- 01/2021
- 5 minutos para leer
-
- J
- k
- k
- M
- . i
-
+1
Azure Active Directory Domain Services (AD DS) proporciona servicios de dominio gestionados como la unión de dominios, política de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos/NTLM. Puede utilizar estos servicios de dominio sin necesidad de implementar, gestionar y aplicar parches a los controladores de dominio (DC) en la nube.
Un dominio gestionado de Azure AD DS le permite ejecutar aplicaciones heredadas en la nube que no pueden utilizar métodos de autenticación modernos, o en las que no desea que las búsquedas en el directorio vuelvan siempre a un entorno AD DS local. Puede levantar y trasladar esas aplicaciones heredadas de su entorno local a un dominio gestionado, sin necesidad de gestionar el entorno de AD DS en la nube.
Azure AD DS se integra con su inquilino de Azure AD existente. Esta integración permite a los usuarios iniciar sesión en los servicios y aplicaciones conectados al dominio gestionado utilizando sus credenciales existentes. También puede utilizar los grupos y las cuentas de usuario existentes para asegurar el acceso a los recursos. Estas características proporcionan un traslado más suave de los recursos locales a Azure.
Eche un vistazo a nuestro breve vídeo para obtener más información sobre Azure AD DS.
¿Cómo funciona Azure AD DS?
Cuando crea un dominio gestionado Azure AD DS, define un espacio de nombres único. Este espacio de nombres es el nombre del dominio, como aaddscontoso.com. A continuación, se implementan dos controladores de dominio (DC) de Windows Server en la región de Azure seleccionada. Este despliegue de DCs se conoce como conjunto de réplicas.
No es necesario administrar, configurar o actualizar estos DCs. La plataforma Azure gestiona los DC como parte del dominio gestionado, incluyendo las copias de seguridad y el cifrado en reposo mediante Azure Disk Encryption.
Un dominio gestionado está configurado para realizar una sincronización unidireccional desde Azure AD para proporcionar acceso a un conjunto central de usuarios, grupos y credenciales. Puede crear recursos directamente en el dominio gestionado, pero no se sincronizan con Azure AD. Las aplicaciones, los servicios y las máquinas virtuales en Azure que se conectan al dominio gestionado pueden entonces utilizar características comunes de AD DS como la unión de dominios, la política de grupo, LDAP y la autenticación Kerberos/NTLM.
En un entorno híbrido con un entorno AD DS local, Azure AD Connect sincroniza la información de identidad con Azure AD, que luego se sincroniza con el dominio gestionado.
Azure AD DS replica la información de identidad de Azure AD, por lo que funciona con los inquilinos de Azure AD que están en la nube o sincronizados con un entorno AD DS local. El mismo conjunto de características de Azure AD DS existe para ambos entornos.
- Si tiene un entorno AD DS local existente, puede sincronizar la información de la cuenta de usuario para proporcionar una identidad coherente a los usuarios. Para obtener más información, consulte Cómo se sincronizan los objetos y las credenciales en un dominio gestionado.
- Para los entornos solo en la nube, no necesita un entorno tradicional de AD DS local para utilizar los servicios de identidad centralizados de Azure AD DS.
Puede ampliar un dominio gestionado para tener más de un conjunto de réplicas por arrendatario de Azure AD. Los conjuntos de réplicas pueden añadirse a cualquier red virtual de pares en cualquier región de Azure que admita Azure AD DS. Los conjuntos de réplica adicionales en diferentes regiones de Azure proporcionan una recuperación de desastres geográficos para las aplicaciones heredadas si una región de Azure se desconecta. Los conjuntos de réplica están actualmente en fase de vista previa. Para obtener más información, consulte Conceptos y características de los conjuntos de réplica para dominios gestionados.
El siguiente vídeo proporciona una visión general de cómo Azure AD DS se integra con sus aplicaciones y cargas de trabajo para proporcionar servicios de identidad en la nube:
Para ver los escenarios de implementación de Azure AD DS en acción, puede explorar los siguientes ejemplos:
- Azure AD DS para organizaciones híbridas
- Azure AD DS para organizaciones solo en la nube
Características y ventajas de Azure AD DS
Para proporcionar servicios de identidad a aplicaciones y máquinas virtuales en la nube, Azure AD DS es totalmente compatible con un entorno AD DS tradicional para operaciones como la unión de dominios, el LDAP seguro (LDAPS), la directiva de grupo, la gestión de DNS y el soporte de enlace y lectura de LDAP. La compatibilidad con la escritura LDAP está disponible para los objetos creados en el dominio gestionado, pero no para los recursos sincronizados desde Azure AD.
Para obtener más información sobre sus opciones de identidad, compare Azure AD DS con Azure AD, AD DS en máquinas virtuales de Azure y AD DS en las instalaciones.
Las siguientes características de Azure AD DS simplifican las operaciones de implementación y gestión:
- Experiencia de implementación simplificada: Azure AD DS se habilita para su tenant de Azure AD mediante un único asistente en el portal de Azure.
- Integrado con Azure AD: Las cuentas de usuario, la pertenencia a grupos y las credenciales están disponibles automáticamente desde su tenant de Azure AD. Los nuevos usuarios, grupos o cambios en los atributos de su tenant de Azure AD o de su entorno de AD DS local se sincronizan automáticamente con Azure AD DS.
- Las cuentas de los directorios externos vinculados a su Azure AD no están disponibles en Azure AD DS. Las credenciales no están disponibles para esos directorios externos, por lo que no se pueden sincronizar en un dominio gestionado.
- Utilice sus credenciales/contraseñas corporativas: Las contraseñas de los usuarios en Azure AD DS son las mismas que en su tenant de Azure AD. Los usuarios pueden utilizar sus credenciales corporativas para unirse a los equipos del dominio, iniciar sesión de forma interactiva o a través del escritorio remoto y autenticarse contra el dominio gestionado.
- Autenticación NTLM y Kerberos: Con la compatibilidad con la autenticación NTLM y Kerberos, puede implementar aplicaciones que dependen de la autenticación integrada en Windows.
- Alta disponibilidad: Azure AD DS incluye varios controladores de dominio, que proporcionan alta disponibilidad para su dominio gestionado. Esta alta disponibilidad garantiza el tiempo de actividad del servicio y la resiliencia a los fallos.
- En las regiones que admiten Azure Availability Zones, estos controladores de dominio también se distribuyen por zonas para una resiliencia adicional.
- Los conjuntos de réplicas también pueden utilizarse para proporcionar una recuperación de desastres geográficos para las aplicaciones heredadas si una región de Azure se desconecta.
Algunos aspectos clave de un dominio gestionado incluyen los siguientes:
- El dominio gestionado es un dominio independiente. No es una extensión de un dominio local.
- Si es necesario, puede crear fideicomisos forestales unidireccionales de salida desde Azure AD DS a un entorno AD DS local. Para obtener más información, consulte Conceptos y características de bosques de recursos para Azure AD DS.
- Su equipo de TI no necesita administrar, aplicar parches ni supervisar los controladores de dominio para este dominio administrado.
Para los entornos híbridos que ejecutan AD DS en las instalaciones, no necesita administrar la replicación de AD en el dominio administrado. Las cuentas de usuario, las pertenencias a grupos y las credenciales de su directorio local se sincronizan con Azure AD a través de Azure AD Connect. Estas cuentas de usuario, membresías de grupo y credenciales están disponibles automáticamente en el dominio gestionado.
Para obtener más información sobre Azure AD DS en comparación con otras soluciones de identidad y sobre cómo funciona la sincronización, consulte los siguientes artículos:
- Compare Azure AD DS con Azure AD, los servicios de dominio de Active Directory en las máquinas virtuales de Azure y los servicios de dominio de Active Directory en las instalaciones
- Aprenda cómo los servicios de dominio de Azure AD se sincronizan con su directorio de Azure AD
- Para aprender a administrar un dominio gestionado, consulte los conceptos de gestión de cuentas de usuario, contraseñas y administración en Azure AD DS.
Para empezar, cree un dominio administrado utilizando el portal de Azure.