Partilhar via

O que é o Microsoft Entra Domain Services?

  • Artigo

Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, protocolo LDAP (lightweight directory access protocol) e autenticação Kerberos/NTLM. Você usa esses serviços de domínio sem a necessidade de implantar, gerenciar e corrigir controladores de domínio (DCs) na nuvem.

Um domínio gerenciado dos Serviços de Domínio permite executar aplicativos herdados na nuvem que não podem usar métodos de autenticação modernos ou onde você não deseja que as pesquisas de diretório sempre retornem a um ambiente AD DS local. Você pode elevar e mudar esses aplicativos herdados do seu ambiente local para um domínio gerenciado, sem precisar gerenciar o ambiente AD DS na nuvem.

Os Serviços de Domínio integram-se com o seu locatário existente do Microsoft Entra. Essa integração permite que os usuários entrem em serviços e aplicativos conectados ao domínio gerenciado usando suas credenciais existentes. Você também pode usar grupos e contas de usuário existentes para proteger o acesso aos recursos. Esses recursos fornecem um levantamento e deslocamento mais suave de recursos locais para o Azure.

Para começar, crie um domínio gerenciado pelos Serviços de Domínio usando o centro de administração do Microsoft Entra

Veja o nosso pequeno vídeo para saber mais sobre os Serviços de Domínio.

Como funcionam os Serviços de Domínio?

Ao criar um domínio gerenciado pelos Serviços de Domínio, você define um namespace exclusivo. Esse namespace é o nome de domínio, como aaddscontoso.com. Dois controladores de domínio (DCs) do Windows Server são implantados na região do Azure selecionada. Essa implantação de DCs é conhecida como conjunto de réplicas.

Não é necessário gerenciar, configurar ou atualizar esses DCs. A plataforma Azure lida com os DCs como parte do domínio gerenciado, incluindo backups e criptografia em repouso usando a Criptografia de Disco do Azure.

Um domínio gerenciado é configurado para executar uma sincronização unidirecional do Microsoft Entra ID para fornecer acesso a um conjunto central de usuários, grupos e credenciais. Você pode criar recursos diretamente no domínio gerenciado, mas eles não são sincronizados de volta para o Microsoft Entra ID. Aplicativos, serviços e VMs no Azure que se conectam ao domínio gerenciado podem usar recursos comuns do AD DS, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.

Em um ambiente híbrido com um ambiente AD DS local, o Microsoft Entra Connect sincroniza informações de identidade com a ID do Microsoft Entra, que é sincronizada com o domínio gerenciado.

Sincronização nos Serviços de Domínio do Microsoft Entra com a ID do Microsoft Entra e o AD DS local usando o AD Connect

Os Serviços de Domínio replicam informações de identidade do Microsoft Entra ID, por isso funcionam com locatários de Microsoft Entra que são exclusivamente na nuvem ou sincronizados com um ambiente AD DS local. O mesmo conjunto de recursos dos Serviços de Domínio existe para ambos os ambientes.

  • Se você tiver um ambiente AD DS local existente, poderá sincronizar as informações da conta de usuário para fornecer uma identidade consistente para os usuários. Para saber mais, consulte Como objetos e credenciais são sincronizados em um domínio gerenciado.
  • Para ambientes somente na nuvem, você não precisa de um ambiente AD DS local tradicional para usar os serviços de identidade centralizados dos Serviços de Domínio.

Você pode expandir um domínio gerenciado para ter mais de um conjunto de réplicas por cada locatário do Microsoft Entra. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure que ofereça suporte aos Serviços de Domínio. Ao adicionar conjuntos de réplicas em diferentes regiões do Azure, você pode fornecer recuperação de desastres geográfica para aplicativos herdados se uma região do Azure ficar offline. Para obter mais informações, consulte Réplica define conceitos e recursos para domínios gerenciados.

Dê uma olhada neste vídeo sobre como os Serviços de Domínio se integram aos seus aplicativos e cargas de trabalho para fornecer serviços de identidade na nuvem:


Para ver os cenários de implantação dos Serviços de Domínio em ação, você pode explorar os seguintes exemplos:

Recursos e benefícios dos Serviços de Domínio

Para fornecer serviços de identidade para aplicativos e VMs na nuvem, os Serviços de Domínio são totalmente compatíveis com um ambiente AD DS tradicional para operações como ingresso no domínio, LDAP seguro (LDAPS), Diretiva de Grupo, gerenciamento de DNS e suporte de ligação e leitura LDAP. O suporte à gravação LDAP está disponível para objetos criados no domínio gerenciado, mas não para recursos sincronizados a partir do ID do Microsoft Entra.

Para saber mais sobre as suas opções de identidade, compare os Serviços de Domínio com o Microsoft Entra ID, AD DS em VMs do Azure e AD DS no local.

Os seguintes recursos dos Serviços de Domínio simplificam as operações de implantação e gerenciamento:

  • Experiência de implantação simplificada: Os Serviços de Domínio são ativados para o seu inquilino do Microsoft Entra através de um único assistente no centro de administração do Microsoft Entra.
  • Integrado com o Microsoft Entra ID: Contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no seu locatário do Microsoft Entra. Novos usuários, grupos ou alterações em atributos do locatário do Microsoft Entra ou do ambiente AD DS local são sincronizados automaticamente com os Serviços de Domínio.
    • Contas em diretórios externos vinculados à sua ID do Microsoft Entra não estão disponíveis nos Serviços de Domínio. As credenciais não estão disponíveis para esses diretórios externos, portanto, não podem ser sincronizadas em um domínio gerenciado.
  • Use suas credenciais/senhas corporativas: As senhas para usuários nos Serviços de Domínio são as mesmas do locatário do Microsoft Entra. Os utilizadores podem usar as suas credenciais empresariais para ligar máquinas ao domínio, aceder de forma interativa ou através da área de trabalho remota e autenticar-se no domínio gerido.
  • autenticação NTLM e Kerberos: Com suporte para autenticação NTLM e Kerberos, é possível implantar aplicativos que dependem da autenticação integrada do Windows.
  • Alta disponibilidade: Serviços de Domínio inclui vários controladores de domínio, que fornecem alta disponibilidade para seu domínio gerenciado. Essa alta disponibilidade garante a disponibilidade do serviço e resiliência a falhas.
    • Em regiões que dão suporte Zonas de Disponibilidade do Azure, esses controladores de domínio também são distribuídos entre zonas para resiliência adicional.
    • Conjuntos de réplicas também podem ser usados para fornecer recuperação de desastres geográficos para aplicativos herdados se uma região do Azure ficar offline.

Alguns aspectos-chave de um domínio gerenciado incluem o seguinte:

  • O domínio gerenciado é um domínio autônomo. Não é uma extensão de um domínio local.
  • Sua equipe de TI não precisa gerenciar, corrigir ou monitorar controladores de domínio para esse domínio gerenciado.

Para ambientes híbridos que executam o AD DS local, não é necessário gerenciar a replicação do AD para o domínio gerenciado. Contas de usuário, associações de grupo e credenciais do diretório local são sincronizadas com a ID do Microsoft Entra por meio Microsoft Entra Connect. Essas contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no domínio gerenciado.

Próximos passos

Para saber mais sobre a comparação dos Serviços de Domínio com outras soluções de identidade e como funciona a sincronização, consulte os seguintes artigos:

Para começar, criar um domínio gerenciado usando o centro de administração do Microsoft Entra.