Como objetos e credenciais são sincronizados em um domínio gerenciado do Microsoft Entra Domain Services
Objetos e credenciais em um domínio gerenciado do Microsoft Entra Domain Services podem ser criados localmente dentro do domínio ou sincronizados de um locatário do Microsoft Entra. Quando você implanta o Domain Services pela primeira vez, uma sincronização unidirecional automática é configurada e iniciada para replicar os objetos do Microsoft Entra ID. Essa sincronização unidirecional continua a ser executada em segundo plano para manter o domínio gerenciado do Domain Services atualizado com quaisquer alterações do Microsoft Entra ID. Nenhuma sincronização ocorre do Domain Services de volta para o Microsoft Entra ID.
Em um ambiente híbrido, objetos e credenciais de um domínio do AD DS local podem ser sincronizados com o Microsoft Entra ID usando o Microsoft Entra Connect. Depois que esses objetos forem sincronizados com êxito com o Microsoft Entra ID, a sincronização automática em segundo plano disponibilizará esses objetos e as credenciais para os aplicativos que usam o domínio gerenciado.
O diagrama a seguir ilustra como funciona a sincronização entre o Domain Services, o Microsoft Entra ID e um ambiente de AD DS local opcional:
Sincronização do Microsoft Entra ID para o Domain Services
Contas de usuário, associações de grupo e hashes de credencial são sincronizados de maneira unidirecional do Microsoft Entra ID para o Domain Services. Esse processo de sincronização é automático. Não é preciso configurar, monitorar ou gerenciar esse processo de sincronização. A sincronização inicial pode levar de algumas horas a alguns dias, dependendo do número de objetos no diretório do Microsoft Entra. Após a conclusão da sincronização inicial, as alterações feitas no Microsoft Entra ID, como as alterações de senha ou atributo, são sincronizadas automaticamente com o Domain Services.
Quando um usuário é criado no Microsoft Entra ID, ele não é sincronizado com o Domain Services até alterar a senha no Microsoft Entra ID. Esse processo de alteração de senhas faz com que as hashes de senha para a autenticação Kerberos e NTLM sejam geradas e armazenadas no Microsoft Entra ID. Os hashes de senha são necessários para autenticar um usuário no Domain Services.
O processo de sincronização é unidirecional por design. Não há sincronização inversa de alterações do Domain Services de volta para o Microsoft Entra ID. Um domínio gerenciado é basicamente somente leitura, exceto qualquer OUs personalizadas que você possa criar. Não é possível fazer alterações em atributos de usuário, senhas de usuário ou associações de grupo em um domínio gerenciado.
Sincronização com escopo e filtro de grupo
Você pode definir o escopo da sincronização apenas para contas de usuário originadas na nuvem. Dentro desse escopo de sincronização, você pode filtrar usuários ou grupos específicos. Você pode optar por grupos somente de nuvem, grupos locais ou ambos. Para obter mais informações sobre como configurar a sincronização com escopo, confira Configurar a sincronização com escopo.
Sincronização e mapeamento de atributos para o Domain Services
A tabela a seguir lista alguns atributos comuns e como eles são sincronizados para o Domain Services.
| Atributo no Domain Services | Fonte | Observações |
|---|---|---|
| UPN | Atributo UPN do usuário no locatário do Microsoft Entra | O atributo UPN do locatário do Microsoft Entra é sincronizado no estado em que se encontra para o Domain Services. A maneira mais confiável de entrar em um domínio gerenciado é usando o UPN. |
| SAMAccountName | O atributo mailNickname do usuário no locatário do Microsoft Entra ou gerado automaticamente | O atributo SAMAccountName é originado do atributo mailNickname no locatário do Microsoft Entra. Se várias contas de usuário tiverem o mesmo atributo mailNickname, SAMAccountName será gerado automaticamente. Se o mailNickname ou o prefixo UPN do usuário tiver mais de 20 caracteres, o SAMAccountName será gerado automaticamente para atender ao limite de 20 caracteres em atributos SAMAccountName. |
| Senhas | Senha de usuário do locatário do Microsoft Entra | Os hashes de senha herdados exigidos para a autenticação NTLM ou Kerberos são sincronizados do locatário do Microsoft Entra. Se o locatário do Microsoft Entra estiver configurado para sincronização híbrida usando o Microsoft Entra Connect, esses hashes de senha serão originados do ambiente do AD DS local. |
| SID do usuário/grupo primário | Gerado automaticamente | O SID principal para contas de usuário/grupo é gerado automaticamente no Domain Services. Esse atributo não coincide com o SID de usuário/grupo primário do objeto em um ambiente de AD local. Essa incompatibilidade ocorre porque o domínio gerenciado tem um namespace de SID diferente do domínio AD DS local. |
| Histórico de SID para usuários e grupos | SID de usuário e grupo primário local | O atributo SidHistory para usuários e grupos no Domain Services é definido para coincidir com o SID do grupo ou usuário primário correspondente em um ambiente de AD DS local. Esse recurso ajuda a facilitar o lift-and-shift de aplicativos no local para o Domain Services, já que você não precisa reaplicar a ACL nos recursos. |
Dica
Entrar para o domínio gerenciado usando o formato UPN: o atributo SAMAccountName, como AADDSCONTOSO\driley, pode ser gerado automaticamente para algumas contas de usuário em um domínio gerenciado. O SAMAccountName gerado automaticamente pelos usuários pode ser diferente do prefixo UPN, portanto nem sempre é uma maneira confiável de se conectar.
Por exemplo, se vários usuários tiverem o mesmo atributo mailNickname ou os usuários tiverem prefixos UPN excessivamente longos, o SAMAccountName para esses usuários poderá ser gerado automaticamente. Use o formato UPN, como driley@aaddscontoso.com, para se conectar de maneira confiável a um domínio gerenciado.
Mapeamento de atributos para contas de usuário
A tabela a seguir ilustra como atributos específicos de objetos de usuário no Microsoft Entra ID são sincronizados com os atributos correspondentes no Domain Services.
| Atributo de usuário no Microsoft Entra ID | Atributo de usuário no Domain Services |
|---|---|
| accountEnabled | userAccountControl (define ou limpa o bit de ACCOUNT_DISABLED) |
| city | l |
| companyName | companyName |
| country | co |
| department | department |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | título |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (às vezes pode ser gerado automaticamente) |
| manager | manager |
| Serviço Móvel | Serviço Móvel |
| objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| passwordPolicies | userAccountControl (define ou limpa o bit de DONT_EXPIRE_PASSWORD) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| sobrenome | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Mapeamento de atributo para grupos
A tabela a seguir ilustra como atributos específicos de objetos de grupo no Microsoft Entra ID são sincronizados com os atributos correspondentes no Domain Services.
| Atributo de grupo no Microsoft Entra ID | Atributo de grupo no Domain Services |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (às vezes pode ser gerado automaticamente) |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | sidHistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
Sincronização do AD DS local para o Microsoft Entra ID e o Domain Services
O Microsoft Entra Connect é usado para sincronizar contas de usuário, associações de grupo e hashes de credenciais de um ambiente de AD DS local para o Microsoft Entra ID. Os atributos de contas de usuário, como o UPN e o SID (identificador de segurança) local são sincronizados. Para entrar usando o Domain Services, os hashes de senha herdados necessários para a autenticação NTLM e Kerberos também são sincronizados com o Microsoft Entra ID.
Importante
O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes do AD DS local. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado para sincronizar objetos de volta para o Microsoft Entra ID.
Se você configurar o write-back, as alterações do Microsoft Entra ID serão sincronizadas de volta para o ambiente de AD DS local. Por exemplo, se um usuário alterar a senha usando o gerenciamento de senhas de autoatendimento do Microsoft Entra, a senha será atualizada de volta no ambiente de AD DS local.
Observação
Sempre use a versão mais recente do Microsoft Entra Connect para garantir que você tenha correções para todos os bugs conhecidos.
Sincronização de um ambiente de várias florestas locais
Muitas organizações têm um ambiente de AD DS local bastante complexo que inclui várias florestas. O Microsoft Entra Connect dá suporte à sincronização de usuários, grupos e hashes de credenciais de ambientes de várias florestas para o Microsoft Entra ID.
O Microsoft Entra ID tem um namespace muito mais simples. Para permitir aos usuários acessar aplicativos protegidos pelo Microsoft Entra ID de forma confiável, resolva os conflitos de UPN entre contas de usuário em diferentes florestas. Os domínios gerenciados usam uma estrutura de UO simples, semelhante ao Microsoft Entra ID. Todas as contas de usuário e grupos são armazenadas no contêiner AADDC Users, apesar de serem sincronizadas de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica local. O domínio gerenciado mescla todas as estruturas de UO hierárquicas.
Conforme detalhado anteriormente, não há sincronização do Domain Services de volta para o Microsoft Entra ID. Você pode criar uma UO (unidade organizacional) personalizada no Domain Services e depois usuários, grupos ou contas de serviço nessas UOs personalizadas. Nenhum dos objetos criados em OUs personalizadas é sincronizado de volta para o Microsoft Entra ID. Esses objetos estão disponíveis somente dentro do domínio gerenciado e não estão visíveis usando cmdlets do PowerShell do Microsoft Graph, API do Microsoft Graph ou usando a interface do centro de administração do Microsoft Entra.
O que não está sincronizado com o Domain Services
Os seguintes objetos ou atributos não são sincronizados de um ambiente de AD DS local para o Azure AD ou o Domain Services:
- Atributos excluídos: você pode optar por excluir determinados atributos da sincronização para o Microsoft Entra ID de um ambiente de AD DS local usando Microsoft Entra Connect. Esses atributos excluídos não estarão disponíveis no Domain Services.
- Políticas de grupo: as políticas de grupo configuradas em um ambiente de AD DS local não são sincronizadas com o Domain Services.
- Pasta Sysvol: o conteúdo da pasta Sysvol em um ambiente de AD DS local não é sincronizado com o Domain Services.
- Objetos de computador: objetos de computador para computadores ingressados em um ambiente de AD DS local não são sincronizados com o Domain Services. Esses computadores não têm uma relação de confiança com o domínio gerenciado e só pertencem ao ambiente de AD DS local. No Domain Services, são exibidos somente os objetos de computador para computadores que ingressaram explicitamente no domínio com o domínio gerenciado.
- Atributos SidHistory para usuários e grupos: os SIDs do usuário primário e do grupo primário de um ambiente AD DS são sincronizados com o Domain Services. No entanto, os atributos SidHistory existentes para usuários e grupos não são sincronizados do ambiente de AD DS local para o Domain Services.
- Estruturas de UO (unidades organizacionais): as unidades organizacionais definidas em um ambiente de AD DS local não são sincronizadas com o Domain Services. Há duas UOs internas no Domain Services – uma para usuários e outra para computadores. O domínio gerenciado tem uma estrutura de UO simples. Você pode optar por criar uma UO personalizada no domínio gerenciado.
Considerações de segurança e sincronização de hash de senha
Quando você habilita o Domain Services, os hashes de senha obsoletos para autenticação NTLM e Kerberos são obrigatórios. O Microsoft Entra ID não armazena senhas de texto não criptografado, portanto, esses hashes não podem ser gerados automaticamente para contas de usuário existentes. Os hashes de senha compatíveis com Kerberos e NTLM são sempre armazenados de forma criptografada no Microsoft Entra ID.
As chaves de criptografia são exclusivas a cada locatário do Microsoft Entra. Esses hashes são criptografados, de modo que somente o Domain Services tem acesso às chaves de descriptografia. Nenhum outro serviço ou componente no Microsoft Entra ID tem acesso às chaves de descriptografia.
Os hashes de senha herdados são então sincronizados do Microsoft Entra ID para os controladores de domínio de um domínio gerenciado. Os discos para esses controladores de domínio gerenciado no Domain Services são criptografados em repouso. Esses hashes de senha são armazenados e protegidos nesses controladores de domínio, de forma semelhante ao modo como as senhas são armazenadas e protegidas em um ambiente de AD DS local.
Para ambientes do Microsoft Entra somente na nuvem, os usuários devem redefinir/alterar a senha para que os hashes de senha necessários sejam gerados e armazenados no Microsoft Entra ID. Para qualquer conta de usuário de nuvem criada no Microsoft Entra ID depois de habilitar o Microsoft Entra Domain Services, os hashes de senha são gerados e armazenados nos formatos compatíveis com NTLM e Kerberos. Todas as contas de usuário de nuvem devem alterar a senha antes que elas sejam sincronizadas com o Domain Services.
Para contas de usuário híbridas sincronizadas do ambiente de AD DS local usando o Microsoft Entra Connect, você deve configurar o Microsoft Entra Connect para sincronizar os hashes de senha nos formatos compatíveis com Kerberos e NTLM.
Próximas etapas
Para obter mais informações sobre os detalhes de sincronização de senha, confira Como funciona a sincronização de hash de senha com o Microsoft Entra Connect.
Para começar, crie um domínio gerenciado.