Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Objetos e credenciais em um domínio gerenciado do Microsoft Entra Domain Services podem ser criados localmente dentro do domínio ou sincronizados de um locatário do Microsoft Entra. Quando você implanta pela primeira vez os Serviços de Domínio, uma sincronização unidirecional automática é configurada e iniciada para replicar os objetos da ID do Microsoft Entra. Essa sincronização unidirecional continua a ser executada em segundo plano para manter o domínio gerenciado do Domain Services atualizado com quaisquer alterações do Microsoft Entra ID. Nenhuma sincronização ocorre dos Serviços de Domínio de volta ao Microsoft Entra ID.
Em um ambiente híbrido, objetos e credenciais de um domínio do AD DS local podem ser sincronizados com a ID do Microsoft Entra usando o Microsoft Entra Connect. Depois que esses objetos são sincronizados com êxito com a ID do Microsoft Entra, a sincronização automática em segundo plano disponibiliza esses objetos e credenciais para aplicativos usando o domínio gerenciado.
O diagrama a seguir ilustra como a sincronização funciona entre os Serviços de Domínio, a ID do Microsoft Entra e um ambiente opcional do AD DS local:
Sincronização do ID do Microsoft Entra com os Serviços de Domínio
Contas de usuário, associações de grupo e hashes de credenciais são sincronizadas unidirecionalmente do Microsoft Entra ID para o Domain Services. Esse processo de sincronização é automático. Você não precisa configurar, monitorar ou gerenciar esse processo de sincronização. A sincronização inicial pode levar algumas horas a alguns dias, dependendo do número de objetos no diretório do Microsoft Entra. Após a conclusão da sincronização inicial, as alterações feitas na ID do Microsoft Entra, como alterações de senha ou atributo, são sincronizadas automaticamente com os Serviços de Domínio.
Quando um usuário é criado na ID do Microsoft Entra, ele não é sincronizado com os Serviços de Domínio até alterar a senha na ID do Microsoft Entra. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados na ID do Microsoft Entra. Os hashes de senha são necessários para autenticar com êxito um usuário no Domain Services.
O processo de sincronização é unidirecional por design. Não há sincronização inversa de alterações dos Serviços de Domínio de volta para o Microsoft Entra ID. Um domínio gerenciado é basicamente somente leitura, exceto qualquer OUs personalizadas que você possa criar. Você não pode fazer alterações em atributos de usuário, senhas de usuário ou associações de grupo em um domínio gerenciado.
Sincronização limitada e filtro por grupo
Você pode definir o escopo da sincronização apenas para contas de usuário originadas na nuvem. Dentro desse escopo de sincronização, você pode filtrar para grupos ou usuários específicos. Você pode escolher entre grupos somente de nuvem, grupos locais ou ambos. Para obter mais informações sobre como configurar a sincronização com escopo, consulte Configurar a sincronização com escopo.
Sincronização e mapeamento de atributos para os Serviços de Domínio
A tabela a seguir lista alguns atributos comuns e como eles são sincronizados com os Serviços de Domínio.
| Atributo nos Serviços de Domínio | Fonte | Anotações |
|---|---|---|
| UPN | Atributo UPN do usuário no locatário do Microsoft Entra | O atributo UPN do locatário do Microsoft Entra é sincronizado no estado em que se encontra para o Domain Services. A maneira mais confiável de entrar em um domínio gerenciado é usando o UPN. |
| SAMAccountName | O atributo mailNickname do usuário no locatário do Microsoft Entra ou gerado automaticamente | O atributo SAMAccountName é originado do atributo mailNickname no locatário do Microsoft Entra. Se várias contas de usuário tiverem o mesmo atributo mailNickname , o SAMAccountName será gerado automaticamente. Se o prefixo mailNickname ou UPN do usuário for maior que 20 caracteres, o SAMAccountName será gerado automaticamente para atender ao limite de 20 caracteres nos atributos SAMAccountName . |
| Senhas | Senha de usuário do locatário do Microsoft Entra | Os hashes de senha herdados exigidos para a autenticação NTLM ou Kerberos são sincronizados do locatário do Microsoft Entra. Se o locatário do Microsoft Entra estiver configurado para sincronização híbrida usando o Microsoft Entra Connect, esses hashes de senha serão originados do ambiente do AD DS local. |
| SID de usuário/grupo primário | Gerado automaticamente | O SID primário para contas de usuário/grupo é gerado automaticamente nos Serviços de Domínio. Esse atributo não corresponde ao SID de usuário/grupo primário do objeto em um ambiente do AD DS local. Essa incompatibilidade ocorre porque o domínio gerenciado tem um namespace sid diferente do domínio do AD DS local. |
| Histórico de SID para usuários e grupos | SID de usuário e grupo primário local | O atributo SidHistory para usuários e grupos nos Serviços de Domínio é definido para corresponder ao SID de usuário primário ou grupo correspondente em um ambiente do AD DS local. Esse recurso ajuda a facilitar o lift-and-shift de aplicativos no local para o Domain Services, já que você não precisa reaplicar a ACL nos recursos. |
Dica
Entrar no domínio gerenciado usando o formato UPN O atributo SAMAccountName , como AADDSCONTOSO\driley, pode ser gerado automaticamente para algumas contas de usuário em um domínio gerenciado. O SAMAccountName gerado automaticamente pelos usuários pode ser diferente do prefixo UPN, portanto, nem sempre é uma maneira confiável de entrar.
Por exemplo, se vários usuários tiverem o mesmo atributo mailNickname ou os usuários tiverem prefixos UPN excessivamente longos, o SAMAccountName para esses usuários poderá ser gerado automaticamente. Use o formato UPN, como driley@aaddscontoso.com, para se conectar de maneira confiável a um domínio gerenciado.
Mapeamento de atributo para contas de usuário
A tabela a seguir ilustra como atributos específicos para objetos de usuário na ID do Microsoft Entra são sincronizados com atributos correspondentes nos Serviços de Domínio.
| Atributo de usuário na ID do Microsoft Entra | Atributo de usuário nos Serviços de Domínio |
|---|---|
| accountEnabled | userAccountControl (define ou limpa o bit de ACCOUNT_DISABLED) |
| cidade | l |
| companyName | companyName |
| país | co |
| departamento | departamento |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | título |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (às vezes pode ser gerado automaticamente) |
| gerente | gerente |
| móvel | móvel |
| objectid | msDS-aadObjectId |
| Identificador de Segurança onPremise | Histórico de SID |
| políticas de senha | userAccountControl (define ou limpa o bit DONT_EXPIRE_PASSWORD) |
| nomeDoEscritórioDeEntregaFísica | nomeDoEscritórioDeEntregaFísica |
| código postal | código postal |
| idiomaPreferido | idiomaPreferido |
| endereços de proxy | endereços de proxy |
| estado | st |
| streetAddress | streetAddress |
| sobrenome | sn |
| número de telefone | número de telefone |
| Nome Principal do Usuário | Nome Principal do Usuário |
Mapeamento de atributos para grupos
A tabela a seguir ilustra como atributos específicos para objetos de grupo na ID do Microsoft Entra são sincronizados com atributos correspondentes nos Serviços de Domínio.
| Atributo de grupo na ID do Microsoft Entra | Atributo de grupo nos Serviços de Domínio |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (às vezes pode ser gerado automaticamente) |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| Identificador de Segurança onPremise | Histórico de SID |
| endereços de proxy | endereços de proxy |
| Segurança Ativada | tipoDeGrupo |
Sincronização do AD DS local para o Microsoft Entra ID e o Domain Services
O Microsoft Entra Connect é usado para sincronizar contas de usuário, associações de grupo e hashes de credenciais de um ambiente AD DS local para o Microsoft Entra ID. Atributos de contas de usuário, como o UPN e o SID (identificador de segurança local) são sincronizados. Para entrar usando o Domain Services, os hashes de senha herdados necessários para a autenticação NTLM e Kerberos também são sincronizados com o Microsoft Entra ID.
Importante
O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes do AD DS local. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado para sincronizar objetos de volta para o Microsoft Entra ID.
Se você configurar o write-back, as alterações da ID do Microsoft Entra serão sincronizadas novamente com o ambiente do AD DS local. Por exemplo, se um usuário alterar sua senha usando o gerenciamento de senha de autoatendimento do Microsoft Entra, a senha será atualizada novamente no ambiente do AD DS local.
Observação
Sempre use a versão mais recente do Microsoft Entra Connect para garantir que você tenha correções para todos os bugs conhecidos.
Sincronização de um ambiente de várias florestas locais
Muitas organizações têm um ambiente do AD DS local bastante complexo que inclui várias florestas. O Microsoft Entra Connect dá suporte à sincronização de usuários, grupos e hashes de credenciais de ambientes de várias florestas para o Microsoft Entra ID.
O ID do Microsoft Entra tem um namespace muito mais simples e plano. Para permitir que os usuários acessem de forma confiável aplicativos protegidos pela ID do Microsoft Entra, resolva conflitos de UPN entre contas de usuário em diferentes florestas. Os domínios gerenciados usam uma estrutura de UO simples, semelhante à ID do Microsoft Entra. Todas as contas de usuário e grupos são armazenadas no contêiner Usuários do AADDC, apesar de serem sincronizadas de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica local. O domínio gerenciado mescla todas as estruturas de UO hierárquicas.
Conforme detalhado anteriormente, não há sincronização dos Serviços de Domínio para o Microsoft Entra ID. Você pode criar uma UO (Unidade Organizacional) personalizada nos Serviços de Domínio e, em seguida, usuários, grupos ou contas de serviço dentro dessas UOs personalizadas. Nenhum dos objetos criados em UOs personalizados é sincronizado novamente com a ID do Microsoft Entra. Esses objetos estão disponíveis somente no domínio gerenciado e não estão visíveis usando cmdlets do Microsoft Graph PowerShell, a API do Microsoft Graph ou usando o Centro de administração do Microsoft Entra.
O que não está sincronizado com os Serviços de Domínio
Os seguintes objetos ou atributos não são sincronizados de um ambiente do AD DS local para a ID do Microsoft Entra ou os Serviços de Domínio:
- Atributos excluídos: Você pode optar por excluir determinados atributos da sincronização com a ID do Microsoft Entra de um ambiente do AD DS local usando o Microsoft Entra Connect. Esses atributos excluídos não estão disponíveis nos Serviços de Domínio.
- Políticas de Grupo: As Políticas de Grupo configuradas em um ambiente do AD DS local não são sincronizadas com os Serviços de Domínio.
- Pasta Sysvol: O conteúdo da pasta Sysvol em um ambiente do AD DS local não é sincronizado com os Serviços de Domínio.
- Objetos de computador: objetos de computador para computadores ingressados em um ambiente de AD DS local não são sincronizados com o Domain Services. Esses computadores não têm uma relação de confiança com o domínio gerenciado e pertencem apenas ao ambiente do AD DS local. No Domain Services, são exibidos somente os objetos de computador para computadores que tenham explicitamente conectados ao domínio com o domínio gerenciado.
- Atributos sidHistory para usuários e grupos: Os SIDs do usuário principal e do grupo principal de um ambiente local do AD DS são sincronizados com os Serviços de Domínio. No entanto, os atributos SidHistory existentes para usuários e grupos não são sincronizados do ambiente do AD DS local para os Serviços de Domínio.
- Estruturas de UO (Unidades de Organização): Unidades organizacionais definidas em um ambiente do AD DS local não são sincronizadas com os Serviços de Domínio. Há duas UOs integradas nos Serviços de Domínio: uma para usuários e outra para computadores. O domínio gerenciado tem uma estrutura de UO simples. Você pode optar por criar uma UO personalizada em seu domínio gerenciado.
Considerações sobre sincronização e segurança de hash de senha
Ao habilitar o Domain Services, os hashes de senha obsoletos para autenticação NTLM e Kerberos são obrigatórios. A ID do Microsoft Entra não armazena senhas de texto limpo, portanto, esses hashes não podem ser gerados automaticamente para contas de usuário existentes. Hashes de senha compatíveis com NTLM e Kerberos são sempre armazenados de maneira criptografada na ID do Microsoft Entra.
As chaves de criptografia são exclusivas para cada locatário do Microsoft Entra. Esses hashes são criptografados de modo que somente os Serviços de Domínio tenham acesso às chaves de descriptografia. Nenhum outro serviço ou componente no Microsoft Entra ID tem acesso às chaves de descriptografia.
Os hashes de senha herdados são então sincronizados do Microsoft Entra ID para os controladores de domínio de um domínio gerenciado. Os discos desses controladores de domínio gerenciados nos Serviços de Domínio são criptografados em repouso. Esses hashes de senha são armazenados e protegidos nesses controladores de domínio semelhantes a como as senhas são armazenadas e protegidas em um ambiente do AD DS local.
Para ambientes do Microsoft Entra somente na nuvem, os usuários devem redefinir/alterar a senha para que os hashes de senha necessários sejam gerados e armazenados na ID do Microsoft Entra. Para qualquer conta de usuário de nuvem criada no Microsoft Entra ID depois de habilitar o Microsoft Entra Domain Services, os hashes de senha são gerados e armazenados nos formatos compatíveis com NTLM e Kerberos. Todas as contas de usuário de nuvem devem alterar a senha antes de serem sincronizadas com os Serviços de Domínio.
Para contas de usuário híbrido sincronizadas do ambiente do AD DS local usando o Microsoft Entra Connect, é necessário configurar o Microsoft Entra Connect para sincronizar hashes de senha em formatos compatíveis com NTLM e Kerberos.
Próximas etapas
Para obter mais informações sobre as especificidades da sincronização de senha, consulte Como a sincronização de hash de senha funciona com o Microsoft Entra Connect.
Para começar a usar os Serviços de Domínio, crie um domínio gerenciado.