Comparar o Active Directory Domain Services autogerenciado, o Azure Active Directory e o Azure Active Directory Domain Services gerenciadoCompare self-managed Active Directory Domain Services, Azure Active Directory, and managed Azure Active Directory Domain Services

Para fornecer acesso a uma identidade central a aplicativos, serviços ou dispositivos, há três maneiras comuns no Azure de usar serviços baseados no Active Directory.To provide applications, services, or devices access to a central identity, there are three common ways to use Active Directory-based services in Azure. Essa opção nas soluções de identidade proporciona a flexibilidade de usar o diretório mais apropriado para as necessidades da organização.This choice in identity solutions gives you the flexibility to use the most appropriate directory for your organization's needs. Por exemplo, se você gerenciar principalmente usuários somente de nuvem que executam dispositivos móveis, talvez não faça sentido compilar e executar sua própria solução de identidade de Active Directory Domain Services.For example, if you mostly manage cloud-only users that run mobile devices, it may not make sense to build and run your own Active Directory Domain Services identity solution. Em vez disso, você poderia usar apenas o Azure Active Directory.Instead, you could just use Azure Active Directory.

Embora as três soluções de identidade baseadas em Active Directory compartilhem um nome e uma tecnologia comuns, elas foram projetadas para fornecer serviços que atendem a diferentes demandas dos clientes.Although the three Active Directory-based identity solutions share a common name and technology, they're designed to provide services that meet different customer demands. Em alto nível, essas soluções de identidade e conjuntos de recursos são:At high level, these identity solutions and feature sets are:

  • AD DS (Active Directory Domain Services) – servidor de protocolo LDAP pronto para empresas que fornece recursos importantes como identidade e autenticação, gerenciamento de objetos de computador, política de grupo e relações de confiança.Active Directory Domain Services (AD DS) - Enterprise-ready lightweight directory access protocol (LDAP) server that provides key features such as identity and authentication, computer object management, group policy, and trusts.
    • O AD DS é um componente central em muitas organizações com um ambiente de TI local e fornece autenticação de conta de usuário principal e recursos de gerenciamento de computador.AD DS is a central component in many organizations with an on-premises IT environment, and provides core user account authentication and computer management features.
  • Azure AD (Azure Active Directory) – gerenciamento de identidades e dispositivos móveis baseado em nuvem que fornece serviços de autenticação e de conta de usuário para recursos como o Office 365, o portal do Azure ou aplicativos SaaS.Azure Active Directory (Azure AD) - Cloud-based identity and mobile device management that provides user account and authentication services for resources such as Office 365, the Azure portal, or SaaS applications.
    • O Azure AD pode ser sincronizado com um ambiente de AD DS local para fornecer uma única identidade para os usuários que trabalham nativamente na nuvem.Azure AD can be synchronized with an on-premises AD DS environment to provide a single identity to users that works natively in the cloud.
  • Azure AD DS (Azure Active Directory Domain Services) – fornece serviços de domínio gerenciado com um subconjunto de recursos de AD DS tradicionais totalmente compatíveis, tais como ingresso no domínio, política de grupo, LDAP e autenticação Kerberos/NTLM.Azure Active Directory Domain Services (Azure AD DS) - Provides managed domain services with a subset of fully compatible traditional AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.
    • O Azure AD DS integra-se ao Azure AD, que pode ser sincronizado com um ambiente do AD DS local, para estender casos de uso de identidade central para aplicativos Web tradicionais executados no Azure como parte de uma estratégia de lift-and-shift.Azure AD DS integrates with Azure AD, which itself can synchronize with an on-premises AD DS environment, to extend central identity use cases to traditional web applications that run in Azure as part of a lift-and-shift strategy.

Este artigo de visão geral compara e contrasta como essas soluções de identidade podem trabalhar em conjunto ou ser usadas de forma independente, dependendo das necessidades da organização.This overview article compares and contrasts how these identity solutions can work together, or would be used independently, depending on the needs of your organization.

Azure AD DS e AD DS autogerenciadoAzure AD DS and self-managed AD DS

Se você tiver aplicativos e serviços que precisam de acesso a mecanismos de autenticação tradicionais, tais como Kerberos ou NTLM, haverá duas maneiras de fornecer o Active Directory Domain Services na nuvem:If you have applications and services that need access to traditional authentication mechanisms such as Kerberos or NTLM, there are two ways to provide Active Directory Domain Services in the cloud:

  • Um domínio gerenciado que você cria usando o Azure Active Directory Domain Services.A managed domain that you create using Azure Active Directory Domain Services. A Microsoft cria e gerencia os recursos necessários.Microsoft creates and manages the required resources.
  • Um domínio autogerenciado que você cria e configura usando recursos tradicionais, tais como VMs (máquinas virtuais), SO convidado do Windows Server e Active Directory Domain Services.A self-managed domain that you create and configure using traditional resources such as virtual machines (VMs), Windows Server guest OS, and Active Directory Domain Services. Em seguida, você continua administrando esses recursos.You then continue to administer these resources.

Com o Azure AD DS, os principais componentes de serviço são implantados e mantidos para você pela Microsoft como uma experiência de domínio gerenciado.With Azure AD DS, the core service components are deployed and maintained for you by Microsoft as a managed domain experience. Você não implanta, não gerencia, não aplica patches e nem protege a infraestrutura de AD DS de componentes como as VMs, o sistema operacional Windows Server ou DCs (controladores de domínio).You don't deploy, manage, patch, and secure the AD DS infrastructure for components like the VMs, Windows Server OS, or domain controllers (DCs). O Azure AD DS fornece um subconjunto menor de recursos para o ambiente de AD DS tradicional autogerenciado, que reduz parte da complexidade do design e do gerenciamento.Azure AD DS provides a smaller subset of features to traditional self-managed AD DS environment, which reduces some of the design and management complexity. Por exemplo, não há florestas, domínios, sites e links de replicação do AD para criar e manter.For example, there's no AD forests, domain, sites, and replication links to design and maintain. Para aplicativos e serviços que são executados na nuvem e precisam de acesso a mecanismos de autenticação tradicionais, como Kerberos ou NTLM, o Azure AD DS fornece uma experiência de domínio gerenciado com o mínimo de sobrecarga administrativa.For applications and services that run in the cloud and need access to traditional authentication mechanisms such as Kerberos or NTLM, Azure AD DS provides a managed domain experience with the minimal amount of administrative overhead.

Ao implantar e executar um ambiente de AD DS autogerenciado, você precisa manter toda a infraestrutura e os componentes de diretório associados.When you deploy and run a self-managed AD DS environment, you have to maintain all of the associated infrastructure and directory components. Há uma sobrecarga de manutenção adicional com um ambiente de AD DS autogerenciado, mas com ele você pode executar tarefas adicionais, tais como estender o esquema e criar relações de confiança de floresta.There's additional maintenance overhead with a self-managed AD DS environment, but you're then able to do additional tasks such as extend the schema or create forest trusts. Os modelos de implantação comuns para um ambiente do AD DS autogerenciado que fornece identidade para aplicativos e serviços na nuvem incluem o seguinte:Common deployment models for a self-managed AD DS environment that provides identity to applications and services in the cloud include the following:

  • AD DS autônomo somente em nuvem – as VMs do Azure são configuradas como controladores de domínio e um ambiente separado do AD DS somente na nuvem é criado.Standalone cloud-only AD DS - Azure VMs are configured as domain controllers and a separate cloud-only AD DS environment is created. Esse ambiente do AD DS não se integra a um ambiente do AD DS local.This AD DS environment doesn't integrate with an on-premises AD DS environment. Um conjunto diferente de credenciais é usado para entrar em VMs na nuvem e administrá-las.A different set of credentials is used to sign in to and administer VMs in the cloud.
  • Implantação de floresta de recursos – as VMs do Azure são configuradas como controladores de domínio e um domínio do AD DS como parte de uma floresta existente é criado.Resource forest deployment - Azure VMs are configured as domain controllers and an AD DS domain as part of an existing forest is created. Uma relação de confiança é então configurada para um ambiente do AD DS local.A trust relationship is then configured to an on-premises AD DS environment. Outras VMs do Azure podem ingressar em domínio nessa floresta de recursos na nuvem.Other Azure VMs can domain-join to this resource forest in the cloud. A autenticação do usuário acontece em uma conexão de VPN/ExpressRoute para o ambiente do AD DS local.User authentication runs over a VPN / ExpressRoute connection to the on-premises AD DS environment.
  • Estender o domínio local para o Azure – uma rede virtual do Azure conecta-se a uma rede local usando uma conexão VPN/ExpressRoute.Extend on-premises domain to Azure - An Azure virtual network connects to an on-premises network using a VPN / ExpressRoute connection. As VMs do Azure se conectam a essa rede virtual do Azure, que permite que elas ingressem no domínio do ambiente do AD DS local.Azure VMs connect to this Azure virtual network, which lets them domain-join to the on-premises AD DS environment.
    • Uma alternativa é criar VMs do Azure e promovê-las como controladores de domínio de réplica do domínio do AD DS local.An alternative is to create Azure VMs and promote them as replica domain controllers from the on-premises AD DS domain. Esses controladores de domínio fazem replicação por uma conexão de VPN/ExpressRoute para o ambiente do AD DS local.These domain controllers replicate over a VPN / ExpressRoute connection to the on-premises AD DS environment. O domínio do AD DS local é estendido efetivamente para o Azure.The on-premises AD DS domain is effectively extended into Azure.

A tabela a seguir descreve alguns dos recursos que podem ser necessários para sua organização e as diferenças entre um domínio gerenciado do Azure AD DS e um domínio autogerenciado do AD DS:The following table outlines some of the features you may need for your organization, and the differences between a managed Azure AD DS domain or a self-managed AD DS domain:

RecursoFeature Azure AD DSAzure AD DS AD DS autogerenciadoSelf-managed AD DS
Serviço gerenciadoManaged service
Implantações segurasSecure deployments O administrador protege a implantaçãoAdministrator secures the deployment
Servidor DNSDNS server (serviço gerenciado) (managed service)
Privilégios de administrador corporativo ou de domínioDomain or Enterprise administrator privileges
Ingresso no domínioDomain join
Autenticação de domínio usando Kerberos e NTLMDomain authentication using NTLM and Kerberos
Delegação restrita de KerberosKerberos constrained delegation Baseado em recursosResource-based Baseado em recursos e em contaResource-based & account-based
Estrutura de UO personalizadaCustom OU structure
Política de GrupoGroup Policy
Extensões de esquemaSchema extensions
Relações de confiança de floresta/domínio do ADAD domain / forest trusts
LDAPS (LDAP Seguro)Secure LDAP (LDAPS)
Leitura LDAPLDAP read
Gravação LDAPLDAP write (dentro do domínio gerenciado) (within the managed domain)
Implantações com distribuição geográficaGeo-distributed deployments

Azure AD DS e Azure ADAzure AD DS and Azure AD

O Azure AD permite que você gerencie a identidade dos dispositivos usados pela organização e controle o acesso aos recursos corporativos desses dispositivos.Azure AD lets you manage the identity of devices used by the organization and control access to corporate resources from those devices. Os usuários podem registrar os dispositivos pessoais deles (um modelo BYO – traga seu próprio) com o Azure AD, que fornece uma identidade ao dispositivo.Users can register their personal device (a bring-your-own, or BYO, model) with Azure AD, which provides the device with an identity. O Azure AD poderá então autenticar o dispositivo quando um usuário fizer logon no Azure AD e usar o dispositivo para acessar recursos protegidos.Azure AD can then authenticate the device when a user signs in to Azure AD and uses the device to access secured resources. O dispositivo pode ser gerenciado usando o software de MDM (Gerenciamento de Dispositivo Móvel), como o Microsoft Intune.The device can be managed using Mobile Device Management (MDM) software like Microsoft Intune. Essa capacidade de gerenciamento permite que você restrinja o acesso a recursos confidenciais somente a dispositivos gerenciados e em conformidade com a política.This management ability lets you restrict access to sensitive resources to managed and policy-compliant devices.

Computadores e laptops tradicionais também podem ingressar no Azure AD.Traditional computers and laptops can also join to Azure AD. Esse mecanismo oferece os mesmos benefícios de registrar um dispositivo pessoal com o Azure AD, tais como permitir que os usuários entrem no dispositivo usando as credenciais corporativas deles.This mechanism offers the same benefits of registering a personal device with Azure AD, such as to allow users to sign in to the device using their corporate credentials. Os dispositivos adicionados ao Azure AD oferecem os seguintes benefícios:Azure AD joined devices give you the following benefits:

  • SSO (logon único) para aplicativos protegidos pelo Azure AD.Single-sign-on (SSO) to applications secured by Azure AD.
  • Roaming em conformidade com a política corporativa das configurações de usuário entre dispositivos.Enterprise policy-compliant roaming of user settings across devices.
  • Acesso à Microsoft Store para Empresas usando credenciais corporativas.Access to the Windows Store for Business using corporate credentials.
  • Windows Hello for Business.Windows Hello for Business.
  • Acesso restrito aos aplicativos e recursos de dispositivos em conformidade com as políticas corporativas.Restricted access to apps and resources from devices compliant with corporate policy.

Os dispositivos podem ser ingressados no Azure AD com ou sem uma implantação híbrida que inclui um ambiente do AD DS local.Devices can be joined to Azure AD with or without a hybrid deployment that includes an on-premises AD DS environment. A tabela a seguir descreve os modelos de propriedade de dispositivo comuns e como eles normalmente seriam ingressados em um domínio:The following table outlines common device ownership models and how they would typically be joined to a domain:

Tipo de dispositivoType of device Plataformas de dispositivoDevice platforms MecanismoMechanism
Dispositivos pessoaisPersonal devices Windows 10, iOS, Android e Mac OSWindows 10, iOS, Android, Mac OS Registrado no Azure ADAzure AD registered
Dispositivo pertencente à organização não adicionado ao AD DS localOrganization owned device not joined to on-premises AD DS Windows 10Windows 10 Adicionado ao Azure ADAzure AD joined
Dispositivo pertencente à organização adicionado a um AD DS localOrganization owned device joined to an on-premises AD DS Windows 10Windows 10 Adicionado ao Azure AD híbridoHybrid Azure AD joined

Em um dispositivo registrado ou ingressado no Azure AD, a autenticação de usuário ocorre por meio do uso de protocolos modernos baseados em OAuth/OpenID Connect.On an Azure AD-joined or registered device, user authentication happens using modern OAuth / OpenID Connect based protocols. Esses protocolos são projetados para funcionarem pela Internet e são ótimos para cenários móveis, nos quais os usuários acessam recursos corporativos de qualquer lugar.These protocols are designed to work over the internet, so are great for mobile scenarios where users access corporate resources from anywhere. Com os dispositivos ingressados no Azure AD DS, os aplicativos podem usar os protocolos Kerberos e NTLM para autenticação e, portanto, podem dar suporte a aplicativos herdados migrados para execução em VMs do Azure como parte de uma estratégia de lift-and-shift.With Azure AD DS-joined devices, applications can use the Kerberos and NTLM protocols for authentication, so can support legacy applications migrated to run on Azure VMs as part of a lift-and-shift strategy. A tabela a seguir mostra as diferenças em como os dispositivos são representados e podem se autenticar no diretório:The following table outlines differences in how the devices are represented and can authenticate themselves against the directory:

AspectoAspect Ingressados no Azure ADAzure AD-joined Ingressados no Azure AD DSAzure AD DS-joined
Dispositivo controlado porDevice controlled by AD do AzureAzure AD Domínio gerenciado do Azure AD DSAzure AD DS managed domain
Representação no diretórioRepresentation in the directory Objetos de dispositivo no diretório do Azure ADDevice objects in the Azure AD directory Objetos de computador no domínio gerenciado do Azure AD DSComputer objects in the Azure AD DS managed domain
AuthenticationAuthentication Protocolos baseados em OAuth/OpenID ConnectOAuth / OpenID Connect based protocols Protocolos NTLM e KerberosKerberos and NTLM protocols
GerenciamentoManagement Software de MDM (Gerenciamento de Dispositivo Móvel) como o IntuneMobile Device Management (MDM) software like Intune Política de GrupoGroup Policy
RedeNetworking Funciona pela InternetWorks over the internet Exige que os computadores estejam na mesma rede virtual que o domínio gerenciadoRequires machines to be on the same virtual network as the managed domain
Excelente para...Great for... Dispositivos da área de trabalho ou móveis de usuários finaisEnd-user mobile or desktop devices VMs de servidor implantadas no AzureServer VMs deployed in Azure

Próximas etapasNext steps

Para começar a usar o Azure AD DS, crie um domínio gerenciado do Azure AD DS usando o portal do Azure.To get started with using Azure AD DS, create an Azure AD DS managed domain using the Azure portal.