Examine os Serviços de Domínio do Microsoft Entra
Atualmente, na maioria das organizações, os aplicativos de linha de negócios (LOB) são implantados em computadores e dispositivos que são membros do domínio. Essas organizações usam credenciais baseadas no AD DS para autenticação e a Diretiva de Grupo as gerencia. Quando você considera mover esses aplicativos para serem executados no Azure, uma questão importante é como fornecer serviços de autenticação para esses aplicativos. Para satisfazer essa necessidade, você pode optar por implementar uma VPN (rede virtual privada) site a site entre sua infraestrutura local e a IaaS do Azure ou pode implantar controladores de domínio de réplica do AD DS local como máquinas virtuais (VMs) no Azure. Estas abordagens podem implicar custos adicionais e esforços administrativos. Além disso, a diferença entre essas duas abordagens é que, com a primeira opção, o tráfego de autenticação atravessará a VPN, enquanto na segunda opção, o tráfego de replicação atravessará a VPN e o tráfego de autenticação permanecerá na nuvem.
A Microsoft fornece os Serviços de Domínio Microsoft Entra como uma alternativa a essas abordagens. Este serviço, que é executado como parte da camada P1 ou P2 do Microsoft Entra ID, fornece serviços de domínio, como gerenciamento de Diretiva de Grupo, ingresso no domínio e autenticação Kerberos para seu locatário do Microsoft Entra. Esses serviços são totalmente compatíveis com o AD DS implantado localmente, para que você possa usá-los sem implantar e gerenciar controladores de domínio adicionais na nuvem.
Como o Microsoft Entra ID pode se integrar ao AD DS local, quando você implementa o Microsoft Entra Connect, os usuários podem utilizar credenciais organizacionais no AD DS local e nos Serviços de Domínio Microsoft Entra. Mesmo que você não tenha o AD DS implantado localmente, poderá optar por usar os Serviços de Domínio do Microsoft Entra como um serviço somente na nuvem. Isso permite que você tenha funcionalidade semelhante ao AD DS implantado localmente sem precisar implantar um único controlador de domínio local ou na nuvem. Por exemplo, uma organização pode optar por criar um locatário do Microsoft Entra e habilitar os Serviços de Domínio do Microsoft Entra e, em seguida, implantar uma rede virtual entre seus recursos locais e o locatário do Microsoft Entra. Você pode habilitar os Serviços de Domínio do Microsoft Entra para essa rede virtual para que todos os usuários e serviços locais possam usar serviços de domínio da ID do Microsoft Entra.
Os Serviços de Domínio Microsoft Entra oferecem vários benefícios para as organizações, tais como:
- Os administradores não precisam gerenciar, atualizar e monitorar controladores de domínio.
- Os administradores não precisam implantar e gerenciar a replicação do Ative Directory.
- Não há necessidade de ter grupos de Administradores de Domínio ou Administradores de Empresa para domínios gerenciados pelo Microsoft Entra ID.
Se você optar por implementar os Serviços de Domínio Microsoft Entra, precisará estar ciente das limitações atuais do serviço. Estes são, entre outros:
- Somente o objeto Ative Directory do computador base é suportado.
- Não é possível estender o esquema para o domínio dos Serviços de Domínio Microsoft Entra.
- A estrutura da unidade organizacional (UO) é plana e as UOs aninhadas não são suportadas no momento.
- Há um GPO (Objeto de Diretiva de Grupo) interno e ele existe para contas de computador e de usuário.
- Não é possível direcionar UOs com GPOs internos. Além disso, não é possível usar filtros da Instrumentação de Gerenciamento do Windows ou filtragem de grupo de segurança.
Usando os Serviços de Domínio Microsoft Entra, você pode migrar livremente aplicativos que usam LDAP, NTLM ou os protocolos Kerberos de sua infraestrutura local para a nuvem. Você também pode usar aplicativos como o Microsoft SQL Server ou o Microsoft SharePoint Server em VMs ou implantá-los na IaaS do Azure, sem precisar de controladores de domínio na nuvem ou de uma VPN para a infraestrutura local.
Você pode habilitar os Serviços de Domínio do Microsoft Entra usando o portal do Azure. Este serviço cobra por hora com base no tamanho do seu diretório.