Compartilhar via

Tutorial: Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services

Os Serviços de Domínio do Microsoft Entra fornece serviços de domínio gerenciados, como associação de domínio, política de grupo, LDAP e autenticação Kerberos/NTLM, totalmente compatíveis com o Windows Server Active Directory. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches aos controladores de domínio por conta própria. O Domain Services se integra ao locatário do Microsoft Entra existente. Essa integração permite que os usuários entrem usando suas credenciais corporativas e você pode usar os grupos e as contas de usuário existentes para proteger o acesso aos recursos.

Você pode criar um domínio gerenciado usando opções de configuração padrão para rede e sincronização ou definir manualmente essas configurações. Este tutorial mostra como usar opções padrão para criar e configurar um domínio gerenciado dos Serviços de Domínio usando o Centro de administração do Microsoft Entra.

Neste tutorial, você aprenderá como:

  • Entender os requisitos de DNS para um domínio gerenciado
  • Criar um domínio gerenciado
  • Permitir a sincronização de hash de senha

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma assinatura ativa do Azure.
  • Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Você precisa das funções de administrador de aplicativos e administrador de grupos do Microsoft Entra em seu tenant para habilitar os Serviços de Domínio.
  • Você precisa da função de Colaborador de Serviços de Domínio do Azure Domain Services Contributor para criar os recursos necessários dos Serviços de Domínio.
  • Uma rede virtual com servidores DNS que podem consultar a infraestrutura necessária, como armazenamento. Servidores DNS que não podem executar consultas gerais na Internet podem bloquear a capacidade de criar um domínio gerenciado.

Embora não seja necessário para os Serviços de Domínio, é recomendável configurar a SSPR (redefinição de senha de autoatendimento) para o locatário do Microsoft Entra. Os usuários podem alterar sua senha sem SSPR, mas a SSPR ajuda se esquecerem a senha e precisarem redefini-la.

Importante

Você não pode mover o domínio gerenciado para uma assinatura, grupo de recursos ou região diferente depois de criá-lo. Tome cuidado para selecionar a assinatura, o grupo de recursos e a região mais apropriados ao implantar o domínio gerenciado.

Entrar no Centro de administração do Microsoft Entra

Neste tutorial, você criará e configurará o domínio gerenciado usando o Centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de administração do Microsoft Entra.

Criar um domínio gerenciado

Para iniciar o assistente Habilitar o Microsoft Entra Domain Services , conclua as seguintes etapas:

  1. No menu do Centro de administração do Microsoft Entra ou na home page, pesquise serviços de domínio e escolha o Microsoft Entra Domain Services.

  2. Na página Microsoft Entra Domain Services, selecione Criar Serviços de Domínio do Microsoft Entra.

    Captura de tela de como criar um domínio gerenciado.

  3. Selecione a Assinatura do Azure na qual você deseja criar o domínio gerenciado.

  4. Selecione o grupo de recursos ao qual o domínio gerenciado deve pertencer. Escolha criar novo ou selecione um grupo de recursos existente.

Ao criar um domínio gerenciado, especifique um nome DNS. Há algumas considerações ao escolher este nome DNS:

  • Nome de domínio interno: Por padrão, o nome de domínio interno do diretório é usado (um sufixo .onmicrosoft.com ). Se você quiser habilitar o acesso LDAP seguro ao domínio gerenciado pela Internet, não poderá criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é dona do domínio .onmicrosoft.com , portanto, uma AC (Autoridade de Certificação) não emitirá um certificado.
  • Nomes de domínio personalizados: A abordagem mais comum é especificar um nome de domínio personalizado, normalmente um que você já possui e é roteável. Quando você usa um domínio roteável personalizado, o tráfego pode fluir corretamente conforme necessário para dar suporte aos seus aplicativos.
  • Sufixos de domínio não roteáveis: Geralmente, recomendamos que você evite um sufixo de nome de domínio não roteável, como contoso.local. O sufixo .local não é roteável e pode causar problemas com a resolução DNS.

Dica

Se você criar um nome de domínio personalizado, tome cuidado com namespaces DNS existentes. Embora tenha suporte, talvez você queira usar um nome de domínio separado de qualquer namespace DNS local ou do Azure existente.

Por exemplo, se você tiver um espaço de nome DNS existente de contoso.com, crie um domínio gerenciado com o nome de domínio personalizado de dscontoso.com. Se você precisar usar LDAP seguro, deverá registrar e possuir esse nome de domínio personalizado para gerar os certificados necessários.

Talvez seja necessário criar alguns registros DNS adicionais para outros serviços em seu ambiente ou encaminhadores DNS condicionais entre espaços de nome DNS existentes em seu ambiente. Por exemplo, se você executar um servidor Web que hospeda um site usando o nome DNS raiz, poderá haver conflitos de nomenclatura que exijam entradas DNS adicionais.

Nesses tutoriais e artigos de instruções, o domínio personalizado de dscontoso.com é usado como um exemplo curto. Em todos os comandos, especifique seu próprio nome de domínio.

As seguintes restrições de nome DNS também se aplicam:

  • Restrições de prefixo de domínio: Você não pode criar um domínio gerenciado com um prefixo maior que 15 caracteres. O prefixo do nome de domínio especificado (como dscontoso no nome de domínio dscontoso.com ) deve conter 15 ou menos caracteres.
  • Conflitos de nome de rede: O nome de domínio DNS para seu domínio gerenciado ainda não deve existir na rede virtual. Especificamente, verifique os seguintes cenários que levariam a um conflito de nomes:
    • Se você já tiver um domínio do Active Directory com o mesmo nome de domínio DNS na rede virtual do Azure.
    • Se a rede virtual em que você planeja habilitar o domínio gerenciado tiver uma conexão VPN com sua rede local. Nesse cenário, verifique se você não tem um domínio com o mesmo nome de domínio DNS em sua rede local.
    • Se você tiver um serviço de nuvem do Azure existente com esse nome na rede virtual do Azure.

Conclua os campos na janela Noções básicas do Centro de administração do Microsoft Entra para criar um domínio gerenciado:

  1. Insira um nome de domínio DNS para seu domínio gerenciado, levando em consideração os pontos anteriores.

  2. Escolha a Região do Azure na qual o domínio gerenciado deve ser criado. Se você escolher uma região que dê suporte a Zonas de Disponibilidade do Azure, os recursos dos Serviços de Domínio serão distribuídos entre zonas para redundância adicional.

    Dica

    As Zonas de Disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas.

    Não é preciso configurar nada para que o Domain Services seja distribuído entre as zonas. A plataforma do Azure lida automaticamente com a distribuição de recursos na zona. Para obter mais informações e ver a disponibilidade da região, confira O que são as Zonas de Disponibilidade no Azure?.

  3. A SKU determina o desempenho e a frequência de backup. Você pode alterar a SKU depois que o domínio gerenciado tiver sido criado se suas demandas ou requisitos de negócios forem alterados. Para obter mais informações, consulte os conceitos de SKU dos Serviços de Domínio.

    Para este tutorial, selecione o SKU Standard . A janela Noções básicas deve ser semelhante a esta captura de tela:

    Captura de tela da página de configuração do Basics para um domínio gerenciado.

Para criar rapidamente um domínio gerenciado, você pode selecionar Examinar + criar para aceitar opções de configuração padrão adicionais. Os seguintes padrões são configurados quando você escolhe esta opção de criação:

  • Cria uma rede virtual chamada ds-vnet por padrão, que usa o intervalo de endereços IP de 10.0.1.0/24.
  • Cria uma sub-rede chamada ds-subnet usando o intervalo de endereços IP de 10.0.1.0/24.
  • Sincroniza todos os usuários da ID do Microsoft Entra no domínio gerenciado.

Observação

Você não deve usar endereços IP públicos para redes virtuais e suas sub-redes devido aos seguintes problemas:

  • Escassez do endereço IP: os endereços IP públicos IPv4 são limitados e sua demanda geralmente excede a oferta disponível. Além disso, há IPs potencialmente sobrepostos com pontos de extremidade públicos.

  • Riscos de segurança: o uso de IPs públicos para redes virtuais expõe seus dispositivos diretamente à Internet, aumentando o risco de acesso não autorizado e possíveis ataques. Sem medidas de segurança adequadas, seus dispositivos podem ficar vulneráveis a várias ameaças.

  • Complexidade: o gerenciamento de uma rede virtual com IPs públicos pode ser mais complexo do que usar IPs privados, pois requer lidar com intervalos de IP externos e garantir a segmentação e a segurança de rede adequadas.

É altamente recomendável usar endereços IP privados. Se você usar um IP público, verifique se é o proprietário/usuário dedicado dos IPs escolhidos no intervalo público escolhido.

Selecione Examinar + criar para aceitar essas opções de configuração padrão.

Implantar o domínio gerenciado

Na página Resumo do assistente, examine as configurações do seu domínio gerenciado. Você pode voltar para qualquer etapa do assistente para efetuar alterações. Para reimplantar um domínio gerenciado para um locatário do Microsoft Entra diferente de maneira consistente usando essas opções de configuração, você também pode baixar um modelo para automação.

  1. Para criar o domínio gerenciado, selecione Criar. Uma observação é exibida de que determinadas opções de configuração, como nome DNS ou rede virtual, não podem ser alteradas depois que os Serviços de Domínio gerenciados são criados. Para continuar, selecione OK.

    Captura de tela das opções de configuração para o domínio gerenciado.

  2. O processo de provisionamento de seu domínio gerenciado pode levar até uma hora. Uma notificação é exibida no portal que mostra o progresso da implantação dos Serviços de Domínio.

  3. Quando o domínio gerenciado é totalmente provisionado, a guia Visão geral mostra o status do domínio como Em execução. Expanda os Detalhes da implantação para ver links para recursos como a rede virtual e o grupo de recursos de rede.

    Captura de tela dos detalhes da implantação de um domínio gerenciado.

Importante

O domínio gerenciado está associado ao diretório do Microsoft Entra. Durante o processo de provisionamento, os Serviços de Domínio criam dois Aplicativos Empresariais chamados Serviços do Controlador de Domínio e AzureActiveDirectoryDomainControllerServices no diretório do Microsoft Entra. Esses Aplicativos Empresariais são necessários para atender ao seu domínio gerenciado. Não exclua esses aplicativos.

Atualizar as configurações de DNS para a rede virtual do Azure

Com os Serviços de Domínio implantados com êxito, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS para sua rede virtual para apontar para os dois endereços IP em que o domínio gerenciado é implantado.

  1. A guia Visão geral do domínio gerenciado mostra algumas etapas de configuração necessárias. A primeira etapa de configuração é atualizar as configurações do servidor DNS para sua rede virtual. Depois que as configurações de DNS estiverem configuradas corretamente, essa etapa não será mais mostrada.

    Os endereços listados são os controladores de domínio para uso na rede virtual. Neste exemplo, esses endereços são 10.0.1.4 e 10.0.1.5. Posteriormente, você poderá encontrar esses endereços IP na guia Propriedades .

    Captura de tela da página Visão geral de um domínio gerenciado.

  2. Para atualizar as configurações do servidor DNS para a rede virtual, selecione o botão Configurar. As configurações de DNS são configuradas automaticamente para sua rede virtual.

Dica

Se você selecionou uma rede virtual existente nas etapas anteriores, todas as VMs conectadas à rede só obterão as novas configurações de DNS após uma reinicialização. Você pode reiniciar VMs usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a CLI do Azure.

Habilitar contas de usuário para Os Serviços de Domínio

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NTLM (NT LAN Manager) e Kerberos. O ID do Microsoft Entra não gera ou armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio para seu locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Observação

Depois de configurados adequadamente, os hashes de senha utilizáveis são armazenados no domínio gerenciado. Se você excluir o domínio gerenciado, todos os hashes de senha armazenados nesse ponto também serão excluídos.

As informações de credencial sincronizadas no Microsoft Entra ID não poderão ser reutilizadas se você criar posteriormente um domínio gerenciado. Você deve reconfigurar a sincronização de hashes de senha para armazenar os hashes de senha novamente. As VMs ou os usuários previamente conectados ao domínio não poderão autenticar imediatamente – o Microsoft Entra ID precisa gerar e armazenar as hashes de senha no novo domínio gerenciado.

Não há suporte para a sincronização de nuvem do Microsoft Entra Connect com os Serviços de Domínio. Os usuários locais precisam ser sincronizados usando o Microsoft Entra Connect para poder acessar VMs ingressadas no domínio. Para obter mais informações, consulte Processo da sincronização de hash de senha para o Domain Services e o Microsoft Entra Connect.

As etapas para gerar e armazenar esses hashes de senha são diferentes para as contas de usuário somente em nuvem criadas no Microsoft Entra ID versus as contas de usuário sincronizadas do seu diretório local usando o Microsoft Entra Connect.

Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Microsoft Entra usando o Centro de administração do Microsoft Entra ou o PowerShell. Essas contas de usuário não são sincronizadas de um diretório local.

Neste tutorial, vamos trabalhar com uma conta de usuário básica somente na nuvem. Para obter mais informações sobre as etapas adicionais necessárias para usar o Microsoft Entra Connect, consulte Sincronizar hashes de senha para contas de usuários sincronizadas do seu AD local para seu domínio gerenciado.

Dica

Se o diretório do Microsoft Entra tiver uma combinação de usuários somente em nuvem e sincronizados, você precisará concluir os dois conjuntos de etapas.

Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem usar os Serviços de Domínio. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados na ID do Microsoft Entra. A conta não é sincronizada da ID do Microsoft Entra para os Serviços de Domínio até que a senha seja alterada. Expire as senhas para todos os usuários de nuvem no locatário que precisam usar os Serviços de Domínio, o que força uma alteração de senha na próxima entrada ou instrua os usuários de nuvem a alterar manualmente suas senhas. Para este tutorial, vamos alterar manualmente uma senha de usuário.

Antes que um usuário possa redefinir sua senha, o tenant do Microsoft Entra deve ser configurado para autoatendimento na redefinição de senha.

Para alterar a senha de um usuário somente na nuvem, o usuário deve concluir as seguintes etapas:

  1. Acesse a página do Painel de Acesso do Microsoft Entra ID em https://myapps.microsoft.com.

  2. No canto superior direito, clique no seu nome e escolha Perfil no menu deslizante.

    Captura de tela de como selecionar um perfil.

  3. Na página Perfil, selecione Alterar senha.

  4. Na página Alterar senha , insira sua senha existente (antiga) e, em seguida, insira e confirme uma nova senha.

  5. Selecione Enviar.

Leva alguns minutos depois que você altera sua senha para que a nova senha seja utilizável nos Serviços de Domínio e para entrar com êxito em computadores ingressados no domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Entender os requisitos de DNS para um domínio gerenciado
  • Criar um domínio gerenciado
  • Adicionar usuários administrativos ao gerenciamento de domínio
  • Habilitar contas de usuário para os serviços de domínio e gerar hashes de senha

Antes de ingressar as VMs no domínio e implantar aplicativos que usam o domínio gerenciado, configure uma rede virtual do Azure para cargas de trabalho de aplicativo.

Configurar a rede virtual do Azure para cargas de trabalho de aplicativo para usar o domínio gerenciado