Criar uma relação de confiança de floresta no Microsoft Entra Domain Services para um domínio local usando o Azure PowerShell

As organizações geralmente criam uma relação de confiança para melhorar a colaboração do usuário quando podem gerenciar identidades em um ambiente híbrido ou planejam uma fusão ou aquisição. O Microsoft Entra Domain Services sempre deu suporte a relações de saída unidirecionais de um domínio gerenciado para outro domínio. Atualmente em versão prévia, você também pode criar relações de entrada unidirecionais ou relações de confiança bidirecionais.

Por exemplo, em ambientes em que você não pode sincronizar hashes de senha ou tem usuários que entram exclusivamente usando cartões inteligentes para que eles não saibam sua senha, você pode criar uma relação de confiança de saída unidirecional do Microsoft Entra Domain Services para um ou mais ambientes locais do AD DS. Essa relação de confiança permite que usuários, aplicativos e computadores se autentiquem em um domínio local do domínio gerenciado dos Serviços de Domínio. Nesse caso, hashes de senha locais nunca são sincronizados.

Diagrama da relação de confiança de floresta do Domain Services com o AD DS local

Neste artigo, você aprenderá a:

Criar uma floresta dos Serviços de Domínio usando o Azure PowerShell
Criar uma relação de confiança de floresta de saída unidirecional no domínio gerenciado usando o Azure PowerShell
Configurar o DNS em um ambiente do AD DS local para dar suporte à conectividade de domínio gerenciado
Criar uma relação de confiança de floresta de entrada unidirecional em um ambiente do AD DS local
Testar e validar a relação de confiança para autenticação e acesso a recursos

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Importante

No momento, as florestas de domínio gerenciado não dão suporte ao Azure HDInsight ou aos Arquivos do Azure. As florestas de domínio gerenciadas padrão dão suporte a ambos os serviços adicionais.

Pré-requisitos

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

Uma assinatura ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
Instale e configure o Azure PowerShell.
- Se necessário, siga as instruções para instalar o módulo do Azure PowerShell e conectar-se à sua assinatura do Azure.
- Certifique-se de entrar em sua assinatura do Azure usando o cmdlet Connect-AzAccount.
Instale e configure o POWERShell do MS Graph.
- Se necessário, siga as instruções para instalar o módulo do MS Graph PowerShell e conectar-se ao Microsoft Entra ID.
- Certifique-se de conectar-se ao seu locatário do Microsoft Entra usando o cmdlet Connect-MgGraph.
Você precisa das funções de administrador de aplicativos e administrador de grupos do Microsoft Entra em seu tenant para habilitar os Serviços de Domínio.
Você precisará ter a função Colaborador dos Serviços de Domínio do Azure para criar os recursos necessários dos Serviços de Domínio.

Neste artigo, você vai criar e configurar a relação de confiança com a floresta de saída a partir de um domínio gerenciado usando o Centro de administração do Microsoft Entra. Primeiro, para começar, entre no centro de administração do Microsoft Entra.

Processo de implantação

É um processo de várias partes para criar uma floresta de domínio gerenciado e a relação de confiança com um AD DS local. As seguintes etapas de alto nível criam seu ambiente híbrido e confiável:

Criar uma entidade de serviço do domínio gerenciado.
Crie uma floresta de domínio gerenciada.
Crie conectividade de rede híbrida usando VPN site a site ou Express Route.
Criar o lado da relação de confiança correspondente ao domínio gerenciado.
Criar o lado da relação de confiança correspondente ao AD DS local.

Antes de começar, certifique-se de entender as considerações de rede , a nomeação de floresta e os requisitos de DNS. Você não pode alterar o nome da floresta de domínio gerenciado depois que ele é implantado.

Criar a entidade de serviço do Microsoft Entra

Os Serviços de Domínio exigem que um principal de serviço sincronize dados do Microsoft Entra ID. Essa entidade de segurança deve ser criada no seu locatário do Microsoft Entra antes de criar a floresta de domínio gerenciado.

Crie uma entidade de serviço do Microsoft Entra para que os Serviços de Domínio se comuniquem e se autentiquem. Uma ID de aplicativo específica é usada, denominada "Domain Controller Services", com uma ID de 6ba9a5d4-8456-4118-b521-9c5ca10cdf84. Não altere essa ID do aplicativo.

Crie uma entidade de serviço do Microsoft Entra usando o cmdlet New-MgServicePrincipal:

New-MgServicePrincipal

Criar um domínio gerenciado

Para criar um domínio gerenciado, use o script New-AaddsResourceForest. Esse script faz parte de um conjunto mais amplo de comandos que dão suporte a domínios gerenciados. Ela ficará disponível na Galeria do PowerShell. Ela é assinada digitalmente pela equipe de engenharia do Microsoft Entra.

Primeiro, crie um grupo de recursos usando o cmdlet New-AzResourceGroup. No exemplo a seguir, o grupo de recursos é nomeado myResourceGroup e é criado na região westus. Use seu próprio nome e região desejada:
```
New-AzResourceGroup `
  -Name "myResourceGroup" `
  -Location "WestUS"
```
Instale o script New-AaddsResourceForest da Galeria do PowerShell usando o cmdlet Install-Script:
```
Install-Script -Name New-AaddsResourceForest
```

Examine os parâmetros a seguir necessários para o script New-AaddsResourceForest. Certifique-se também de ter os módulos pré-requisitados Azure PowerShell e Microsoft Graph PowerShell. Verifique se você planejou os requisitos de rede virtual para fornecer conectividade local e de aplicativo.

Nome	Parâmetro de script	Descrição
Subscrição	-azureSubscriptionId	ID da assinatura usada para cobrança dos Serviços de Domínio. Você pode obter a lista de assinaturas usando o cmdlet Get-AzureRMSubscription.
Grupo de Recursos	-aaddsResourceGroupName	Nome do grupo de recursos para o domínio gerenciado e os recursos associados.
Localização	-aaddsLocation	A região do Azure para hospedar seu domínio gerenciado. Para as regiões com suporte, consulte regiões com suporte para os Serviços de Domínio.
Administrador dos Serviços de Domínio	-aaddsAdminUser	O nome principal do usuário do primeiro administrador de domínio gerenciado. Essa conta deve ser uma conta de usuário de nuvem existente em sua ID do Microsoft Entra. O usuário e o indivíduo que executa o script são adicionados ao grupo Administradores do AAD DC.
Nome de domínio dos Serviços de Domínios	-aaddsDomainName	O FQDN do domínio gerenciado, com base nas diretrizes anteriores sobre como escolher o nome de uma floresta.

O script New-AaddsResourceForest pode criar a rede virtual do Azure e a sub-rede dos Serviços de Domínio se esses recursos ainda não existirem. Opcionalmente, o script pode criar as sub-redes de carga de trabalho, quando especificado:

Nome	Parâmetro de script	Descrição
Nome da rede virtual	-aaddsVnetName	Nome da rede virtual para o domínio gerenciado.
Espaço de endereço	-aaddsVnetCIDRAddressSpace	Intervalo de endereços da rede virtual na notação CIDR (se estiver criando a rede virtual).
Nome da sub-rede dos Serviços de Domínio	-aaddsSubnetName	Nome da sub-rede do aaddsVnetName rede virtual que hospeda o domínio gerenciado. Não implante suas próprias VMs e cargas de trabalho nessa sub-rede.
Intervalo de endereços dos Serviços de Domínio	-aaddsSubnetCIDRAddressRange	Intervalo de endereços de sub-rede na notação CIDR para a instância dos Serviços de Domínio, como 192.168.1.0/24. O intervalo de endereços deve estar contido no intervalo de endereços da rede virtual e ser diferente de outras sub-redes.
Nome da sub-rede da carga de trabalho (opcional)	-workloadSubnetName	Nome opcional de uma sub-rede na rede virtual aaddsVnetName a ser criada para suas próprias cargas de trabalho de aplicativo. VMs e aplicativos também podem estar conectados a uma rede virtual emparelhada do Azure.
Intervalo de endereços da carga de trabalho (opcional)	-workloadSubnetCIDRAddressRange	Intervalo de endereços de sub-rede opcional na notação CIDR para carga de trabalho de aplicativo, como 192.168.2.0/24. O intervalo de endereços deve estar contido no intervalo de endereços da rede virtual e ser diferente de outras sub-redes.

Agora, crie uma floresta de domínio gerenciada usando o script New-AaddsResourceForest. O exemplo a seguir cria uma floresta chamada addscontoso.com e cria uma sub-rede de carga de trabalho. Forneça seus próprios nomes de parâmetro e intervalos de endereços IP ou redes virtuais existentes.
```
New-AaddsResourceForest `
    -azureSubscriptionId <subscriptionId> `
    -aaddsResourceGroupName "myResourceGroup" `
    -aaddsLocation "WestUS" `
    -aaddsAdminUser "contosoadmin@contoso.com" `
    -aaddsDomainName "aaddscontoso.com" `
    -aaddsVnetName "myVnet" `
    -aaddsVnetCIDRAddressSpace "192.168.0.0/16" `
    -aaddsSubnetName "AzureADDS" `
    -aaddsSubnetCIDRAddressRange "192.168.1.0/24" `
    -workloadSubnetName "myWorkloads" `
    -workloadSubnetCIDRAddressRange "192.168.2.0/24"
```
Leva algum tempo para criar a floresta de domínio gerenciado e os recursos de suporte. Deixe que o script seja concluído. Continue até a próxima seção para configurar sua conectividade de rede local enquanto a floresta do Microsoft Entra é provisionada em segundo plano.

Definir e validar as configurações de rede

À medida que o domínio gerenciado continua a ser implantado, a conectividade de rede híbrida com o datacenter local deve ser configurada e validada. Você também precisa de uma VM de gerenciamento para usar com o domínio gerenciado para manutenção regular. Algumas das conectividades híbridas podem já existir em seu ambiente ou talvez seja necessário trabalhar com outras pessoas em sua equipe para configurar as conexões.

Antes de começar, lembre-se de entender as considerações e recomendações da rede .

Crie a conectividade híbrida com sua rede local para o Azure usando uma VPN do Azure ou uma conexão do Azure ExpressRoute. A configuração de rede híbrida está além do escopo dessa documentação e pode já existir em seu ambiente. Para obter detalhes sobre cenários específicos, consulte os seguintes artigos:
- VPN site a site do Azure.
- Visão geral do Azure ExpressRoute.
Importante

Se você criar a conexão diretamente com a rede virtual do seu domínio gerenciado, use uma sub-rede de gateway separada. Não crie o gateway na sub-rede do domínio gerenciado.
Para administrar um domínio gerenciado, crie uma VM de gerenciamento, ingresse-a no domínio gerenciado e instale as ferramentas de gerenciamento do AD DS necessárias.

Enquanto o domínio gerenciado está sendo implantado, crie uma VM do Windows Server e instale as principais ferramentas de gerenciamento do Active Directory para instalar as ferramentas de gerenciamento necessárias. Aguarde para adicionar a máquina virtual de gerenciamento ao domínio gerenciado até que o domínio seja implantado com êxito e uma das etapas seguintes seja concluída.
Valide a conectividade de rede entre sua rede local e a rede virtual do Azure.
- Confirme se o controlador de domínio local pode se conectar à VM gerenciada usando ping ou área de trabalho remota, por exemplo.
- Verifique se a VM de gerenciamento pode se conectar aos controladores de domínio locais novamente usando um utilitário como ping.
No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services. Escolha seu domínio gerenciado, como aaddscontoso.com e aguarde o status Em execução.

Ao executar, atualizar as configurações de DNS para a rede virtual do Azure e, em seguida, habilitar contas de usuário para os Serviços de Domínio para finalizar as configurações do seu domínio gerenciado.
Anote os endereços DNS mostrados na página de visão geral. Você precisará desses endereços ao configurar a parte do Active Directory local da relação de confiança em uma seção subsequente.
Reinicie a VM de gerenciamento para que ela receba as novas configurações de DNS e, em seguida, junte a VM ao domínio gerenciado.
Depois que a VM de gerenciamento for ingressada no domínio gerenciado, conecte-se novamente usando a área de trabalho remota.

Em um prompt de comando, use nslookup e o nome do domínio gerenciado para validar a resolução de nomes da floresta.
```
nslookup aaddscontoso.com
```
O comando deve retornar dois endereços IP para a floresta.

Criar o fideicomisso florestal

A relação de confiança de floresta tem duas partes: a relação de confiança de floresta de saída unidirecional no domínio gerenciado e a relação de confiança de floresta de entrada unidirecional na floresta do AD DS local. Você cria manualmente os dois lados dessa relação de confiança. Quando os dois lados forem criados, os usuários e os recursos poderão se autenticar com sucesso usando a relação de confiança da floresta. Um domínio gerenciado suporta até cinco relações de confiança entre florestas de saída unidirecionais para florestas locais.

Criar o lado da relação de confiança correspondente ao domínio gerenciado

Use o script Add-AaddsResourceForestTrust para criar o lado da relação de confiança correspondente ao domínio gerenciado. Primeiro, instale o script Add-AaddsResourceForestTrust da Galeria do PowerShell usando o cmdlet Install-Script:

Install-Script -Name Add-AaddsResourceForestTrust

Agora, forneça ao script as seguintes informações:

Nome	Parâmetro de script	Descrição
Nome de domínio dos Serviços de Domínios	-ManagedDomainFqdn	FQDN do domínio gerenciado, como aaddscontoso.com
Nome de domínio do AD DS local	-TrustFqdn	FQDN da floresta confiável, tal como onprem.contoso.com
Nome amigável de confiança	-TrustFriendlyName	Nome amigável da relação de confiança.
Endereços IP de DNS do AD DS local	-TrustDnsIPs	Uma lista delimitada por vírgulas de endereços IPv4 do servidor DNS para o domínio confiável listado.
Senha de confiança	-TrustPassword	Uma senha complexa para a relação de confiança. Essa senha também é inserida ao criar a confiança de entrada unidirecional no AD DS local.
Credenciais	-Credentials	As credenciais usadas para autenticar no Azure. O usuário deve estar no grupo Administradores do AAD DC . Se não for fornecido, o script solicitará a autenticação.

O exemplo a seguir cria uma relação de confiança chamada myAzureADDSTrust com onprem.contoso.com. Use seus próprios nomes de parâmetro e senhas:.

Add-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust" `
    -TrustDnsIPs "10.0.1.10,10.0.1.11" `
    -TrustPassword <complexPassword>

Importante

Lembre-se de sua senha de confiança. Você deve usar a mesma senha quando criar o lado local da relação de confiança.

Configurar o DNS no domínio local

Para resolver corretamente o domínio gerenciado do ambiente local, talvez seja necessário adicionar encaminhadores aos servidores DNS existentes. Se você não configurou o ambiente local para se comunicar com o domínio gerenciado, conclua as seguintes etapas de uma estação de trabalho de gerenciamento para o domínio do AD DS local:

Selecione Iniciar | Ferramentas Administrativas | DNS
Selecione com o botão direito do mouse o servidor DNS, como myAD01 e selecione Propriedades
Escolha Encaminhadores e Editar para adicionar encaminhadores adicionais.
Adicione os endereços IP do domínio gerenciado, como 10.0.1.4 e 10.0.1.5.
Em um prompt de comando local, valide a resolução de nome usando o nslookup do nome de domínio gerenciado. Por exemplo, Nslookup aaddscontoso.com deve retornar os dois endereços IP para o domínio gerenciado.

Criar a relação de confiança de floresta de entrada no domínio local

O domínio do AD DS local precisa de uma relação de confiança de floresta de entrada para o domínio gerenciado. Essa confiança deve ser criada manualmente no domínio do AD DS local, não pode ser criada a partir do Centro de administração do Microsoft Entra.

Para configurar a confiança de entrada no domínio do AD DS local, conclua as seguintes etapas de uma estação de trabalho de gerenciamento para o domínio do AD DS local:

Selecione Iniciar | Ferramentas Administrativas | Domínios e relações de confiança do Active Directory
Selecione com o botão direito do mouse o domínio, como onprem.contoso.com, e selecione Propriedades
Escolha a guia Relações de Confiança e, em seguida, Nova Relação de Confiança
Insira o nome do domínio gerenciado, como aaddscontoso.com, e selecione Avançar
Selecione a opção para criar uma Relação de confiança de floresta e, em seguida, para criar uma relação de confiança Unidirecional: entrada.
Escolha criar a relação de confiança para Somente este domínio. Na próxima etapa, você criará a confiança no Centro de administração do Microsoft Entra para o domínio gerenciado.
Escolha usar a Autenticação em toda a floresta; em seguida, insira a senha da relação de confiança e confirme-a. Essa mesma senha também é inserida no Centro de administração do Microsoft Entra na próxima seção.
Percorra as próximas janelas com as opções padrão e, em seguida, escolha a opção Não, não confirme a relação de confiança de saída. Você não pode validar a relação de confiança porque sua conta de administrador delegada para o domínio gerenciado não tem as permissões necessárias. Esse comportamento é por design.
Selecione Concluir

Validar a autenticação de recursos

Os seguintes cenários comuns permitem que você valide se a relação de confiança de floresta autentica corretamente os usuários e o acesso a recursos:

Autenticação de usuário local da floresta do Domain Services
Acessar os recursos na floresta do Domain Services como um usuário local

Autenticação de usuário local da floresta do Domain Services

Você deverá ter a máquina virtual do Windows Server ingressada na floresta de recursos do domínio gerenciado. Use essa máquina virtual para testar se o usuário local pode se autenticar em uma máquina virtual.

Conecte-se à VM do Windows Server ingressada no domínio gerenciado usando a Área de Trabalho Remota e suas credenciais de administrador de domínio gerenciado. Se você receber um erro de NLA (Autenticação em Nível de Rede), verifique se a conta de usuário usada não é uma conta de usuário de domínio.

Dica

Para se conectar com segurança às suas VMs ingressadas no Microsoft Entra Domain Services, você pode usar o serviço do Azure Bastion Host nas regiões compatíveis do Azure.
Abra um prompt de comando e use o comando whoami para mostrar o nome diferenciado do usuário autenticado no momento:
```
whoami /fqdn
```
Use o comando runas para se autenticar como um usuário do domínio local. No comando a seguir, substitua userUpn@trusteddomain.com pelo UPN de um usuário do domínio local confiável. O comando solicita a senha do usuário:
```
Runas /u:userUpn@trusteddomain.com cmd.exe
```
Se a autenticação for bem-sucedida, um novo prompt de comando será aberto. O título do novo prompt de comando inclui running as userUpn@trusteddomain.com.
Use whoami /fqdn no novo prompt de comando para exibir o nome diferenciado do usuário autenticado do Active Directory local.

Acessar recursos no Domain Services como um usuário local

Usando a VM do Windows Server ingressada no domínio gerenciado, você pode testar o cenário em que os usuários podem acessar os recursos hospedados na floresta quando se autenticarem em computadores no domínio local com usuários do domínio local. Os exemplos a seguir mostram como criar e testar vários cenários comuns.

Conecte-se à VM do Windows Server ingressada no domínio gerenciado usando a Área de Trabalho Remota e suas credenciais de administrador de domínio gerenciado. Se você receber um erro de NLA (Autenticação em Nível de Rede), verifique se a conta de usuário usada não é uma conta de usuário de domínio.

Dica

Para se conectar com segurança às suas VMs ingressadas no Microsoft Entra Domain Services, você pode usar o serviço do Azure Bastion Host nas regiões compatíveis do Azure.
Abra Configurações do Windows, pesquise e selecione Central de Rede e Compartilhamento.
Escolha a opção para as configurações Alterar compartilhamento avançado.
No Perfil de Domínio, selecione Ativar compartilhamento de arquivos e impressora e, em seguida, Salvar alterações.
Feche a Central de Rede e Compartilhamento.

Criar um grupo de segurança e adicionar membros

Abra Usuários e Computadores do Active Directory.
Selecione o nome de domínio com o botão direito do mouse, escolha Novoe selecione Unidade Organizacional.
Na caixa de nome, digite LocalObjectse selecione OK.
Selecione e clique com o botão direito do mouse LocalObjects no painel de navegação. Selecione Novo e, em seguida, Grupo.
Digite FileServerAccess na caixa Nome do grupo. Para o Escopo do Grupo, selecione Local do domínio e, em seguida, OK.
No painel de conteúdo, clique duas vezes FileServerAccess. Selecione Membros, escolha Adicionar e selecione Locais.
Selecione o Active Directory local na visualização Local e escolha OK.
Digite Usuários de Domínio na caixa Insira os nomes de objeto a serem selecionados. Selecione Verificar Nomes, depois forneça as credenciais para o Active Directory local e selecione OK.

Nota

Você deve fornecer credenciais porque a relação de confiança é apenas uma maneira. Isso significa que os usuários do domínio gerenciado não podem acessar recursos ou pesquisar usuários ou grupos no domínio confiável (local).
O grupo Usuários de Domínio do seu Active Directory local deve ser membro do grupo FileServerAccess. Selecione OK para salvar o grupo e fechar a janela.

Na VM do Windows Server ingressada no domínio gerenciado, crie uma pasta e forneça um nome como CrossForestShare.
Selecione com o botão direito do mouse a pasta e escolha Propriedades.
Selecione a guia Segurança e, em seguida, escolha Editar.
Na caixa de diálogo Permissões para CrossForestShare, selecione Adicionar.
Digite FileServerAccess no Insira os nomes de objeto para selecionare selecione OK.
Selecione FileServerAccess na lista Grupos ou nomes de usuário. Na lista Permissões para FileServerAccess, escolha Permitir para as permissões Modificar e Gravar; em seguida, selecione OK.
Selecione a guia Compartilhamento e escolha Compartilhamento Avançado...
Escolha Compartilhar esta pasta e, em seguida, insira um nome fácil de memorizar para o compartilhamento de arquivo em Nome do compartilhamento como CrossForestShare.
Selecione Permissões. Na lista Permissões para Todos, escolha Permitir para a permissão Alterar.
Selecione OK duas vezes e, em seguida, Fechar.

Validar a autenticação entre florestas para um recurso

** Entre em um computador Windows conectado ao Active Directory local usando uma conta de usuário do Active Directory local.
Usando o Windows Explorer, conecte-se ao compartilhamento que você criou usando o nome de host totalmente qualificado e o compartilhamento, como \\fs1.aaddscontoso.com\CrossforestShare.
Para validar a permissão de gravação, selecione com o botão direito do mouse na pasta, escolha Novoe selecione Documento de Texto. Use o nome padrão novo documento de texto.

Se as permissões de gravação forem definidas corretamente, um novo documento de texto será criado. As etapas a seguir abrirão, editarão e excluirão o arquivo conforme apropriado.
Para validar a permissão Ler, abra Novo Documento de Texto.
Para validar a permissão Modificar, adicione texto ao arquivo e feche o Bloco de Notas. Quando solicitado a salvar as alterações, escolha Salvar.
Para validar a permissão de exclusão, clique com o botão direito em Novo Documento de Texto e escolha Excluir. Escolha Sim para confirmar a exclusão do arquivo.

Atualizar ou remover a relação de confiança da floresta de saída

Se você precisar atualizar uma floresta de saída unidirecional existente do domínio gerenciado, poderá usar os scripts Get-AaddsResourceForestTrusts e Set-AaddsResourceForestTrust. Esses scripts ajudam em cenários em que você deseja atualizar o nome amigável da relação de confiança da floresta ou a senha de confiança. Para remover uma relação de confiança de saída unidirecional do domínio gerenciado, você poderá usar o script Remove-AaddsResourceForestTrust. Você deve remover manualmente a relação de confiança da floresta de entrada unidirecional na floresta local do AD DS associada.

Atualizar uma relação de confiança da floresta

Na operação normal, o domínio gerenciado e a floresta local negociam um processo regular de atualização de senha entre eles. Isso faz parte do processo normal de segurança de relação de confiança do AD DS. Você não precisa alterar manualmente a senha de confiança, a menos que a relação de confiança tenha enfrentado algum problema e você queira redefinir manualmente para uma senha conhecida. Para obter mais informações, confira alterações de senha do objeto de domínio confiável.

As etapas de exemplo a seguir mostram como atualizar uma relação de confiança existente se precisar redefinir manualmente a senha de confiança de saída:

Instale os scripts Get-AaddsResourceForestTrusts e Set-AaddsResourceForestTrust da Galeria do PowerShell usando o cmdlet Install-Script:
```
Install-Script -Name Get-AaddsResourceForestTrusts,Set-AaddsResourceForestTrust
```
Antes de atualizar uma relação de confiança existente, primeiro obtenha o recurso de confiança usando o script Get-AaddsResourceForestTrusts. No exemplo a seguir, a confiança existente é atribuída a um objeto chamado existingTrust. Especifique seu próprio nome de floresta do domínio gerenciado e nome de floresta local para atualizar:
```
$existingTrust = Get-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust"
```
Para atualizar a senha de confiança existente, use o script Set-AaddsResourceForestTrust. Especifique o objeto de confiança existente da etapa anterior e, em seguida, uma nova senha de relação de confiança. Nenhuma complexidade de senha é imposta pelo PowerShell, portanto, certifique-se de gerar e usar uma senha segura para seu ambiente.
```
Set-AaddsResourceForestTrust `
    -Trust $existingTrust `
    -TrustPassword <newComplexPassword>
```

Excluir um fideicomisso florestal

Se não precisar mais da relação de confiança da floresta de saída unidirecional do domínio gerenciado com a floresta local do AD DS, você poderá remover essa relação. Verifique se nenhum aplicativo ou serviço precisa se autenticar na floresta local do AD DS antes de remover a relação de confiança. Você deve remover manualmente a relação de confiança de entrada unidirecional da floresta local do AD DS também.

Instale o script Remove-AaddsResourceForestTrust da Galeria do PowerShell usando o cmdlet Install-Script:
```
Install-Script -Name Remove-AaddsResourceForestTrust
```
Agora, remova a relação de confiança d floresta usando o script Remove-AaddsResourceForestTrust. No exemplo a seguir, a relação de confiança chamada myAzureADDSTrust entre a floresta de domínio gerenciada chamada aaddscontoso.com e a floresta local onprem.contoso.com é removida. Especifique seu próprio nome de floresta de domínio gerenciado e o nome da floresta local que deseja remover:
```
Remove-AaddsResourceForestTrust `
    -ManagedDomainFqdn "aaddscontoso.com" `
    -TrustFqdn "onprem.contoso.com" `
    -TrustFriendlyName "myAzureADDSTrust"
```

Para remover a relação de confiança de entrada unidirecional da floresta local do AD DS, conecte-se a um computador de gerenciamento com acesso à floresta local do AD DS e execute as seguintes etapas:

Selecione Iniciar | Ferramentas Administrativas | Domínios e relações de confiança do Active Directory.
Selecione com o botão direito do mouse o domínio, como onprem.contoso.com e selecione Propriedades.
Escolha a guia Relações de confiança e selecione a relação de confiança de entrada existente da floresta do seu domínio gerenciado.
Selecione Remover e confirme que deseja remover a relação de confiança de entrada.

Próximas etapas

Neste artigo, você aprendeu a:

Criar um domínio gerenciado usando o Azure PowerShell
Criar uma relação de confiança de floresta de saída unidirecional no domínio gerenciado usando o Azure PowerShell
Configurar o DNS em um ambiente do AD DS local para dar suporte à conectividade de domínio gerenciado
Criar uma relação de confiança de floresta de entrada unidirecional em um ambiente do AD DS local
Testar e validar a relação de confiança para autenticação e acesso a recursos

Para obter mais informações conceituais sobre tipos de floresta no Domain Services, confira Como funcionam as relações de confiança de floresta no Domain Services?

Connect-MgGraph: /powershell/microsoftgraph/authentication-commands

New-MgServicePrincipal: /powershell/module/microsoft.graph.applications/new-mgserviceprincipal

Comentários

Esta página foi útil?

Last updated on 2025-06-30