Como objetos e credenciais são sincronizados em um domínio gerenciado dos Serviços de Domínio Microsoft Entra
É possível criar objetos e credenciais num domínio gerido do Microsoft Entra Domain Services localmente dentro do domínio ou sincronizados a partir de um inquilino do Microsoft Entra. Quando você implanta os Serviços de Domínio pela primeira vez, uma sincronização unidirecional automática é configurada e iniciada para replicar os objetos do Microsoft Entra ID. Essa sincronização unidirecional continua a ser executada em segundo plano para manter o domínio gerenciado dos Serviços de Domínio atualizado com quaisquer alterações do ID do Microsoft Entra. Nenhuma sincronização ocorre dos Serviços de Domínio de volta para o ID do Microsoft Entra.
Em um ambiente híbrido, objetos e credenciais de um domínio AD DS local podem ser sincronizados com a ID do Microsoft Entra usando o Microsoft Entra Connect. Depois que esses objetos são sincronizados com êxito com o Microsoft Entra ID, a sincronização automática em segundo plano disponibiliza esses objetos e credenciais para aplicativos que usam o domínio gerenciado.
O diagrama a seguir ilustra como a sincronização funciona entre os Serviços de Domínio, a ID do Microsoft Entra e um ambiente AD DS local opcional:
Sincronização do ID do Microsoft Entra com os Serviços de Domínio
Contas de usuário, associações de grupo e hashes de credenciais são sincronizados de uma forma do ID do Microsoft Entra para os Serviços de Domínio. Este processo de sincronização é automático. Não é necessário configurar, monitorar ou gerenciar esse processo de sincronização. A sincronização inicial pode levar de algumas horas a alguns dias, dependendo do número de objetos no diretório Microsoft Entra. Após a conclusão da sincronização inicial, as alterações feitas no ID do Microsoft Entra, como alterações de senha ou atributo, são sincronizadas automaticamente com os Serviços de Domínio.
Quando um usuário é criado no Microsoft Entra ID, ele não é sincronizado com os Serviços de Domínio até que altere sua senha no Microsoft Entra ID. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados no Microsoft Entra ID. Os hashes de senha são necessários para autenticar com êxito um usuário nos Serviços de Domínio.
O processo de sincronização é unidirecional por design. Não há sincronização reversa de alterações dos Serviços de Domínio de volta para o ID do Microsoft Entra. Um domínio gerenciado é em grande parte somente leitura, exceto para UOs personalizadas que você pode criar. Não é possível fazer alterações em atributos de usuário, senhas de usuário ou associações de grupo em um domínio gerenciado.
Sincronização com escopo e filtro de grupo
Você pode definir o escopo da sincronização apenas para contas de usuário originadas na nuvem. Dentro desse escopo de sincronização, você pode filtrar grupos ou usuários específicos. Você pode escolher entre grupos somente na nuvem, grupos locais ou ambos. Para obter mais informações sobre como configurar a sincronização com escopo, consulte Configurar a sincronização com escopo.
Sincronização e mapeamento de atributos para Serviços de Domínio
A tabela a seguir lista alguns atributos comuns e como eles são sincronizados com os Serviços de Domínio.
| Atributo nos Serviços de Domínio | Source | Notas |
|---|---|---|
| UPN | Atributo UPN do usuário no locatário do Microsoft Entra | O atributo UPN do locatário do Microsoft Entra é sincronizado como está com os Serviços de Domínio. A maneira mais confiável de entrar em um domínio gerenciado é usando o UPN. |
| SAMAccountName | Atributo mailNickname do usuário no locatário do Microsoft Entra ou gerado automaticamente | O atributo SAMAccountName é originário do atributo mailNickname no locatário do Microsoft Entra. Se várias contas de usuário tiverem o mesmo atributo mailNickname , o SAMAccountName será gerado automaticamente. Se o prefixo mailNickname ou UPN do usuário tiver mais de 20 caracteres, o SAMAccountName será gerado automaticamente para atender ao limite de 20 caracteres nos atributos SAMAccountName. |
| Palavras-chave | Senha do usuário do locatário do Microsoft Entra | Os hashes de senha herdados necessários para autenticação NTLM ou Kerberos são sincronizados a partir do locatário do Microsoft Entra. Se o locatário do Microsoft Entra estiver configurado para sincronização híbrida usando o Microsoft Entra Connect, esses hashes de senha serão originados do ambiente AD DS local. |
| SID de usuário/grupo principal | Gerado automaticamente | O SID principal para contas de usuário/grupo é gerado automaticamente nos Serviços de Domínio. Esse atributo não corresponde ao SID de usuário/grupo principal do objeto em um ambiente AD DS local. Essa incompatibilidade ocorre porque o domínio gerenciado tem um namespace SID diferente do domínio AD DS local. |
| Histórico do SID para usuários e grupos | SID de grupo e usuário primário local | O atributo SidHistory para usuários e grupos nos Serviços de Domínio é definido para corresponder ao SID de usuário ou grupo primário correspondente em um ambiente AD DS local. Esse recurso ajuda a facilitar a elevação e a transferência de aplicativos locais para os Serviços de Domínio, pois você não precisa reativar os recursos da ACL. |
Gorjeta
Entrar no domínio gerenciado usando o formato UPN O atributo SAMAccountName , como AADDSCONTOSO\driley, pode ser gerado automaticamente para algumas contas de usuário em um domínio gerenciado. O SAMAccountName gerado automaticamente pelos usuários pode diferir do prefixo UPN, portanto, nem sempre é uma maneira confiável de entrar.
Por exemplo, se vários usuários tiverem o mesmo atributo mailNickname ou se os usuários tiverem prefixos UPN excessivamente longos, o SAMAccountName para esses usuários poderá ser gerado automaticamente. Utilize o formato UPN, como driley@aaddscontoso.com, para iniciar sessão num domínio gerido de forma fiável.
Mapeamento de atributos para contas de usuário
A tabela a seguir ilustra como atributos específicos para objetos de usuário no Microsoft Entra ID são sincronizados com atributos correspondentes nos Serviços de Domínio.
| Atributo de usuário no Microsoft Entra ID | Atributo de usuário nos Serviços de Domínio |
|---|---|
| accountEnabled | userAccountControl (define ou limpa o bit ACCOUNT_DISABLED) |
| cidade | l |
| Nome da empresa | Nome da empresa |
| país/região | co |
| departamento | departamento |
| displayName | displayName |
| Identificação do empregado | Identificação do empregado |
| fac-símileTelefoneNúmero | fac-símileTelefoneNúmero |
| givenName | givenName |
| jobTitle | título |
| correio | correio |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (às vezes pode ser gerado automaticamente) |
| gestor | gestor |
| telemóvel | telemóvel |
| Objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | sidHistória |
| passwordPolicies | userAccountControl (define ou limpa o bit DONT_EXPIRE_PASSWORD) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Mapeamento de atributos para grupos
A tabela a seguir ilustra como atributos específicos para objetos de grupo no Microsoft Entra ID são sincronizados com atributos correspondentes nos Serviços de Domínio.
| Atributo de grupo no Microsoft Entra ID | Atributo de grupo nos Serviços de Domínio |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (às vezes pode ser gerado automaticamente) |
| correio | correio |
| mailNickname | msDS-AzureADMailNickname |
| Objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | sidHistória |
| proxyAddresses | proxyAddresses |
| securityAtivado | tipodeGrupo |
Sincronização do AD DS local com o ID do Microsoft Entra e os Serviços de Domínio
O Microsoft Entra Connect é usado para sincronizar contas de usuário, associações de grupo e hashes de credenciais de um ambiente AD DS local para a ID do Microsoft Entra. Os atributos das contas de usuário, como o UPN e o identificador de segurança local (SID), são sincronizados. Para entrar usando os Serviços de Domínio, os hashes de senha herdados necessários para autenticação NTLM e Kerberos também são sincronizados com a ID do Microsoft Entra.
Importante
O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes AD DS locais. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado para sincronizar objetos de volta ao Microsoft Entra ID.
Se você configurar o write-back, as alterações da ID do Microsoft Entra serão sincronizadas de volta para o ambiente do AD DS local. Por exemplo, se um usuário alterar sua senha usando o gerenciamento de senhas de autoatendimento do Microsoft Entra, a senha será atualizada novamente no ambiente AD DS local.
Nota
Use sempre a versão mais recente do Microsoft Entra Connect para garantir que você tenha correções para todos os bugs conhecidos.
Sincronização de um ambiente local com várias florestas
Muitas organizações têm um ambiente AD DS local bastante complexo que inclui várias florestas. O Microsoft Entra Connect oferece suporte à sincronização de usuários, grupos e hashes de credenciais de ambientes de várias florestas para o Microsoft Entra ID.
O Microsoft Entra ID tem um namespace muito mais simples e simples. Para permitir que os usuários acessem de forma confiável aplicativos protegidos pelo ID do Microsoft Entra, resolva conflitos UPN entre contas de usuário em florestas diferentes. Os domínios gerenciados usam uma estrutura de UO plana, semelhante ao Microsoft Entra ID. Todas as contas de usuário e grupos são armazenados no contêiner Usuários AADDC, apesar de serem sincronizados de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica local. O domínio gerenciado nivela qualquer estrutura hierárquica de UO.
Conforme detalhado anteriormente, não há sincronização dos Serviços de Domínio de volta para o ID do Microsoft Entra. Você pode criar uma Unidade Organizacional (UO) personalizada nos Serviços de Domínio e, em seguida, usuários, grupos ou contas de serviço dentro dessas UOs personalizadas. Nenhum dos objetos criados em UOs personalizadas são sincronizados de volta para o Microsoft Entra ID. Esses objetos estão disponíveis apenas no domínio gerenciado e não são visíveis usando cmdlets do Microsoft Graph PowerShell, API do Microsoft Graph ou usando o centro de administração do Microsoft Entra.
O que não está sincronizado com os Serviços de Domínio
Os seguintes objetos ou atributos não são sincronizados de um ambiente AD DS local para o Microsoft Entra ID ou Serviços de Domínio:
- Atributos excluídos: você pode optar por excluir determinados atributos da sincronização com a ID do Microsoft Entra de um ambiente AD DS local usando o Microsoft Entra Connect. Esses atributos excluídos não estão disponíveis nos Serviços de Domínio.
- Diretivas de Grupo: as Políticas de Grupo configuradas em um ambiente AD DS local não são sincronizadas com os Serviços de Domínio.
- Pasta Sysvol: O conteúdo da pasta Sysvol em um ambiente AD DS local não é sincronizado com os Serviços de Domínio.
- Objetos de computador: os objetos de computador para computadores associados a um ambiente AD DS local não são sincronizados com os Serviços de Domínio. Esses computadores não têm uma relação de confiança com o domínio gerenciado e pertencem apenas ao ambiente AD DS local. Nos Serviços de Domínio, são mostrados apenas objetos de computador para computadores que ingressaram explicitamente no domínio gerenciado.
- Atributos SidHistory para usuários e grupos: Os SIDs de usuário primário e grupo primário de um ambiente AD DS local são sincronizados com os Serviços de Domínio. No entanto, os atributos SidHistory existentes para usuários e grupos não são sincronizados do ambiente AD DS local para os Serviços de Domínio.
- Estruturas de Unidades Organizacionais (UO): as Unidades Organizacionais definidas em um ambiente AD DS local não são sincronizadas com os Serviços de Domínio. Há duas UOs internas nos Serviços de Domínio - uma para usuários e outra para computadores. O domínio gerenciado tem uma estrutura de UO plana. Você pode optar por criar uma UO personalizada em seu domínio gerenciado.
Sincronização do hash de palavras-passe e considerações de segurança
Quando você habilita os Serviços de Domínio, hashes de senha herdados para autenticação NTLM e Kerberos são necessários. O Microsoft Entra ID não armazena senhas de texto não criptografado, portanto, esses hashes não podem ser gerados automaticamente para contas de usuário existentes. Os hashes de senha compatíveis com NTLM e Kerberos são sempre armazenados de forma criptografada no Microsoft Entra ID.
As chaves de criptografia são exclusivas para cada locatário do Microsoft Entra. Esses hashes são criptografados de tal forma que apenas os Serviços de Domínio têm acesso às chaves de descriptografia. Nenhum outro serviço ou componente no Microsoft Entra ID tem acesso às chaves de desencriptação.
Os hashes de senha herdados são sincronizados do ID do Microsoft Entra nos controladores de domínio de um domínio gerenciado. Os discos desses controladores de domínio gerenciados nos Serviços de Domínio são criptografados em repouso. Estes hashes de palavras-passe são armazenados e protegidos nestes controladores de domínio de forma semelhante a como as palavras-passe são armazenadas e protegidas num ambiente do AD DS no local.
Para ambientes Microsoft Entra somente na nuvem, os usuários devem redefinir/alterar sua senha para que os hashes de senha necessários sejam gerados e armazenados no Microsoft Entra ID. Para qualquer conta de usuário de nuvem criada no Microsoft Entra ID depois de habilitar os Serviços de Domínio Microsoft Entra, os hashes de senha são gerados e armazenados nos formatos compatíveis com NTLM e Kerberos. Todas as contas de utilizador na nuvem têm de alterar a palavra-passe antes de serem sincronizadas com os Serviços de Domínio.
Para contas de usuário híbridas sincronizadas do ambiente AD DS local usando o Microsoft Entra Connect, você deve configurar o Microsoft Entra Connect para sincronizar hashes de senha nos formatos compatíveis com NTLM e Kerberos.
Próximos passos
Para obter mais informações sobre as especificidades da sincronização de senha, consulte Como a sincronização de hash de senha funciona com o Microsoft Entra Connect.
Para começar a usar os Serviços de Domínio, crie um domínio gerenciado.