Tutorial: Criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra com opções de configuração avançadas

Os Serviços de Domínio Microsoft Entra fornecem serviços de domínio gerenciados, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos/NTLM que é totalmente compatível com o Ative Directory do Windows Server. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches em controladores de domínio. Os Serviços de Domínio integram-se com o seu inquilino existente do Microsoft Entra. Essa integração permite que os usuários entrem usando suas credenciais corporativas e você pode usar grupos e contas de usuário existentes para proteger o acesso aos recursos.

Você pode criar um domínio gerenciado usando opções de configuração padrão para rede e sincronização ou definir manualmente essas configurações. Este tutorial mostra como definir essas opções de configuração avançadas para criar e configurar um domínio gerenciado dos Serviços de Domínio usando o centro de administração do Microsoft Entra.

Neste tutorial, irá aprender a:

• Definir configurações de DNS e rede virtual para um domínio gerenciado
• Criar um domínio gerido
• Adicionar usuários administrativos ao gerenciamento de domínio
• Ativar a sincronização do hash de palavras-passe

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Uma subscrição ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos do Microsoft Entra em seu locatário para habilitar os Serviços de Domínio.
• Você precisa da função Azure de Colaborador de Serviços de Domínio para criar os recursos de Serviços de Domínio necessários.

Embora não seja necessário para os Serviços de Domínio, é recomendável configurar a redefinição de senha de autoatendimento (SSPR) para o locatário do Microsoft Entra. Os usuários podem alterar sua senha sem SSPR, mas SSPR ajuda se eles esquecerem sua senha e precisarem redefini-la.

Importante

Depois de criar um domínio gerenciado, não é possível movê-lo para uma assinatura, grupo de recursos ou região diferente. Certifique-se de selecionar a assinatura, o grupo de recursos e a região mais apropriados ao implantar o domínio gerenciado.

Inicie sessão no Centro de administração do Microsoft Entra.

Neste tutorial, você cria e configura o domínio gerenciado usando o centro de administração do Microsoft Entra. Para começar, primeiro entre no centro de administração do Microsoft Entra.

Criar um domínio gerenciado e definir configurações básicas

Para iniciar o assistente Habilitar Serviços de Domínio do Microsoft Entra, conclua as seguintes etapas:

1. No menu do centro de administração do Microsoft Entra ou na página inicial , selecione Criar um recurso.
2. Insira Serviços de Domínio na barra de pesquisa e escolha Serviços de Domínio Microsoft Entra nas sugestões de pesquisa.
3. Na página Serviços de Domínio do Microsoft Entra, selecione Criar. O assistente Ativar Serviços de Domínio do Microsoft Entra é iniciado.
4. Selecione a Assinatura do Azure na qual você gostaria de criar o domínio gerenciado.
5. Selecione o grupo de recursos ao qual o domínio gerenciado deve pertencer. Escolha Criar novo ou selecionar um grupo de recursos existente.

Ao criar um domínio gerenciado, você especifica um nome DNS. Há algumas considerações quando você escolhe esse nome DNS:

• Nome de domínio interno: Por padrão, o nome de domínio interno do diretório é usado (um sufixo .onmicrosoft.com ). Se desejar habilitar o acesso LDAP seguro ao domínio gerenciado pela Internet, não será possível criar um certificado digital para proteger a conexão com esse domínio padrão. A Microsoft é proprietária do domínio .onmicrosoft.com , portanto, uma Autoridade de Certificação (CA) não emitirá um certificado.
• Nomes de domínio personalizados: A abordagem mais comum é especificar um nome de domínio personalizado, normalmente um que você já possui e é roteável. Quando você usa um domínio roteável e personalizado, o tráfego pode fluir corretamente conforme necessário para dar suporte aos seus aplicativos.
• Sufixos de domínio não roteáveis: geralmente recomendamos que você evite um sufixo de nome de domínio não roteável, como contoso.local. O sufixo .local não é roteável e pode causar problemas com a resolução de DNS.

Gorjeta

Se você criar um nome de domínio personalizado, tome cuidado com os namespaces DNS existentes. É recomendável usar um nome de domínio separado de qualquer espaço de nome DNS existente do Azure ou local.

Por exemplo, se você tiver um espaço de nome DNS existente de contoso.com, crie um domínio gerenciado com o nome de domínio personalizado de aaddscontoso.com. Se você precisar usar LDAP seguro, deverá registrar e possuir esse nome de domínio personalizado para gerar os certificados necessários.

Talvez seja necessário criar alguns registros DNS adicionais para outros serviços em seu ambiente ou encaminhadores DNS condicionais entre espaços de nome DNS existentes em seu ambiente. Por exemplo, se você executar um servidor Web que hospeda um site usando o nome DNS raiz, pode haver conflitos de nomenclatura que exigem entradas DNS adicionais.

Nestes tutoriais e artigos de instruções, o domínio personalizado do aaddscontoso.com é usado como um pequeno exemplo. Em todos os comandos, especifique seu próprio nome de domínio.

As seguintes restrições de nome DNS também se aplicam:

• Restrições de prefixo de domínio: não é possível criar um domínio gerenciado com um prefixo maior que 15 caracteres. O prefixo do nome de domínio especificado (como aaddscontoso no nome de domínio aaddscontoso.com ) deve conter 15 ou menos caracteres.
• Conflitos de nome de rede: o nome de domínio DNS do seu domínio gerenciado ainda não deve existir na rede virtual. Especificamente, verifique os seguintes cenários que levariam a um conflito de nome:
  • Se você já tiver um domínio do Ative Directory com o mesmo nome de domínio DNS na rede virtual do Azure.
  • Se a rede virtual onde você planeja habilitar o domínio gerenciado tiver uma conexão VPN com sua rede local. Nesse cenário, verifique se você não tem um domínio com o mesmo nome de domínio DNS em sua rede local.
  • Se você tiver um serviço de nuvem do Azure existente com esse nome na rede virtual do Azure.

Preencha os campos na janela Noções básicas do centro de administração do Microsoft Entra para criar um domínio gerenciado:

1. Insira um nome de domínio DNS para seu domínio gerenciado, levando em consideração os pontos anteriores.

2. Escolha o Local do Azure no qual o domínio gerenciado deve ser criado. Se você escolher uma região que ofereça suporte a Zonas de Disponibilidade, os recursos dos Serviços de Domínio serão distribuídos entre zonas para redundância adicional.

   Gorjeta

   As Zonas de Disponibilidade são localizações físicas exclusivas numa região do Azure. Cada zona é composta por um ou mais datacenters equipados com energia, refrigeração e rede independentes. Para garantir a resiliência, há um mínimo de três zonas separadas em todas as regiões ativadas.

   Não há nada para você configurar para que os Serviços de Domínio sejam distribuídos entre zonas. A plataforma Azure lida automaticamente com a distribuição de recursos por zona. Para obter mais informações e ver a disponibilidade da região, consulte O que são zonas de disponibilidade no Azure?

3. O SKU determina o desempenho e a frequência de backup. Você pode alterar a SKU após a criação do domínio gerenciado se as demandas ou requisitos da sua empresa mudarem. Para obter mais informações, consulte Conceitos de SKU dos Serviços de Domínio.

   Para este tutorial, selecione a SKU padrão .

4. Uma floresta é uma construção lógica usada pelos Serviços de Domínio Ative Directory para agrupar um ou mais domínios.

   

5. Para configurar manualmente opções adicionais, escolha Avançar - Rede. Caso contrário, selecione Rever + criar para aceitar as opções de configuração predefinidas e, em seguida, avance para a secção Implementar o seu domínio gerido. Os seguintes padrões são configurados quando você escolhe essa opção de criação:

   • Cria uma rede virtual chamada aadds-vnet que usa o intervalo de endereços IP 10.0.1.0 /24.
   • Cria uma sub-rede chamada aadds-subnet usando o intervalo de endereços IP 10.0.1.0 /24.
   • Sincroniza todos os usuários do Microsoft Entra ID no domínio gerenciado.

Criar e configurar a rede virtual

Para fornecer conectividade, uma rede virtual do Azure e uma sub-rede dedicada são necessárias. Os Serviços de Domínio estão habilitados nesta sub-rede de rede virtual. Neste tutorial, você cria uma rede virtual, embora possa optar por usar uma rede virtual existente. Em qualquer uma das abordagens, você deve criar uma sub-rede dedicada para uso pelos Serviços de Domínio.

Algumas considerações para esta sub-rede de rede virtual dedicada incluem as seguintes áreas:

• A sub-rede deve ter pelo menos 3-5 endereços IP disponíveis em seu intervalo de endereços para oferecer suporte aos recursos dos Serviços de Domínio.
• Não selecione a sub-rede Gateway para implantar os Serviços de Domínio. Não há suporte para implantar Serviços de Domínio em uma sub-rede de Gateway .
• Não implante nenhuma outra máquina virtual na sub-rede. Aplicativos e VMs geralmente usam grupos de segurança de rede para proteger a conectividade. A execução dessas cargas de trabalho em uma sub-rede separada permite aplicar esses grupos de segurança de rede sem interromper a conectividade com seu domínio gerenciado.

Para obter mais informações sobre como planejar e configurar a rede virtual, consulte Considerações de rede para os Serviços de Domínio Microsoft Entra.

Preencha os campos na janela Rede da seguinte forma:

1. Na página Rede, escolha uma rede virtual na qual implantar os Serviços de Domínio no menu suspenso ou selecione Criar novo.

   1. Se você optar por criar uma rede virtual, insira um nome para a rede virtual, como myVnet, e forneça um intervalo de endereços, como 10.0.1.0/24.
   2. Crie uma sub-rede dedicada com um nome claro, como DomainServices. Forneça um intervalo de endereços, como 10.0.1.0/24.

   

   Certifique-se de escolher um intervalo de endereços que esteja dentro do seu intervalo de endereços IP privados. Os intervalos de endereços IP que você não possui e que estão no espaço de endereçamento público causam erros nos Serviços de Domínio.

2. Selecione uma sub-rede de rede virtual, como DomainServices.

3. Quando estiver pronto, escolha Avançar - Administração.

Configurar um grupo administrativo

Um grupo administrativo especial chamado Administradores de DC do AAD é usado para o gerenciamento do domínio Serviços de Domínio. Os membros desse grupo recebem permissões administrativas em VMs que ingressaram no domínio gerenciado. Em VMs ingressadas no domínio, esse grupo é adicionado ao grupo de administradores locais. Os membros desse grupo também podem usar a Área de Trabalho Remota para se conectar remotamente a VMs ingressadas no domínio.

Importante

Você não tem permissões de Administrador de Domínio ou Administrador Corporativo em um domínio gerenciado usando os Serviços de Domínio. Essas permissões são reservadas pelo serviço e não são disponibilizadas aos usuários dentro do locatário.

Em vez disso, o grupo Administradores de DC do AAD permite executar algumas operações privilegiadas. Essas operações incluem pertencer ao grupo de administração em VMs ingressadas no domínio e configurar a Diretiva de Grupo.

O assistente cria automaticamente o grupo Administradores de DC do AAD no diretório do Microsoft Entra. Se você tiver um grupo existente com esse nome no diretório do Microsoft Entra, o assistente selecionará esse grupo. Opcionalmente, você pode optar por adicionar outros usuários a esse grupo de Administradores de DC do AAD durante o processo de implantação. Estas etapas podem ser concluídas mais tarde.

1. Para adicionar outros usuários a esse grupo de Administradores de DC do AAD, selecione Gerenciar associação ao grupo.

   

2. Selecione o botão Adicionar membros e, em seguida, procure e selecione usuários no diretório do Microsoft Entra. Por exemplo, pesquise sua própria conta e adicione-a ao grupo Administradores de DC do AAD.

3. Se desejar, altere ou adicione destinatários adicionais para notificações quando houver alertas no domínio gerenciado que exijam atenção.

4. Quando estiver pronto, escolha Avançar - Sincronização.

Configurar sincronização

Os Serviços de Domínio permitem sincronizar todos os usuários e grupos disponíveis no Microsoft Entra ID ou uma sincronização com escopo de apenas grupos específicos. Você pode alterar o escopo de sincronização agora ou depois que o domínio gerenciado for implantado. Para obter mais informações, consulte Sincronização de escopo dos Serviços de Domínio Microsoft Entra.

1. Para este tutorial, escolha sincronizar Todos os usuários e grupos. Essa opção de sincronização é a opção padrão.

   

2. Selecione Rever + criar.

Implantar o domínio gerenciado

Na página Resumo do assistente, revise as definições de configuração do domínio gerenciado. Você pode voltar a qualquer etapa do assistente para fazer alterações. Para reimplantar um domínio gerenciado em um locatário diferente do Microsoft Entra de forma consistente usando essas opções de configuração, você também pode Baixar um modelo para automação.

1. Para criar o domínio gerenciado, selecione Criar. É exibida uma observação de que determinadas opções de configuração, como nome DNS ou rede virtual, não podem ser alteradas depois que os Serviços de Domínio gerenciados forem criados. Para continuar, selecione OK.

2. O processo de provisionamento do domínio gerenciado pode levar até uma hora. Uma notificação é exibida no portal que mostra o progresso da implantação dos Serviços de Domínio. Selecione a notificação para ver o progresso detalhado da implantação.

   

3. Selecione seu grupo de recursos, como myResourceGroup, e escolha seu domínio gerenciado na lista de recursos do Azure, como aaddscontoso.com. A guia Visão geral mostra que o domínio gerenciado está implantando no momento. Não é possível configurar o domínio gerenciado até que ele esteja totalmente provisionado.

   

4. Quando o domínio gerenciado é totalmente provisionado, a guia Visão geral mostra o status do domínio como Em execução.

   

Importante

O domínio gerenciado está associado ao seu locatário do Microsoft Entra. Durante o processo de provisionamento, os Serviços de Domínio criam dois Aplicativos Empresariais chamados Serviços de Controlador de Domínio e AzureActiveDirectoryDomainControllerServices no locatário do Microsoft Entra. Estas Aplicações Empresariais são necessárias para prestar assistência ao seu domínio gerido. Não exclua esses aplicativos.

Atualizar as definições de DNS para a Azure Virtual Network

Com os Serviços de Domínio implantados com êxito, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS da sua rede virtual para apontar para os dois endereços IP onde o domínio gerenciado está implantado.

1. A guia Visão geral do seu domínio gerenciado mostra algumas etapas de configuração necessárias. A primeira etapa de configuração é atualizar as configurações do servidor DNS para sua rede virtual. Depois que as configurações de DNS estiverem configuradas corretamente, essa etapa não será mais exibida.

   Os endereços listados são os controladores de domínio para uso na rede virtual. Neste exemplo, esses endereços são 10.0.1.4 e 10.0.1.5. Mais tarde, você pode encontrar esses endereços IP na guia Propriedades .

   

2. Para atualizar as configurações do servidor DNS para a rede virtual, selecione o botão Configurar . As definições de DNS são configuradas automaticamente para a sua rede virtual.

Gorjeta

Se você selecionou uma rede virtual existente nas etapas anteriores, todas as VMs conectadas à rede só obterão as novas configurações de DNS após uma reinicialização. Você pode reiniciar VMs usando o centro de administração do Microsoft Entra, o Microsoft Graph PowerShell ou a CLI do Azure.

Habilitar contas de usuário para Serviços de Domínio

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NT LAN Manager (NTLM) e Kerberos. O Microsoft Entra ID não gera nem armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio para seu locatário. Por motivos de segurança, o Microsoft Entra ID também não armazena credenciais de senha em formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente esses hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

Nota

Uma vez corretamente configurados, os hashes de palavra-passe utilizáveis são armazenados no domínio gerido. Se eliminar o domínio gerido, todos os hashes de palavras-passe armazenados nessa altura também serão eliminados.

As informações de credenciais sincronizadas no Microsoft Entra ID não podem ser reutilizadas se você criar posteriormente um domínio gerenciado - você deve reconfigurar a sincronização de hash de senha para armazenar os hashes de senha novamente. VMs ou usuários anteriormente ingressados no domínio não poderão se autenticar imediatamente - o ID do Microsoft Entra precisa gerar e armazenar os hashes de senha no novo domínio gerenciado.

Para obter mais informações, consulte Processo de sincronização de hash de senha para Serviços de Domínio e Microsoft Entra Connect.

As etapas para gerar e armazenar esses hashes de senha são diferentes para contas de usuário somente na nuvem criadas no ID do Microsoft Entra versus contas de usuário sincronizadas do diretório local usando o Microsoft Entra Connect.

Uma conta de usuário somente na nuvem é uma conta que foi criada no diretório do Microsoft Entra usando o centro de administração do Microsoft Entra ou cmdlets do Microsoft Graph PowerShell. Essas contas de usuário não são sincronizadas a partir de um diretório local.

Neste tutorial, vamos trabalhar com uma conta de usuário básica somente na nuvem. Para obter mais informações sobre as etapas adicionais necessárias para usar o Microsoft Entra Connect, consulte Sincronizar hashes de senha para contas de usuário sincronizadas do AD local para o domínio gerenciado.

Gorjeta

Se o locatário do Microsoft Entra tiver uma combinação de usuários somente na nuvem e usuários do AD local, você precisará concluir ambos os conjuntos de etapas.

Para contas de usuário somente na nuvem, os usuários devem alterar suas senhas antes de poderem usar os Serviços de Domínio. Esse processo de alteração de senha faz com que os hashes de senha para autenticação Kerberos e NTLM sejam gerados e armazenados no Microsoft Entra ID. A conta não é sincronizada do ID do Microsoft Entra para os Serviços de Domínio até que a senha seja alterada. Expire as senhas de todos os usuários de nuvem no locatário que precisam usar os Serviços de Domínio, o que força uma alteração de senha no próximo login, ou instrua os usuários de nuvem a alterar manualmente suas senhas. Para este tutorial, vamos alterar manualmente uma senha de usuário.

Antes que um usuário possa redefinir sua senha, o locatário do Microsoft Entra deve ser configurado para redefinição de senha de autoatendimento.

Para alterar a senha de um usuário somente na nuvem, o usuário deve concluir as seguintes etapas:

1. Vá para a página do Painel de Acesso do Microsoft Entra ID em https://myapps.microsoft.com.

2. No canto superior direito, selecione seu nome e escolha Perfil no menu suspenso.

   

3. Na página Perfil, selecione Alterar senha.

4. Na página Alterar palavra-passe, introduza a palavra-passe existente (antiga) e, em seguida, introduza e confirme uma nova palavra-passe .

5. Selecione Submeter.

Demora alguns minutos depois de alterar a palavra-passe para que a nova palavra-passe possa ser utilizada nos Serviços de Domínio e inicie sessão com êxito nos computadores associados ao domínio gerido.

Próximos passos

Neste tutorial, ficou a saber como:

• Definir configurações de DNS e rede virtual para um domínio gerenciado
• Criar um domínio gerido
• Adicionar usuários administrativos ao gerenciamento de domínio
• Habilitar contas de usuário para Serviços de Domínio e gerar hashes de senha

Para ver esse domínio gerenciado em ação, crie e associe uma máquina virtual ao domínio.

Associar uma máquina virtual do Windows Server ao seu domínio gerenciado