O que é o Microsoft Entra Domain Services?

  • Artigo

O Microsoft Entra Domain Services proporciona serviços de domínio gerido, como associação a um domínio, política de grupo, protocolo LDAP (Lightweight Directory Access Protocol) e autenticação Kerberos/NTLM. Utiliza estes serviços de domínio sem necessidade de implementar, gerir e corrigir controladores de domínio (DCs) na cloud.

Um domínio gerenciado dos Serviços de Domínio permite executar aplicativos herdados na nuvem que não podem usar métodos de autenticação modernos ou onde você não deseja que as pesquisas de diretório sempre retornem a um ambiente AD DS local. Você pode elevar e mudar esses aplicativos herdados do seu ambiente local para um domínio gerenciado, sem precisar gerenciar o ambiente AD DS na nuvem.

Os Serviços de Domínio integram-se com o seu inquilino existente do Microsoft Entra. Essa integração permite que os usuários entrem em serviços e aplicativos conectados ao domínio gerenciado usando suas credenciais existentes. Você também pode usar grupos e contas de usuário existentes para proteger o acesso aos recursos. Esses recursos fornecem um levantamento e deslocamento mais suave de recursos locais para o Azure.

Para começar, crie um domínio gerenciado pelos Serviços de Domínio usando o centro de administração do Microsoft Entra

Veja o nosso pequeno vídeo para saber mais sobre os Serviços de Domínio.

Como funcionam os Serviços de Domínio?

Ao criar um domínio gerenciado pelos Serviços de Domínio, você define um namespace exclusivo. Esse namespace é o nome de domínio, como aaddscontoso.com. Dois controladores de domínio (DCs) do Windows Server são implantados na região do Azure selecionada. Essa implantação de DCs é conhecida como um conjunto de réplicas.

Não é necessário gerenciar, configurar ou atualizar esses DCs. A plataforma Azure lida com os DCs como parte do domínio gerenciado, incluindo backups e criptografia em repouso usando a Criptografia de Disco do Azure.

Um domínio gerenciado é configurado para executar uma sincronização unidirecional do Microsoft Entra ID para fornecer acesso a um conjunto central de usuários, grupos e credenciais. Você pode criar recursos diretamente no domínio gerenciado, mas eles não são sincronizados de volta para o Microsoft Entra ID. Aplicativos, serviços e VMs no Azure que se conectam ao domínio gerenciado podem usar recursos comuns do AD DS, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.

Em um ambiente híbrido com um ambiente AD DS local, o Microsoft Entra Connect sincroniza as informações de identidade com a ID do Microsoft Entra, que é sincronizada com o domínio gerenciado.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Os Serviços de Domínio replicam informações de identidade da ID do Microsoft Entra, por isso funcionam com locatários do Microsoft Entra que são somente na nuvem ou sincronizados com um ambiente AD DS local. O mesmo conjunto de recursos dos Serviços de Domínio existe para ambos os ambientes.

  • Se você tiver um ambiente AD DS local existente, poderá sincronizar as informações da conta de usuário para fornecer uma identidade consistente para os usuários. Para saber mais, consulte Como objetos e credenciais são sincronizados em um domínio gerenciado.
  • Para ambientes somente na nuvem, você não precisa de um ambiente AD DS local tradicional para usar os serviços de identidade centralizados dos Serviços de Domínio.

Você pode expandir um domínio gerenciado para ter mais de uma réplica definida por locatário do Microsoft Entra. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure que ofereça suporte aos Serviços de Domínio. Ao adicionar conjuntos de réplicas em diferentes regiões do Azure, você pode fornecer recuperação de desastres geográfica para aplicativos herdados se uma região do Azure ficar offline. Para obter mais informações, consulte Conceitos e recursos de conjuntos de réplicas para domínios gerenciados.

Dê uma olhada neste vídeo sobre como os Serviços de Domínio se integram aos seus aplicativos e cargas de trabalho para fornecer serviços de identidade na nuvem:


Para ver os cenários de implantação dos Serviços de Domínio em ação, você pode explorar os seguintes exemplos:

Recursos e benefícios dos Serviços de Domínio

Para fornecer serviços de identidade para aplicativos e VMs na nuvem, os Serviços de Domínio são totalmente compatíveis com um ambiente AD DS tradicional para operações como ingresso no domínio, LDAP seguro (LDAPS), Diretiva de Grupo, gerenciamento de DNS e suporte de ligação e leitura LDAP. O suporte à gravação LDAP está disponível para objetos criados no domínio gerenciado, mas não para recursos sincronizados a partir do ID do Microsoft Entra.

Para saber mais sobre suas opções de identidade, compare os Serviços de Domínio com o Microsoft Entra ID, AD DS em VMs do Azure e AD DS local.

Os seguintes recursos dos Serviços de Domínio simplificam as operações de implantação e gerenciamento:

  • Experiência de implantação simplificada: os Serviços de Domínio são habilitados para seu locatário do Microsoft Entra usando um único assistente no centro de administração do Microsoft Entra.
  • Integrado com o Microsoft Entra ID: Contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no seu locatário do Microsoft Entra. Novos usuários, grupos ou alterações em atributos do locatário do Microsoft Entra ou do ambiente do AD DS local são sincronizados automaticamente com os Serviços de Domínio.
    • As contas em diretórios externos vinculados à sua ID do Microsoft Entra não estão disponíveis nos Serviços de Domínio. As credenciais não estão disponíveis para esses diretórios externos, portanto, não podem ser sincronizadas em um domínio gerenciado.
  • Use suas credenciais/senhas corporativas: as senhas para usuários nos Serviços de Domínio são as mesmas do locatário do Microsoft Entra. Os usuários podem usar suas credenciais corporativas para ingressar em máquinas de domínio, entrar interativamente ou pela área de trabalho remota e autenticar no domínio gerenciado.
  • Autenticação NTLM e Kerberos: com suporte para autenticação NTLM e Kerberos, você pode implantar aplicativos que dependem da autenticação integrada ao Windows.
  • Alta disponibilidade: os Serviços de Domínio incluem vários controladores de domínio, que fornecem alta disponibilidade para seu domínio gerenciado. Essa alta disponibilidade garante o tempo de atividade do serviço e resiliência a falhas.
    • Em regiões que dão suporte a Zonas de Disponibilidade do Azure, esses controladores de domínio também são distribuídos entre zonas para resiliência adicional.
    • Os conjuntos de réplicas também podem ser usados para fornecer recuperação de desastres geográficos para aplicativos herdados se uma região do Azure ficar offline.

Alguns aspectos-chave de um domínio gerenciado incluem o seguinte:

  • O domínio gerenciado é um domínio autônomo. Não é uma extensão de um domínio local.
  • Sua equipe de TI não precisa gerenciar, corrigir ou monitorar controladores de domínio para esse domínio gerenciado.

Para ambientes híbridos que executam o AD DS local, não é necessário gerenciar a replicação do AD para o domínio gerenciado. Contas de usuário, associações de grupo e credenciais do diretório local são sincronizadas com a ID do Microsoft Entra por meio do Microsoft Entra Connect. Essas contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no domínio gerenciado.

Próximos passos

Para saber mais sobre a comparação dos Serviços de Domínio com outras soluções de identidade e como funciona a sincronização, consulte os seguintes artigos:

Para começar, crie um domínio gerenciado usando o centro de administração do Microsoft Entra.