Descrever os Serviços de Domínio do Microsoft Entra
A equipe de TI da Contoso implanta vários aplicativos de linha de negócios (LOB) em computadores e dispositivos que são membros do domínio. A Contoso usa credenciais baseadas no AD DS para autenticação e GPOs para gerenciar esses dispositivos e aplicativos. Agora, eles estão considerando mover esses aplicativos para serem executados no Azure. Uma questão-chave para você é como fornecer serviços de autenticação para esses aplicativos.
Para atender a essa necessidade, a equipe de TI da Contoso pode optar por:
- Implemente uma rede virtual privada (VPN) site a site entre sua infraestrutura local e a IaaS do Azure.
- Implante controladores de domínio de réplica do AD DS local como VMs no Azure.
No entanto, estas abordagens podem implicar custos adicionais e esforços administrativos. Além disso, a diferença entre essas duas abordagens é que, com a primeira opção, o tráfego de autenticação atravessará a VPN; na segunda opção, o tráfego de replicação atravessará a VPN e o tráfego de autenticação permanecerá na nuvem. A Microsoft fornece os Serviços de Domínio Microsoft Entra como uma alternativa a essas abordagens.
O que é o Microsoft Entra Domain Services?
Os Serviços de Domínio do Microsoft Entra, que são executados como parte da camada P1 ou P2 do Microsoft Entra ID, fornecem serviços de domínio, como gerenciamento de Diretiva de Grupo, ingresso no domínio e autenticação Kerberos para seu locatário do Microsoft Entra. Esses serviços são totalmente compatíveis com o AD DS local, para que você possa usá-los sem implantar e gerenciar controladores de domínio adicionais na nuvem.
Como a ID do Microsoft Entra pode se integrar ao AD DS local, quando você implementa o Microsoft Entra Connect, os usuários podem utilizar credenciais organizacionais no AD DS local e nos Serviços de Domínio Microsoft Entra. Mesmo que você não tenha o AD DS implantado localmente, poderá optar por usar os Serviços de Domínio do Microsoft Entra como um serviço somente na nuvem. Isso permite que você tenha funcionalidade semelhante ao AD DS implantado localmente sem precisar implantar um único controlador de domínio local ou na nuvem.
Por exemplo, a equipe de TI da Contoso pode optar por criar um locatário do Microsoft Entra e habilitar os Serviços de Domínio do Microsoft Entra e, em seguida, implantar uma rede virtual (VNet) entre seus recursos locais e o locatário do Microsoft Entra. A equipe de TI da Contoso pode habilitar os Serviços de Domínio Microsoft Entra para esta rede virtual para que todos os usuários e serviços locais possam usar serviços de domínio da ID do Microsoft Entra.
Os Serviços de Domínio Microsoft Entra oferecem vários benefícios para as organizações, tais como:
- Os administradores não precisam gerenciar, atualizar e monitorar controladores de domínio.
- Os administradores não precisam implantar e gerenciar a replicação do Ative Directory.
- Não há necessidade de ter grupos de Administradores de Domínio ou Administradores de Empresa para domínios gerenciados pelos Serviços de Domínio do Microsoft Entra.
Se você optar por implementar os Serviços de Domínio do Microsoft Entra, deverá entender as limitações atuais do serviço. Estes são, entre outros:
- Somente o objeto Ative Directory do computador base é suportado.
- Não é possível estender o esquema para o domínio dos Serviços de Domínio Microsoft Entra.
- A estrutura da UO é plana e as UOs aninhadas não são suportadas no momento.
- Há um GPO interno, que existe para contas de computador e usuário.
- Não é possível direcionar UOs com GPOs internos. Além disso, não é possível usar filtros WMI (Instrumentação de Gerenciamento do Windows) ou filtragem de grupo de segurança.
Usando os Serviços de Domínio Microsoft Entra, você pode migrar livremente aplicativos que usam LDAP, NT LAN Manager (NTLM) ou os protocolos Kerberos de sua infraestrutura local para a nuvem. Você também pode usar aplicativos como o Microsoft SQL Server ou o SharePoint Server em VMs ou implantá-los na IaaS do Azure. Tudo isso sem precisar de controladores de domínio na nuvem ou uma VPN para infraestrutura local. A tabela a seguir identifica alguns cenários comuns que utilizam os Serviços de Domínio Microsoft Entra.
Vantagem | Description |
---|---|
Administração segura de VMs do Azure | Você pode associar VMs do Azure a um domínio gerenciado pelos Serviços de Domínio Microsoft Entra, que permite usar um único conjunto de credenciais do Ative Directory. Essa abordagem reduz problemas de gerenciamento de credenciais, como a manutenção de contas de administrador local em cada VM ou contas e senhas separadas entre ambientes. Você pode gerenciar e proteger VMs que ingressar em um domínio gerenciado pelos Serviços de Domínio Microsoft Entra. Você também pode aplicar as linhas de base de segurança necessárias às VMs para bloqueá-las de acordo com as diretrizes de segurança corporativas. Por exemplo, você pode usar os recursos de Gerenciamento de Diretiva de Grupo para restringir os tipos de aplicativos que podem ser iniciados na VM. |
Aplicativos locais que usam autenticação de associação LDAP | Nesse cenário, os Serviços de Domínio do Microsoft Entra permitem que os aplicativos executem ligações LDAP como parte do processo de autenticação. Os aplicativos locais herdados podem migrar para o Azure e continuar a autenticar usuários sem qualquer alteração na configuração ou na experiência do usuário. |
Aplicativos locais que usam leitura LDAP para acessar o diretório | Nesse cenário, o Microsoft Entra Domain Services permite que os aplicativos executem leituras LDAP no domínio gerenciado para recuperar as informações de atributo necessárias. O aplicativo não precisa ser reescrito, portanto, um lift-and-shift no Azure permite que os usuários continuem a usar o aplicativo sem perceber que há uma mudança no local onde ele é executado. |
Serviço local ou aplicativo daemon | Alguns aplicativos incluem várias camadas, onde uma das camadas precisa executar chamadas autenticadas para uma camada de back-end, como um banco de dados. As contas de serviço do Ative Directory são normalmente usadas nesses cenários. Quando você eleva e desloca aplicativos para o Azure, os Serviços de Domínio do Microsoft Entra permitem que você continue a usar contas de serviço da mesma maneira. Você pode optar por usar a mesma conta de serviço sincronizada do diretório local para a ID do Microsoft Entra ou criar uma UO personalizada e, em seguida, criar uma conta de serviço separada nessa UO. Com qualquer uma das abordagens, os aplicativos continuam a funcionar da mesma maneira para fazer chamadas autenticadas para outras camadas e serviços. |
Serviços de área de trabalho remota no Azure | Você também pode usar os Serviços de Domínio do Microsoft Entra para fornecer serviços de domínio gerenciado para servidores de área de trabalho remota implantados no Azure. |
Considerações
Ao implementar os cenários anteriores, aplicam-se as seguintes considerações de implantação:
- Os domínios gerenciados pelos Serviços de Domínio Microsoft Entra usam uma estrutura única e simples de UO por padrão. Todas as VMs associadas ao domínio estão em uma única UO. Se desejar, você pode criar UOs personalizadas.
- Os Serviços de Domínio Microsoft Entra usam um GPO interno para os contêineres de usuários e computadores. Para obter controle adicional, você pode criar GPOs personalizados e direcioná-los para UOs personalizadas.
- Os Serviços de Domínio Microsoft Entra suportam o esquema de objeto de computador base do Ative Directory. No entanto, não é possível estender o esquema do objeto de computador.
- Não é possível alterar senhas diretamente em um domínio gerenciado pelos Serviços de Domínio Microsoft Entra. Os usuários finais podem alterar suas senhas usando o mecanismo de alteração de senha de autoatendimento do Microsoft Entra ID ou no diretório local. Essas alterações são então sincronizadas automaticamente e ficam disponíveis no domínio gerenciado pelos Serviços de Domínio Microsoft Entra.
Além disso, certifique-se de que:
- Nenhum aplicativo precisa modificar/gravar no diretório LDAP. Não há suporte para acesso de gravação LDAP a um domínio gerenciado pelos Serviços de Domínio Microsoft Entra.
- O aplicativo não precisa de um esquema do Ative Directory personalizado/estendido. As extensões de esquema não são suportadas nos Serviços de Domínio Microsoft Entra.
- Os aplicativos usam um nome de usuário e senha para autenticação. A autenticação baseada em certificado ou cartão inteligente não é suportada pelos Serviços de Domínio Microsoft Entra.