Tutorial: como criar uma VM de gerenciamento para configurar e administrar um domínio gerenciado do Serviços de Domínio do Microsoft Entra

O Serviços de Domínio do Microsoft Entra fornece serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM, totalmente compatíveis com o Windows Server Active Directory. Você administra esse domínio gerenciado usando as mesmas RSAT (Ferramentas de Administração de Servidor Remoto) que um domínio local do Active Directory Domain Services. Como o Serviços de Domínio é um serviço gerenciado, há algumas tarefas administrativas que você não pode executar, como usar o protocolo de área de trabalho remota (RDP) para se conectar aos controladores de domínio.

Esse tutorial mostra como configurar uma VM do Windows Server no Azure e instalar as ferramentas necessárias para administrar um domínio gerenciado do Serviços de Domínio.

Neste tutorial, você aprenderá a:

  • Entender as tarefas administrativas disponíveis em um domínio gerenciado
  • Instalar as ferramentas administrativas do Active Directory em uma VM do Windows Server
  • Usar o Centro Administrativo do Active Directory para executar tarefas comuns

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Entre no centro de administração do Microsoft Entra

Neste tutorial, você deve criar e configurar uma VM de gerenciamento utilizando o centro de administração do Microsoft Entra. Para começar, primeiro entre no Centro de Administração do Microsoft Entra.

Tarefas administrativas disponíveis no Serviços de Domínio

O Serviços de Domínio fornece um domínio gerenciado para usuários, aplicativos e serviços consumirem. Essa abordagem altera algumas das tarefas de gerenciamento disponíveis que você pode fazer e quais privilégios você tem dentro do domínio gerenciado. Essas tarefas e permissões podem ser diferentes daquelas que você tem em um ambiente regular local do Active Directory Domain Services. Você também não pode se conectar a controladores de domínio do domínio gerenciado usando a Área de Trabalho Remota.

Tarefas administrativas que você pode executar em um domínio gerenciado

Membros do grupo Administradores do AAD DC recebem privilégios no domínio gerenciado que permitem executar tarefas como:

  • Configurar o GPO (objeto de política de grupo) interno para os contêineres Computadores do AADDC e Usuários do AADDC no domínio gerenciado.
  • Administre o DNS no domínio gerenciado.
  • Criar e administrar personalizado UOs (unidades organizacionais) personalizadas no domínio gerenciado.
  • Obter acesso administrativo a computadores ingressados no domínio gerenciado.

Privilégios administrativos que você não tem em um domínio gerenciado

O domínio gerenciado está bloqueado e, portanto, você não tem privilégios para executar determinadas tarefas administrativas no domínio. Alguns dos exemplos a seguir são tarefas que você não pode fazer:

  • Estender o esquema do domínio gerenciado.
  • Conectar-se a controladores de domínio do domínio gerenciado usando a Área de Trabalho Remota.
  • Adicionar controladores de domínio ao domínio gerenciado.
  • Você não tem privilégios de Administrador de Domínio ou de Administrador Corporativo para o domínio gerenciado.

Entrar na VM do Windows Server

No tutorial anterior, uma VM do Windows Server foi criada e unida ao domínio gerenciado. Use essa VM para instalar as ferramentas de gerenciamento. Se necessário, siga as etapas do tutorial para criar e unir uma VM do Windows Server a um domínio gerenciado.

Observação

Neste tutorial, você usa uma VM do Windows Server no Azure que está unida ao domínio gerenciado. Você também poderá usar um cliente do Windows, como o Windows 10, que estiver unido ao domínio gerenciado.

Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente do Windows, confira Instalar RSAT (Ferramentas de Administração de Servidor Remoto)

Para começar, conecte-se à VM do Windows Server, conforme a seguir:

  1. No centro de administração do Microsoft Entra, selecione Grupos de recursos no lado esquerdo. Escolha o grupo de recursos em que a VM foi criada, como myResourceGroup e, em seguida, selecione a VM, como myVM.

  2. No painel Visão geral da VM, selecione Conectar e, em seguida Bastion.

    Connect to Windows virtual machine using Bastion in the Microsoft Entra admin center

  3. Insira as credenciais da VM e, em seguida, selecione Conectar.

    Connect through the Bastion host in the Microsoft Entra admin center

Se necessário, permita que o navegador da Web abra pop-ups para que a conexão do Bastion seja exibida. São necessários alguns segundos para estabelecer a conexão com a VM.

Instale as ferramentas administrativas do Active Directory

Use as mesmas ferramentas administrativas em um domínio gerenciado como ambientes locais do AD DS, como o ADAC (Centro Administrativo do Active Directory) ou o AD PowerShell. Essas ferramentas podem ser instaladas como parte do recurso RSAT (Ferramentas de Administração de Servidor Remoto) no Windows Server e em computadores cliente. Então, os membros do grupo Administradores do AAD DC podem administrar domínios gerenciados remotamente usando essas ferramentas administrativas do AD por meio de um computador unido ao domínio gerenciado.

Para instalar as Ferramentas de Administração do Active Directory em uma máquina virtual unida ao domínio, conclua as seguintes etapas:

  1. Se Gerenciador do Servidor não abrir por padrão quando você entrar na VM, selecione o menu Iniciar e, em seguida, escolha Gerenciador do Servidor.

  2. No painel Dashboard da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.

  3. Na página Antes de Você Começar do Assistente de Adição de Funções e Recursos, selecione Avançar.

  4. Para o Tipo de Instalação, deixe a opção Instalação baseada em função ou recurso marcada e selecione Avançar.

  5. Na página Seleção de Servidor, escolha a VM atual no pool de servidores, como myvm.aaddscontoso.com e, em seguida, selecione Avançar.

  6. Na página Funções do Servidor, clique em Avançar.

  7. Na página Recursos, expanda o nó Ferramentas de Administração de Servidor Remoto e, em seguida, expanda o nó Ferramentas de Administração de Funções.

    Escolha o recurso Ferramentas do AD DS e do AD LDS na lista de ferramentas de administração de funções e, em seguida, selecione Avançar.

    Install the 'AD DS and AD LDS Tools' from the Features page

  8. Na página Confirmação, selecione Instalar. A instalação das ferramentas administrativas pode levar um ou dois minutos.

  9. Quando a instalação do recurso for concluída, selecione Fechar para sair do Assistente de Adição de Funções e Recursos.

Use as ferramentas administrativas do Active Directory

Com as ferramentas administrativas instaladas, vejamos como é possível usá-las para administrar o domínio gerenciado. Verifique se você está conectado à VM com uma conta de usuário que seja membro do grupo de Administradores do AAD DC.

  1. No menu Iniciar, selecione Ferramentas Administrativas do Windows. As ferramentas administrativas do AD instaladas na etapa anterior são listadas.

    List of Administrative Tools installed on the server

  2. Selecione Centro Administrativo do Active Directory.

  3. Para explorar o domínio gerenciado, escolha o nome de domínio no painel esquerdo, como aaddscontoso. Dois contêineres denominados Computadores do AADDC e Usuário do AADDC estão na parte superior da lista.

    List the available containers part of the managed domain

  4. Para ver os usuários e grupos que pertencem ao domínio gerenciado, selecione o contêiner Usuários do AADDC. As contas e os grupos de usuário do locatário do Microsoft Entra são listados neste contêiner.

    Na saída de exemplo a seguir, uma conta de usuário chamada Contoso Admin e um grupo para Administradores do AAD DC são mostrados neste contêiner.

    View the list of Domain Services domain users in the Active Directory Administrative Center

  5. Para ver os computadores que estão unidos ao domínio gerenciado, selecione o contêiner Computadores do AADDC. Uma entrada para a máquina virtual atual, como myVM, é listada. As contas de computador de todos os dispositivos que ingressaram no domínio gerenciado serão armazenadas no contêiner Computadores do AADDC.

Ações comuns do Centro Administrativo do Active Directory – como a redefinição de senha de uma conta de usuário ou o gerenciamento da associação a grupos – estão disponíveis. Essas ações só funcionam para usuários e grupos criados diretamente no domínio gerenciado. As informações de identidade são sincronizadas apenas do Microsoft Entra ID para o Serviços de Domínio. Não tem como fazer write-back do Serviços de Domínio para o Microsoft Entra ID. Você não pode alterar senhas ou membros de grupos gerenciados de usuários sincronizados do Microsoft Entra ID e sincronizar essas alterações novamente.

Você também pode usar o Módulo do Active Directory para Windows PowerShell, instalado como parte das ferramentas administrativas, para gerenciar ações comuns em seu domínio gerenciado.

Próximas etapas

Neste tutorial, você aprendeu a:

  • Entender as tarefas administrativas disponíveis em um domínio gerenciado
  • Instalar as ferramentas administrativas do Active Directory em uma VM do Windows Server
  • Usar o Centro Administrativo do Active Directory para executar tarefas comuns

Para interagir de maneira segura com o domínio gerenciado por meio de outros aplicativos, habilite o protocolo LDAPS.