Tutorial: Criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra

  • Artigo

Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM que é totalmente compatível com o Ative Directory do Windows Server. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches em controladores de domínio. Os Serviços de Domínio integram-se com o seu inquilino existente do Microsoft Entra. Essa integração permite que os usuários entrem usando suas credenciais corporativas e você pode usar grupos e contas de usuário existentes para proteger o acesso aos recursos.

Você pode criar um domínio gerenciado usando opções de configuração padrão para rede e sincronização ou definir manualmente essas configurações. Este tutorial mostra como usar as opções padrão para criar e configurar um domínio gerenciado pelos Serviços de Domínio usando o centro de administração do Microsoft Entra.

Neste tutorial, irá aprender a:

  • Compreender os requisitos de DNS para um domínio gerenciado
  • Criar um domínio gerido
  • Ativar a sincronização do hash de palavras-passe

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Uma subscrição ativa do Azure.
  • Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos do Microsoft Entra em seu locatário para habilitar os Serviços de Domínio.
  • Você precisa da função Azure de Colaborador de Serviços de Domínio para criar os recursos de Serviços de Domínio necessários.
  • Uma rede virtual com servidores DNS que pode consultar a infraestrutura necessária, como armazenamento. Os servidores DNS que não conseguem realizar consultas gerais da Internet podem bloquear a capacidade de criar um domínio gerido.

Embora não seja necessário para os Serviços de Domínio, é recomendável configurar a redefinição de senha de autoatendimento (SSPR) para o locatário do Microsoft Entra. Os usuários podem alterar sua senha sem SSPR, mas SSPR ajuda se eles esquecerem sua senha e precisarem redefini-la.

Importante

Não é possível mover o domínio gerenciado para uma assinatura, grupo de recursos ou região diferente depois de criá-lo. Tome cuidado para selecionar a assinatura, o grupo de recursos e a região mais apropriados ao implantar o domínio gerenciado.

Inicie sessão no Centro de administração do Microsoft Entra.

Neste tutorial, você cria e configura o domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.

Criar um domínio gerido

Para iniciar o assistente para Habilitar Serviços de Domínio do Microsoft Entra, conclua as seguintes etapas:

  1. No menu do centro de administração do Microsoft Entra ou na página inicial , procure Serviços de Domínio e, em seguida, escolha Serviços de Domínio do Microsoft Entra.

  2. Na página Serviços de Domínio do Microsoft Entra, selecione Criar Serviços de Domínio do Microsoft Entra.

    Screenshot of how to create a managed domain.

  3. Selecione a Assinatura do Azure na qual você gostaria de criar o domínio gerenciado.

  4. Selecione o grupo de recursos ao qual o domínio gerenciado deve pertencer. Escolha Criar novo ou selecionar um grupo de recursos existente.

Ao criar um domínio gerenciado, você especifica um nome DNS. Há algumas considerações quando você escolhe esse nome DNS:

  • Nome de domínio interno: Por padrão, o nome de domínio interno do diretório é usado (um sufixo .onmicrosoft.com ). Se desejar habilitar o acesso LDAP seguro ao domínio gerenciado pela Internet, não será possível criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é proprietária do domínio .onmicrosoft.com , portanto, uma Autoridade de Certificação (CA) não emitirá um certificado.
  • Nomes de domínio personalizados: A abordagem mais comum é especificar um nome de domínio personalizado, normalmente um que você já possui e é roteável. Quando você usa um domínio roteável e personalizado, o tráfego pode fluir corretamente conforme necessário para dar suporte aos seus aplicativos.
  • Sufixos de domínio não roteáveis: geralmente recomendamos que você evite um sufixo de nome de domínio não roteável, como contoso.local. O sufixo .local não é roteável e pode causar problemas com a resolução de DNS.

Gorjeta

Se você criar um nome de domínio personalizado, tome cuidado com os namespaces DNS existentes. Embora seja suportado, talvez você queira usar um nome de domínio separado de qualquer namespace DNS existente do Azure ou local.

Por exemplo, se você tiver um espaço de nome DNS existente de contoso.com, crie um domínio gerenciado com o nome de domínio personalizado de dscontoso.com. Se você precisar usar LDAP seguro, deverá registrar e possuir esse nome de domínio personalizado para gerar os certificados necessários.

Talvez seja necessário criar alguns registros DNS adicionais para outros serviços em seu ambiente ou encaminhadores DNS condicionais entre espaços de nome DNS existentes em seu ambiente. Por exemplo, se você executar um servidor Web que hospeda um site usando o nome DNS raiz, pode haver conflitos de nomenclatura que exigem entradas DNS adicionais.

Nestes tutoriais e artigos de instruções, o domínio personalizado do dscontoso.com é usado como um pequeno exemplo. Em todos os comandos, especifique seu próprio nome de domínio.

As seguintes restrições de nome DNS também se aplicam:

  • Restrições de prefixo de domínio: não é possível criar um domínio gerenciado com um prefixo maior que 15 caracteres. O prefixo do nome de domínio especificado (como dscontoso no nome de domínio dscontoso.com ) deve conter 15 ou menos caracteres.
  • Conflitos de nome de rede: o nome de domínio DNS do seu domínio gerenciado ainda não deve existir na rede virtual. Especificamente, verifique os seguintes cenários que levariam a um conflito de nome:
    • Se você já tiver um domínio do Ative Directory com o mesmo nome de domínio DNS na rede virtual do Azure.
    • Se a rede virtual onde você planeja habilitar o domínio gerenciado tiver uma conexão VPN com sua rede local. Nesse cenário, verifique se você não tem um domínio com o mesmo nome de domínio DNS em sua rede local.
    • Se você tiver um serviço de nuvem do Azure existente com esse nome na rede virtual do Azure.

Preencha os campos na janela Noções básicas do centro de administração do Microsoft Entra para criar um domínio gerenciado:

  1. Insira um nome de domínio DNS para seu domínio gerenciado, levando em consideração os pontos anteriores.

  2. Escolha a Região do Azure na qual o domínio gerenciado deve ser criado. Se escolher uma região que dê suporte às Zonas de Disponibilidade do Azure, os recursos dos Serviços de Domínio serão distribuídos entre zonas para redundância adicional.

    Gorjeta

    As Zonas de Disponibilidade são localizações físicas exclusivas numa região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, refrigeração e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões ativadas.

    Não há nada para você configurar para que os Serviços de Domínio sejam distribuídos entre zonas. A plataforma Azure lida automaticamente com a distribuição de recursos por zona. Para obter mais informações e ver a disponibilidade da região, consulte O que são zonas de disponibilidade no Azure?.

  3. O SKU determina o desempenho e a frequência de backup. Você pode alterar a SKU após a criação do domínio gerenciado se as demandas ou requisitos da sua empresa mudarem. Para obter mais informações, consulte Conceitos de SKU dos Serviços de Domínio.

    Para este tutorial, selecione a SKU padrão . A janela Noções básicas deve ser semelhante a esta captura de tela:

    Screenshot of Basics configuration page for a managed domain.

Para criar rapidamente um domínio gerenciado, você pode selecionar Revisar + criar para aceitar opções de configuração padrão adicionais. Os seguintes padrões são configurados quando você escolhe essa opção de criação:

  • Cria uma rede virtual, chamada ds-vnet por padrão, que usa o intervalo de endereços IP 10.0.1.0 /24.
  • Cria uma sub-rede chamada ds-subnet usando o intervalo de endereços IP de 10.0.1.0/24.
  • Sincroniza todos os usuários do Microsoft Entra ID no domínio gerenciado.

Nota

Você não deve usar endereços IP públicos para redes virtuais e suas sub-redes devido aos seguintes problemas:

  • Escassez do endereço IP: Os endereços IP públicos IPv4 são limitados e a sua procura excede frequentemente a oferta disponível. Além disso, há IPs potencialmente sobrepostos com pontos de extremidade públicos.

  • Riscos de segurança: O uso de IPs públicos para redes virtuais expõe seus dispositivos diretamente à internet, aumentando o risco de acesso não autorizado e possíveis ataques. Sem medidas de segurança adequadas, os seus dispositivos podem ficar vulneráveis a várias ameaças.

  • Complexidade: Gerenciar uma rede virtual com IPs públicos pode ser mais complexo do que usar IPs privados, pois requer lidar com intervalos de IP externos e garantir a segmentação e a segurança adequadas da rede.

É altamente recomendável usar endereços IP privados. Se utilizar um IP público, certifique-se de que é o proprietário/utilizador dedicado dos IPs escolhidos no intervalo público que escolheu.

Selecione Rever + criar para aceitar estas opções de configuração predefinidas.

Implantar o domínio gerenciado

Na página Resumo do assistente, revise as definições de configuração para seu domínio gerenciado. Você pode voltar a qualquer etapa do assistente para fazer alterações. Para reimplantar um domínio gerenciado em um locatário diferente do Microsoft Entra de forma consistente usando essas opções de configuração, você também pode Baixar um modelo para automação.

  1. Para criar o domínio gerenciado, selecione Criar. É exibida uma observação de que determinadas opções de configuração, como nome DNS ou rede virtual, não podem ser alteradas depois que os Serviços de Domínio gerenciados forem criados. Para continuar, selecione OK.

    Screenshot of configuration options for managed domain.

  2. O processo de provisionamento do domínio gerenciado pode levar até uma hora. Uma notificação é exibida no portal que mostra o progresso da implantação dos Serviços de Domínio.

  3. Quando o domínio gerenciado é totalmente provisionado, a guia Visão geral mostra o status do domínio como Em execução. Expandir detalhes de implantação para links para recursos como a rede virtual e o grupo de recursos de rede.

    Screenshot of deployment details for a managed domain.

Importante

O domínio gerenciado está associado ao diretório do Microsoft Entra. Durante o processo de provisionamento, os Serviços de Domínio criam dois Aplicativos Empresariais chamados Serviços de Controlador de Domínio e AzureActiveDirectoryDomainControllerServices no diretório Microsoft Entra. Estas Aplicações Empresariais são necessárias para prestar assistência ao seu domínio gerido. Não exclua esses aplicativos.

Atualizar as definições de DNS para a Azure Virtual Network

Com os Serviços de Domínio implantados com êxito, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS da sua rede virtual para apontar para os dois endereços IP onde o domínio gerenciado está implantado.

  1. A guia Visão geral do seu domínio gerenciado mostra algumas etapas de configuração necessárias. A primeira etapa de configuração é atualizar as configurações do servidor DNS para sua rede virtual. Depois que as configurações de DNS estiverem configuradas corretamente, essa etapa não será mais exibida.

    Os endereços listados são os controladores de domínio para uso na rede virtual. Neste exemplo, esses endereços são 10.0.1.4 e 10.0.1.5. Mais tarde, você pode encontrar esses endereços IP na guia Propriedades .

    Screenshot of Overview page for a managed domain.

  2. Para atualizar as configurações do servidor DNS para a rede virtual, selecione o botão Configurar . As definições de DNS são configuradas automaticamente para a sua rede virtual.

Gorjeta

Se você selecionou uma rede virtual existente nas etapas anteriores, todas as VMs conectadas à rede só obterão as novas configurações de DNS após uma reinicialização. Você pode reiniciar VMs usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a CLI do Azure.

Habilitar contas de usuário para Serviços de Domínio

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NT LAN Manager (NTLM) e Kerberos. O Microsoft Entra ID não gera nem armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio para seu locatário. Por motivos de segurança, o Microsoft Entra ID também não armazena credenciais de senha em formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente esses hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Nota

Uma vez corretamente configurados, os hashes de palavra-passe utilizáveis são armazenados no domínio gerido. Se eliminar o domínio gerido, todos os hashes de palavras-passe armazenados nessa altura também serão eliminados.

As informações de credenciais sincronizadas no Microsoft Entra ID não podem ser reutilizadas se você criar posteriormente um domínio gerenciado - você deve reconfigurar a sincronização de hash de senha para armazenar os hashes de senha novamente. VMs ou usuários anteriormente ingressados no domínio não poderão se autenticar imediatamente - o ID do Microsoft Entra precisa gerar e armazenar os hashes de senha no novo domínio gerenciado.

A sincronização na nuvem do Microsoft Entra Connect não é suportada pelos Serviços de Domínio. Os usuários locais precisam ser sincronizados usando o Microsoft Entra Connect para poderem acessar VMs ingressadas no domínio. Para obter mais informações, consulte Processo de sincronização de hash de senha para Serviços de Domínio e Microsoft Entra Connect.

As etapas para gerar e armazenar esses hashes de senha são diferentes para contas de usuário somente na nuvem criadas no ID do Microsoft Entra versus contas de usuário sincronizadas do diretório local usando o Microsoft Entra Connect.

Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Microsoft Entra usando o centro de administração do Microsoft Entra ou o PowerShell. Essas contas de usuário não são sincronizadas a partir de um diretório local.

Neste tutorial, vamos trabalhar com uma conta de usuário básica somente na nuvem. Para obter mais informações sobre as etapas adicionais necessárias para usar o Microsoft Entra Connect, consulte Sincronizar hashes de senha para contas de usuário sincronizadas do AD local para o domínio gerenciado.

Gorjeta

Se o diretório do Microsoft Entra tiver uma combinação de usuários sincronizados e somente na nuvem, você precisará concluir ambos os conjuntos de etapas.

Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem usar os Serviços de Domínio. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados no Microsoft Entra ID. A conta não é sincronizada do ID do Microsoft Entra para os Serviços de Domínio até que a senha seja alterada. Expire as senhas de todos os usuários de nuvem no locatário que precisam usar os Serviços de Domínio, o que força uma alteração de senha no próximo login, ou instrua os usuários de nuvem a alterar manualmente suas senhas. Para este tutorial, vamos alterar manualmente uma senha de usuário.

Antes que um usuário possa redefinir sua senha, o locatário do Microsoft Entra deve ser configurado para redefinição de senha de autoatendimento.

Para alterar a senha de um usuário somente na nuvem, o usuário deve concluir as seguintes etapas:

  1. Vá para a página do Painel de Acesso do Microsoft Entra ID em https://myapps.microsoft.com.

  2. No canto superior direito, selecione seu nome e escolha Perfil no menu suspenso.

    Screenshot of how to select a profile.

  3. Na página Perfil, selecione Alterar senha.

  4. Na página Alterar palavra-passe, introduza a palavra-passe existente (antiga) e, em seguida, introduza e confirme uma nova palavra-passe.

  5. Selecione Submeter.

Demora alguns minutos depois de alterar a palavra-passe para que a nova palavra-passe possa ser utilizada nos Serviços de Domínio e inicie sessão com êxito nos computadores associados ao domínio gerido.

Próximos passos

Neste tutorial, ficou a saber como:

  • Compreender os requisitos de DNS para um domínio gerenciado
  • Criar um domínio gerido
  • Adicionar usuários administrativos ao gerenciamento de domínio
  • Habilitar contas de usuário para Serviços de Domínio e gerar hashes de senha

Antes de ingressar em VMs de domínio e implantar aplicativos que usam o domínio gerenciado, configure uma rede virtual do Azure para cargas de trabalho de aplicativos.

Configurar a rede virtual do Azure para cargas de trabalho de aplicativos para usar seu domínio gerenciado