¿Qué es Azure Active Directory Domain Services?What is Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) proporciona servicios de dominio administrados como, por ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de acceso a directorios (LDAP) y autenticación Kerberos o NTLM.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, lightweight directory access protocol (LDAP), and Kerberos / NTLM authentication. Puede usar estos servicios de dominio sin necesidad de implementar o administrar los controladores de dominio de la nube, ni de aplicarles revisiones.You use these domain services without the need to deploy, manage, and patch domain controllers (DCs) in the cloud.

Un dominio administrado es un espacio de nombres DNS y un directorio coincidente.A managed domain is a DNS namespace and matching directory. El dominio administrado se integra con el inquilino de Azure AD existente, lo que posibilita que los usuarios inicien sesión con sus credenciales existentes.The managed domain integrates with your existing Azure AD tenant, which makes it possible for users to sign in using their existing credentials. También puede usar los grupos y las cuentas de usuario existentes para proteger el acceso a los recursos, lo que ofrece una mejor migración mediante lift-and-shift de los recursos en el entorno local a Azure.You can also use existing groups and user accounts to secure access to resources, which provides a smoother lift-and-shift of on-premises resources to Azure.

Azure AD DS se integra con el inquilino de Azure AD existente.Azure AD DS integrates with your existing Azure AD tenant. Esta integración permite a los usuarios iniciar sesión en el servicio y las aplicaciones conectadas al dominio administrado con sus credenciales existentes.This integration lets users sign in to service and applications connected to the managed domain using their existing credentials. También puede usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.You can also use existing groups and user accounts to secure access to resources. Estas características proporcionan una migración mediante lift-and-shift más fluida de los recursos locales a Azure.These features provide a smoother lift-and-shift of on-premises resources to Azure.

Azure AD DS replica la información de identidad desde Azure AD, por lo que funciona con los inquilinos de Azure AD que solo están en la nube o se sincronizan con un entorno de Active Directory Domain Services (AD DS) local.Azure AD DS replicates identity information from Azure AD, so it works with Azure AD tenants that are cloud-only, or synchronized with an on-premises Active Directory Domain Services (AD DS) environment. El mismo conjunto de características de Azure AD DS existe para ambos entornos.The same set of Azure AD DS features exists for both environments.

  • Si tiene un entorno de AD DS local, puede sincronizar la información de las cuentas de usuario para proporcionar una identidad coherente para los usuarios.If you have an existing on-premises AD DS environment, you can synchronize user account information to provide a consistent identity for users. Para más información, consulte Procedimiento para sincronizar objetos y credenciales en un dominio administrado.To learn more, see How objects and credentials are synchronized in a managed domain.
  • En el caso de los entornos solo en la nube, no se necesita un entorno de AD DS local tradicional para usar los servicios de identidad centralizados de Azure AD DS.For cloud-only environments, you don't need a traditional on-premises AD DS environment to use the centralized identity services of Azure AD DS.

Para obtener información sobre cómo se administraun dominio administrado, consulte Conceptos de administración para cuentas de usuario, contraseñas y administración en Azure AD DS.To learn how to administrator a managed domain, see management concepts for user accounts, passwords, and administration in Azure AD DS.

El vídeo siguiente proporciona información general sobre el modo en que Azure AD DS se integra con las aplicaciones y las cargas de trabajo para proporcionar servicios de identidad en la nube:The following video provides an overview of how Azure AD DS integrates with your applications and workloads to provide identity services in the cloud:


Formas comunes de proporcionar soluciones de identidad en la nubeCommon ways to provide identity solutions in the cloud

Al migrar las cargas de trabajo existentes a la nube, las aplicaciones que tienen en cuenta el directorio pueden usar LDAP para el acceso de lectura o escritura a un directorio de AD DS local.When you migrate existing workloads to the cloud, directory-aware applications may use LDAP for read or write access to an on-premises AD DS directory. Las aplicaciones que se ejecutan en Windows Server suelen implementarse en máquinas virtuales unidas a un dominio, de modo que se pueden administrar de forma segura mediante directivas de grupo.Applications that run on Windows Server are typically deployed on domain-joined virtual machines (VMs) so they can be managed securely using Group Policy. Para autenticar a los usuarios finales, las aplicaciones también pueden confiar en la autenticación integrada de Windows, como la autenticación Kerberos o NTLM.To authenticate end users, the applications may also rely on Windows-integrated authentication, such as Kerberos or NTLM authentication.

A menudo, los administradores de TI usan una de las siguientes soluciones para proporcionar un servicio de identidad a las aplicaciones que se ejecutan en Azure:IT administrators often use one of the following solutions to provide an identity service to applications that run in Azure:

  • Configure una conexión VPN de sitio a sitio entre las cargas de trabajo que se ejecuten en Azure y en un entorno de AD DS local.Configure a site-to-site VPN connection between workloads that run in Azure and an on-premises AD DS environment.
    • Los controladores de dominio locales proporcionan autenticación a través de la conexión VPN.The on-premises domain controllers then provide authentication via the VPN connection.
  • Cree controladores de dominio de réplica con máquinas virtuales de Azure para extender el dominio o bosque de AD DS.Create replica domain controllers using Azure virtual machines (VMs) to extend the AD DS domain / forest from on-premises.
    • Los controladores de dominio que se ejecutan en máquinas virtuales de Azure proporcionan autenticación y replican información de directorio entre el entorno de AD DS local.The domain controllers that run on Azure VMs provide authentication, and replicate directory information between the on-premises AD DS environment.
  • Implemente un entorno de AD DS independiente en Azure mediante controladores de dominio que se ejecuten en máquinas virtuales Azure.Deploy a standalone AD DS environment in Azure using domain controllers that run on Azure VMs.
    • Los controladores de dominio que se ejecutan en máquinas virtuales de Azure proporcionan autenticación, pero no se replica la información de directorio desde un entorno de AD DS local.The domain controllers that run on Azure VMs provide authentication, but there's no directory information replicated from an on-premises AD DS environment.

Con estos métodos, las conexiones VPN con el directorio en el entorno local hacen que las aplicaciones sean vulnerables a interrupciones o problemas de red transitorios.With these approaches, VPN connections to the on-premises directory make applications vulnerable to transient network glitches or outages. Si implementa controladores de dominio mediante máquinas virtuales en Azure, el equipo de TI deben ocuparse de las tareas de administración, protección, revisión, supervisión, copia de seguridad y solución de problemas de las máquinas virtuales.If you deploy domain controllers using VMs in Azure, the IT team must manage the VMs, then secure, patch, monitor, backup, and troubleshoot them.

Azure AD DS ofrece alternativas a la necesidad de volver a crear las conexiones VPN en un entorno de AD DS local o ejecutar y administrar máquinas virtuales en Azure para proporcionar servicios de identidad.Azure AD DS offers alternatives to the need to create VPN connections back to an on-premises AD DS environment or run and manage VMs in Azure to provide identity services. Como servicio administrado, Azure AD DS reduce la complejidad de crear una solución de identidad integrada para entornos tanto híbridos como solo en la nube.As a managed service, Azure AD DS reduces the complexity to create an integrated identity solution for both hybrid and cloud-only environments.

¿Cómo funciona Azure AD DS?How does Azure AD DS work?

Para proporcionar servicios de identidad, Azure crea un dominio administrado AD DS en la red virtual que prefiera.To provide identity services, Azure creates an AD DS managed domain on a virtual network of your choice. En segundo plano, se crea un par de controladores de dominio de Windows Server que se ejecutan en máquinas virtuales de Azure.Behind the scenes, a pair of Windows Server domain controllers is created that run on Azure VMs. No es necesario administrar, configurar ni actualizar estos controladores de dominio.You don't need to manage, configure, or update these domain controllers. La plataforma de Azure administra los controladores de dominio como parte del servicio Azure AD DS.The Azure platform manages the domain controllers as part of the Azure AD DS service.

El dominio administrado está configurado para realizar una sincronización unidireccional desde Azure AD y proporcionar acceso a un conjunto central de usuarios, grupos y credenciales.The managed domain is configured to perform a one-way synchronization from Azure AD to provide access to a central set of users, groups, and credentials. Puede crear los recursos directamente en el dominio administrado, pero no se vuelven a sincronizar con Azure AD.You can create resources directly in the managed domain, but they aren't synchronized back to Azure AD. Las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan a esta red virtual pueden usar las características de AD DS comunes, como la unión a un dominio, la directiva de grupo, LDAP y la autenticación Kerberos/NTLM.Applications, services, and VMs in Azure that connect to this virtual network can then use common AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.

En un entorno híbrido con un entorno de AD DS local, Azure AD Connect sincroniza la información de identidad con Azure AD, que se sincroniza entonces en Azure AD DS.In a hybrid environment with an on-premises AD DS environment, Azure AD Connect synchronizes identity information with Azure AD, which is then synchronized to Azure AD DS.

Sincronización en Azure AD Domain Services con Azure AD y Active Directory Domain Services en el entorno local mediante AD Connect

Para ver Azure AD DS en acción, echemos un vistazo a un par de ejemplos:To see Azure AD DS in action, let's look at a couple of examples:

Azure AD DS para organizaciones híbridasAzure AD DS for hybrid organizations

Muchas organizaciones ejecutan una infraestructura híbrida que incluye cargas de trabajo de aplicaciones en el entorno local y en la nube.Many organizations run a hybrid infrastructure that includes both cloud and on-premises application workloads. Las aplicaciones heredadas migradas a Azure como parte de una migración mediante lift-and-shift pueden usar las conexiones LDAP tradicionales para proporcionar información de identidad.Legacy applications migrated to Azure as part of a lift and shift strategy may use traditional LDAP connections to provide identity information. Para admitir esta infraestructura híbrida, la información de identidad de un entorno de AD DS local se puede sincronizar con un inquilino de Azure AD.To support this hybrid infrastructure, identity information from an on-premises AD DS environment can be synchronized to an Azure AD tenant. A continuación, Azure AD DS proporciona estas aplicaciones heredadas en Azure con un origen de identidad, sin necesidad de configurar y administrar la conectividad de la aplicación de nuevo en los servicios de directorio en el entorno local.Azure AD DS then provides these legacy applications in Azure with an identity source, without the need to configure and manage application connectivity back to on-premises directory services.

Echemos un vistazo a un ejemplo de Litware Corporation, una organización híbrida que ejecuta recursos locales y de Azure:Let's look at an example for Litware Corporation, a hybrid organization that runs both on-premises and Azure resources:

Azure Active Directory Domain Services para una organización híbrida que incluye sincronización en el entorno local

  • Las aplicaciones y cargas de trabajo de servidor que requieren servicios de dominio se implementan en una red virtual en Azure.Applications and server workloads that require domain services are deployed in a virtual network in Azure.
    • Puede que se incluyan aplicaciones heredadas migradas a Azure como parte de una estrategia de migración mediante lift-and-shift.This may include legacy applications migrated to Azure as part of a lift and shift strategy.
  • Para sincronizar la información de identidad desde el directorio en el entorno local a su inquilino de Azure AD, Litware Corporation implementa Azure AD Connect.To synchronize identity information from their on-premises directory to their Azure AD tenant, Litware Corporation deploys Azure AD Connect.
    • La información de identidad que se sincroniza incluye las cuentas de usuario y las pertenencias a grupos.Identity information that is synchronized includes user accounts and group memberships.
  • El equipo de TI de Litware habilita Azure AD DS para su inquilino de Azure AD en esta red virtual o en una emparejada.Litware's IT team enables Azure AD DS for their Azure AD tenant in this, or a peered, virtual network.
  • Las aplicaciones y las máquinas virtuales implementadas en la red virtual pueden usar características de Azure AD DS como, por ejemplo, la unión a un dominio, la lectura LDAP, el enlace LDAP, la autenticación NTLM y Kerberos, y directiva de grupo.Applications and VMs deployed in the Azure virtual network can then use Azure AD DS features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Importante

Azure AD Connect solo debe instalarse y configurarse para la sincronización con entornos de AD DS locales.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. No se admite la instalación de Azure AD Connect en un dominio administrado para volver a sincronizar los objetos con Azure AD.It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

Azure AD DS para organizaciones solo en la nubeAzure AD DS for cloud-only organizations

Un inquilino de Azure AD solo en la nube no tiene un origen de identidad en el entorno local.A cloud-only Azure AD tenant doesn't have an on-premises identity source. Las cuentas de usuario y las pertenencias a grupos, por ejemplo, se crean y administran directamente en Azure AD.User accounts and group memberships, for example, are created and managed directly in Azure AD.

Ahora veamos un ejemplo de Contoso, una organización solo en la nube que usa Azure AD para la identidad.Now let's look at an example for Contoso, a cloud-only organization that uses Azure AD for identity. Todas las identidades de usuario, sus credenciales y las pertenencias a grupos se crean y administran en Azure AD.All user identities, their credentials, and group memberships are created and managed in Azure AD. No hay ninguna configuración adicional de Azure AD Connect para sincronizar cualquier información de identidad desde un directorio en el entorno local.There is no additional configuration of Azure AD Connect to synchronize any identity information from an on-premises directory.

Azure Active Directory Domain Services para una organización solo en la nube sin sincronización fuera del entorno local

  • Las aplicaciones y cargas de trabajo de servidor que requieren servicios de dominio se implementan en una red virtual en Azure.Applications and server workloads that require domain services are deployed in a virtual network in Azure.
  • El equipo de TI de Litware Contoso habilita Azure AD DS para su inquilino de Azure AD en esta red virtual o en una emparejada.Contoso's IT team enables Azure AD DS for their Azure AD tenant in this, or a peered, virtual network.
  • Las aplicaciones y las máquinas virtuales implementadas en la red virtual pueden usar características de Azure AD DS como, por ejemplo, la unión a un dominio, la lectura LDAP, el enlace LDAP, la autenticación NTLM y Kerberos, y directiva de grupo.Applications and VMs deployed in the Azure virtual network can then use Azure AD DS features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Características y ventajas de Azure AD DSAzure AD DS features and benefits

Para proporcionar servicios de identidad a aplicaciones y máquinas virtuales en la nube, Azure AD DS es totalmente compatible con un entorno de AD DS tradicional para las operaciones como la unión a un dominio, LDAP seguro (LDAPS), directiva de grupo, administración de DNS y la compatibilidad con la lectura y el enlace LDAP.To provide identity services to applications and VMs in the cloud, Azure AD DS is fully compatible with a traditional AD DS environment for operations such as domain-join, secure LDAP (LDAPS), Group Policy, DNS management, and LDAP bind and read support. La compatibilidad con la escritura LDAP está disponible para los objetos creados en el dominio administrado con Azure AD DS, pero no los recursos sincronizados desde Azure AD.LDAP write support is available for objects created in the Azure AD DS managed domain, but not resources synchronized from Azure AD.

Para más información sobre las opciones de identidad, compare Azure AD DS con Azure AD, Active Directory Domain Services en máquinas virtuales de Azure y Active Directory Domain Services en entornos locales.To learn more about your identity options, compare Azure AD DS with Azure AD, Active Directory Domain Services on Azure VMs, and Active Directory Domain Services on-premises.

Las siguientes características de Azure AD DS simplifican las operaciones de implementación y administración:The following features of Azure AD DS simplify deployment and management operations:

  • Experiencia de implementación simplificada: Azure AD DS está habilitado para el inquilino de Azure AD con un solo asistente en la Azure Portal.Simplified deployment experience: Azure AD DS is enabled for your Azure AD tenant using a single wizard in the Azure portal.
  • Integración con Azure AD: Estas cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente dentro del inquilino de Azure AD.Integrated with Azure AD: User accounts, group memberships, and credentials are automatically available from your Azure AD tenant. Los nuevos usuarios, grupos o cambios de atributos que se producen en el inquilino o en el directorio en el entorno local de Azure AD se sincronizan automáticamente con Azure AD DS.New users, groups, or changes to attributes from your Azure AD tenant or your on-premises AD DS environment are automatically synchronized to Azure AD DS.
    • Las cuentas de los directorios externos vinculados a su instancia de Azure AD no están disponibles en Azure AD DS.Accounts in external directories linked to your Azure AD aren't available in Azure AD DS. Las credenciales no están disponibles para esos directorios externos, por lo que no se pueden sincronizar en un dominio administrado de Azure AD DS.Credentials aren't available for those external directories, so can't be synchronized into an Azure AD DS managed domain.
  • Utilizar las credenciales y contraseñas corporativas: Las contraseñas para usuarios de Azure AD DS son las mismas que en el inquilino de Azure AD.Use your corporate credentials/passwords: Passwords for users in Azure AD DS are the same as in your Azure AD tenant. Los usuarios pueden utilizar sus credenciales corporativas para las máquinas de unión al dominio, iniciar sesión de forma interactiva o a través de escritorio remoto y autenticarse en el dominio administrado de Azure AD DS.Users can use their corporate credentials to domain-join machines, sign in interactively or over remote desktop, and authenticate against the Azure AD DS managed domain.
  • Autenticación Kerberos y NTLM: con compatibilidad para la autenticación Kerberos y NTLM, puede implementar las aplicaciones que dependen de la autenticación integrada de Windows.NTLM and Kerberos authentication: With support for NTLM and Kerberos authentication, you can deploy applications that rely on Windows-integrated authentication.
  • Alta disponibilidad: Azure AD DS incluye varios controladores de dominio, que proporcionan alta disponibilidad para el dominio administrado.High availability: Azure AD DS includes multiple domain controllers, which provide high availability for your managed domain. Esta alta disponibilidad garantiza el tiempo de actividad del servicio y la resistencia a los errores.This high availability guarantees service uptime and resilience to failures.
    • En las regiones que admiten Azure Availability Zones, estos controladores de dominio también se distribuyen entre zonas para obtener resistencia adicional.In regions that support Azure Availability Zones, these domain controllers are also distributed across zones for additional resiliency.

Entre algunos de los aspectos clave de un dominio administrado de Azure AD DS se incluyen los siguientes:Some key aspects of an Azure AD DS managed domain include the following:

  • El dominio administrado de Azure AD DS es un dominio independiente.The Azure AD DS managed domain is a stand-alone domain. No es una extensión de un dominio local.It isn't an extension of an on-premises domain.
  • El equipo de TI no necesita administrar ni supervisar controladores de dominio de este dominio administrado de Azure AD DS, ni tampoco aplicarles revisiones.Your IT team doesn't need to manage, patch, or monitor domain controllers for this Azure AD DS managed domain.

En entornos híbridos que se ejecutan AD DS de forma local, no es necesario administrar la replicación de AD en el dominio administrado de Azure AD DS.For hybrid environments that run AD DS on-premises, you don't need to manage AD replication to the Azure AD DS managed domain. Las cuentas de usuario, las pertenencias a grupos y las credenciales del directorio local se sincronizan con Azure AD mediante Azure AD Connect.User accounts, group memberships, and credentials from your on-premises directory are synchronized to Azure AD via Azure AD Connect. Estas cuentas de usuario, las pertenencias a grupos y las credenciales están disponibles automáticamente dentro del dominio administrado de Azure AD DS.These user accounts, group memberships, and credentials are automatically available within the Azure AD DS managed domain.

Pasos siguientesNext steps

Para más información acerca de las comparaciones de Azure AD DS con otras soluciones de identidad y cómo funciona la sincronización, consulte los siguientes artículos:To learn more about Azure AD DS compares with other identity solutions and how synchronization works, see the following articles:

Para empezar, cree un dominio administrado con Azure Portal.To get started, create a managed domain using the Azure portal.