Tutorial: criar e configurar um domínio gerenciado do Microsoft Entra Domain Services

Os Serviços de Domínio do Microsoft Entra fornece serviços de domínio gerenciados, como associação de domínio, política de grupo, LDAP e autenticação Kerberos/NTLM, totalmente compatíveis com o Windows Server Active Directory. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches aos controladores de domínio por conta própria. O Serviços de Domínio integra-se ao seu locatário existente do Microsoft Entra. Essa integração permite que os usuários entrem usando suas credenciais corporativas e você pode usar os grupos e as contas de usuário existentes para proteger o acesso aos recursos.

Crie um domínio gerenciado usando as opções de configuração padrão para rede e sincronização ou defina essas configurações manualmente. Este tutorial mostra como usar opções padrão para criar e configurar um domínio gerenciado do Domain Services usando o Centro de administração do Microsoft Entra.

Neste tutorial, você aprenderá a:

• Entender os requisitos de DNS para um domínio gerenciado
• Criar um domínio gerenciado
• Permitir a sincronização de hash de senha

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Caso não tenha uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado com a assinatura, sincronizado com um diretório local ou somente em nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos do Microsoft Entra em seu locatário para habilitar o Domain Services.
• Você precisará ter a função Colaborador dos Serviços de Domínio do Azure para criar os recursos necessários dos Serviços de Domínio.
• Uma rede virtual com servidores DNS que podem consultar a infraestrutura necessária, como o armazenamento. Os servidores DNS que não conseguem realizar consultas gerais na Internet podem bloquear a capacidade de criar um domínio gerenciado.

Embora não seja necessário para os Serviços de Domínio, é recomendável configurar a SSPR (redefinição de senha self-service) para o locatário do Microsoft Entra. Os usuários podem alterar sua senha sem a SSPR, mas a SSPR ajudará se eles esquecerem sua senha e precisarem redefini-la.

Importante

Após criar o domínio gerenciado, você não pode movê-lo para uma assinatura, um grupo de recursos ou uma região diferente. Tenha o cuidado de selecionar a assinatura, o grupo de recursos e a região mais apropriados ao implantar o domínio gerenciado.

Entre no centro de administração do Microsoft Entra

Neste tutorial, você deve criar e configurar o domínio gerenciado utilizando o centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de Administração do Microsoft Entra.

Criar um domínio gerenciado

Para iniciar o assistente Habilitar o Microsoft Entra Domain Services, conclua as seguintes etapas:

1. No menu do centro de administração do Microsoft Entra ou na página Inicial, selecione Criar um recurso.
2. Insira Domain Services na barra de pesquisa e, em seguida, escolha Microsoft Entra Domain Services nas sugestões de pesquisa.
3. Na página Microsoft Entra Domain Services, selecione Criar. O assistente Habilitar o Microsoft Entra Domain Services é iniciado.
4. Selecione a Assinatura do Azure na qual você deseja criar o domínio gerenciado.
5. Selecione o Grupo de recursos a que o domínio gerenciado deve pertencer. Escolha Criar ou selecione um grupo de recursos existente.

Ao criar um domínio gerenciado, você especifica um nome DNS. Eis algumas considerações a serem feitas ao escolher o nome DNS:

• Nome de domínio interno: Por padrão, o nome de domínio interno do diretório é usado (com sufixo .onmicrosoft.com). Se quiser habilitar o acesso LDAP seguro ao domínio gerenciado pela Internet, você não poderá criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é proprietária do domínio .onmicrosoft.com, portanto, nenhuma AC (Autoridade de Certificação) emitirá um certificado.
• Nomes de domínio personalizados: A abordagem mais comum é especificar um nome de domínio personalizado, normalmente um que você já tenha e seja roteável. Quando você usa um domínio roteável personalizado, o tráfego pode fluir corretamente conforme necessário para dar suporte aos seus aplicativos.
• Sufixos de domínio não roteáveis: De modo geral, recomendamos que você evite sufixos de nome de domínio não roteáveis, tal como contoso.local. O sufixo .local não é roteável e pode causar problemas com a resolução do DNS.

Dica

Se você criar um nome de domínio personalizado, tome cuidado com os namespaces DNS existentes. Embora haja suporte, talvez você queira usar um nome de domínio separado de um namespace do Azure ou DNS local existente.

Por exemplo, se você tiver um namespace DNS existente contoso.com, crie um domínio gerenciado com o nome de domínio personalizado aaddscontoso.com. Caso precise usar o LDAP Seguro, registre e seja o proprietário desse nome de domínio personalizado para gerar os certificados necessários.

Talvez seja necessário criar alguns registros DNS adicionais para outros serviços no ambiente ou encaminhadores DNS condicionais entre os namespaces DNS existentes no ambiente. Por exemplo, se você executar um servidor Web que hospeda um site usando o nome DNS raiz, poderá haver conflitos de nomenclatura que exigem entradas DNS adicionais.

Nestes tutoriais e nestes artigos de instruções, o domínio personalizado aaddscontoso.com é usado como um breve exemplo. Em todos os comandos, especifique o próprio nome de domínio.

As seguintes restrições de nome DNS também se aplicam:

• Restrições do prefixo do domínio: Você não pode criar um domínio gerenciado com um prefixo de mais de 15 caracteres. O prefixo do nome de domínio especificado (como aaddscontoso no nome de domínio aaddscontoso.com) precisa conter até 15 caracteres.
• Conflitos de nome de rede: O nome de domínio DNS para seu domínio gerenciado não deve já existir na rede virtual. Especificamente, verifique os seguintes cenários que podem resultar em conflitos de nome:
  • Se você já tiver um domínio do Active Directory com o mesmo nome de domínio DNS na rede virtual do Azure.
  • Se a rede virtual em que você planeja habilitar o domínio gerenciado tiver uma conexão VPN com sua rede local. Nesse cenário, verifique se você não tem um domínio com o mesmo nome de domínio DNS na rede local.
  • Se você tiver um serviço de nuvem existente do Azure com esse mesmo nome na rede virtual do Azure.

Conclua os campos na janela Básico do centro de administração do Microsoft Entra para criar um domínio gerenciado:

1. Insira um nome de domínio DNS para o domínio gerenciado, levando em consideração os pontos anteriores.

2. Escolha o Local do Azure no qual o domínio gerenciado deve ser criado. Se você escolher uma região que dê suporte a Zonas de Disponibilidade do Azure, os recursos do Domain Services serão distribuídos entre zonas para redundância adicional.

   Dica

   As Zonas de Disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas.

   Não é preciso configurar nada para que o Domain Services seja distribuído entre as zonas. A plataforma do Azure lida automaticamente com a distribuição de recursos na zona. Para saber mais e ver a disponibilidade da região, consulte O que são as Zonas de Disponibilidade no Azure?

3. O SKU determina o desempenho e a frequência de backup. Você poderá alterar a SKU depois que o domínio gerenciado tiver sido criado se as demandas ou requisitos empresariais mudarem. Para obter mais informações, confira Conceitos do SKU dos Serviços de Domínio.

   Para este tutorial, selecione o SKU Standard.

4. Uma floresta é um constructo lógico usado pelo Active Directory Domain Services para agrupar um ou mais domínios.

   

Para criar rapidamente um domínio gerenciado, você pode selecionar Revisar + criar para aceitar opções de configuração padrão adicionais. Os seguintes padrões são configurados quando você escolhe essa opção de criação:

• Cria uma rede virtual chamada aadds-vnet que usa o intervalo de endereços IP 10.0.2.0/24.
• Cria uma sub-rede chamada aadds-subnet usando o intervalo de endereços IP 10.0.2.0/24.
• Sincroniza todos os usuários do Microsoft Entra ID no domínio gerenciado.

Observação

Você não deve usar endereços IP públicos para redes virtuais e suas sub-redes devido aos problemas a seguir:

• Escassez de endereço IP: os endereços IP públicos IPv4 são limitados e sua demanda geralmente excede a oferta disponível. Além disso, há IPs potencialmente sobrepostos com pontos de extremidade públicos.

• Riscos de segurança: o uso de IPs públicos para redes virtuais expõe seus dispositivos diretamente à Internet, aumentando o risco de acesso não autorizado e possíveis ataques. Sem medidas de segurança adequadas, seus dispositivos podem se tornar vulneráveis a várias ameaças.

• Complexidade: gerenciar uma rede virtual com IPs públicos pode ser mais complexo do que usar IPs privados, pois exige lidar com intervalos de IPs externos e garantir a segmentação e a segurança adequadas da rede.

É altamente recomendável usar endereços IP privados. Se você usar um IP público, certifique-se de que você é o proprietário/usuário dedicado dos IPs escolhidos no intervalo público que você escolheu.

Selecione Revisar + criar para aceitar essas opções de configuração padrão.

Implantar o domínio gerenciado

Na página Resumo do assistente, examine as definições de configuração do domínio gerenciado. Você pode voltar para qualquer etapa do assistente para efetuar alterações. Para reimplantar um domínio gerenciado em outro locatário do Microsoft Entra de maneira consistente usando essas opções de configuração, você também pode Baixar um modelo para automação.

1. Para criar o domínio gerenciado, selecione Criar. Uma observação é exibida de que determinadas opções de configuração, como nome DNS ou rede virtual, não podem ser alteradas depois que o Domain Services gerenciado é criado. Para continuar, selecione OK.

2. O processo de provisionamento de seu domínio gerenciado pode levar até uma hora. Uma notificação é exibida no portal, mostrando o andamento da sua implantação dos Serviços de Domínio. Selecione a notificação para ver detalhes do andamento da implantação.

   

3. A página será carregada com atualizações no processo de implantação, incluindo a criação de novos recursos em seu diretório.

4. Selecione o grupo de recursos, como myResourceGroup e, em seguida, escolha o domínio gerenciado na lista de recursos do Azure, como aaddscontoso.com. A guia Visão Geral mostra que o domínio gerenciado está sendo implantado no momento. Você não pode configurar o domínio gerenciado até que ele esteja totalmente provisionado.

   

5. Quando o domínio gerenciado está totalmente provisionado, a guia Visão Geral mostra o status do domínio como Em execução.

   

Importante

O domínio gerenciado está associado ao seu locatário do Microsoft Entra. Durante o processo de provisionamento, os Serviços de Domínio criam dois aplicativos empresariais denominados Serviços de Controlador de Domínio e AzureActiveDirectoryDomainControllerServices no locatário do Microsoft Entra. Esses Aplicativos Empresariais são necessários para atender o domínio gerenciado. Não exclua esses aplicativos.

Atualizar as configurações do DNS para a rede virtual do Azure

Com os Serviços de Domínio implantados com sucesso, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS da rede virtual para que ela aponte para os dois endereços IP em que o domínio gerenciado está implantado.

1. A guia Visão geral do domínio gerenciado mostra algumas Etapas de configuração obrigatórias. A primeira etapa de configuração é atualizar as configurações do servidor DNS da rede virtual. Depois que as configurações de DNS forem definidas corretamente, essa etapa não será mais mostrada.

   Os endereços listados são os controladores de domínio para uso na rede virtual. Nesse exemplo, os endereços são 10.0.2.4 e 10.0.2.5. Posteriormente, você poderá encontrar esses endereços IP na guia Propriedades.

   

2. Para atualizar as configurações do servidor DNS da rede virtual, selecione o botão Configurar. As configurações de DNS são configuradas automaticamente para sua rede virtual.

Dica

Se você selecionou uma rede virtual existente nas etapas anteriores, todas as VMs conectadas à rede só obterão as novas configurações de DNS após uma reinicialização. Você pode reiniciar as VMs usando o centro de administração do Microsoft Entra, o PowerShell do Microsoft Graph ou a CLI do Azure.

Habilitar contas de usuário para os Serviços de Domínio

Para autenticar os usuários no domínio gerenciado, o Azure AD DS precisa de hashes de senha em um formato adequado para a autenticação NTLM (Gerenciador de LAN NT) e Kerberos. O Microsoft Entra ID não gera nem armazena hashes de senha no formato necessário para autenticação na NTLM ou Kerberos até que você ative o Domain Services para o locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Observação

Uma vez configurado adequadamente, as hashes de senha utilizáveis são armazenadas no domínio gerenciado. Se você excluir o domínio gerenciado, todas as hashes de senha armazenadas nesse ponto também serão excluídas.

As informações de credenciais sincronizadas no Microsoft Entra ID não poderão ser reutilizadas se você criar posteriormente um domínio gerenciado – você precisa reconfigurar a sincronização de hash de senha para armazenar os hashes de senha novamente. As VMs ou os usuários previamente unidos ao domínio não poderão autenticar imediatamente – o Microsoft Entra ID precisa gerar e armazenar as hashes de senha no novo domínio gerenciado.

Não há suporte para o Microsoft Entra Connect Cloud Sync com o Domain Services. Os usuários locais precisam ser sincronizados usando o Microsoft Entra Connect para poder acessar VMs ingressadas no domínio. Para obter mais informações, confira Processo de sincronização de hash de senha para os Serviços de Domínio e Microsoft Entra Connect.

As etapas para gerar e armazenar esses hashes de senha são diferentes para as contas de usuário somente em nuvem criadas no Microsoft Entra ID versus as contas de usuário sincronizadas do seu diretório local usando o Microsoft Entra Connect.

Uma conta de usuário somente na nuvem é uma conta criada no diretório do Microsoft Entra usando o centro de administração do Microsoft Entra ou o PowerShell. Essas contas de usuário não são sincronizadas de um diretório local.

Neste tutorial, vamos trabalhar com uma conta de usuário básica somente de nuvem. Para obter mais informações sobre as etapas adicionais necessárias para usar Microsoft Entra Connect, confira Sincronizar hashes de senha para contas de usuário sincronizadas do AD local para o domínio gerenciado.

Dica

Se o locatário do Microsoft Entra tiver uma combinação de usuários somente de nuvem e usuários do AD local, será necessário concluir ambos os conjuntos de etapas.

Para contas de usuário somente de nuvem, os usuários devem alterar suas senhas antes de usar os Serviços de Domínio. Esse processo de alteração de senhas faz com que as hashes de senha para a autenticação Kerberos e NTLM sejam geradas e armazenadas no Microsoft Entra ID. A conta não é sincronizada do Microsoft Entra ID para os Serviços de Domínio até que a senha seja alterada. Expire as senhas de todos os usuários do locatário que precisam usar os Serviços de Domínio (o que forçaria a troca de senha na próxima entrada) ou então instrua-os a alterar as respectivas senhas manualmente. Para este tutorial, vamos alterar manualmente a senha do usuário.

Antes que o usuário possa redefinir a senha, o locatário do Microsoft Entra deve ser configurado para redefinição de senha self-service.

Para alterar a senha de um usuário somente de nuvem, o usuário deve concluir as seguintes etapas:

1. Vá para a página do Painel de Acesso do Microsoft Entra ID em https://myapps.microsoft.com.

2. No canto superior direito, selecione o seu nome e, em seguida, escolha Perfil no menu suspenso.

   

3. Na página Perfil, selecione Alterar senha.

4. Na página Alterar senha, insira sua senha existente (antiga) e, em seguida, insira uma nova senha e confirme-a.

5. Selecione Enviar.

Leva alguns minutos após você ter alterado sua senha para que a nova senha possa ser usada nos Serviços de Domínio e para que seja possível se conectar com êxito a computadores ingressados no domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

• Entender os requisitos de DNS para um domínio gerenciado
• Criar um domínio gerenciado
• Adicionar usuários administrativos ao gerenciamento de domínio
• Habilitar contas de usuário para os Serviços de Domínio e gerar hashes de senha

Antes de ingressar as VMs no domínio e implantar aplicativos que usam o domínio gerenciado, configure uma rede virtual do Azure para cargas de trabalho de aplicativo.

Configurar a rede virtual do Azure para cargas de trabalho de aplicativo para usar seu domínio gerenciado