Compartilhar via

O que é Microsoft Entra Domain Services?

O Microsoft Entra Domain Services fornece serviços de domínio gerenciado, como ingresso no domínio, política de grupo, protocolo LDAP e autenticação Kerberos/NTLM. Você pode usar esses serviços de domínio sem a necessidade de implantar, gerenciar e aplicar um patch em DCs (controladores de domínio) na nuvem.

Um domínio gerenciado dos Serviços de Domínio permite executar aplicativos herdados na nuvem que não podem usar métodos de autenticação modernos ou em que você não deseja que as pesquisas de diretório sempre voltem para um ambiente do AD DS local. Você pode realizar lift-and-shift desses aplicativos herdados do seu ambiente local para um domínio gerenciado, sem a necessidade de gerenciar o ambiente de AD DS na nuvem.

O Domain Services se integra ao locatário do Microsoft Entra existente. Essa integração permite que os usuários entrem em serviços e aplicativos conectados ao domínio gerenciado usando suas credenciais existentes. Você também pode usar grupos e contas de usuário para proteger o acesso aos recursos. Esses recursos facilitam a migração lift-and-shift de recursos locais para o Azure.

Para começar, crie um domínio gerenciado do Domain Services usando o Centro de administração do Microsoft Entra

Dê uma olhada em nosso breve vídeo para saber mais sobre os Serviços de Domínio.

Como funciona o Domain Services?

Ao criar um domínio gerenciado dos Serviços de Domínio, você define um namespace exclusivo. Esse namespace é o nome de domínio, como aaddscontoso.com. Dois DCs (controladores de domínio) do Windows Server são implantados em sua região do Azure selecionada. Essa implantação dos DCs é conhecida como conjunto de réplicas.

Você não precisa gerenciar, configurar nem atualizar esses DCs. A plataforma do Azure manipula os DCs como parte do domínio gerenciado, incluindo backups e a criptografia em repouso usando o Azure Disk Encryption.

Um domínio gerenciado é configurado para executar uma sincronização unidirecional da ID do Microsoft Entra para fornecer acesso a um conjunto central de usuários, grupos e credenciais. É possível criar recursos diretamente no domínio gerenciado, mas eles não são sincronizados com o Microsoft Entra ID. Aplicativos, serviços e VMs no Azure que se conectam ao domínio gerenciado podem usar recursos comuns do AD DS, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.

Em um ambiente híbrido com um ambiente do AD DS local, o Microsoft Entra Connect sincroniza informações de identidade com a ID do Microsoft Entra, que é sincronizada com o domínio gerenciado.

Sincronização no Microsoft Entra Domain Services com o Microsoft Entra ID e o AD DS local usando o AD Connect

O Domain Services replica as informações de identidade do Microsoft Entra ID, portanto, funciona com locatários do Microsoft Entra que estão apenas na nuvem ou sincronizados com um ambiente local do AD DS. O mesmo conjunto de recursos do Domain Services existe para ambos os ambientes.

  • Se você tiver um ambiente do AD DS local existente, poderá sincronizar as informações da conta de usuário para fornecer uma identidade consistente para os usuários. Para saber mais, confira como objetos e credenciais são sincronizados em um domínio gerenciado.
  • Para ambientes somente de nuvem, você não precisa de um ambiente AD DS local tradicional para usar os serviços de identidade centralizados dos Serviços de Domínio.

Você pode expandir um domínio gerenciado para ter mais de um conjunto de réplicas por locatário do Microsoft Entra. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure com suporte ao Domain Services. Ao adicionar conjuntos de réplicas em diferentes regiões do Azure, você poderá fornecer recuperação geográfica de desastre para aplicativos herdados se uma região do Azure ficar offline. Para obter mais informações, consulte Conceitos e recursos de conjuntos de réplicas para domínios gerenciados.

Dê uma olhada neste vídeo sobre como os Serviços de Domínio se integram aos seus aplicativos e cargas de trabalho para fornecer serviços de identidade na nuvem:


Para ver os cenários de implantação do Domain Services em ação, você pode explorar os seguintes exemplos:

Recursos e benefícios dos Serviços de Domínio

Para fornecer serviços de identidade para aplicativos e VMs na nuvem, os Serviços de Domínio são totalmente compatíveis com um ambiente tradicional do AD DS para operações como ingresso no domínio, LDAPS (LDAP seguro), Política de Grupo, gerenciamento de DNS e suporte de associação e leitura LDAP. O suporte para gravação LDAP está disponível para objetos criados no domínio gerenciado, mas não para recursos sincronizados do Microsoft Entra ID.

Para saber mais sobre suas opções de identidade, compare os Serviços de Domínio com a ID do Microsoft Entra, o AD DS em VMs do Azure e o AD DS local.

Os seguintes recursos dos Serviços de Domínio simplificam as operações de implantação e gerenciamento:

  • Experiência de implantação simplificada: Os Serviços de Domínio estão habilitados para seu locatário do Microsoft Entra usando um único assistente no Centro de administração do Microsoft Entra.
  • Integrado com Microsoft Entra ID: Contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no locatário Microsoft Entra. Novos usuários, grupos ou alterações em atributos do locatário do Microsoft Entra ou do ambiente do AD DS local são sincronizados automaticamente com os Serviços de Domínio.
    • Contas em diretórios externos vinculados à ID do Microsoft Entra não estão disponíveis nos Serviços de Domínio. As credenciais não estão disponíveis para esses diretórios externos, portanto, não podem ser sincronizadas em um domínio gerenciado.
  • Use suas senhas/credenciais corporativas: as senhas de usuários nos Serviços de Domínio são iguais às de seu locatário do Microsoft Entra. Os usuários podem usar suas credenciais corporativas para integrar-se a computadores de domínio, entrar de forma interativa ou através de área de trabalho remota, e autenticar-se no domínio gerenciado.
  • Autenticação NTLM e Kerberos: Com suporte para autenticação NTLM e Kerberos, você pode implantar aplicativos que dependem da autenticação integrada do Windows.
  • Alta disponibilidade: Os Serviços de Domínio incluem vários controladores de domínio, que fornecem alta disponibilidade para seu domínio gerenciado. Essa alta disponibilidade garante o tempo de atividade e a resiliência a falhas.
    • Em regiões que dão suporte a Zonas de Disponibilidade do Azure, esses controladores de domínio também são distribuídos entre zonas para resiliência adicional.
    • Conjuntos de réplicas também podem ser usados para fornecer recuperação de desastre geográfico para aplicativos herdados se uma região do Azure ficar offline.

Alguns dos principais aspectos de um domínio gerenciado incluem o seguinte:

  • O domínio gerenciado é um domínio autônomo. Não é uma extensão de um domínio local.
  • Sua equipe de TI não precisa gerenciar, corrigir ou monitorar controladores de domínio para esse domínio gerenciado.

Para ambientes híbridos que executam o AD DS localmente, você não precisa gerenciar a replicação do AD para o domínio gerenciado. Contas de usuário, associações de grupo e credenciais do diretório local são sincronizadas com a ID do Microsoft Entra por meio do Microsoft Entra Connect. Essas contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no domínio gerenciado.

Próximas etapas

Para saber mais sobre como os Serviços de Domínio se comparam com outras soluções de identidade e como funciona a sincronização, confira os seguintes artigos:

Para começar, crie um domínio gerenciado usando o Centro de administração do Microsoft Entra.

  • Last updated on