Administrar Política de Grupo em um domínio Azure AD Domain Services gerenciadoAdminister Group Policy in an Azure AD Domain Services managed domain

As configurações para objetos de usuário e computador no Azure Active Directory Domain Services (AD DS do Azure) geralmente são gerenciadas usando objetos Política de Grupo (GPOs).Settings for user and computer objects in Azure Active Directory Domain Services (Azure AD DS) are often managed using Group Policy Objects (GPOs). O Azure AD DS inclui GPOs internos para os contêineres usuários AADDC e computadores AADDC .Azure AD DS includes built-in GPOs for the AADDC Users and AADDC Computers containers. Você pode personalizar esses GPOs internos para configurar Política de Grupo conforme necessário para o seu ambiente.You can customize these built-in GPOs to configure Group Policy as needed for your environment. Os membros do grupo de Administradores de DC do Azure ad têm política de grupo privilégios de administração no domínio de AD DS do Azure e também podem criar GPOs personalizados e UOs (unidades organizacionais).Members of the Azure AD DC administrators group have Group Policy administration privileges in the Azure AD DS domain, and can also create custom GPOs and organizational units (OUs). Para obter mais informações sobre o que Política de Grupo é e como funciona, consulte política de grupo visão geral.More more information on what Group Policy is and how it works, see Group Policy overview.

Este artigo mostra como instalar as ferramentas de gerenciamento de Política de Grupo e, em seguida, editar os GPOs internos e criar GPOs personalizados.This article shows you how to install the Group Policy Management tools, then edit the built-in GPOs and create custom GPOs.

Importante

Habilite a sincronização de hash de senha para Azure Active Directory Domain Services, antes de concluir as tarefas neste artigo.Enable password hash synchronization to Azure AD Domain Services, before you complete the tasks in this article.

Siga as instruções a seguir, dependendo do tipo de usuários em seu diretório do Microsoft Azure Active Directory.Follow the instructions below, depending on the type of users in your Azure AD directory. Se você tiver uma combinação de contas de usuário somente em nuvem e sincronizadas em seu diretório do Microsoft Azure Active Directory conclua ambos os conjuntos de instruções.Complete both sets of instructions if you have a mix of cloud-only and synced user accounts in your Azure AD directory. Talvez você não consiga realizar as seguintes operações caso esteja tentando usar uma conta de convidado B2B (exemplo, seu Gmail ou MSA de um provedor de identidade diferente que permitimos) porque não temos a senha para esses usuários sincronizados com o domínio gerenciado como estes são contas de convidado no diretório.You may not be able to carry out the following operations in case you are trying to use a B2B Guest account (example , your gmail or MSA from a different Identity provider which we allow) because we do not have the password for these users synced to managed domain as these are guest accounts in the directory. As informações completas sobre essas contas, incluindo suas senhas, estão fora do Azure AD e, como essas informações não estão no Azure AD, portanto, nem mesmo são sincronizadas com o domínio gerenciado.The complete information about these accounts including their passwords would be outside of Azure AD and as this information is not in Azure AD hence it does not even get synced to the managed domain.

Antes de começarBefore you begin

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:To complete this article, you need the following resources and privileges:

Observação

Como não há acesso aos controladores de domínio no Azure AD DS, você não pode criar e usar um repositório central para modelos administrativos de diretiva de grupo em um domínio gerenciado.As there's no access to domain controllers in Azure AD DS, you can't create and use a Central Store for group policy administrative templates in a managed domain. O SYSVOL não está incluído na sincronização de Azure ad Connect local, portanto, você também não pode criar um repositório central local e sincronizá-lo para o Azure AD DS por meio do Azure AD.Sysvol isn't included in on-premises Azure AD Connect synchronization, so you also can't create an on-premises Central Store and synchronize it to Azure AD DS through Azure AD.

Instalar ferramentas de gerenciamento de Política de GrupoInstall Group Policy Management tools

Para criar e configurar o objeto de Política de Grupo (GPOs), você precisa instalar as ferramentas de gerenciamento de Política de Grupo.To create and configure Group Policy Object (GPOs), you need to install the Group Policy Management tools. Essas ferramentas podem ser instaladas como um recurso no Windows Server.These tools can be installed as a feature in Windows Server. Para obter mais informações sobre como instalar as ferramentas administrativas em um cliente Windows, consulte instalar o ferramentas de administração de servidor remoto (RSAT).For more information on how to install the administrative tools on a Windows client, see install Remote Server Administration Tools (RSAT).

  1. Entre na sua VM de gerenciamento.Sign in to your management VM. Para obter as etapas sobre como se conectar usando o portal do Azure, consulte conectar-se a uma VM do Windows Server.For steps on how to connect using the Azure portal, see Connect to a Windows Server VM.

  2. O Gerenciador do Servidor deve abrir por padrão ao entrar na VM.Server Manager should open by default when you sign in to the VM. Caso contrário, no menu Iniciar, selecione Gerenciador do Servidor.If not, on the Start menu, select Server Manager.

  3. No painel Dashboard da janela Gerenciador do Servidor, selecione Adicionar Funções e Recursos.In the Dashboard pane of the Server Manager window, select Add Roles and Features.

  4. Na página Antes de Você Começar do Assistente de Adição de Funções e Recursos, selecione Avançar.On the Before You Begin page of the Add Roles and Features Wizard, select Next.

  5. Para o Tipo de Instalação, deixe a opção Instalação baseada em função ou recurso marcada e selecione Avançar.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.

  6. Na página Seleção de servidor, escolha a VM atual no pool de servidores, como myvm.contoso.com e, em seguida, selecione Avançar.On the Server Selection page, choose the current VM from the server pool, such as myvm.contoso.com, then select Next.

  7. Na página Funções do Servidor, clique em Avançar.On the Server Roles page, click Next.

  8. Na página Recursos, selecione o recurso Gerenciamento de Política de Grupo.On the Features page, select the Group Policy Management feature.

    Instalar o ' Gerenciamento de Política de Grupo ' na página de recursos

  9. Na página Confirmação, selecione Instalar.On the Confirmation page, select Install. Pode levar um minuto ou dois para instalar as ferramentas de gerenciamento de Política de Grupo.It may take a minute or two to install the Group Policy Management tools.

  10. Quando a instalação do recurso for concluída, selecione Fechar para sair do Assistente de Adição de Funções e Recursos.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Abrir o Console de Gerenciamento de Política de Grupo e editar um objetoOpen the Group Policy Management Console and edit an object

Existem objetos de diretiva de grupo (GPOs) padrão para usuários e computadores em um domínio gerenciado do Azure AD DS.Default group policy objects (GPOs) exist for users and computers in an Azure AD DS managed domain. Com o recurso de gerenciamento de Política de Grupo instalado na seção anterior, vamos exibir e editar um GPO existente.With the Group Policy Management feature installed from the previous section, let's view and edit an existing GPO. Na próxima seção, você criará um GPO personalizado.In the next section, you create a custom GPO.

Observação

Para administrar a política de grupo em um domínio gerenciado AD DS do Azure, você deve estar conectado a uma conta de usuário que seja membro do grupo de Administradores de DC do AAD .To administer group policy in an Azure AD DS managed domain, you must be signed in to a user account that's a member of the AAD DC Administrators group.

  1. Na tela iniciar, selecione Ferramentas administrativas.From the Start screen, select Administrative Tools. Uma lista de ferramentas de gerenciamento disponíveis é mostrada, incluindo o Gerenciamento de política de grupo instalado na seção anterior.A list of available management tools is shown, including Group Policy Management installed in the previous section.

  2. Para abrir o Console de Gerenciamento de Política de Grupo (GPMC), escolha Gerenciamento de política de grupo.To open the Group Policy Management Console (GPMC), choose Group Policy Management.

    O Console de Gerenciamento de Política de Grupo abre pronto para editar objetos de política de grupo

Há dois objetos de Política de Grupo internos (GPOs) em um domínio gerenciado do Azure AD DS-um para o contêiner de computadores AADDC e outro para o contêiner de usuários do AADDC .There are two built-in Group Policy Objects (GPOs) in an Azure AD DS managed domain - one for the AADDC Computers container, and one for the AADDC Users container. Você pode personalizar esses GPOs para configurar a política de grupo conforme necessário em seu domínio gerenciado AD DS do Azure.You can customize these GPOs to configure group policy as needed within your Azure AD DS managed domain.

  1. No console de Gerenciamento do política de grupo , expanda o nó floresta: contoso.com .In the Group Policy Management console, expand the Forest: contoso.com node. Em seguida, expanda os nós domínios .Next, expand the Domains nodes.

    Existem dois contêineres internos para computadores AADDC e usuários do AADDC.Two built-in containers exist for AADDC Computers and AADDC Users. Cada um desses contêineres tem um GPO padrão aplicado a eles.Each of these containers has a default GPO applied to them.

    GPOs internos aplicados aos contêineres padrão ' AADDC Computers ' e ' AADDC users '

  2. Esses GPOs internos podem ser personalizados para configurar políticas de grupo específicas em seu domínio gerenciado AD DS do Azure.These built-in GPOs can be customized to configure specific group policies on your Azure AD DS managed domain. Selecione um dos GPOs, como o GPO computadores AADDCe, em seguida, selecione Editar... .Right-select one of the GPOs, such as AADDC Computers GPO, then select Edit....

    Escolha a opção para ' Editar ' um dos GPOs internos

  3. A ferramenta Editor de Gerenciamento de Política de Grupo é aberta para permitir que você personalize o GPO, como políticas de conta:The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:

    Personalizar o GPO para definir as configurações conforme necessário

    Quando terminar, escolha arquivo > salvar para salvar a política.When done, choose File > Save to save the policy. Os computadores atualizam Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Criar um objeto de Política de Grupo personalizadoCreate a custom Group Policy Object

Para agrupar configurações de política semelhantes, você geralmente cria GPOs adicionais em vez de aplicar todas as configurações necessárias no GPO único, padrão.To group similar policy settings, you often create additional GPOs instead of applying all of the required settings in the single, default GPO. Com o Azure AD DS, você pode criar ou importar seus próprios objetos de política de grupo personalizados e vinculá-los a uma UO personalizada.With Azure AD DS, you can create or import your own custom group policy objects and link them to a custom OU. Se você precisar primeiro criar uma UO personalizada, consulte criar uma UO personalizada em um domínio gerenciado AD DS do Azure.If you need to first create a custom OU, see create a custom OU in an Azure AD DS managed domain.

  1. No console de Gerenciamento do política de grupo , selecione sua UO (unidade organizacional) personalizada, como MyCustomOU.In the Group Policy Management console, select your custom organizational unit (OU), such as MyCustomOU. Selecione a UO com o botão direito do mouse e escolha criar um GPO neste domínio e vincule-o aqui... :Right-select the OU and choose Create a GPO in this domain, and Link it here...:

    Criar um GPO personalizado no console de gerenciamento de Política de Grupo

  2. Especifique um nome para o novo GPO, como meu GPO personalizadoe, em seguida, selecione OK.Specify a name for the new GPO, such as My custom GPO, then select OK. Opcionalmente, você pode basear esse GPO personalizado em um GPO existente e no conjunto de opções de política.You can optionally base this custom GPO on an existing GPO and set of policy options.

    Especifique um nome para o novo GPO personalizado

  3. O GPO personalizado é criado e vinculado à sua UO personalizada.The custom GPO is created and linked to your custom OU. Para configurar agora as configurações de política, selecione o GPO personalizado e escolha Editar... :To now configure the policy settings, right-select the custom GPO and choose Edit...:

    Escolha a opção para ' Editar ' seu GPO personalizado

  4. O Editor de gerenciamento de política de grupo é aberto para permitir que você personalize o GPO:The Group Policy Management Editor opens to let you customize the GPO:

    Personalizar o GPO para definir as configurações conforme necessário

    Quando terminar, escolha arquivo > salvar para salvar a política.When done, choose File > Save to save the policy. Os computadores atualizam Política de Grupo por padrão a cada 90 minutos e aplicam as alterações feitas.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.

Próximas etapasNext steps

Para obter mais informações sobre as configurações de Política de Grupo disponíveis que você pode configurar usando o Console de Gerenciamento de Política de Grupo, consulte trabalhar com política de grupo itens de preferência.For more information on the available Group Policy settings that you can configure using the Group Policy Management Console, see Work with Group Policy preference items.