Descubra os Serviços de Domínio do Microsoft Entra
Se você precisar implantar cargas de trabalho dependentes do AD DS no Azure, mas quiser minimizar a sobrecarga associada à implantação e ao gerenciamento de controladores de domínio do Ative Directory hospedados em Máquinas Virtuais do Azure, considere implementar os Serviços de Domínio Microsoft Entra. Os Serviços de Domínio Microsoft Entra são um serviço AD DS gerenciado pela Microsoft que fornece os recursos padrão do Ative Directory, como Diretiva de Grupo, ingresso no domínio e suporte para protocolos como Kerberos, NTLM e LDAP.
O serviço consiste em dois controladores de domínio do Ative Directory em uma nova floresta de domínio único. Quando você provisiona o serviço, a plataforma do Azure implanta automaticamente esses dois controladores de domínio em uma rede virtual do Azure que você designa. Além disso, o AD DS gerenciado sincroniza automaticamente seus usuários e grupos do locatário do Microsoft Entra associado à assinatura do Azure que hospeda a rede virtual. Efetivamente, o domínio dos Serviços de Domínio Microsoft Entra conterá os mesmos usuários e grupos que seu homólogo do Microsoft Entra. Isso fornece os seguintes recursos:
- Você pode associar Máquinas Virtuais do Azure ao domínio gerenciado do AD DS se elas residirem na mesma rede virtual ou em outra rede virtual conectada a ela.
- Os usuários do Microsoft Entra podem usar suas credenciais existentes para entrar nessas Máquinas Virtuais do Azure.
Se você tiver um domínio do AD DS local sincronizado com o mesmo locatário do Microsoft Entra, os usuários do AD DS local poderão entrar no domínio dos Serviços de Domínio do Microsoft Entra usando suas credenciais existentes.
No entanto, nesse cenário, o domínio do Ative Directory local é separado do domínio do Ative Directory que os Serviços de Domínio Microsoft Entra implementam. Os dois domínios do Ative Directory têm nomes de domínio diferentes e conjuntos separados de objetos de usuário, grupo e computador, embora os objetos de usuário e grupo dentro do escopo da sincronização do Microsoft Entra Connect tenham atributos correspondentes.
Os Serviços de Domínio Microsoft Entra oferecem suporte para o mesmo conjunto de protocolos que o AD DS local. Com os Serviços de Domínio Microsoft Entra, você pode migrar aplicativos que dependem do AD DS para Máquinas Virtuais do Azure sem precisar implantar e manter controladores de domínio extras ou estabelecer conectividade com a infraestrutura local.
Existem algumas diferenças importantes entre o AD DS e os Serviços de Domínio Microsoft Entra. Por exemplo, os Serviços de Domínio Microsoft Entra não permitem criar relações de confiança ou estender o esquema. Dependendo de sua origem, os objetos de usuário e grupo podem ter que ser gerenciados no local ou no locatário correspondente do Microsoft Entra. O suporte para a Diretiva de Grupo é limitado, com apenas dois Objetos de Diretiva de Grupo criados anteriormente — um contendo configurações do computador e outro contendo configurações do usuário. Além disso, embora seja possível executar ligações LDAP e leituras LDAP nos Serviços de Domínio Microsoft Entra, não há suporte para gravações LDAP.