Integrar o Microsoft Entra ID nos Serviços de Domínio do Active Directory

  • 3 minutos

Agora que tem o Microsoft Entra ID configurado, tem de integrá-lo no seu Active Directory no local.

Configurar uma experiência de entrada consistente

Recomendamos que você configure uma experiência de login consistente com os mesmos nomes de usuário, senhas ou controles de autenticação multifator que você usa no seu ambiente do Active Directory local Domain Services (AD DS). Isso permite que os usuários usem um conjunto de credenciais para acessar recursos na Área de Trabalho Virtual do Azure e outros serviços de nuvem da Microsoft.

Há várias opções de sincronização disponíveis:

  • Sincronização hash de palavras-passe – os nomes de utilizador e os hashes de palavras-passe são sincronizados com o ID do Microsoft Entra
  • Autenticação de Passagem – seu serviço de diretório local pode executar uma autenticação simples para os serviços de nuvem da Microsoft, exigindo muito pouca configuração local em seus controladores de domínio.
  • Serviços de Federação do Active Directory (AD FS) – autenticação mais complexa por cartão inteligente, token RSA e parceiro de federação. Se você usar essa opção, precisará provisionar servidores locais adicionais e garantir que eles estejam altamente disponíveis.

Pode utilizar o Microsoft Entra Connect para configurar a sincronização.

Configurar os Active Directory Domain Services para a Área de Trabalho Virtual do Azure

Na Área de Trabalho Virtual do Azure, as suas sessões remotas usam o AD DS da mesma maneira que o ambiente local atual da área de trabalho física e virtual, para logins de sessão na camada da VM. Você tem as seguintes opções para se conectar ou provisionar o AD DS para a Área de Trabalho Virtual do Azure:

  • Implantar um controlador de domínio em uma VM do Windows Server em execução no Azure. O controlador de domínio é executado de forma independente em uma rede virtual ou se conecta ao seu serviço de diretório local. Esse é o método mais barato, mas exige que você gerencie a VM (máquina virtual). É necessário assegurar-se que a VM está altamente disponível e conectada à mesma rede virtual à qual os hosts da sessão da Área de Trabalho Virtual do Azure estão conectados.

    Ilustração de um Servidor do Domínio do Active Directory hospedado em um computador do Azure que tem sua rede virtual emparelhada com a Área de Trabalho Virtual do Azure.

  • Aprovisionar o Microsoft Entra Domain Services. Esse é o AD DS como um serviço. Você não precisa manter VMs do controlador de domínio. Pode ligar o Microsoft Entra Domain Services à mesma rede virtual que o ambiente do Azure Virtual Desktop. Pode utilizar o Microsoft Entra Domain Services com ou sem um AD local. Se você conectá-los ao seu domínio local, eles se comportarão como os controladores de domínio atuais, sem a sobrecarga de gerenciamento.

    Ilustração do Microsoft Entra Domain Services que tem a rede virtual em modo de peering para o Azure Virtual Desktop. .

  • Conectar sua rede ao Azure e estabelecer uma conexão entre o seu data center e o Azure Ao fazer a conexão, certifique-se de que os controladores de domínio que você opera estejam disponíveis com segurança para VMs da Área de Trabalho Virtual do Azure em execução no Azure. Você pode usar uma conexão VPN ou o Azure ExpressRoute para conectividade.

    Ilustração de um Active Directory no local ligado ao Microsoft Entra ID com o Azure ExpressRoute e o Microsoft Entra Connect.