes artículos:

• Comparación de Domain Services con Microsoft Entra ID, Active Directory Domain Services en máquinas virtuales de Azure y Active Directory Domain Services en entornos locales
• Obtenga información sobre cómo Microsoft Entra Domain Services se sincroniza con el directorio de Microsoft Entra.
• Para obtener información sobre cómo se administra un dominio administrado, consulte Conceptos de administración para cuentas de usuario, contraseñas y administración en Domain Services.

Para empezar, cree un dominio administrado mediante el centro de administración de Microsoft Entra.