Descripción de Microsoft Entra Domain Services
El equipo de TI de Contoso implementa varias aplicaciones de línea de negocio (LOB) en equipos y dispositivos que son miembros del dominio. Contoso usa credenciales basadas en AD DS para la autenticación y GPO para administrar esos dispositivos y aplicaciones. Ahora están pensando en mover estas aplicaciones para que se ejecuten en Azure. Una incidencia clave es cómo proporcionar servicios de autenticación a estas aplicaciones.
Para satisfacer esta necesidad, el equipo de TI de Contoso puede optar por lo siguiente:
- Implementar una red privada virtual (VPN) de sitio a sitio entre la infraestructura local y la IaaS de Azure.
- Implementar controladores de dominio de réplica desde la instancia local de AD DS como máquinas virtuales en Azure.
Sin embargo, estos enfoques pueden conllevar costos adicionales y esfuerzos administrativos. Además, la diferencia entre estos dos enfoques es que con la primera opción, el tráfico de autenticación cruza la VPN; en la segunda opción, el tráfico de replicación cruza la VPN y el tráfico de autenticación permanece en la nube. Microsoft proporciona Microsoft Entra Domain Services como alternativa a estos enfoques.
¿Qué es Microsoft Entra Domain Services?
Microsoft Entra Domain Services, que se ejecuta como parte del nivel P1 o P2 de Microsoft Entra ID, proporciona servicios de dominio como la administración de directivas de grupo, la unión a dominios y la autenticación Kerberos en el inquilino de Microsoft Entra. Estos servicios son totalmente compatibles con las instancias de AD DS local, por lo que puede usarlos sin necesidad de implementar ni administrar controladores de dominio adicionales en la nube.
Dado que Microsoft Entra ID se puede integrar con su AD DS local, al implementar Microsoft Entra Connect, los usuarios pueden usar credenciales organizativas tanto en AD DS local como en Microsoft Entra Domain Services. Incluso si no tiene AD DS implementado de forma local, puede optar por usar Microsoft Entra Domain Services como un servicio solo en la nube. Esto permite tener una función similar a la de AD DS implementado de forma local, sin tener que implementar un solo controlador de dominio local o en la nube.
Por ejemplo, el personal de TI de Contoso puede optar por crear un inquilino de Microsoft Entra y habilitar Microsoft Entra Domain Services y, a continuación, implementar una red virtual (VNet) entre sus recursos locales y el inquilino de Microsoft Entra. El personal de TI de Contoso puede habilitar Microsoft Entra Domain Services para esta red virtual para que todos los usuarios y servicios locales puedan usar servicios de dominio de Microsoft Entra ID.
Microsoft Entra Domain Services proporciona varias ventajas a las organizaciones, como las siguientes:
- Los administradores no necesitan administrar, actualizar ni supervisar los controladores de dominio.
- Los administradores no necesitan implementar ni administrar la replicación de Active Directory.
- No es necesario tener grupos de administradores de dominio ni administradores de empresa para dominios administrados por Microsoft Entra Domain Services.
Si decide implementar Microsoft Entra Domain Services, debe comprender las limitaciones actuales del servicio. Se incluyen los siguientes:
- Solo se admite el objeto de Active Directory del equipo base.
- No es posible ampliar el esquema para el dominio de Microsoft Entra Domain Services.
- La estructura de la unidad organizativa es plana, y actualmente no se admiten unidades organizativas anidadas.
- Hay un GPO integrado, que existe para las cuentas de equipo y de usuario.
- No es posible tener como destino unidades organizativas con GPO integrados. Además, no puede utilizar filtros de Instrumental de administración de Windows (WMI) ni filtros de grupos de seguridad.
Mediante el uso de Microsoft Entra Domain Services, puede migrar de forma gratuita las aplicaciones que usan LDAP, NT LAN Manager (NTLM) o los protocolos de Kerberos desde la infraestructura local a la nube. También puede usar aplicaciones, como Microsoft SQL Server o SharePoint Server, en máquinas virtuales, o implementarlas en IaaS de Azure. Todo esto sin necesidad de controladores de dominio en la nube o una VPN en la infraestructura local. En la tabla siguiente se identifican algunos escenarios comunes que usan Microsoft Entra Domain Services.
| Ventaja | Descripción |
|---|---|
| Administración segura de máquinas virtuales de Azure | Puede unir máquinas virtuales de Azure a un dominio administrado por Microsoft Entra Domain Services, lo que le permite usar un único conjunto de credenciales de Active Directory. Este enfoque reduce los problemas de administración de credenciales, como el mantenimiento de cuentas de administrador local en cada máquina virtual o la separación de cuentas y contraseñas entre entornos. Puede administrar y proteger máquinas virtuales que se unan a un dominio administrado por Microsoft Entra Domain Services. También puede aplicar las líneas de base de seguridad necesarias para las máquinas y bloquearlas, de conformidad con las directrices de seguridad corporativa. Por ejemplo, puede utilizar las capacidades de Administración de directiva de grupo para restringir los tipos de aplicaciones que pueden iniciarse en la máquina virtual. |
| Aplicaciones locales que usan la autenticación de enlace LDAP | En este escenario, Microsoft Entra Domain Services permite a las aplicaciones realizar enlaces LDAP como parte del proceso de autenticación. Las aplicaciones locales heredadas pueden migrar mediante lift-and-shift a Azure y continuar seguir autenticando a los usuarios sin ningún cambio en la configuración o la experiencia del usuario. |
| Aplicaciones locales que usan la lectura LDAP para acceder al directorio | En este escenario, Microsoft Entra Domain Services permite a las aplicaciones realizar lecturas LDAP en el dominio administrado para recuperar la información de los atributos que necesita. No es necesario volver a escribir la aplicación, por lo que una migración mediante lift-and-shift en Azure permite a los usuarios seguir usando la aplicación sin darse cuenta de que hay un cambio en el lugar donde se ejecuta. |
| Servicio local o aplicación de demonio | Algunas aplicaciones incluyen varios niveles, donde uno de los niveles necesita realizar llamadas autenticadas a un nivel de back-end, como una base de datos. Las cuentas de servicio Active Directory se usan normalmente en estos escenarios. Al migrar mediante lift-and-shift las aplicaciones en Azure, Microsoft Entra Domain Services le permite seguir usando cuentas de servicio de la misma manera. Puede optar por usar la misma cuenta de servicio que se sincroniza desde el directorio local para Microsoft Entra ID o crear una unidad organizativa personalizada y, después, crear una cuenta de servicio independiente en esa unidad organizativa. Con cualquiera de estos enfoques, las aplicaciones siguen funcionando de la misma manera para realizar llamadas autenticadas a otros niveles y servicios. |
| Servicios de Escritorio remoto en Azure | También puede usar Microsoft Entra Domain Services para proporcionar servicios de dominio administrados a servidores de escritorio remoto implementados en Azure. |
Consideraciones
Al implementar los escenarios anteriores, se aplican las consideraciones de implementación siguientes:
- Los dominios administrados por Microsoft Entra Domain Services usan una única estructura de unidad organizativa plana de forma predeterminada. Todas las máquinas virtuales unidas a un dominio se encuentran en una sola unidad organizativa. Si lo desea, puede crear unidades organizativas personalizadas.
- Microsoft Entra Domain Services utiliza un GPO integrado para cada uno de los contenedores de equipos y usuarios. Para un control adicional, puede crear GPO personalizados y dirigirlos a unidades organizativas personalizadas.
- Microsoft Entra Domain Services admite el esquema de objetos de equipo de Active Directory base. Sin embargo, no puede ampliar el esquema del objeto de equipo.
- No puede cambiar las contraseñas directamente en un dominio administrado por Microsoft Entra Domain Services. Los usuarios finales pueden cambiar su contraseña bien con el mecanismo de autoservicio de cambio de contraseña de Microsoft Entra ID o en el directorio local. Estos cambios se sincronizan y están disponibles automáticamente en el dominio administrado por Microsoft Entra Domain Services.
Además, debemos asegurarnos de lo siguiente:
- Las aplicaciones no necesitan modificar ni escribir en el directorio LDAP. No se admite el acceso de escritura LDAP a un dominio administrado de Microsoft Entra Domain Services.
- La aplicación no necesita un esquema de Active Directory personalizado o ampliado. No se admiten extensiones de esquema en Microsoft Entra Domain Services.
- Las aplicaciones usan un nombre de usuario y una contraseña para la autenticación. Microsoft Entra Domain Services no admite la autenticación basada en certificados o tarjetas inteligentes.