Examinar o Microsoft Entra Domain Services
Na maioria das organizações atualmente, os aplicativos LOB ((linha de negócios) são implantados em computadores e dispositivos que são membros do domínio. Essas organizações usam credenciais baseadas no AD DS para autenticação. A Política de Grupo as gerencia. Quando você considera mover esses aplicativos para serem executados no Azure, um dos principais problemas é como fornecer serviços de autenticação para esses aplicativos. Para atender a essa necessidade, você pode optar por implementar uma VPN (rede virtual privada) site a site entre sua infraestrutura local e a IaaS do Azure ou implantar controladores de domínio de réplica do AD DS local como VMs (máquinas virtuais) no Azure. Essas abordagens podem envolver mais custos e esforço administrativo. Além disso, a diferença entre essas duas abordagens é que, com a primeira opção, o tráfego de autenticação cruzará a VPN, enquanto na segunda opção, o tráfego de replicação cruzará a VPN e o tráfego de autenticação permanecerá na nuvem.
A Microsoft fornece o Microsoft Entra ID Domain Services como alternativa a essas abordagens. Esse serviço, que é executado como parte da camada P1 ou P2 do Microsoft Entra ID, fornece serviços de domínio, como gerenciamento de Política de Grupo, ingresso no domínio e autenticação Kerberos para seu locatário do Microsoft Entra. Esses serviços são totalmente compatíveis com o AD DS implantado localmente, portanto, você pode usá-los sem implantar e gerenciar controladores de domínio adicionais na nuvem.
Como o Microsoft Entra ID pode se integrar ao AD DS local, quando você implementa o Microsoft Entra Connect, os usuários podem utilizar credenciais organizacionais no AD DS local e no Microsoft Entra Domain Services. Mesmo que você não tenha o AD DS implantado localmente, poderá optar por usar o Microsoft Entra Domain Services como um serviço somente em nuvem. Isso permite que você tenha uma funcionalidade semelhante ao AD DS implantada localmente sem precisar implantar nenhum controlador de domínio local ou na nuvem. Por exemplo, uma organização pode optar por criar um locatário do Microsoft Entra e habilitar o Microsoft Entra Domain Services e, em seguida, implantar uma rede virtual entre seus recursos locais e o locatário do Microsoft Entra. Você pode habilitar o Microsoft Entra Domain Services para essa rede virtual para que todos os usuários e serviços locais possam usar os serviços de domínio do Microsoft Entra ID.
O Microsoft Entra Domain Services fornece vários benefícios para as organizações, como:
- Os administradores não precisam gerenciar, atualizar e monitorar controladores de domínio.
- Os administradores não precisam implantar e gerenciar a replicação do Active Directory.
- Não é necessário ter administradores de domínio ou grupos de administradores de empresa para domínios que o Microsoft Entra ID gerencia.
Se optar por implementar Microsoft Entra Domain Services, você precisará estar ciente das limitações atuais do serviço. Estão incluídos:
- Há suporte apenas para o objeto do Active Directory do computador de base.
- É possível estender o esquema para o domínio do Microsoft Entra Domain Services.
- A estrutura da UO (unidade organizacional) é simples e não há suporte para UOs aninhadas no momento.
- Há um GPO (objeto Política de Grupo) interno e ele existe para contas de computador e usuário.
- Não é possível direcionar UOs com GPOs internos. Além disso, você não pode usar filtros de Instrumentação de Gerenciamento do Windows, nem filtragem de grupo de segurança.
Usando o Microsoft Entra Domain Services, você pode migrar livremente aplicativos que usam LDAP, NTLM ou os protocolos Kerberos de sua infraestrutura local para a nuvem. Você também pode usar aplicativos como o Microsoft SQL Server ou o Microsoft SharePoint Server em VMs ou implantá-los no IaaS do Azure, sem a necessidade de controladores de domínio na nuvem ou uma VPN para a infraestrutura local.
Você pode habilitar o Microsoft Entra Domain Services usando o portal do Azure. Esse serviço cobra por hora com base no tamanho do diretório.