Gerenciar o Windows Server 2019 em um ambiente de Serviços de Domínio Microsoft Entra

Concluído

Os Serviços de Domínio do Microsoft Entra fornecem um domínio gerenciado para usuários, aplicativos e serviços consumirem. Essa abordagem altera algumas das tarefas de gerenciamento disponíveis que você pode fazer e quais privilégios você tem dentro do domínio gerenciado. Essas tarefas e permissões podem diferir do que você experimenta com um ambiente AD DS local regular.

Nota

Não é possível ligar a controladores de domínio no domínio gerido pelos Serviços de Domínio Microsoft Entra utilizando o Ambiente de Trabalho Remoto da Microsoft.

Descrição geral

Os membros do grupo Administradores de DC do AAD recebem privilégios no domínio gerenciado pelos Serviços de Domínio Microsoft Entra. Como resultado, esses administradores podem executar as seguintes tarefas no domínio:

  • Configure o GPO interno para os contêineres Computadores AADDC e Usuários AADDC, no domínio gerenciado.
  • Administrar o DNS no domínio gerido.
  • Crie e administre UOs personalizadas no domínio gerenciado.
  • Obter acesso administrativo aos computadores associados ao domínio gerido.

No entanto, como o domínio gerenciado pelos Serviços de Domínio Microsoft Entra está bloqueado, você não tem privilégios para concluir determinadas tarefas administrativas no domínio. Alguns dos exemplos a seguir são tarefas que você não pode executar:

  • Estenda o esquema do domínio gerenciado.
  • Conecte-se aos controladores de domínio para o domínio gerenciado usando a Área de Trabalho Remota.
  • Adicione controladores de domínio ao domínio gerenciado.
  • Utilize privilégios de Administrador de Domínio ou Administrador Empresarial para o domínio gerenciado.

Depois de criar uma instância dos Serviços de Domínio Microsoft Entra, tem de associar um computador a um domínio gerido pelos Serviços de Domínio Microsoft Entra. Este computador está conectado a uma VNet do Azure que fornece conectividade ao domínio gerenciado pelos Serviços de Domínio Microsoft Entra. O processo para ingressar em um domínio gerenciado pelos Serviços de Domínio Microsoft Entra é o mesmo que ingressar em um domínio AD DS local regular. Depois que o computador for ingressado, você deve instalar as ferramentas para gerenciar a instância dos Serviços de Domínio Microsoft Entra.

Gorjeta

Para se conectar com segurança ao computador, você pode considerar o uso de um host do Azure Bastion. Com o Azure Bastion, um host gerenciado é implantado em sua VNet e fornece conexões RDP (Remote Desktop Protocol) ou SSH (Secure Shell) baseadas na Web para VMs. Nenhum endereço IP público é necessário para as VMs e você não precisa abrir regras de grupo de segurança de rede para tráfego remoto externo. Você se conecta a VMs usando o portal do Azure.

Você gerencia domínios dos Serviços de Domínio Microsoft Entra usando as mesmas ferramentas administrativas que os ambientes AD DS locais, como o Centro Administrativo do Ative Directory (ADAC) ou o PowerShell do Ative Directory. Você pode instalar essas ferramentas como parte do recurso Ferramentas de Administração de Servidor Remoto (RSAT) em computadores Windows Server e cliente. Os membros do grupo Administradores de DC do AAD podem administrar domínios gerenciados pelos Serviços de Domínio Microsoft Entra remotamente usando essas ferramentas administrativas do Ative Directory a partir de um computador que ingressou no domínio gerenciado.

Ações comuns do ADAC, como redefinir uma senha de conta de usuário ou gerenciar a associação ao grupo, estão disponíveis. No entanto, essas ações só funcionam para usuários e grupos criados diretamente no domínio gerenciado pelos Serviços de Domínio Microsoft Entra. As informações de identidade só são sincronizadas do ID do Microsoft Entra com os Serviços de Domínio do Microsoft Entra; não há write-back dos Serviços de Domínio do Microsoft Entra para o ID do Microsoft Entra. Como resultado, você não pode alterar senhas ou associação de grupo gerenciado para usuários sincronizados a partir do Microsoft Entra ID e ter essas alterações sincronizadas de volta.

Você também pode usar o módulo Ative Directory para Windows PowerShell, que é instalado como parte das ferramentas administrativas, para gerenciar ações comuns em seu domínio gerenciado dos Serviços de Domínio Microsoft Entra.

Habilitar contas de usuário para os Serviços de Domínio Microsoft Entra

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio Microsoft Entra precisam de hashes de senha em um formato adequado para autenticação NTLM e Kerberos. O Microsoft Entra ID não gera nem armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio Microsoft Entra para seu locatário. Por motivos de segurança, o Microsoft Entra ID também não armazena credenciais de senha em formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente esses hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Depois de configurados adequadamente, os hashes de senha utilizáveis são armazenados no domínio gerenciado pelos Serviços de Domínio Microsoft Entra.

Atenção

Se você excluir esse domínio, todos os hashes de senha armazenados nesse ponto também serão excluídos.

As informações de credenciais sincronizadas no Microsoft Entra ID não podem ser reutilizadas se você criar posteriormente um domínio gerenciado pelos Serviços de Domínio do Microsoft Entra. Como resultado, você deve reconfigurar a sincronização de hash de senha para armazenar os hashes de senha novamente. Mesmo assim, VMs ou usuários previamente ingressados no domínio não poderão se autenticar imediatamente porque o ID do Microsoft Entra precisa gerar e armazenar os hashes de senha no novo domínio gerenciado dos Serviços de Domínio Microsoft Entra.

As etapas para gerar e armazenar esses hashes de senha são diferentes para contas de usuário somente na nuvem criadas no ID do Microsoft Entra versus contas de usuário sincronizadas do diretório local usando o Microsoft Entra Connect. Uma conta de usuário somente na nuvem é uma conta criada no diretório do Microsoft Entra usando o portal do Azure ou cmdlets do Microsoft Graph PowerShell . Essas contas de usuário não são sincronizadas a partir de um diretório local.

Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem usar os Serviços de Domínio Microsoft Entra. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados no Microsoft Entra ID. A conta não é sincronizada do ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra até que a senha seja alterada. Como resultado, você deve expirar as senhas para todos os usuários de nuvem no locatário que precisam usar os Serviços de Domínio Microsoft Entra, o que força uma alteração de senha na próxima entrada, ou instruir os usuários de nuvem a alterar manualmente suas senhas. No entanto, talvez seja necessário habilitar a redefinição de senha de autoatendimento para que os usuários da nuvem redefinissem sua senha.