Comparar Active Directory Domain Services autogerenciadas, Microsoft Entra ID e Microsoft Entra Domain Services gerenciados

Para fornecer acesso a uma identidade central a aplicativos, serviços ou dispositivos, há três maneiras comuns no Azure de usar serviços baseados no Active Directory. Essa opção nas soluções de identidade proporciona a flexibilidade de usar o diretório mais apropriado para as necessidades da organização. Por exemplo, se você gerenciar principalmente usuários somente de nuvem que executam dispositivos móveis, talvez não faça sentido compilar e executar sua própria solução de identidade de AD DS (Active Directory Domain Services). Em vez disso, basta usar Microsoft Entra ID.

Embora as três soluções de identidade baseadas em Active Directory compartilhem um nome e uma tecnologia comuns, elas foram projetadas para fornecer serviços que atendem a diferentes demandas dos clientes. Em alto nível, essas soluções de identidade e conjuntos de recursos são:

  • AD DS (Active Directory Domain Services) – servidor de protocolo LDAP pronto para empresas que fornece recursos importantes como identidade e autenticação, gerenciamento de objetos de computador, política de grupo e relações de confiança.
  • Microsoft Entra ID – Gerenciamento de dispositivo móvel e identidade baseada em nuvem que fornece serviços de autenticação e de conta de usuário para recursos como o Microsoft 365, o centro de administração do Microsoft Entra ou aplicativos SaaS.
    • O Microsoft Entra ID pode ser sincronizado com um ambiente de AD DS local para fornecer uma única identidade para os usuários que trabalham nativamente na nuvem.
    • Para obter mais informações sobre Microsoft Entra ID, consulte O que é Microsoft Entra ID?
  • Microsoft Entra Domain Services: fornece serviços de domínio gerenciado com um subconjunto de recursos tradicionais do AD DS totalmente compatíveis, como ingresso no domínio, política de grupo, LDAP e autenticação de Kerberos/NTLM.
    • O Domain Services se integra ao Microsoft Entra ID, que, por si só, pode ser sincronizado com um ambiente do AD DS local. Essa capacidade estende os casos de uso da identidade central para aplicativos Web tradicionais que são executados no Azure como parte de uma estratégia de lift-and-shift.
    • Para saber mais sobre a sincronização com o Microsoft Entra ID e o local, confira Como os objetos e as credenciais são sincronizados em um domínio gerenciado.

Este artigo de visão geral compara e contrasta como essas soluções de identidade podem trabalhar em conjunto ou ser usadas de forma independente, dependendo das necessidades da organização.

Domain Services e AD DS autogerenciado

Se você tiver aplicativos e serviços que precisam ter acesso a mecanismos de autenticação tradicionais, como Kerberos ou NTLM, haverá duas maneiras de fornecer o Active Directory Domain Services na nuvem:

  • Um domínio gerenciado que você cria usando o Microsoft Entra Domain Services. A Microsoft cria e gerencia os recursos necessários.
  • Um domínio autogerenciado que você cria e configura usando recursos tradicionais, como VMs (máquinas virtuais), SO convidado do Windows Server e AD DS (Active Directory Domain Services). Em seguida, você continua administrando esses recursos.

Com o Domain Services, os principais componentes de serviço são implantados e mantidos para você pela Microsoft como uma experiência de domínio gerenciado. Você não implanta, não gerencia, não aplica patches e nem protege a infraestrutura de AD DS de componentes como as VMs, o sistema operacional Windows Server ou DCs (controladores de domínio).

O Domain Services fornece um subconjunto menor de recursos para o ambiente de AD DS tradicional autogerenciado, que reduz parte da complexidade do design e do gerenciamento. Por exemplo, não há florestas, domínios, sites e links de replicação do AD para criar e manter. Você ainda pode criar relações de confiança de floresta entre o Domain Services e os ambientes locais.

Para aplicativos e serviços que são executados na nuvem e precisam de acesso a mecanismos de autenticação tradicionais, como Kerberos ou NTLM, o Domain Services fornece uma experiência de domínio gerenciado com o mínimo de sobrecarga administrativa. Para obter mais informações, confira Conceitos de gerenciamento para contas de usuário, senhas e administração no Domain Services.

Ao implantar e executar um ambiente de AD DS autogerenciado, você precisa manter toda a infraestrutura e os componentes de diretório associados. Há uma sobrecarga de manutenção adicional com um ambiente de AD DS autogerenciado, mas com ele você pode executar tarefas adicionais, tais como estender o esquema e criar relações de confiança de floresta.

Os modelos de implantação comuns para um ambiente do AD DS autogerenciado que fornece identidade para aplicativos e serviços na nuvem incluem o seguinte:

  • AD DS autônomo somente em nuvem – as VMs do Azure são configuradas como controladores de domínio e um ambiente separado do AD DS somente na nuvem é criado. Esse ambiente do AD DS não se integra a um ambiente do AD DS local. Um conjunto diferente de credenciais é usado para entrar em VMs na nuvem e administrá-las.
  • Estender o domínio local para o Azure – uma rede virtual do Azure conecta-se a uma rede local usando uma conexão VPN/ExpressRoute. As VMs do Azure se conectam a essa rede virtual do Azure, que permite que elas ingressem no domínio do ambiente do AD DS local.
    • Uma alternativa é criar VMs do Azure e promovê-las como controladores de domínio de réplica do domínio do AD DS local. Esses controladores de domínio fazem replicação por uma conexão de VPN/ExpressRoute para o ambiente do AD DS local. O domínio do AD DS local é estendido efetivamente para o Azure.

A tabela a seguir descreve alguns dos recursos que podem ser necessários para sua organização e as diferenças entre um domínio gerenciado e um domínio autogerenciado do AD DS:

Recurso Domínio gerenciado AD DS autogerenciado
Serviço gerenciado
Implantações seguras O administrador protege a implantação
Servidor DNS Serviço gerenciado
Privilégios de administrador corporativo ou de domínio
Ingresso no domínio
Autenticação de domínio usando Kerberos e NTLM
Delegação restrita de Kerberos Baseado em recursos Baseado em recursos e em conta
Estrutura de UO personalizada
Política de Grupo
Extensões de esquema
Relações de confiança de floresta/domínio do AD (somente relações de confiança de floresta de saída unidirecional)
LDAPS (LDAP Seguro)
Leitura LDAP
Gravação LDAP (dentro do domínio gerenciado)
Implantações com distribuição geográfica

Domain Services e Microsoft Entra ID

O Microsoft Entra ID permite que você gerencie a identidade dos dispositivos usados pela organização e controle o acesso aos recursos corporativos desses dispositivos. Os usuários também podem registrar os dispositivos pessoais deles (um modelo BYO – traga o próprio) no Microsoft Entra ID, que fornece uma identidade ao dispositivo. Microsoft Entra ID autentica o dispositivo quando um usuário entra no Microsoft Entra ID e usa o dispositivo para acessar recursos protegidos. O dispositivo pode ser gerenciado usando o software de MDM (Gerenciamento de Dispositivo Móvel), como o Microsoft Intune. Essa capacidade de gerenciamento permite que você restrinja o acesso a recursos confidenciais somente a dispositivos gerenciados e em conformidade com a política.

Computadores e laptops tradicionais também podem ingressar no Microsoft Entra ID. Esse mecanismo oferece os mesmos benefícios de registrar um dispositivo pessoal com o Microsoft Entra ID, tais como permitir que os usuários entrem no dispositivo usando as credenciais corporativas deles.

Os dispositivos adicionados ao Microsoft Entra oferecem os seguintes benefícios:

  • SSO (logon único) para aplicativos protegidos por Microsoft Entra ID.
  • Roaming em conformidade com a política corporativa das configurações de usuário entre dispositivos.
  • Acesso à Microsoft Store para Empresas usando credenciais corporativas.
  • Windows Hello for Business.
  • Acesso restrito aos aplicativos e recursos de dispositivos em conformidade com as políticas corporativas.

Os dispositivos podem ser ingressados no Microsoft Entra ID com ou sem uma implantação híbrida que inclui um ambiente do AD DS local. A tabela a seguir descreve os modelos de propriedade de dispositivo comuns e como eles normalmente seriam ingressados em um domínio:

Tipo de dispositivo Plataformas de dispositivo Mecanismo
Dispositivos pessoais Windows 10, iOS, Android, macOS Registrado no Microsoft Entra
Dispositivo pertencente à organização não ingressado no AD DS local Windows 10 Ingressado no Microsoft Entra
Dispositivo pertencente à organização ingressado em um AD DS local Windows 10 Ingressado no Microsoft Entra híbrido

Em um dispositivo registrado ou ingressado no Microsoft Entra, a autenticação de usuário ocorre por meio do uso de protocolos modernos baseados em OAuth/OpenID Connect. Esses protocolos são projetados para funcionarem pela Internet e são ótimos para cenários móveis, nos quais os usuários acessam recursos corporativos de qualquer lugar.

Com os dispositivos ingressados no Domain Services, os aplicativos podem usar os protocolos Kerberos e NTLM para autenticação e, portanto, podem dar suporte a aplicativos herdados migrados para execução em VMs do Azure como parte de uma estratégia de lift-and-shift. A tabela a seguir mostra as diferenças em como os dispositivos são representados e podem se autenticar no diretório:

Aspecto Ingressado no Microsoft Entra Ingressado no Domain Services
Dispositivo controlado por ID do Microsoft Entra Domínio gerenciado do Domain Services
Representação no diretório Objetos de dispositivo no diretório Microsoft Entra Objetos de computador no domínio gerenciado do Domain Services
Autenticação Protocolos baseados em OAuth/OpenID Connect Protocolos NTLM e Kerberos
Gerenciamento Software de MDM (Gerenciamento de Dispositivo Móvel) como o Intune Política de Grupo
Rede Funciona pela Internet Deve estar conectado à rede virtual em que o domínio gerenciado está implantado ou estar emparelhado com ela
Excelente para... Dispositivos da área de trabalho ou móveis de usuários finais VMs de servidor implantadas no Azure

Se o AD DS local e o Microsoft Entra ID forem configurados para autenticação federada usando o AD FS, então não haverá nenhum hash de senha (atual/válido) disponível no Azure DS. As contas de usuário do Microsoft Entra criadas antes da implementação da autenticação federada podem ter um hash de senha antigo, que, provavelmente, não corresponderá a qualquer hash da senha no local. Como resultado, o Domain Services não poderá validar as credenciais dos usuários

Próximas etapas

Para começara usar um Domain Services, crie um domínio gerenciado do Domain Services utilizando o centro de administração do Microsoft Entra.

Você também pode aprender mais sobre os conceitos de gerenciamento de para contas de usuário, senhas e administração no Domain Services e como os objetos e as credenciais são sincronizados em um domínio gerenciado.