- 01/20/2021
- 5 minutos para ler
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory Domain Services (AD DS) fornece serviços de gestão de domínios, tais como a adesão a domínios, política de grupo, LDAP (Lightweight Directory Access Protocol), e autenticação Kerberos/NTLM. Você usa esses serviços de domínio sem a necessidade de implantar, gerenciar e corrigir controladores de domínio (DCs) na nuvem.
Um domínio gerenciado por AD DS Azure permite que você execute aplicativos legados na nuvem que não podem usar métodos modernos de autenticação, ou onde você não quer que as pesquisas de diretório voltem sempre para um ambiente AD DS no local. Você pode levantar e mudar essas aplicações legadas do seu ambiente local para um domínio gerenciado, sem precisar gerenciar o ambiente AD DS na nuvem.
Azure AD DS integra-se com o seu inquilino Azure AD existente. Esta integração permite aos utilizadores iniciar sessão nos serviços e aplicações ligados ao domínio gerido, utilizando as suas credenciais existentes. Você também pode usar grupos e contas de usuário existentes para garantir o acesso aos recursos. Estes recursos proporcionam uma elevação e mudança mais suave dos recursos no local para Azure.
Dê uma olhada no nosso pequeno vídeo para saber mais sobre Azure AD DS.
Como funciona Azure AD DS?
Quando você cria um domínio gerenciado Azure AD DS, você define um namespace único. Este namespace é o nome do domínio, tal como aaddscontoso.com. Dois controladores de domínio Windows Server (DCs) são então implantados na sua região Azure selecionada. Esta implementação de DCs é conhecida como um conjunto de réplicas.
Você não precisa gerenciar, configurar ou atualizar esses DCs. A plataforma Azure lida com os CDs como parte do domínio gerenciado, incluindo backups e criptografia em repouso usando o Azure Disk Encryption.
Um domínio gerenciado é configurado para realizar uma sincronização unidirecional do Azure AD para fornecer acesso a um conjunto central de usuários, grupos e credenciais. Você pode criar recursos diretamente no domínio gerenciado, mas eles não são sincronizados de volta para o Azure AD. Aplicações, serviços e VMs no Azure que se conectam ao domínio gerenciado podem então usar recursos comuns do AD DS, como join de domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.
Em um ambiente híbrido com um ambiente AD DS no local, o Azure AD Connect sincroniza informações de identidade com o Azure AD, que é então sincronizado com o domínio gerenciado.
Azure AD DS replica informações de identidade do Azure AD, por isso funciona com lojistas Azure AD que são apenas nuvens, ou sincronizados com um ambiente AD DS no local. O mesmo conjunto de funcionalidades do Azure AD DS existe para ambos os ambientes.
- Se você tiver um ambiente AD DS no local, você pode sincronizar as informações da conta do usuário para fornecer uma identidade consistente para os usuários. Para saber mais, veja Como os objetos e credenciais são sincronizados em um domínio gerenciado.
- Para ambientes somente nuvens, você não precisa de um ambiente AD DS tradicional no local para usar os serviços de identidade centralizada do Azure AD DS.
Você pode expandir um domínio gerenciado para ter mais de uma réplica definida por locatário do Azure AD. Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual em qualquer região do Azure que suporte o Azure AD DS. Conjuntos de réplicas adicionais em diferentes regiões Azure fornecem recuperação de desastres geográficos para aplicativos legados se uma região Azure ficar offline. Os conjuntos de réplicas estão actualmente em pré-visualização. Para mais informações, consulte Réplica define conceitos e recursos para domínios gerenciados.
O vídeo a seguir fornece uma visão geral de como o Azure AD DS se integra com seus aplicativos e cargas de trabalho para fornecer serviços de identidade na nuvem:
Para ver cenários de implantação do Azure AD DS em ação, você pode explorar os exemplos a seguir:
- Azure AD DS para organizações híbridas
- Azure AD DS para organizações somente na nuvem
Azure AD DS recursos e benefícios
Para fornecer serviços de identidade para aplicativos e VMs na nuvem, o Azure AD DS é totalmente compatível com um ambiente tradicional de AD DS para operações como a junção de domínios, LDAPS (LDAPS) seguro, Política de Grupo, gerenciamento de DNS e suporte a bind e leitura de LDAP. O suporte à escrita LDAP está disponível para objetos criados no domínio gerenciado, mas não recursos sincronizados do Azure AD.
Para saber mais sobre suas opções de identidade, compare o Azure AD DS com Azure AD, AD DS em VMs Azure e AD DS no local.
Os seguintes recursos do Azure AD DS simplificam as operações de implantação e gerenciamento:
- Experiência de implantação simplificada: O Azure AD DS está habilitado para o seu locatário Azure AD usando um único assistente no portal Azure.
- Integrado com o Azure AD: Contas de usuário, associações de grupo e credenciais estão automaticamente disponíveis no seu inquilino Azure AD. Novos utilizadores, grupos ou alterações de atributos do seu inquilino Azure AD ou do seu ambiente AD DS no local são automaticamente sincronizados com o Azure AD DS.
- Contas em directórios externos ligados ao seu Azure AD não estão disponíveis no Azure AD DS. As credenciais não estão disponíveis para esses directórios externos, pelo que não podem ser sincronizadas num domínio gerido.
- Use as suas credenciais/palavras-passe corporativas: As senhas para usuários no Azure AD DS são as mesmas do seu inquilino Azure AD. Os usuários podem usar suas credenciais corporativas para entrar em máquinas de domínio, entrar interativamente ou através do desktop remoto, e autenticar-se contra o domínio gerenciado.
- autenticação NTLM e Kerberos: Com suporte para autenticação NTLM e Kerberos, você pode implementar aplicações que dependem da autenticação integrada ao Windows.
- Alta disponibilidade: O Azure AD DS inclui vários controladores de domínio, que fornecem alta disponibilidade para o seu domínio gerido. Esta alta disponibilidade garante a disponibilidade do serviço e a resiliência a falhas.
- Em regiões que suportam Zonas de Disponibilidade Azure, estes controladores de domínio também são distribuídos por zonas para resiliência adicional.
- Replicações também podem ser usadas para fornecer recuperação de desastres geográficos para aplicações legadas se uma região Azure ficar offline.
Alguns aspectos chave de um domínio gerenciado incluem o seguinte:
- O domínio gerenciado é um domínio autônomo. Não é uma extensão de um domínio local.
- Se necessário, podes criar trusts florestais de um lado para o outro do Azure AD DS para um ambiente AD DS no local. Para mais informações, veja Resource forest concepts and features for Azure AD DS.
- Sua equipe de TI não precisa gerenciar, corrigir ou monitorar controladores de domínio para este domínio gerenciado.
Para ambientes híbridos que rodam AD DS no local, você não precisa gerenciar a replicação do AD para o domínio gerenciado. Contas de usuário, associações de grupo e credenciais do seu diretório no local são sincronizados com o Azure AD via Azure AD Connect. Estas contas de utilizador, associações em grupo e credenciais estão automaticamente disponíveis dentro do domínio gerido.
Para saber mais sobre o Azure AD DS em comparação com outras soluções de identidade e como funciona a sincronização, consulte os seguintes artigos:
- Compare Azure AD DS com Azure AD, Active Directory Domain Services on Azure VMs, e Active Directory Domain Services on-premises
- Aprenda como Azure AD Domain Services se sincroniza com seu Azure AD directory
- Para aprender como administrar um domínio administrado, veja os conceitos de gerenciamento de contas de usuário, senhas, e administração no Azure AD DS.
Para começar, crie um domínio administrado usando o portal Azure.