O que é Microsoft Entra Domain Services?

O Microsoft Entra Domain Services fornece serviços de domínio gerenciado, como ingresso no domínio, política de grupo, protocolo LDAP e autenticação Kerberos/NTLM. Você pode usar esses serviços de domínio sem a necessidade de implantar, gerenciar e aplicar um patch em DCs (controladores de domínio) na nuvem.

Um domínio gerenciado do Domain Services permite que você execute aplicativos herdados na nuvem que não podem usar métodos de autenticação modernos ou nos quais você não deseja que as pesquisas de diretório sempre voltem para um ambiente de AD DS local. Você pode realizar lift-and-shift desses aplicativos herdados do seu ambiente local para um domínio gerenciado, sem a necessidade de gerenciar o ambiente de AD DS na nuvem.

O Serviços de Domínio integra-se ao seu locatário existente do Microsoft Entra. Essa integração permite que os usuários entrem em serviços e aplicativos conectados ao domínio gerenciado usando as respectivas credenciais existentes. Você também pode usar grupos e contas de usuário para proteger o acesso aos recursos. Esses recursos fornecem um lift-and-shift mais suave de recursos locais para o Azure.

Assista ao nosso vídeo curto para saber mais sobre o Domain Services.

Como funciona o Domain Services?

Ao criar um domínio gerenciado do Domain Services, você define um namespace exclusivo. Esse namespace é o nome de domínio, como aaddscontoso.com. Dois DCs (controladores de domínio) do Windows Server são então implantados na sua região do Azure selecionada. Essa implantação de DCs é conhecida como conjunto de réplicas.

Você não precisa gerenciar, configurar nem atualizar esses DCs. A plataforma do Azure manipula os DCs como parte do domínio gerenciado, incluindo backups e a criptografia em repouso usando o Azure Disk Encryption.

Um domínio gerenciado é configurado para realizar uma sincronização unidirecional no Microsoft Entra ID para dar acesso a um conjunto central de usuários, grupos e credenciais. É possível criar recursos diretamente no domínio gerenciado, mas eles não são sincronizados com o Microsoft Entra ID. Depois, os aplicativos, os serviços e as VMs no Azure que se conectam ao domínio gerenciado podem usar recursos comuns do AD DS, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.

Em um ambiente híbrido com um ambiente local do AD DS, o Microsoft Entra Connect sincroniza as informações de identidade com o Microsoft Entra ID, que, por sua vez, é sincronizado com o domínio gerenciado.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

O Domain Services replica informações de identidade do Microsoft Entra ID, portanto ele funciona com locatários do Microsoft Entra que estão somente na nuvem ou sincronizados com um ambiente local do AD DS. O mesmo conjunto de recursos do Domain Services existe em ambos os ambientes.

  • Se você tiver um ambiente local do AD DS, poderá sincronizar as informações da conta de usuário para fornecer uma identidade consistente aos usuários. Para saber mais, confira Como os objetos e as credenciais são sincronizados em um domínio gerenciado.
  • Para ambientes somente na nuvem, não é necessário um ambiente local tradicional do AD DS para usar os serviços de identidade centralizados do Domain Services.

Você pode expandir um domínio gerenciado para ter mais de um conjunto de réplicas por locatário do Microsoft Entra ID. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure com suporte ao Domain Services. Ao adicionar conjuntos de réplicas adicionais em diferentes regiões do Azure, você pode fornecer recuperação de desastre geográfica para aplicativos herdados se uma região do Azure fica offline. Para obter mais informações, confira Conceitos e recursos dos conjuntos de réplicas para domínios gerenciados.

Assista ao seguinte vídeo, que mostra como o Domain Services se integra a aplicativos e cargas de trabalho para fornecer serviços de identidade na nuvem:


Para ver os cenários de implantação do Domain Services em ação, você pode explorar os seguintes exemplos:

Recursos e benefícios do Domain Services

Para fornecer serviços de identidade a aplicativos e VMs na nuvem, o Domain Services é totalmente compatível com um ambiente tradicional do AD DS para operações como ingresso em domínio, LDAPS (LDAP Seguro), Política de Grupo, gerenciamento de DNS e associação LDAP e suporte de leitura. O suporte para a gravação de LDAP está disponível para objetos criados no domínio gerenciado, mas não para os recursos sincronizados do Microsoft Entra ID.

Para saber mais sobre as suas opções de identidade, compare o Domain Services com o Microsoft Entra ID, o AD DS em VMs do Azure e o AD DS local.

Os recursos a seguir do Domain Services simplificam as operações de implantação e o gerenciamento:

  • Experiência de implantação simplificada: o Domain Services está habilitado para seu locatário do Microsoft Entra usando um único assistente no centro de administração do Microsoft Entra.
  • Integrado com Microsoft Entra ID: contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no locatário Microsoft Entra. Novos usuários, grupos ou alterações em atributos no locatário do Microsoft Entra ou no ambiente local do AD DS são automaticamente sincronizados com Domain Services.
    • Contas em diretórios externos vinculados ao Microsoft Entra ID não estão disponíveis no Domain Services. As credenciais não estão disponíveis para esses diretórios externos, portanto, não podem ser sincronizadas em um domínio gerenciado.
  • Use suas senhas/credenciais corporativas: as senhas de usuários no Domain Services são iguais às de seu locatário do Microsoft Entra. Os usuários podem usar as credenciais corporativas para ingressar em computadores no domínio, entrarem interativamente ou pela área de trabalho remota e autenticar em relação ao domínio gerenciado.
  • Autenticação Kerberos e NTLM: Com a compatibilidade com a autenticação NTLM e Kerberos, é possível implantar aplicativos que usam a autenticação integrada do Windows.
  • Alta disponibilidade: o Domain Services tem vários controladores de domínio, que oferecem alta disponibilidade para seu domínio gerenciado. Essa alta disponibilidade garante o tempo de atividade e a resiliência a falhas.
    • Em regiões que dão suporte a Zonas de Disponibilidade do Azure, esses controladores de domínio também são distribuídos entre zonas para resiliência adicional.
    • Os conjuntos de réplicas também poderão ser usados para fornecer recuperação de desastre geográfico para aplicativos herdados se uma região do Azure ficar offline.

Alguns aspectos importantes de um domínio gerenciado incluem os seguintes:

  • O domínio gerenciado é um domínio autônomo. Não é uma extensão de um domínio local.
  • A equipe de TI não precisa gerenciar, aplicar patch ou monitorar os controladores de domínio para o domínio gerenciado.

Para ambientes híbridos que executam o AD DS local, não é necessário gerenciar a replicação do AD para o domínio gerenciado. Contas de usuário, associações de grupo e credenciais do diretório local são sincronizados com o Microsoft Entra ID por meio do Microsoft Entra Connect. Essas contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis dentro do domínio gerenciado.

Próximas etapas

Para saber mais sobre como o Domain Services se compara a outras soluções de identidade e ver como funciona a sincronização, confira os seguintes artigos:

Para começar, crie um domínio gerenciado utilizando o centro de administração do Microsoft Entra.