Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para fornecer acesso a aplicativos, serviços ou dispositivos a uma identidade central, há três maneiras comuns de usar serviços baseados no Active Directory no Azure. Essa opção em soluções de identidade oferece a flexibilidade de usar o diretório mais apropriado para as necessidades da sua organização. Por exemplo, se você gerencia principalmente usuários somente na nuvem que executam dispositivos móveis, talvez não faça sentido criar e executar sua própria solução de identidade do AD DS (Active Directory Domain Services). Em vez disso, você pode usar apenas a ID do Microsoft Entra.
Embora as três soluções de identidade baseadas no Active Directory compartilhem um nome e uma tecnologia comuns, elas foram projetadas para fornecer serviços que atendem a diferentes demandas do cliente. Em alto nível, essas soluções de identidade e conjuntos de recursos são:
- Active Directory Domain Services (AD DS) – servidor LDAP (protocolo de acesso de diretório leve) pronto para empresas que fornece recursos importantes, como identidade e autenticação, gerenciamento de objetos de computador, política de grupo e relações de confiança.
- O AD DS é um componente central em muitas organizações com um ambiente de TI local e fornece autenticação de conta de usuário principal e recursos de gerenciamento de computador.
- Para obter mais informações, consulte a visão geral do Active Directory Domain Services na documentação do Windows Server.
- Microsoft Entra ID – Gerenciamento de identidade e dispositivo móvel baseado em nuvem que fornece serviços de conta de usuário e autenticação para recursos como o Microsoft 365, o Centro de administração do Microsoft Entra ou aplicativos SaaS.
- O Microsoft Entra ID pode ser sincronizado com um ambiente de AD DS local para fornecer uma única identidade para os usuários que trabalham nativamente na nuvem.
- Para obter mais informações sobre Microsoft Entra ID, consulte O que é Microsoft Entra ID?
- Microsoft Entra Domain Services – Fornece serviços de domínio gerenciado com um subconjunto de recursos do AD DS tradicionais totalmente compatíveis, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.
- Os Serviços de Domínio integram-se ao Microsoft Entra ID, que pode sincronizar-se com um ambiente local do AD DS. Essa capacidade estende os casos de uso de identidade centralizada para aplicações web tradicionais que são executadas no Azure como parte de uma estratégia de movimentação e transferência.
- Para saber mais sobre a sincronização com a identidade do Microsoft Entra e ambientes locais, confira como objetos e credenciais são sincronizados em um domínio gerenciado.
Este artigo de visão geral compara e contrasta como essas soluções de identidade podem funcionar juntas ou seriam usadas de forma independente, dependendo das necessidades da sua organização.
Serviços de Domínio e AD DS autogerenciado
Se você tiver aplicativos e serviços que precisam de acesso a mecanismos de autenticação tradicionais, como Kerberos ou NTLM, há duas maneiras de fornecer o Active Directory Domain Services na nuvem:
- Um domínio gerenciado que você cria usando o Microsoft Entra Domain Services. A Microsoft cria e gerencia os recursos necessários.
- Um domínio autogerenciado que você cria e configura usando recursos tradicionais, como VMs (máquinas virtuais), sistema operacional convidado do Windows Server e AD DS (Active Directory Domain Services). Em seguida, você continuará administrando esses recursos.
Com os Serviços de Domínio, os principais componentes de serviço são implantados e mantidos para você pela Microsoft como uma experiência de domínio gerenciado . Você não implanta, gerencia, corrige e protege a infraestrutura do AD DS para componentes como VMs, sistema operacional windows server ou controladores de domínio (DCs).
Os Serviços de Domínio fornecem um subconjunto menor de recursos para o ambiente AD DS autogerenciado tradicional, o que reduz parte da complexidade de design e gerenciamento. Por exemplo, não há florestas do Active Directory, domínios, sites e links de replicação para projetar e manter. Ainda é possível criar relações de confiança entre florestas entre o Domain Services e ambientes locais.
Para aplicativos e serviços que são executados na nuvem e precisam de acesso a mecanismos de autenticação tradicionais, como Kerberos ou NTLM, os Serviços de Domínio fornecem uma experiência de domínio gerenciada com a quantidade mínima de sobrecarga administrativa. Para obter mais informações, consulte conceitos de gerenciamento para contas de usuário, senhas e administração no Domain Services.
Ao implantar e executar um ambiente do AD DS autogerenciado, você precisa manter todos os componentes de infraestrutura e diretório associados. Há um trabalho de manutenção adicional com um ambiente do AD DS autogerenciado, mas você pode realizar tarefas extras, como estender o esquema ou criar relações de confiança entre florestas.
Os modelos de implantação comuns para um ambiente do AD DS autogerenciado que fornece identidade para aplicativos e serviços na nuvem incluem o seguinte:
- AD DS autônomo somente em nuvem – as VMs do Azure são configuradas como controladores de domínio e um ambiente AD DS separado, somente na nuvem, é criado. Esse ambiente do AD DS não se integra a um ambiente do AD DS local. Um conjunto diferente de credenciais é usado para entrar e administrar VMs na nuvem.
- Estender o domínio local para o Azure – uma rede virtual do Azure se conecta a uma rede local usando uma conexão VPN/ExpressRoute. As VMs do Azure se conectam a essa rede virtual do Azure, o que permite que elas ingressem no ambiente AD DS local.
- Uma alternativa é criar VMs do Azure e promovê-las como controladores de domínio de réplica do domínio do AD DS local. Esses controladores de domínio replicam por meio de uma conexão VPN/ExpressRoute com o ambiente AD DS local. O domínio do AD DS local é efetivamente estendido para o Azure.
A tabela a seguir descreve alguns dos recursos necessários para sua organização e as diferenças entre um domínio gerenciado ou um domínio do AD DS autogerenciado:
| Característica | Domínio gerenciado | AD DS autogerenciado |
|---|---|---|
| Serviço gerenciado | ✓ | ✕ |
| Implantações seguras | ✓ | O administrador protege a implantação |
| Servidor DNS | ✓ (serviço gerenciado) | ✓ |
| Privilégios de administrador corporativo ou de domínio | ✕ | ✓ |
| Ingressar em domínios | ✓ | ✓ |
| Autenticação de domínio usando NTLM e Kerberos | ✓ | ✓ |
| KCD (delegação restrita de Kerberos) | Baseado em recursos | Baseado em recursos & em conta |
| Estrutura da unidade organizacional personalizada | ✓ | ✓ |
| Política de Grupo | ✓ | ✓ |
| Extensões de esquema | ✕ | ✓ |
| Confianças de domínio/floresta do AD | ✓ (Requer o SKU Enterprise) | ✓ |
| LDAP seguro (LDAPS) | ✓ | ✓ |
| Leitura LDAP | ✓ | ✓ |
| Gravação LDAP | ✓ (dentro do domínio gerenciado) | ✓ |
| Implantações distribuídas geograficamente | ✓ | ✓ |
Domain Services e Microsoft Entra ID
A ID do Microsoft Entra permite que você gerencie a identidade dos dispositivos usados pela organização e controle o acesso aos recursos corporativos desses dispositivos. Os usuários também podem registrar seu dispositivo pessoal (modelo traga seu próprio dispositivo (BYO)) no Microsoft Entra ID, o que fornece uma identidade ao dispositivo. A ID do Microsoft Entra autentica o dispositivo quando um usuário entra na ID do Microsoft Entra e usa o dispositivo para acessar recursos protegidos. O dispositivo pode ser gerenciado usando software de MDM (Gerenciamento de Dispositivo Móvel), como o Microsoft Intune. Essa capacidade de gerenciamento permite restringir o acesso a recursos confidenciais a dispositivos gerenciados e compatíveis com políticas.
Computadores e laptops tradicionais também podem ingressar na ID do Microsoft Entra. Esse mecanismo oferece os mesmos benefícios de registrar um dispositivo pessoal com a ID do Microsoft Entra, como permitir que os usuários entrem no dispositivo usando suas credenciais corporativas.
Os dispositivos ingressados no Microsoft Entra oferecem os seguintes benefícios:
- SSO (logon único) para aplicativos protegidos pela ID do Microsoft Entra.
- Roaming de configurações do usuário em conformidade com a política corporativa entre dispositivos.
- Acesso à Windows Store para Empresas usando credenciais corporativas.
- Windows Hello para Empresas.
- Acesso restrito a aplicativos e recursos de dispositivos compatíveis com a política corporativa.
Os dispositivos podem ser integrados ao Microsoft Entra ID com ou sem uma implantação híbrida que inclua um ambiente AD DS no local. A tabela a seguir descreve os modelos comuns de propriedade do dispositivo e como eles normalmente seriam unidos a um domínio:
| Tipo de dispositivo | Plataformas de dispositivo | Mecanismo |
|---|---|---|
| Dispositivos pessoais | Windows 10, iOS, Android, macOS | Registrado no Microsoft Entra |
| Dispositivo pertencente à organização não vinculado ao AD DS local | Windows 10 | Microsoft Entra aderiu |
| Dispositivo de propriedade da organização ingressado no AD DS local | Windows 10 | Ingressado no Microsoft Entra híbrido |
Em um dispositivo ingressado ou registrado do Microsoft Entra, a autenticação de usuário ocorre usando protocolos modernos baseados em OAuth/OpenID Connect. Esses protocolos são projetados para funcionar pela Internet, portanto, são ótimos para cenários móveis em que os usuários acessam recursos corporativos de qualquer lugar.
Com dispositivos ingressados no Domain Services, os aplicativos poderão usar os protocolos Kerberos e NTLM para autenticação, além de dar suporte a aplicativos herdados migrados para execução em VMs do Azure como parte de uma estratégia lift-and-shift. A tabela a seguir descreve as diferenças na forma como os dispositivos são representados e podem se autenticar no diretório:
| Aspecto | Microsoft Entra entrou | Ingressado no Domain Services |
|---|---|---|
| Dispositivo controlado por | Microsoft Entra ID | domínio gerenciado pelo Domain Services |
| Representação no diretório | Objetos de dispositivo no diretório do Microsoft Entra | Objetos de computador no domínio gerenciado dos Serviços de Domínio |
| Autenticação | Protocolos baseados em OAuth/OpenID Connect | Protocolos Kerberos e NTLM |
| Gerenciamento | Software de MDM (Gerenciamento de Dispositivo Móvel), como o Intune | Política de Grupo |
| Rede | Funciona pela Internet | Deve estar conectada ou emparelhada com a rede virtual na qual o domínio gerenciado é implantado |
| Ótimo para... | Dispositivos móveis ou de mesa do usuário final | VMs de servidor implantadas no Azure |
Se o AD DS local e a ID do Microsoft Entra estiverem configurados para autenticação federada usando o AD FS, não haverá nenhum hash de senha (atual/válido) disponível no Azure DS. As contas de usuário do Microsoft Entra criadas antes da implementação da autenticação fed podem ter um hash de senha antigo, mas isso provavelmente não corresponde a um hash de sua senha local. Como resultado, os Serviços de Domínio não poderão validar as credenciais dos usuários
Próximas etapas
Para começar a usar os Serviços de Domínio, crie um domínio gerenciado dos Serviços de Domínio usando o Centro de administração do Microsoft Entra.
Você também pode saber mais sobre conceitos de gerenciamento para contas de usuário, senhas e administração no Domain Services e como objetos e credenciais são sincronizados em um domínio gerenciado.