Esta página responde a perguntas frequentes sobre os Serviços de Domínio Microsoft Entra.
Configuração
Posso criar vários domínios gerenciados para um único diretório do Microsoft Entra?
Não. Você só pode criar um único domínio gerenciado atendido pelos Serviços de Domínio Microsoft Entra para um único diretório do Microsoft Entra.
Posso habilitar os Serviços de Domínio Microsoft Entra em uma rede virtual clássica?
Não há suporte para redes virtuais clássicas.
Para obter mais informações, consulte o aviso oficial de descontinuação.
Posso habilitar os Serviços de Domínio do Microsoft Entra em uma rede virtual do Azure Resource Manager?
Sim. Os Serviços de Domínio Microsoft Entra podem ser habilitados em uma rede virtual do Azure Resource Manager. As redes virtuais clássicas do Azure não estão mais disponíveis quando você cria um domínio gerenciado.
Posso habilitar os Serviços de Domínio do Microsoft Entra em uma assinatura do Azure CSP (Provedor de Soluções na Nuvem)?
Sim. Para obter mais informações, consulte como habilitar os Serviços de Domínio do Microsoft Entra em assinaturas do Azure CSP.
Posso disponibilizar os Serviços de Domínio Microsoft Entra em várias redes virtuais dentro da minha assinatura?
O serviço em si não suporta diretamente esse cenário. Seu domínio gerenciado está disponível em apenas uma rede virtual de cada vez. No entanto, você pode configurar a conectividade entre várias redes virtuais para expor os Serviços de Domínio Microsoft Entra a outras redes virtuais. Para obter mais informações, consulte como conectar redes virtuais no Azure usando gateways VPN ou emparelhamento de rede virtual.
Posso adicionar controladores de domínio a um domínio gerenciado pelos Serviços de Domínio Microsoft Entra?
Não. O domínio fornecido pelo Microsoft Entra Domain Services é um domínio gerenciado. Não é necessário provisionar, configurar ou gerenciar controladores de domínio para este domínio. Essas atividades de gerenciamento são fornecidas como um serviço pela Microsoft. Portanto, não é possível adicionar mais controladores de domínio (leitura-gravação ou somente leitura) para o domínio gerenciado.
Posso expandir um domínio gerenciado para diferentes regiões do Azure para recuperação de aplicativos se uma região do Azure ficar offline?
Sim.
Você pode criar conjuntos de réplicas que compartilham o mesmo namespace e configuração com seu domínio gerenciado.
Os conjuntos de réplicas podem ser adicionados a qualquer rede virtual emparelhada em qualquer região do Azure que ofereça suporte aos Serviços de Domínio.
Para obter mais informações, consulte Conceitos e recursos de conjuntos de réplicas para os Serviços de Domínio do Microsoft Entra.
Posso habilitar os Serviços de Domínio do Microsoft Entra em um diretório federado do Microsoft Entra sem sincronização de hash de senha?
Não. Para autenticar usuários via NTLM ou Kerberos, os Serviços de Domínio Microsoft Entra precisam acessar os hashes de senha das contas de usuário. Em um diretório federado, hashes de senha não são armazenados no diretório Microsoft Entra. Portanto, os Serviços de Domínio do Microsoft Entra não funcionam com esses diretórios do Microsoft Entra.
No entanto, se você estiver usando o Microsoft Entra Connect para sincronização de hash de senha, poderá usar os Serviços de Domínio do Microsoft Entra porque os valores de hash de senha são armazenados na ID do Microsoft Entra.
Posso habilitar os Serviços de Domínio do Microsoft Entra usando o PowerShell?
Sim. Para obter mais informações, consulte como habilitar os Serviços de Domínio do Microsoft Entra usando o PowerShell.
Posso habilitar os Serviços de Domínio do Microsoft Entra usando um Modelo do Gerenciador de Recursos?
Sim, você pode criar um domínio gerenciado dos Serviços de Domínio Microsoft Entra usando um modelo do Gerenciador de Recursos. Uma entidade de serviço e um grupo do Microsoft Entra para administração devem ser criados usando o centro de administração do Microsoft Entra ou o PowerShell antes que o modelo seja implantado. Quando você cria um domínio gerenciado dos Serviços de Domínio Microsoft Entra no centro de administração do Microsoft Entra, também há uma opção para exportar o modelo para uso com outras implantações. Para obter mais informações, consulte Criar um domínio gerenciado dos Serviços de Domínio usando um modelo do Azure Resource Manager.
Os usuários convidados que são convidados para o meu diretório podem usar os Serviços de Domínio do Microsoft Entra?
Não. Os usuários convidados para o diretório do Microsoft Entra usando o processo de convite do Microsoft Entra B2B são sincronizados no domínio gerenciado dos Serviços de Domínio Microsoft Entra. No entanto, as senhas para esses usuários não são armazenadas no diretório do Microsoft Entra. Portanto, o Microsoft Entra Domain Services não tem como sincronizar hashes NTLM e Kerberos para esses usuários em seu domínio gerenciado. Esses usuários não podem entrar ou ingressar computadores no domínio gerenciado.
É possível criar uma relação de confiança de floresta bidirecional entre os Serviços de Domínio e uma floresta local?
Sim, você pode criar uma relação de confiança bidirecional. Você também pode criar uma confiança de saída unidirecional ou uma confiança de entrada unidirecional para oferecer suporte a diferentes cenários de autenticação e acesso de usuários. Para obter mais informações, consulte Criar uma relação de confiança de floresta.
Os Serviços de Domínio suportam a criação de confiança externa com domínios filho no local?
Atualmente, os Serviços de Domínio suportam apenas a confiança da floresta e não suportam relações de confiança de domínio externas.
Posso mover um domínio gerenciado?
Depois de criar um domínio gerenciado pelos Serviços de Domínio, não é possível movê-lo para uma assinatura, grupo de recursos ou região diferente. Para alterar a região, uma possível solução seria implantar um novo conjunto de réplicas na região para a qual você deseja migrar. Quando isso for concluído, exclua o conjunto de réplicas na região que você não deseja mais. Como solução alternativa para o restante das configurações, você pode excluir o domínio gerenciado usando o PowerShell ou o centro de administração do Microsoft Entra e recriá-lo com a configuração desejada. Nenhuma operação de restauração pode ser fornecida enquanto o domínio gerenciado é recriado.
Posso renomear um nome de domínio existente dos Serviços de Domínio Microsoft Entra?
Não. Depois de criar um domínio gerenciado dos Serviços de Domínio Microsoft Entra, não é possível alterar o nome de domínio DNS. Escolha cuidadosamente o nome de domínio DNS ao criar o domínio gerenciado. Para obter considerações ao escolher o nome de domínio DNS, consulte o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Os Serviços de Domínio do Microsoft Entra incluem opções de alta disponibilidade?
Sim. Cada domínio gerenciado dos Serviços de Domínio Microsoft Entra inclui dois controladores de domínio. Você não gerencia ou se conecta a esses controladores de domínio, eles fazem parte do serviço gerenciado. Se você implantar os Serviços de Domínio Microsoft Entra em uma região que ofereça suporte a Zonas de Disponibilidade, os controladores de domínio serão distribuídos entre zonas. Em regiões que não oferecem suporte a zonas de disponibilidade, os controladores de domínio são distribuídos entre conjuntos de disponibilidade. Você não tem opções de configuração ou controle de gerenciamento sobre essa distribuição. Para obter mais informações, consulte Opções de disponibilidade para máquinas virtuais no Azure.
Administração e operações
Posso me conectar ao controlador de domínio do meu domínio gerenciado usando a Área de Trabalho Remota?
Não. Você não tem permissões para se conectar a controladores de domínio para o domínio gerenciado usando a Área de Trabalho Remota. Os membros do grupo Administradores de DC do Microsoft Entra podem administrar o domínio gerenciado usando ferramentas de administração do AD, como o Centro de Administração do Ative Directory (ADAC) ou o AD PowerShell. Essas ferramentas são instaladas usando o recurso Ferramentas de Administração de Servidor Remoto em um servidor Windows associado ao domínio gerenciado. Para obter mais informações, consulte Criar uma VM de gerenciamento para configurar e administrar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Ativei os Serviços de Domínio do Microsoft Entra. Que conta de utilizador utilizo para associar máquinas a este domínio?
Qualquer conta de usuário que faça parte do domínio gerenciado pode ingressar em uma VM. Os membros do grupo Administradores de DC do Microsoft Entra recebem acesso à área de trabalho remota para máquinas que ingressaram no domínio gerenciado.
Existe alguma quota para o número de máquinas que posso associar ao domínio?
Não há cota nos Serviços de Domínio para máquinas ingressadas no domínio.
Como o tempo é sincronizado para máquinas virtuais (VMs) que ingressam em um domínio gerenciado?
As VMs executadas no Azure são sincronizadas com os hosts do Azure por tempo altamente preciso. As VMs que não são do Azure executadas no local precisam ter os Serviços de Tempo do Windows configurados para sincronização com uma fonte de tempo NTP externa, da mesma forma que as VMs ingressadas no domínio. Para obter mais informações, consulte Configurar o mecanismo de tempo para máquinas virtuais Windows do Ative Directory no Azure.
Tenho privilégios de administrador de domínio para o domínio gerenciado fornecido pelos Serviços de Domínio Microsoft Entra?
Não. Você não recebe privilégios administrativos no domínio gerenciado. Os privilégios de Administrador de Domínio e Administrador Corporativo não estão disponíveis para uso no domínio. Os membros dos grupos de administradores de domínio ou de administradores empresariais no Ative Directory local também não recebem privilégios de administrador de domínio/empresa no domínio gerenciado.
Posso modificar associações de grupo usando LDAP ou outras ferramentas administrativas do AD em domínios gerenciados?
Os usuários e grupos sincronizados da ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra não podem ser modificados porque sua fonte de origem é a ID do Microsoft Entra. Isso inclui mover usuários ou grupos da unidade organizacional gerenciada por usuários AADDC para uma unidade organizacional personalizada. Qualquer usuário ou grupo originado no domínio gerenciado pode ser modificado.
Posso autorizar um servidor DHCP num domínio gerido?
Não. A associação de administradores de domínio é necessária para autorizar um servidor DHCP, que não está disponível em um domínio gerenciado.
Quanto tempo demora para que as alterações feitas no meu diretório do Microsoft Entra fiquem visíveis no meu domínio gerenciado?
As alterações feitas no diretório do Microsoft Entra usando a interface do usuário do Microsoft Entra ou o PowerShell são sincronizadas automaticamente com o domínio gerenciado. Esse processo de sincronização é executado em segundo plano. Não há um período de tempo definido para que essa sincronização conclua todas as alterações de objeto.
Posso estender o esquema do domínio gerenciado fornecido pelos Serviços de Domínio Microsoft Entra?
Não. O esquema é administrado pela Microsoft para o domínio gerenciado. As extensões de esquema não são suportadas pelos Serviços de Domínio Microsoft Entra.
Posso modificar ou adicionar registos DNS no meu domínio gerido?
Sim. Os membros do grupo Administradores de DC do Microsoft Entra recebem privilégios de Administrador de DNS para modificar registros DNS no domínio gerenciado. Esses usuários podem usar o console do Gerenciador DNS em uma máquina que executa o Windows Server ingressado no domínio gerenciado para gerenciar o DNS. Para usar o console do Gerenciador DNS, instale as Ferramentas de Servidor DNS, que fazem parte do recurso opcional Ferramentas de Administração de Servidor Remoto no servidor. Para obter mais informações, consulte Administrar DNS em um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Qual é a política de tempo de vida da senha em um domínio gerenciado?
O tempo de vida da senha padrão em um domínio gerenciado dos Serviços de Domínio Microsoft Entra é de 90 dias. Este tempo de vida da palavra-passe não está sincronizado com o tempo de vida da palavra-passe configurado no Microsoft Entra ID. Portanto, você pode ter uma situação em que as senhas dos usuários expiram em seu domínio gerenciado, mas ainda são válidas no Microsoft Entra ID. Nesses cenários, os usuários precisam alterar sua senha no Microsoft Entra ID e a nova senha será sincronizada com seu domínio gerenciado. Se quiser alterar o tempo de vida da senha padrão em um domínio gerenciado, você pode criar e configurar políticas de senha personalizadas.
Além disso, a política de senha do Microsoft Entra para DisablePasswordExpiration é sincronizada com um domínio gerenciado. Quando DisablePasswordExpiration é aplicado a um usuário no Microsoft Entra ID, o valor UserAccountControl para o usuário sincronizado no domínio gerenciado DONT_EXPIRE_PASSWORD aplicado.
Quando os usuários redefinem sua senha no Microsoft Entra ID, o atributo forceChangePasswordNextSignIn=True é aplicado. Um domínio gerenciado sincroniza esse atributo do Microsoft Entra ID. Quando o domínio gerenciado deteta que forceChangePasswordNextSignIn está definido para um usuário sincronizado do ID do Microsoft Entra, o atributo pwdLastSet no domínio gerenciado é definido como 0, o que invalida a senha definida no momento.
Os Serviços de Domínio do Microsoft Entra fornecem proteção contra bloqueio de conta do AD?
Sim. Cinco tentativas de senha inválidas em 2 minutos no domínio gerenciado fazem com que uma conta de usuário seja bloqueada por 30 minutos. Após 30 minutos, a conta de utilizador é automaticamente desbloqueada. Tentativas de senha inválidas no domínio gerenciado não bloqueiam a conta de usuário no ID do Microsoft Entra. A conta de utilizador está bloqueada apenas no seu domínio gerido pelos Serviços de Domínio Microsoft Entra. Para obter mais informações, consulte Políticas de bloqueio de senha e conta em domínios gerenciados.
Posso configurar o Sistema de Arquivos Distribuídos e a replicação nos Serviços de Domínio Microsoft Entra?
Não. O DFS (Sistema de Arquivos Distribuídos) e a replicação não estão disponíveis ao usar os Serviços de Domínio Microsoft Entra.
Como as Atualizações do Windows são aplicadas nos Serviços de Domínio Microsoft Entra?
Os controladores de domínio em um domínio gerenciado aplicam automaticamente as atualizações necessárias do Windows. Não há nada para você configurar ou administrar aqui. Certifique-se de que não cria regras de grupo de segurança de rede que bloqueiem o tráfego de saída para as Atualizações do Windows. Para suas próprias VMs associadas ao domínio gerenciado, você é responsável por configurar e aplicar todas as atualizações necessárias do sistema operacional e do aplicativo.
Devo remover as tags AzureUpdateDelivery e AzureFrontDoor.FirstParty no NSG (grupo de segurança de rede) de saída?
Com a substituição das tags AzureUpdateDelivery e AzureFrontDoor.FirstParty, os Serviços de Domínio do Microsoft Entra não recomendam mais adicionar essas tags ao tráfego de saída da Internet. Se você usar a regra padrão AllowInternetOutBound (prioridade 65001), nenhuma alteração será necessária (com ou sem as tags AzureUpdateDelivery e AzureFrontDoor.FirstParty). Se você remover a regra padrão AllowInternetOutBound (prioridade 65001) ou precedê-la com uma regra InternetOutBound negada, use um firewall para filtrar o tráfego de saída do Windows Update usando o FQDN do WindowsUpdate em vez de restringir InternetOutBound. Esta etapa é crucial para que os Serviços de Domínio Microsoft Entra continuem recebendo atualizações do Windows. Para obter mais informações, consulte Alterações chegando à marca de serviço AzureUpdateDelivery.
Onde os Serviços de Domínio Microsoft Entra armazenam dados de clientes?
Os Serviços de Domínio do Microsoft Entra armazenam dados de clientes. Por padrão, os dados do cliente permanecem na região onde a instância de serviço é implantada. Os clientes podem usar conjuntos de réplicas para armazenar dados em outras regiões.
Como a aplicação de patches é executada em controladores de domínio que fazem parte de um domínio gerenciado?
Os patches são instalados assim que ficam disponíveis (todas as segundas terças-feiras). Eles são instalados em fases durante a semana em que ficam disponíveis, começando às terças-feiras.
Por que meus controladores de domínio mudam de nome?
É possível que, durante a manutenção dos controladores de domínio, haja uma alteração em seus nomes. Para evitar problemas com esse tipo de alteração, é recomendável não usar os nomes dos controladores de domínio codificados em aplicativos e/ou outros recursos de domínio, mas o FQDN do domínio. Dessa forma, não importa quais sejam os nomes dos controladores de domínio, você não precisará reconfigurar nada após uma alteração de nome.
A senha da conta KRBTGT em um domínio gerenciado é rolada periodicamente? Em caso afirmativo, qual é a frequência?
A palavra-passe da conta KRBTGT num domínio gerido é transferida a cada sete (7) dias.
Faturação e disponibilidade
O Microsoft Entra Domain Services é um serviço pago?
Sim. Para obter mais informações, consulte a página de preços.
Existe uma avaliação gratuita para o serviço?
Os Serviços de Domínio do Microsoft Entra estão incluídos na avaliação gratuita do Azure. Você pode se inscrever para uma avaliação gratuita de um mês do Azure.
Posso pausar um domínio gerenciado dos Serviços de Domínio Microsoft Entra?
Não. Depois de habilitar um domínio gerenciado dos Serviços de Domínio Microsoft Entra, o serviço estará disponível na rede virtual selecionada até que você exclua o domínio gerenciado. Não há como pausar o serviço. A cobrança continua por hora até que você exclua o domínio gerenciado.
Posso fazer failover dos Serviços de Domínio Microsoft Entra para outra região para um evento de DR?
Sim, para fornecer resiliência geográfica para um domínio gerenciado, você pode criar outro conjunto de réplicas para uma rede virtual emparelhada em qualquer região do Azure que ofereça suporte aos Serviços de Domínio. Os conjuntos de réplicas compartilham o mesmo namespace e a mesma configuração com o domínio gerenciado.
Posso obter os Serviços de Domínio Microsoft Entra como parte do Enterprise Mobility Suite (EMS)? Preciso do Microsoft Entra ID P1 ou P2 para usar os Serviços de Domínio Microsoft Entra?
Não. Os Serviços de Domínio Microsoft Entra são um serviço do Azure pré-pago e não fazem parte do EMS. Os Serviços de Domínio do Microsoft Entra podem ser usados com todas as edições do Microsoft Entra ID (Gratuito e Premium). Você é cobrado por hora, dependendo do uso.
Posso criar um domínio filho em um domínio gerenciado?
Não. Os Serviços de Domínio do Microsoft Entra têm um design de domínio único e floresta única e você não pode criar domínios filho.
Quais regiões do Azure têm o serviço disponível?
Consulte a página Serviços do Azure por região para ver uma lista das regiões do Azure onde os Serviços de Domínio Microsoft Entra estão disponíveis.
Solução de problemas
Consulte o Guia de solução de problemas para obter soluções para problemas comuns com a configuração ou administração dos Serviços de Domínio do Azure AD.
Próximos passos
Para saber mais sobre os Serviços de Domínio Microsoft Entra, consulte O que são os Serviços de Domínio Microsoft Entra?.
Para começar, consulte Criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.