Descobrir o Microsoft Entra Domain Services
Se você precisar implantar cargas de trabalho dependentes do AD DS no Azure, mas quiser minimizar a sobrecarga associada à implantação e ao gerenciamento dos controladores de domínio do Active Directory hospedados em Máquinas Virtuais do Azure, deve considerar implementar o Microsoft Entra Domain Services. O Microsoft Entra Domain Services é um serviço de AD DS gerenciado pela Microsoft que fornece os recursos do Active Directory padrão, como Política de Grupo, ingresso no domínio e suporte para protocolos como Kerberos, NTLM e LDAP.
O serviço consiste em dois controladores de domínio do Active Directory em uma nova floresta de domínio único. Quando você provisiona o serviço, a plataforma do Azure implanta automaticamente esses dois controladores de domínio em uma rede virtual do Azure que você designar. Além disso, o AD DS gerenciado sincroniza automaticamente seus usuários e grupos do locatário do Microsoft Entra associado à assinatura do Azure que hospeda a rede virtual. Efetivamente, o domínio do Microsoft Entra Domain Services conterá os mesmos usuários e grupos que seu equivalente do Microsoft Entra. Isso oferece as seguintes funcionalidades:
- Você pode adicionar Máquinas Virtuais do Azure ao domínio AD DS gerenciado se elas residirem na mesma rede virtual ou em outra rede virtual conectada a ela.
- Os usuários do Microsoft Entra podem usar as credenciais existentes para entrar nessas Máquinas Virtuais do Azure.
Se você tiver um domínio do AD DS local que se sincronize com o mesmo locatário do Azure AD, seus usuários locais do AD DS poderão entrar no domínio do Microsoft Entra Domain Services usando suas credenciais existentes.
No entanto, nesse cenário, o domínio do Active Directory local é separado do domínio do Active Directory que o Microsoft Entra Domain Services implementa. Os dois domínios do Active Directory têm nomes de domínio diferentes e separam conjuntos de objetos de usuário, grupo e computador, embora os objetos de usuário e grupo dentro do escopo da sincronização Microsoft Entra Connect tenham atributos correspondentes.
O Microsoft Entra Domain Services oferece suporte para o mesmo conjunto de protocolos que o AD DS local. Com o Microsoft Entra Domain Services, você pode migrar aplicativos que dependem do AD DS para Máquinas Virtuais do Azure sem a necessidade de implantar e manter controladores de domínio adicionais ou estabelecer conectividade com a infraestrutura local.
Há algumas diferenças importantes entre o AD DS e o Microsoft Entra Domain Services. Por exemplo, o Microsoft Entra Domain Services não permite que você crie relações de confiança ou estendam o esquema. Dependendo de sua origem, os objetos de usuário e grupo podem precisar ser gerenciados localmente ou no locatário do Microsoft Entra correspondente. O suporte para Política de Grupo é limitado, com apenas dois objetos Política de Grupo criados anteriormente, um contendo configurações de computador e outro, as configurações de usuário. Além disso, embora seja possível realizar associações e leituras do LDAP no Microsoft Entra Domain Services, não há suporte para gravações do LDAP.