Ambientes híbridos são realidade para muitas empresas: parte da infraestrutura continua no local (on-premises), enquanto outra parte já está em nuvem. Nesse cenário, surge uma dúvida comum: como estender meu domínio local para a nuvem sem precisar de controladores de domínio tradicionais?

A resposta da Microsoft para isso é o Microsoft Entra Domain Services (anteriormente Azure AD DS).

Neste artigo, vamos explicar o que é essa solução e como você pode configurá-la para integrar seu ambiente híbrido com segurança e praticidade.

O que é o Microsoft Entra Domain Services?

O Microsoft Entra Domain Services é um serviço gerenciado que oferece funções de domínio tradicionais do Active Directory (como ingressar máquinas no domínio, GPOs, LDAP, Kerberos e NTLM) sem que você precise manter controladores de domínio na nuvem.

Ou seja, é como ter um “Active Directory gerenciado” na nuvem, integrado ao Microsoft Entra ID (Azure AD), ideal para:

• Aplicações legadas que ainda dependem de AD tradicional.
  
• Ambientes onde não se quer (ou não se pode) manter VMs como DCs.
  
• Situações em que é necessário aplicar GPOs, autenticação Kerberos ou ingressar VMs no domínio.
  

Quando usar em ambientes híbridos?

Se sua empresa já tem um Active Directory local sincronizado com o Microsoft Entra ID, o Entra Domain Services complementa esse cenário ao permitir que workloads em nuvem também participem do domínio — sem grandes mudanças na estrutura.

Esse modelo híbrido permite:

• Ter uma única identidade para acesso local e na nuvem.
  
• Evitar VPNs ou túneis complexos apenas para autenticação.
  
• Proteger aplicações legadas com políticas modernas de acesso.
  

Como configurar o Microsoft Entra Domain Services

Abaixo está um passo a passo simplificado para você começar:

1. Pré-requisitos

• Uma instância do Microsoft Entra ID (com usuários sincronizados do AD local ou criados diretamente na nuvem).
  
• Uma rede virtual (VNet) no Azure.
  
• Permissões de administrador global no Microsoft Entra ID.
  
• Licenciamento adequado (pelo menos Microsoft Entra ID P1 para muitos cenários híbridos).
  

2. Criar a instância do Entra Domain Services

No portal do Azure:

• Acesse “Microsoft Entra Domain Services”.
  
• Clique em Criar.
  
• Defina o nome do domínio (deve coincidir com o seu domínio AD ou ser um subdomínio válido).
  
• Escolha a região e a rede virtual onde o serviço será implantado.
  

3. Configurar a rede

Certifique-se de que:

• A VNet usada tenha sub-rede exclusiva para o serviço.
  
• A conectividade entre sua rede local e o Azure esteja funcionando (via VPN ou Azure ExpressRoute).
  
• As regras de NSG (Network Security Group) permitam o tráfego necessário entre as VMs e o serviço.
  

4. Habilitar a sincronização de senha (se aplicável)

Se você usa sincronização com AD local (via Azure AD Connect), é importante garantir que a hash de senha dos usuários esteja sendo sincronizada. Isso permite que os mesmos usuários tenham acesso ao domínio gerenciado.

5. Ingressar máquinas no domínio

Com o serviço pronto e propagado, você pode:

• Criar VMs no Azure e ingressá-las no domínio gerenciado.
  
• Aplicar políticas de grupo (GPOs) usando ferramentas conhecidas, como o Group Policy Management Console.
  
• Permitir que usuários façam login usando credenciais sincronizadas.
  

Benefícios do Entra Domain Services em cenários híbridos

• Sem necessidade de manter DCs em máquinas virtuais.
  
• Alta disponibilidade automática, gerenciada pela Microsoft.
  
• Integração transparente com o Entra ID (Azure AD).
  
• Suporte a protocolos legados, sem abrir mão da modernização.
  
• Redução de custos operacionais e de manutenção.
  

O Microsoft Entra Domain Services é uma ponte entre o mundo tradicional do Active Directory e o futuro das identidades em nuvem. Para empresas que ainda têm cargas de trabalho locais ou aplicações que dependem de autenticação legada, essa é uma alternativa robusta, gerenciada e segura.

Vamos trocar conhecimento? Comente sua dúvida ou ponto de vista.