Examen de Microsoft Entra Domain Services
En la mayoría de las organizaciones actuales, las aplicaciones de línea de negocio (LOB) se implementan en equipos y dispositivos que son miembros del dominio. Estas organizaciones usan credenciales basadas en AD DS y administradas mediante directivas de grupo para la autenticación. Si se plantea mover estas aplicaciones para que se ejecuten en Azure, una consideración clave a tener en cuenta es cómo proporcionar servicios de autenticación a las aplicaciones. Para satisfacer esta necesidad, puede optar por implementar una red privada virtual (VPN) de sitio a sitio entre la infraestructura local y la IaaS de Azure, o bien puede implementar controladores de dominio de réplica desde su instancia local de AD DS como máquinas virtuales (VM) en Azure. Estos enfoques pueden conllevar costos adicionales y esfuerzos administrativos. Además, la diferencia entre estos dos enfoques es que, con la primera opción, el tráfico de autenticación cruzará la VPN; mientras que, en la segunda opción, el tráfico de replicación cruzará la VPN y el tráfico de autenticación permanecerá en la nube.
Microsoft proporciona Microsoft Entra Domain Services como alternativa a estos enfoques. Este servicio, que se ejecuta como parte del nivel P1 o P2 de Microsoft Entra ID, proporciona servicios de dominio como la administración de directivas de grupo, la unión a dominios y la autenticación Kerberos al inquilino de Microsoft Entra. Estos servicios son totalmente compatibles con instancias de AD DS implementadas localmente, por lo que puede usarlos sin necesidad de implementar ni administrar controladores de dominio adicionales en la nube.
Dado que Microsoft Entra ID se puede integrar con su AD DS local, al implementar Microsoft Entra Connect, los usuarios pueden usar credenciales organizativas tanto en AD DS local como en Microsoft Entra Domain Services. Incluso si no tiene AD DS implementado de forma local, puede optar por usar Microsoft Entra Domain Services como un servicio solo en la nube. Esto permite tener una función similar a la de AD DS implementado de forma local, sin tener que implementar un solo controlador de dominio local o en la nube. Por ejemplo, una organización puede optar por crear un inquilino de Microsoft Entra y habilitar Microsoft Entra Domain Services y, a continuación, implementar una red virtual entre sus recursos locales y el inquilino de Microsoft Entra. Usted puede habilitar Microsoft Entra Domain Services para esta red virtual, de modo que todos los usuarios y servicios locales puedan usar los servicios de dominio de Microsoft Entra ID.
Microsoft Entra Domain Services proporciona varias ventajas a las organizaciones, como las siguientes:
- Los administradores no necesitan administrar, actualizar ni supervisar los controladores de dominio.
- Los administradores no necesitan implementar ni administrar la replicación de Active Directory.
- No es necesario tener grupos de Administradores de dominio o Administradores de organización para los dominios que Microsoft Entra ID administra.
Si decide implementar Microsoft Entra Domain Services, debe tener en cuenta las limitaciones actuales del servicio. Se incluyen los siguientes:
- Solo se admite el objeto de Active Directory del equipo base.
- No es posible ampliar el esquema para el dominio de Microsoft Entra Domain Services.
- La estructura de la unidad organizativa (OU) es plana y las unidades organizativas anidadas no se admiten actualmente.
- Hay un objeto de directiva de grupo (GPO) integrado, que existe para las cuentas de usuario y de equipo.
- No es posible tener como destino unidades organizativas con GPO integrados. Además, no puede usar filtros de Instrumental de administración de Windows o el filtrado de grupos de seguridad.
Mediante el uso de Microsoft Entra Domain Services, puede migrar de forma gratuita las aplicaciones que usan LDAP, NTLM o los protocolos de Kerberos desde la infraestructura local a la nube. También puede usar aplicaciones como Microsoft SQL Server o Microsoft SharePoint Server en máquinas virtuales, o bien implementarlas en la IaaS de Azure, sin necesidad de controladores de dominio en la nube o una VPN en la infraestructura local.
Puede habilitar Microsoft Entra Domain Services mediante Azure Portal. Este servicio se cobra por hora en función del tamaño del directorio.