Descubra Microsoft Entra Domain Services.
Si necesita implementar cargas de trabajo dependientes de AD DS en Azure, pero quiere minimizar la sobrecarga asociada con la implementación y la administración de controladores de dominio de Active Directory hospedados en máquinas virtuales de Azure, considere la posibilidad de implementar Microsoft Entra Domain Services en su lugar. Microsoft Entra Domain Services es un servicio de AD DS administrado por Microsoft que proporciona características estándar de Active Directory, como la directiva de grupo, la unión a un dominio y la compatibilidad con protocolos como Kerberos, NTLM y LDAP.
El servicio consta de dos controladores de dominio de Active Directory en un nuevo bosque de un solo dominio. Cuando aprovisione el servicio, la plataforma Azure implementará automáticamente estos dos controladores de dominio en la red virtual de Azure que usted designe. Además, la instancia de AD DS administrada sincroniza automáticamente sus usuarios y grupos desde el inquilino de Microsoft Entra asociado a la suscripción de Azure que hospeda la red virtual. De hecho, el dominio de Microsoft Entra Domain Services contendrá los mismos usuarios y grupos que su homólogo de Microsoft Entra. Esto proporciona las capacidades siguientes:
- Puede unir máquinas virtuales de Azure al dominio de AD DS administrado si residen en la misma red virtual o en otra red virtual conectada a este.
- Los usuarios de Microsoft Entra pueden utilizar sus credenciales existentes para iniciar sesión en estas máquinas virtuales de Azure.
Si tiene un dominio de AD DS en el entorno local que se sincroniza con el mismo inquilino de Microsoft Entra, los usuarios de la instancia local de AD DS pueden iniciar sesión en el dominio de Microsoft Entra Domain Services con sus credenciales actuales.
Aun así, en este escenario, el dominio de Active Directory local es independiente del dominio de Active Directory que Microsoft Entra Domain Services implementa. Los dos dominios de Active Directory tienen nombres de dominio diferentes y conjuntos independientes de objetos de usuario, grupo y equipo, aunque los objetos de usuario y grupo tienen atributos coincidentes dentro del ámbito de la sincronización de Microsoft Entra Connect.
Microsoft Entra Domain Services ofrece compatibilidad con el mismo conjunto de protocolos que AD DS local. Con Microsoft Entra Domain Services, puede migrar aplicaciones que dependen de AD DS a máquinas virtuales de Azure sin necesidad de implementar y mantener controladores de dominio adicionales ni establecer conectividad con la infraestructura local.
Hay algunas diferencias importantes entre AD DS y Microsoft Entra Domain Services. Por ejemplo, Microsoft Entra Domain Services no permite crear relaciones de confianza ni ampliar el esquema. En función de su origen, los objetos de usuario y grupo podrían tener que administrarse de forma local o en el inquilino de Microsoft Entra correspondiente. La compatibilidad con la directiva de grupo está limitada, ya que solo se admiten dos objetos de directiva de grupo creados previamente: uno que contiene la configuración del equipo y otro que contiene la configuración del usuario. Además, aunque es posible realizar enlaces LDAP y lecturas LDAP en Microsoft Entra Domain Services, no se admiten las escrituras LDAP.