Compartilhar via

Tutorial: Criar e configurar um domínio gerenciado do Microsoft Entra Domain Services com opções de configuração avançadas

Os Serviços de Domínio do Microsoft Entra fornece serviços de domínio gerenciados, como associação de domínio, política de grupo, LDAP e autenticação Kerberos/NTLM, totalmente compatíveis com o Windows Server Active Directory. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches aos controladores de domínio por conta própria. O Serviços de Domínio integra-se ao seu locatário existente do Microsoft Entra. Essa integração permite que os usuários entrem usando suas credenciais corporativas e você pode usar os grupos e as contas de usuário existentes para proteger o acesso aos recursos.

Você pode criar um domínio gerenciado usando opções de configuração padrão para rede e sincronização ou definir manualmente essas configurações. Este tutorial mostra como definir essas opções de configuração avançadas para criar e configurar um domínio gerenciado dos Serviços de Domínio usando o Centro de administração do Microsoft Entra.

Neste tutorial, você aprenderá como:

  • Definir configurações de rede virtual e DNS para um domínio gerenciado
  • Criar um domínio gerenciado
  • Adicionar usuários administrativos ao gerenciamento de domínio
  • Habilitar a sincronização de hash de senha

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma assinatura ativa do Azure.
  • Um tenant do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Você precisa das funções de administrador de aplicativos e administrador de grupos do Microsoft Entra em seu tenant para habilitar os Serviços de Domínio.
  • Você precisa da função de Colaborador de Serviços de Domínio do Azure Domain Services Contributor para criar os recursos necessários dos Serviços de Domínio.

Embora não seja necessário para os Serviços de Domínio, é recomendável configurar a SSPR (redefinição de senha de autoatendimento) para o locatário do Microsoft Entra. Os usuários podem alterar sua senha sem SSPR, mas a SSPR ajuda se esquecerem a senha e precisarem redefini-la.

Importante

Depois de criar um domínio gerenciado, você não poderá movê-lo para uma assinatura, grupo de recursos ou região diferente. Tome cuidado para selecionar a assinatura, o grupo de recursos e a região mais apropriados ao implantar o domínio gerenciado.

Entrar no Centro de administração do Microsoft Entra

Neste tutorial, você criará e configurará o domínio gerenciado usando o Centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de administração do Microsoft Entra.

Criar um domínio gerenciado e definir configurações básicas

Para iniciar o assistente Habilitar o Microsoft Entra Domain Services , conclua as seguintes etapas:

  1. No menu do Centro de administração do Microsoft Entra ou na home page, selecione Criar um recurso.
  2. Insira os Serviços de Domínio na barra de pesquisa e escolha o Microsoft Entra Domain Services nas sugestões de pesquisa.
  3. Na página Microsoft Entra Domain Services, selecione Criar. O assistente Enable Microsoft Entra Domain Services foi iniciado.
  4. Selecione a Assinatura do Azure na qual você deseja criar o domínio gerenciado.
  5. Selecione o grupo de recursos ao qual o domínio gerenciado deve pertencer. Escolha criar novo ou selecione um grupo de recursos existente.

Ao criar um domínio gerenciado, especifique um nome DNS. Há algumas considerações ao escolher este nome DNS:

  • Nome de domínio interno: Por padrão, o nome de domínio interno do diretório é usado (um sufixo .onmicrosoft.com ). Se você quiser habilitar o acesso LDAP seguro ao domínio gerenciado pela Internet, não poderá criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é dona do domínio .onmicrosoft.com , portanto, uma AC (Autoridade de Certificação) não emitirá um certificado.
  • Nomes de domínio personalizados: A abordagem mais comum é especificar um nome de domínio personalizado, normalmente um que você já possui e é roteável. Quando você usa um domínio roteável personalizado, o tráfego pode fluir corretamente conforme necessário para dar suporte aos seus aplicativos.
  • Sufixos de domínio não roteáveis: Geralmente, recomendamos que você evite um sufixo de nome de domínio não roteável, como contoso.local. O sufixo .local não é roteável e pode causar problemas com a resolução DNS.

Dica

Se você criar um nome de domínio personalizado, tome cuidado com namespaces DNS existentes. É recomendável usar um nome de domínio separado de qualquer espaço de nome DNS local ou do Azure existente.

Por exemplo, se você tiver um espaço de nome DNS existente de contoso.com, crie um domínio gerenciado com o nome de domínio personalizado de aaddscontoso.com. Se você precisar usar LDAP seguro, deverá registrar e possuir esse nome de domínio personalizado para gerar os certificados necessários.

Talvez seja necessário criar alguns registros DNS adicionais para outros serviços em seu ambiente ou encaminhadores DNS condicionais entre espaços de nome DNS existentes em seu ambiente. Por exemplo, se você executar um servidor Web que hospeda um site usando o nome DNS raiz, poderá haver conflitos de nomenclatura que exijam entradas DNS adicionais.

Nestes tutoriais e artigos de instruções, o domínio personalizado de aaddscontoso.com é usado como um exemplo curto. Em todos os comandos, especifique seu próprio nome de domínio.

As seguintes restrições de nome DNS também se aplicam:

  • Restrições de prefixo de domínio: Você não pode criar um domínio gerenciado com um prefixo maior que 15 caracteres. O prefixo do nome de domínio especificado (como aaddscontoso no nome de domínio aaddscontoso.com ) deve conter 15 ou menos caracteres.
  • Conflitos de nome de rede: O nome de domínio DNS para seu domínio gerenciado ainda não deve existir na rede virtual. Especificamente, verifique os seguintes cenários que levariam a um conflito de nomes:
    • Se você já tiver um domínio do Active Directory com o mesmo nome de domínio DNS na rede virtual do Azure.
    • Se a rede virtual em que você planeja habilitar o domínio gerenciado tiver uma conexão VPN com sua rede local. Nesse cenário, verifique se você não tem um domínio com o mesmo nome de domínio DNS em sua rede local.
    • Se você tiver um serviço de nuvem do Azure existente com esse nome na rede virtual do Azure.

Para criar um domínio gerenciado, conclua os campos na janela Noções básicas do Centro de administração do Microsoft Entra:

  1. Insira um nome de domínio DNS para seu domínio gerenciado, levando em consideração os pontos anteriores.

  2. Escolha o Local do Azure no qual o domínio gerenciado deve ser criado. Se você escolher uma região que dê suporte a Zonas de Disponibilidade, os recursos dos Serviços de Domínio serão distribuídos entre zonas para redundância adicional.

    Dica

    As Zonas de Disponibilidade são locais físicos exclusivos em uma região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, resfriamento e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões habilitadas.

    Não é preciso configurar nada para que o Domain Services seja distribuído entre as zonas. A plataforma do Azure lida automaticamente com a distribuição de recursos na zona. Para obter mais informações e ver a disponibilidade da região, confira O que são zonas de disponibilidade no Azure?

  3. A SKU determina o desempenho e a frequência de backup. Você pode alterar a SKU depois de criar o domínio gerenciado se suas demandas ou requisitos de negócios forem alterados. Para obter mais informações, consulte os conceitos de SKU dos Serviços de Domínio.

    Para este tutorial, selecione o SKU Standard .

  4. Uma floresta é um constructo lógico usado pelos Serviços de Domínio do Active Directory para agrupar um ou mais domínios.

    Definir configurações básicas para um domínio gerenciado do Microsoft Entra Domain Services

  5. Para configurar manualmente opções adicionais, escolha Avançar – Rede. Caso contrário, selecione Examinar + criar para aceitar as opções de configuração padrão e, em seguida, pule para a seção para implantar seu domínio gerenciado. Os seguintes padrões são configurados quando você escolhe esta opção de criação:

    • Cria uma rede virtual chamada aadds-vnet que usa o intervalo de endereços IP de 10.0.1.0/24.
    • Cria uma sub-rede chamada aadds-subnet usando o intervalo de endereços IP de 10.0.1.0/24.
    • Sincroniza todos os usuários da ID do Microsoft Entra no domínio gerenciado.

Criar e configurar a rede virtual

Para fornecer conectividade, uma rede virtual do Azure e uma sub-rede dedicada são necessárias. Os Serviços de Domínio estão habilitados nesta sub-rede de rede virtual. Neste tutorial, você criará uma rede virtual, embora possa optar por usar uma rede virtual existente. Em qualquer abordagem, você deve criar uma sub-rede dedicada para uso pelos Serviços de Domínio.

Dica

Como você deve usar os IPs de implantação do Microsoft Entra Domain Services como o resolvedor DNS na VNET na qual ele reside, recomendamos uma rede virtual dedicada do Azure se estiver usando um serviço DNS diferente e configurando encaminhadores condicionais no próprio Microsoft Entra Domain Services.

Algumas considerações para essa sub-rede de rede virtual dedicada incluem as seguintes áreas:

  • A sub-rede deve ter pelo menos 3 a 5 endereços IP disponíveis em seu intervalo de endereços para dar suporte aos recursos dos Serviços de Domínio.
  • Não selecione a sub-rede do Gateway para implantar os Serviços de Domínio. Não há suporte para implantar os Serviços de Domínio em uma sub-rede do Gateway .
  • Não implante outras máquinas virtuais na sub-rede. Aplicativos e VMs geralmente usam grupos de segurança de rede para proteger a conectividade. Executar essas cargas de trabalho em uma sub-rede separada permite aplicar esses grupos de segurança de rede sem interromper a conectividade com seu domínio gerenciado.

Para obter mais informações sobre como planejar e configurar a rede virtual, consulte as considerações de rede para o Microsoft Entra Domain Services.

Conclua os campos na janela Rede da seguinte maneira:

  1. Na página Rede, escolha uma rede virtual para implantar os serviços de domínio a partir do menu suspenso, ou selecione Criar novo.

    1. Se você optar por criar uma rede virtual, insira um nome para a rede virtual, como myVnet, e forneça um intervalo de endereços, como 10.0.1.0/24.
    2. Crie uma sub-rede dedicada com um nome claro, como DomainServices. Forneça um intervalo de endereços, como 10.0.1.0/24.

    Criar uma rede virtual e uma sub-rede para uso com o Microsoft Entra Domain Services

    Escolha um intervalo de endereços que esteja dentro do intervalo de endereços IP privado. Os intervalos de endereços IP que você não possui que estão no espaço de endereço público causam erros nos Serviços de Domínio.

  2. Selecione uma sub-rede de rede virtual, como DomainServices.

  3. Quando estiver pronto, escolha Avançar – Administração.

Configurar um grupo administrativo

Um grupo administrativo especial chamado Administradores de DC do AAD é usado para o gerenciamento do domínio dos Serviços de Domínio. Os membros desse grupo recebem permissões administrativas em VMs que estão ingressadas no domínio gerenciado. Em VMs ingressadas no domínio, esse grupo é adicionado ao grupo de administradores locais. Os membros desse grupo também podem usar a Área de Trabalho Remota para se conectar remotamente a VMs associadas ao domínio.

Importante

Você não tem permissões de Administrador de Domínio ou Administrador Corporativo em um domínio gerenciado usando os Serviços de Domínio. O serviço reserva essas permissões e não as disponibiliza para usuários dentro do locatário.

Em vez disso, o grupo administradores do AAD DC permite que você execute algumas operações privilegiadas. Essas operações incluem pertencer ao grupo de administração em VMs ingressadas no domínio e configurar a Política de Grupo.

O assistente cria automaticamente o grupo administradores do AAD DC em seu diretório do Microsoft Entra. Se você tiver um grupo existente com esse nome no diretório do Microsoft Entra, o assistente selecionará esse grupo. Opcionalmente, você pode optar por adicionar usuários adicionais a esse grupo de Administradores de DC do AAD durante o processo de implantação. Essas etapas podem ser concluídas posteriormente.

  1. Para adicionar usuários adicionais a esse grupo administradores do AAD DC , selecione Gerenciar associação de grupo.

    Configurar a associação de grupo do grupo administradores do AAD DC

  2. Selecione o botão Adicionar membros e, em seguida, pesquise e selecione usuários no diretório do Microsoft Entra. Por exemplo, pesquise sua própria conta e adicione-a ao grupo administradores do AAD DC .

  3. Se desejado, altere ou adicione destinatários adicionais para notificações quando houver alertas no domínio gerenciado que exijam atenção.

  4. Quando estiver pronto, escolha Avançar – Sincronização.

Configurar a sincronização

Os Serviços de Domínio permitem sincronizar todos os usuários e grupos disponíveis na ID do Microsoft Entra ou uma sincronização com escopo apenas de grupos específicos. Você pode alterar o escopo de sincronização agora ou depois que o domínio gerenciado for implantado. Para obter mais informações, consulte a sincronização no escopo do Microsoft Entra Domain Services.

  1. Para este tutorial, escolha sincronizar todos os usuários e grupos. Essa opção de sincronização é a opção padrão.

    Executar uma sincronização completa de usuários e grupos da ID do Microsoft Entra

  2. Selecione Examinar + criar.

Implantar o domínio gerenciado

Na página Resumo do assistente, examine as configurações do seu domínio gerenciado. Você pode voltar para qualquer passo do assistente para fazer alterações. Para reimplantar um domínio gerenciado para um locatário do Microsoft Entra diferente de maneira consistente usando essas opções de configuração, você também pode baixar um modelo para automação.

  1. Para criar o domínio gerenciado, selecione Criar. Uma observação exibe que determinadas opções de configuração, como nome DNS ou rede virtual, não podem ser alteradas depois que os Serviços de Domínio gerenciados são criados. Para continuar, selecione OK.

  2. O processo de provisionamento de seu domínio gerenciado pode levar até uma hora. Uma notificação é exibida no portal que mostra o progresso da implantação dos Serviços de Domínio. Selecione a notificação para ver o progresso detalhado da implantação.

    Notificação no centro de administração do Microsoft Entra sobre a implantação em andamento

  3. Selecione seu grupo de recursos, como myResourceGroup, e escolha seu domínio gerenciado na lista de recursos do Azure, como aaddscontoso.com. A guia Visão geral mostra que o domínio gerenciado está sendo implantado no momento. Não é possível configurar o domínio gerenciado até que ele seja totalmente provisionado.

    Status dos Serviços de Domínio durante a fase de provisionamento

  4. Quando o domínio gerenciado é totalmente provisionado, a guia Visão geral mostra o status do domínio como Em execução.

    Status dos Serviços de Domínio uma vez provisionado com êxito

Importante

O domínio gerenciado está associado ao tenant do Microsoft Entra. Durante o processo de provisionamento, os Serviços de Domínio criam dois Aplicativos Empresariais chamados Serviços do Controlador de Domínio e AzureActiveDirectoryDomainControllerServices no locatário do Microsoft Entra. Esses Aplicativos Empresariais são necessários para atender ao seu domínio gerenciado. Não exclua esses aplicativos.

Atualizar as configurações de DNS para a rede virtual do Azure

Com os Serviços de Domínio implantados com êxito, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS para sua rede virtual para apontar para os dois endereços IP em que o domínio gerenciado é implantado.

  1. A guia Visão geral do domínio gerenciado mostra algumas etapas de configuração necessárias. A primeira etapa de configuração é atualizar as configurações do servidor DNS para sua rede virtual. Depois que as configurações de DNS estiverem configuradas corretamente, essa etapa não será mais mostrada.

    Os endereços listados são os controladores de domínio para uso na rede virtual. Neste exemplo, esses endereços são 10.0.1.4 e 10.0.1.5. Posteriormente, você poderá encontrar esses endereços IP na guia Propriedades .

    Definir configurações de DNS para sua rede virtual com os endereços IP do Microsoft Entra Domain Services

  2. Para atualizar as configurações do servidor DNS para a rede virtual, selecione o botão Configurar. As configurações de DNS são configuradas automaticamente para sua rede virtual.

Dica

Se você selecionou uma rede virtual existente nas etapas anteriores, todas as VMs conectadas à rede só obterão as novas configurações de DNS após uma reinicialização. Você pode reiniciar VMs usando o Centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a CLI do Azure.

Habilitar contas de usuário para Os Serviços de Domínio

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NTLM (NT LAN Manager) e Kerberos. O ID do Microsoft Entra não gera ou armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio para seu locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Observação

Depois de configurados adequadamente, os hashes de senha utilizáveis são armazenados no domínio gerenciado. Se você excluir o domínio gerenciado, todos os hashes de senha armazenados nesse ponto também serão excluídos.

As informações de credencial sincronizadas no Microsoft Entra ID não poderão ser reutilizadas se você criar posteriormente um domínio gerenciado. Você deve reconfigurar a sincronização de hashes de senha para armazenar os hashes de senha novamente. VMs ou usuários que já ingressaram no domínio anteriormente não podem se autenticar imediatamente, pois a Microsoft Entra ID precisa gerar e armazenar os hashes de senha no novo domínio gerenciado.

Para obter mais informações, consulte o processo de sincronização de hash de senha para Serviços de Domínio e Microsoft Entra Connect.

As etapas para gerar e armazenar esses hashes de senha são diferentes para dois tipos de contas de usuário:

  • Contas de usuário somente na nuvem criadas na ID do Microsoft Entra.
  • Contas de usuário sincronizadas do diretório local usando o Microsoft Entra Connect.

Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Microsoft Entra usando o centro de administração do Microsoft Entra ou os cmdlets do Microsoft Graph PowerShell. Essas contas de usuário não são sincronizadas de um diretório local.

Neste tutorial, vamos trabalhar com uma conta de usuário básica somente na nuvem. Para obter mais informações sobre as etapas adicionais necessárias para usar o Microsoft Entra Connect, consulte Sincronizar hashes de senha para contas de usuários sincronizadas do seu AD local para seu domínio gerenciado.

Dica

Se o locatário do Microsoft Entra tiver uma combinação de usuários somente em nuvem e usuários do AD local, você precisará concluir os dois conjuntos de etapas.

Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem usar os Serviços de Domínio. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados na ID do Microsoft Entra. A conta não é sincronizada da ID do Microsoft Entra para os Serviços de Domínio até que a senha seja alterada. Expire as senhas para todos os usuários de nuvem no locatário que precisam usar os Serviços de Domínio, o que força uma alteração de senha na próxima entrada ou instrua os usuários de nuvem a alterar manualmente suas senhas. Para este tutorial, vamos alterar manualmente uma senha de usuário.

Antes que um usuário possa redefinir sua senha, o tenant do Microsoft Entra deve ser configurado para autoatendimento na redefinição de senha.

Para alterar a senha de um usuário somente na nuvem, o usuário deve concluir as seguintes etapas:

  1. Vá para a página do Painel de Acesso do Microsoft Entra Identidade em https://myapps.microsoft.com.

  2. No canto superior direito, selecione seu nome e escolha Perfil no menu suspenso.

    Selecionar perfil

  3. Na página Perfil , selecione Alterar senha.

  4. Na página Alterar senha , insira sua senha existente (antiga) e, em seguida, insira e confirme uma nova senha.

  5. Selecione Enviar.

Leva alguns minutos depois que você altera sua senha para que a nova senha seja utilizável nos Serviços de Domínio e para entrar com êxito em computadores ingressados no domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Definir configurações de rede virtual e DNS para um domínio gerenciado
  • Criar um domínio gerenciado
  • Adicionar usuários administrativos ao gerenciamento de domínio
  • Habilitar contas de usuário para os serviços de domínio e gerar hashes de senha

Para ver esse domínio gerenciado em ação, crie e ingresse uma máquina virtual no domínio.

Adicionar uma máquina virtual do Windows Server ao seu domínio gerenciado