Atualmente a Microsoft dispões de algumas opções para serviços de identidade e autenticação. Os mais conhecidos são: Active Directory Domain Services, Azure Active Directory, Azure Active Directory Domain Services.
E como você imaginar, todos esses serviços possuem semelhanças que podem causar uma confusão. Acredito que você reparou que nas 3 opções que foram listas o nome “Active Directory” aparece.
Com tantas opções de identidade e autenticação, muitas dúvidas surgem na cabeça do ITPro. A intenção desse artigo é descrever as funcionalidades e comprar o funcionamento de cada serviço de identidade.
Active Directory Domain Services
Esse é o mais comum e mais conhecido serviço de identidade da Microsoft.
Ele foi a lançado a pouco mais de 20 anos, e vem sendo o principal serviço de identidade e autenticação das empresas em todo o mundo.
Segue as principais características do AD DS:
- Necessita de controladores de domínio dedicados
- Armazena objetos como usuários, computadores e grupos
- Hierarquia de diretório
- Schema extensível
- GPO para usuários e dispositivos
- Suporta protocolos Kerberos, NTLM e LDAP
Serviço com bastante tempo de mercado, consolidado, confiável, documentação excelente. O AD DS requer servidores dedicados, suporta alta disponibilidade, mas exige mais servidores para garantir a disponibilidade.
Como é necessário manter uma infraestrutura de servidores dedicados, o custo de gerenciamento é maior. O gereciamento exige um cuidado especial em relação aos patchs de atualização, cuidados com a replicação entre controladores de domínio, manutenção de DNS, etc.
Azure Active Directory
O Azure AD é um serviço de gestão identidade baseado em nuvem.
Se você utiliza o Azure ou o Microsoft 365, você já utiliza o Azure AD, que é muito diferente do Active Directory Domain Services (On-premises). Embora os serviços se completem e podem atuar complementando e sincronizando usuários.
Existem 2 grandes diferenças entre o Azure AD e o AD DS. A primeira é relacionada ao protocolo de autenticação aceito, que no caso Azure AD não são suportados os protocolos LDAP, Kerberos e NTLM. A segunda grande diferença é que o Azure AD não possui Políticas de Grupo as famosas GPOs.
- Solução de identidade baseada em cloud
- 4 camadas de licenciamento (Free, Básico, P1, P2)
- Multi-tenant
- Não possui GPO´s
- Usado para gestão de usuário do Azure e Microsoft 365
Azure Active Directory Domain Services
E agora vamos entender como funciona o Azure AD DS.
Esse serviço se aproxima MUITO do AD DS On-premises que os profissionais de TI já estão acostumados, a diferença está no formato de entrega do serviço.
Agora os controlodores de domínio são entregues no formato PaaS (Plataforma como Serviço), onde a camada de servidor é abstraída e a equipe de TI não precisa mais se preocupar com o gerenciamento de de Sistema Operacional, rede, alta disponibilidade, etc.
As funções do Azure AD DS incluem:
- Plataforma como Serviço
- Compatibilidade com protocolos LDAP, Kerberos e NTLM
- Integração nativa com o Azure AD
- Não existe contas Administradores de Domínio, nem Enterprise Admin
- Não é possível extender o Schema
O Azure AD é a base para o Azure AD DS, os objetos e usuários criados no Azure AD são replicados automaticamente para o Azure AD DS.
Segue abaixo um vídeo que preparei explicando cada detalhe do Azure AD DS, incluíndo o passo-a-passo de como implantar esse recurso.
Que a força esteja com vocês!!!
Diretor técnico na Supreme Tecnologia.
MVP Azure, MTAC e Azure Administrator Associate