Descrever os Microsoft Entra Domain Services
A equipe de TI da Contoso implanta vários aplicativos de LOB (linha de negócios) em computadores e dispositivos que são membros do domínio. A Contoso usa credenciais baseadas no AD DS para autenticação e GPOs para gerenciar esses dispositivos e aplicativos. Agora, ela está pensando mover esses aplicativos para execução no Azure. Um problema importante é como fornecer serviços de autenticação para esses aplicativos.
Para atender a essa necessidade, a equipe de TI da Contoso pode optar por:
- Implementar uma VPN (rede virtual privada) site a site entre a infraestrutura local e a IaaS do Azure.
- Implantar controladores de domínio de réplica do AD DS local como VMs no Azure.
No entanto, essas abordagens podem envolver mais custos e esforço administrativo. Além disso, a diferença entre essas duas abordagens é que, com a primeira opção, o tráfego de autenticação cruzará a VPN; na segunda opção, o tráfego de replicação cruzará a VPN e o tráfego de autenticação permanecerá na nuvem. A Microsoft fornece o Microsoft Entra Domain Services como uma alternativa a essas abordagens.
O que é Microsoft Entra Domain Services?
O Microsoft Entra Domain Services, que é executado como parte da camada P1 ou P2 do Microsoft Entra ID, fornece serviços de domínio, como gerenciamento da Política de Grupo, junção de domínios e autenticação Kerberos para seu locatário do Microsoft Entra. Esses serviços são totalmente compatíveis com o AD DS local, portanto, você pode usá-los sem implantar e gerenciar controladores de domínio adicionais na nuvem.
Como o Microsoft Entra ID pode integrar-se ao seu AD DS local, quando você implementar o Microsoft Entra Connect, os usuários poderão utilizar credenciais organizacionais tanto no AD DS local quanto no Microsoft Entra Domain Services. Mesmo que você não tenha o AD DS implantado localmente, pode optar por utilizar o Microsoft Entra Domain Services como um serviço somente na nuvem. Isso permite que você tenha uma funcionalidade semelhante ao AD DS implantada localmente sem precisar implantar nenhum controlador de domínio local ou na nuvem.
Por exemplo, a equipe de TI da Contoso pode criar um locatário do Microsoft Entra e habilitar o Microsoft Entra Domain Services e, em seguida, implantar uma rede virtual (VNet) entre seus recursos locais e o locatário do Microsoft Entra. A equipe de TI da Contoso pode habilitar o Microsoft Entra Domain Services para essa VNet, de modo que todos os usuários e serviços locais possam utilizar os serviços de domínio do Microsoft Entra ID.
O Microsoft Entra Domain Services fornece vários benefícios para as organizações, tais como:
- Os administradores não precisam gerenciar, atualizar e monitorar controladores de domínio.
- Os administradores não precisam implantar e gerenciar a replicação do Active Directory.
- Não há necessidade de ter grupos de Administradores de Domínio ou Administradores Corporativos para domínios gerenciados pelo Microsoft Entra Domain Services.
Se você optar por implementar o Microsoft Entra Domain Services, deverá entender as limitações atuais do serviço. Estão incluídos:
- Há suporte apenas para o objeto do Active Directory do computador de base.
- Não é possível estender o esquema para o domínio do Microsoft Entra Domain Services.
- A estrutura da UO é simples e, no momento, não há suporte para s UOs aninhadas.
- Há um GPO interno, que existe para contas de computador e de usuário.
- Não é possível direcionar UOs com GPOs internos. Além disso, você não pode usar filtros do WMI (Instrumentação de Gerenciamento do Windows) nem filtragem de grupo de segurança.
Ao utilizar o Microsoft Entra Domain Services, você pode migrar livremente aplicativos que utilizam LDAP, NT LAN Manager (NTLM) ou os protocolos Kerberos de sua infraestrutura local para a nuvem. Você também pode usar aplicativos como o Microsoft SQL Server ou o SharePoint Server em VMs ou implantá-los no Azure IaaS. Tudo isso sem precisar de controladores de domínio na nuvem nem de uma VPN para a infraestrutura local. A tabela a seguir identifica alguns cenários comuns que utilizam o Microsoft Entra Domain Services.
| Vantagem | Descrição |
|---|---|
| Administração segura de VMs do Azure | Você pode ingressar VMs do Azure em um domínio gerenciado pelo Microsoft Entra Domain Services, o que permite utilizar um único conjunto de credenciais do Active Directory. Essa abordagem reduz os problemas de gerenciamento de credenciais, como a manutenção de contas de administrador local em cada VM ou a contas e senhas separadas entre ambientes. Você pode gerenciar e proteger as VMs que ingressar em um domínio gerenciado pelo Microsoft Entra Domain Services. Você também pode aplicar linhas de base de segurança necessária para VMs para bloqueá-las de acordo com as diretrizes de segurança corporativa. Por exemplo, você pode usar as funcionalidades de gerenciamento da Política de Grupo para restringir os tipos de aplicativos que podem ser iniciados na VM. |
| Aplicativos locais que usam autenticação de associação LDAP | Nesse cenário, o Microsoft Entra Domain Services permite que os aplicativos executem associações LDAP como parte do processo de autenticação de aplicativos. Os aplicativos locais herdados podem realizar lift-and-shift para o Azure e continuar a autenticar os usuários sem nenhuma alteração à configuração ou à experiência do usuário. |
| Aplicativos locais que usam leitura do LDAP para acessar o diretório | Nesse cenário, o Microsoft Entra Domain Services permite que os aplicativos executem leituras LDAP no domínio gerenciado para recuperar as informações de atributo que você precisa. O aplicativo não precisa ser reescrito, portanto, um lift-and-shift para o Azure permite que os usuários continuem a usar o aplicativo sem perceber que há uma alteração no local em que ele é executado. |
| Serviço local ou aplicativo daemon | Alguns aplicativos incluem várias camadas, em que uma das camadas precisa executar chamadas autenticadas para uma camada de back-end, como um banco de dados. As contas de serviço do Active Directory comumente são usadas nesses cenários. Ao realizar o lift-and-shift dos aplicativos para o Azure, o Microsoft Entra Domain Services permite que você continue a usar contas de serviço da mesma maneira. Você pode utilizar a mesma conta de serviço sincronizada do diretório local para o Microsoft Entra ID ou criar uma UO personalizada e, em seguida, criar uma conta de serviço separada nessa UO. Com qualquer abordagem, os aplicativos continuam a funcionar da mesma maneira para fazer chamadas autenticadas para outras camadas e serviços. |
| Serviços de área de trabalho remota no Azure | Você também pode utilizar o Microsoft Entra Domain Services para fornecer serviços de domínio gerenciados a servidores de área de trabalho remota implantados no Azure. |
Considerações
Ao implementar os cenários anteriores, as seguintes considerações de implantação se aplicam:
- Os domínios gerenciados pelo Microsoft Entra Domain Services utilizam uma estrutura de UO única e simples por padrão. Todas as VMs conectadas ao domínio estão em uma só UO. Se desejar, você poderá criar UOs personalizadas.
- O Microsoft Entra Domain Services usa um GPO interno para os contêineres de usuários e computadores. Para controle adicional, você pode criar GPOs personalizados e direcioná-los para UOs personalizadas.
- O Microsoft Entra Domain Services dá suporte para o esquema básico de objetos de computador do Active Directory. No entanto, você não pode estender o esquema do objeto de computador.
- Não é possível alterar as senhas diretamente em um domínio gerenciado pelo Microsoft Entra Domain Services. Os usuários finais podem alterar suas senhas seja usando o Mecanismo de alteração de senha de autoatendimento do Microsoft Entra ID, seja no diretório local. Em seguida, essas alterações são sincronizadas automaticamente e ficam disponíveis no domínio gerenciado pelo Microsoft Entra Domain Services.
Além disso, verifique se:
- Os aplicativos não precisam modificar/gravar no diretório LDAP. Não há suporte para o acesso de gravação LDAP a um domínio gerenciado pelo Microsoft Entra Domain Services.
- O aplicativo não precisa de um esquema do Active Directory personalizado/estendido. O Microsoft Entra Domain Services não dá suporte a extensões de esquema.
- Os aplicativos usam um nome de usuário e senha para autenticação. A autenticação baseada em certificado ou cartão inteligente não dá suporte para o Microsoft Entra Domain Services.