O Azure Active Directory Domain Services (Azure AD DS) fornece serviços de domínio gerenciado, como ingresso no domínio, política de grupo, LDAP, autenticação Kerberos / NTLM que é totalmente compatível com o Windows Server Active Directory. Você consome esses serviços de domínio sem implantar, gerenciar e aplicar patches aos controladores de domínio por conta própria. O Azure AD DS se integra ao seu tenant do Azure AD existente. Essa integração permite que os usuários façam login usando suas credenciais corporativas, e você pode usar grupos e contas de usuário existentes para proteger o acesso aos recursos.
Pré-requisitos
- Uma assinatura ativa do Azure
- Um Azure Active Directory tenant associado à sua assinatura sincronizado com Ative Directory on-premises ou cloud-only Directoty.
- Você precisa de privilégios de Global administrator em seu Azure Ad tenant para habilitar o Azure AD DS.
- Você precisa de privilégios de Contributor em sua assinatura do Azure para criar os recursos do Azure AD DS necessários.
Sincronizar os usuários e grupos do Active Directory On-Premises para o Azure Active Directory
Antes de iniciarmos a sincronização dos objetos do Active Directory on-premises com o Azure Active Directory devemos mencionar alguns conceitos importantes.
O que é o Azure Active Directory?
O Azure Active Directory (Azure AD) é o serviço de gerenciamento de identidade e de acesso baseado em nuvem da Microsoft, que ajuda seus funcionários a se conectar e acessar os recursos em:
- Recursos externos, como o Microsoft Office 365, o portal do Azure e milhares de outros aplicativos SaaS.
- Recursos internos, como aplicativos em sua rede corporativa e intranet, junto com quaisquer aplicativos em nuvem desenvolvidos por sua própria organização.
O que é o Azure AD Connect?
O Azure AD Connect é a ferramenta da Microsoft criada para atender e atingir suas metas de identidade híbrida. A integração de seus diretórios locais (AD On-Premises) ao AD do Azure torna os usuários mais produtivos ao fornecer uma identidade comum para acesso aos recursos na nuvem e locais.
Os usuários e as organizações podem beneficiar-se do seguinte:
- Os usuários podem usar uma única identidade para acessar aplicativos locais e serviços na nuvem, como o Office 365 e Azure.
- Ferramenta única para fornecer uma experiência de implantação fácil de sincronização e entrada.
Para iniciar a configuração do Azure AD Connect, você deve ter o seguinte ambiente:
- Uma assinatura do Azure AD
Você pode usar um dos seguintes portais para gerenciar o Azure AD Connect:
Portal do Azure
Portal do Office
Para criar usuários no Azure Active Directory e sincronizar com seu Active Directory On-Premises, você pode usar o plano free, não é necessário ter licenças de P1 ou P2.
Para prosseguir nesse tutorial é necessário a instalação do Active Directory e configuração de alguns usuário e grupos, nesse tutorial não iremos abordar a instalação do Active Directory e a criação dos usuário e grupos.
01 – Em nosso controlador de domínio temos um grupo chamado GG_TI com dois usuários chamados Suporte 01 e Suporte 02, esses objetos serão sincronizados para o Azure Active Directory.
02. Vamos baixar o azure ad connect.
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Os pré-requisitos para instalação do azure ad connect podem ser analisados no site oficial da microsoft no link abaixo.
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-install-prerequisites
03. Após realizarmos o download do azure ad connect, já podemos inciar a instalação.
04 – A tela de Welcome será aberta, marque I agree to the license terms and privacy notice e clique em Continue.
05 – Para nosso cenário vamos utilizar a instalação express, clique em Use express settings.
Vamos criar uma conta no Azure Active Directory com a permissão de Global Administrator
Posteriormente utilizaremos essa conta no Azure AD connect.
06 – Fala login no portal do Azure portal.azure.com
07 – No portal pesquise por Azure Active Directory
08 – No Azure Active Directory, clique em Users.
09 – Na tela Users clique em + New user.
10 – Na tela New user selecione Create user, em user name vamos utilizar o nome adconnect, selecione o nome usuário vamos utilizar também o nome adconnect, selecione Auto-generate password cliquem show Password, copie essa senha porque vamos utiliza-lá posteriormente, deixe as demais configurações e clique em Create.
11 – Como podemos observar na imagem abaixo nosso usuário foi criado com sucesso.
Vamos atribuir a permissão de Global Administrator ao usuário adconnect.
12 – Selecione o usuário adconnect e clique em Assigned roles.
13 – Clique em + Add assignments, selecione Global administrator e clique em Add.
14 – Observe que a função de Global administrator foi atribuída ao usuário adconnect.
Vamos logar no portal do Azure para criarmos a senha do usuário adconnect
15 – Abra o navegador de sua preferência, digite o endereço do portal do azure e faça login com a conta de usuário que atribuímos a função de administrator global.
16 – Conseguimos fazer login no portal do azure com o usuário adconnect.
Agora já podemos voltar ao windows server e continuar a instalação do Azure AD Connect
17 – Insira suas credenciais de global administrator do Azure AD e clique em Next.
18 – Insira as credenciais de Enterprise Administrator do Active Directory Domain Services e clique em Next.
19 – Na tela Azure AD sign-in configuration, marque Continue without matching all UPN suffixes to verified domains e clique em Next.
20 – Na tela Readdy to configure, marque Start the synchronization process when configuration completes e clique em Install.
21 – Quaisquer erros ou itens de ação serão listados na página Configuration complete. Clique em Exite para concluir a configuração.
É mostrada a notificação informando que a lixeira do Active Directory não está habilitada.
22 – Observe no Azure Active Directory que nosso grupo e usuários foram sincronizados com sucesso.
Vamos Configurar o Azure AD Domain Services
23 – Vamos criar o Resource group RG-AADDS com o seguinte comando:
# Criar resource group
New-AzResourceGroup -Name ‘RG-AADS’ -Location ‘EastUS’
24 – Vamos criar a virtual network e subnet com seguinte comando:
# Variáveis
$Resourcegroup = “RG-AADS”
$Location = “EastUS”
$Vnet = “Vnet-AADS”
$Sub1 = “Subnet-AADS”
$Sub2 = “Subnet-Servidores”
# Criar virtual network
$virtualNetwork = New-AzVirtualNetwork -ResourceGroupName $Resourcegroup -Location $Location -Name $Vnet -AddressPrefix 10.0.0.0/16
# Adicionar uma subnet
$subnetConfig = Add-AzVirtualNetworkSubnetConfig -Name $Sub1 -AddressPrefix 10.0.1.0/24 -VirtualNetwork $virtualNetwork
# Adicionar uma segunda subnet
$subnetConfig2 = Add-AzVirtualNetworkSubnetConfig -Name $Sub2 -AddressPrefix 10.0.2.0/24 -VirtualNetwork $virtualNetwork
# Associar a subnet à virtual network
$virtualNetwork | Set-AzVirtualNetwork
25 – Como podemos observar na imagem abaixo nosso resource group, virtual network e subnet foram criados.
26 – No portal do azure, pesquise por Azure AD Domain Services.
27 – Na tela Azure AD Domain Services, clique em Create Azure AD Domain Services.
28 – Na tela Create Azure AD Domain Services, selecione o resource grupo em DNS domain name vamos utilizar aads.jadsonalves.com.br, selecione região, SKU, para a opção Forest type selecione User e clique em Next.
Evite colocar domínios não roteáveis como .local e .net
Como já temos o domínio jadsonalves.com.br configurado em nosso domínio on-premises, vamos utilizar o domínio do Azure AD Domain Services como domínio filho de jadsonalves.com.br, ficando da seguinte maneira a configuração aads.jadsonalves.com.br
29 – Na tela Networking, na opção virtual network selecione Vnet-AADS em Subnet selecione Subnet-AADS e clique em Next.
Na página Administration, vamos adicionar uma conta que receberá a permissão de administrador.
Os membros do grupo AAD DC Administrators são como os Domain Admins no AD on-premises.
30 – Na página Administration, clique em Manage group membership.
31 – Clique em + Add e selecione o grupo ou usuários que deseja dar permissão de administrator, em nosso ambiente vamos adicionar o grupo GG_TI que os usuários suporte 01 e suporte 02 fazem parte, e clique em Create Azure AD Domain Services para retornar a tela anterior.
32 – Após selecionarmos o grupo que terá permissão de administrator clique em Next.
33 – Na tela Synchronization, selecione a opção All e clique em Next.
34 – Na tela Review + create, verifique se todas as informações inseridas estão corretas e clique em Create.
35 – Observe que nosso recurso está sendo criado.
36 – O Azure AD Domain Services foi provisionado com sucesso..
37 – Vamos verificar a configuração do Azure AD Domain Services, no portal pesquise por Azure AD Domain Services.
38 – Na página Azure AD Domain Service selecione o domínio que criamos.
39 – Na tela Overview está mostrando que o domínio está executando.
Atualize as configurações de DNS para a virtual network do Azure
Com o Azure AD DS implantado com êxito, agora configure a rede virtual para permitir que outras VMs e aplicativos conectados usem o domínio gerenciado. Para fornecer essa conectividade, atualize as configurações do servidor DNS para sua rede virtual para apontar para os dois endereços IP onde o domínio gerenciado está implantado.
40 – Na opção Required configuration steps, em Update DNS server setings for your virtual network clique em Configure.
41 – Receberemos a notificação informando que nossos servidores DNS foram configurados para a virtual network.
42 – Vamos verificar a configuração da virtual network, clique no resource group RG-AADS e selecione a virtual network Vnet-AADS.
43 – Na tela Vnet-AADS, clique em DNS server e observe que a configuração do DNS da rede está customizada para os domains controllers do Azure.
O Azure Active Directory Domain service é provisionado em dois servidores para alta disponibilidade, por isso temos dois endereços endereços IPs na configuração de DNS.
Criar o Servidor para Gerenciar o Azure AD Domain Services
Vamos criar um servidor com sistema operacional windows server 2019, instalar a ferramentas de Administração de Servidor Remoto (RSAT) e Group Police Management, para gerenciar as GPO e Active Directory Users and Computers. Em seguida vamos ingressar esse novo servidor no domínio.
44 – Vamos criar o resource group RG-VMs localizado no East US, selecione Resources groups e + Add, selecione um nome para o resource group e localização, clique em Review + create na próxima tela clique em create.
45 – No portal do azure pesquise por virtual machines.
46 – Na tela virtual machine,s clique em + Add e Virtual machine.
47 – Selecione a assinatura, resource group, região e qual sistema operacional irá utilizar.
48 – Selecione o tamanho da máquina virtual o nome da conta de administrador local e portas que deseja liberar para a máquina, em seguida clique em Next: Disks.
49 – Na tela Disks, selecione Standard HDD e clique em Next: Networking.
50 – Na tela Networking, selecione a virtual network Vnet-AADS e subnet Subnet-Servidores, o IP publico também será sera criado, em Nic network security group clique em Basic.
51 – Na tela Management, em Boot diagnostics marque off, na opção Enable auto-shutdown marque off, clique em Review + create.
52 – Na tela Review + create, clique em Create.
53 – Como podemos observar na imagem abaixo a máquina virtual foi provisionada.
Ativar a sincronização de hash de senha
Com o Azure AD Connect instalado e configurado para sincronizar com o Azure AD, agora configure a sincronização de hash de senha herdada para NTLM e Kerberos. Um script do PowerShell é usado para definir as configurações necessárias e, em seguida, iniciar uma sincronização completa de senha para o Azure AD. Quando esse processo de sincronização de hash de senha do Azure AD Connect for concluído, os usuários podem entrar em aplicativos por meio do Azure AD DS que usam NTLM herdado ou hash de senha Kerberos.
54 – No servidor que o Azure AD Connect está instalado instalado, clique no menu Iniciar, abra a pasta Azure AD Connect e selecione Synchronization Services.
55 – Selecione a guia Connectors, as informações de conexão usadas para estabelecer a sincronização entre o ambiente AD DS on-premises e o Azure AD são listadas.
56 – O tipo Windows Azure Active Directory (Microsoft) para o conector do Azure AD ou Active Directory Domain Services, para o conector AD DS on-premises o tipo é Active Directory Domain Services. Anote os nomes dos conectores a serem usados no script do PowerShell na próxima etapa.
Nesta captura de tela de exemplo, os seguintes conectores são usados:
O conector do Azure AD é denominado jadsonalvestihotmail.onmicrosoft.com – AAD
O conector AD DS on-premises é denominado jadsonalves.com.br
57 – Execute o seguinte script do PowerShell no computador com o Azure AD Connect instalado. O script aciona uma sincronização completa de senha que inclui hashes de senha herdados. Atualize as variáveis $azureadConnectore $adConnectorcom os nomes dos conectores da etapa anterior.
OBS: Execute este script em cada floresta AD para sincronizar NTLM de conta local e hashes de senha Kerberos para o Azure AD.
# Define the Azure AD Connect connector names and import the required PowerShell module
$azureadConnector = “jadsonalvestihotmail.onmicrosoft.com – AAD”
$adConnector = “jadsonalves.com.br”
Import-Module “C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1”
Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1”
# Create a new ForceFullPasswordSync configuration parameter object then
# update the existing connector with this new configuration
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter “Microsoft.Synchronize.ForceFullPasswordSync”, String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
# Disable and re-enable Azure AD Connect to force a full password synchronization
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
Dependendo do tamanho do seu diretório em termos de número de contas e grupos, a sincronização dos hashes de senha herdados para o Azure AD pode levar algum tempo. As senhas são sincronizadas com o domínio gerenciado depois de serem sincronizadas com o Azure AD.
58 – Vamos conectar na máquina virtual VM-001 e verificar como está a resolução do nosso domínio e quais são os servidores DNS que estão atribuídos ao servidor.
59 – Navegue até o resource group RG-VMs e selecione a VM-001.
60 – Na tela de Overview, copie o Public IP address da máquina virtual.
61 – Abra a Conexão de Área de trabalho Remoto do seu computador, cole o endereço IP publico da máquina virtual, em seguida insira as credências da conta de administrador da máquina.
62 – Abra o prompt de comando, digite ipconfig /all para verificar se a máquina virtual está utilizando os servidores DNS do
Azure AD Domain Services.
Como podemos observar na imagem abaixo a máquina virtual está utilizando os servidores DNS do Azure AD Domain Services.
63 – Como podemos observar na imagem abaixo estamos conseguindo resolver o nome nosso domínio aads.jadsonalves.com.br
Ingressar a VM-01 no domínio aads.jadsonalves.com.br
64 – Vamos utilizar a conta do usuário suporte 01 para ingressar a VM-001 no domínio.
Instalando o Remote Server Administration Tools
As Ferramentas de Administração de Servidor Remoto incluem o Gerenciador do Servidor, snap-ins do Console de Gerenciamento Microsoft (mmc), consoles, cmdlets e provedores do Windows PowerShell e algumas ferramentas de linha de comando para gerenciar funções e recursos executados no Windows Server.
Use as Ferramentas de Administração de Servidor Remoto para Windows 10 para gerenciar tecnologias específicas em computadores que executam o Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e, em casos limitados, Windows Server 2012 ou Windows Server 2008 R2.
Como estamos utilizando Active Directory Domain services é necessário ter uma máquina virtual para gerenciar os recursos do Active Directory Domain Services.
65 – Abra o Server Manager, clique em Add roles and features.
Vamos permitir que essa máquina virtual faça o gerenciamento das funções do servidor com Active Directory Users and computers e GPO.
66 – Na tela Before you begin, clique em Next.
67 – Na tela Install Type, selecione Role-based or feature-based installation e clique em Next.
68 – Na tela Select destination Server, deixe a configuração padrão e clique em Next.
69 – Na tela Select Server Roles, clique em Next.
70 – Na tela Select Features, selecione Remote Server Administration Tools e clique em Next.
71 – Na tela Web Server Role (IIS), clique em Next.
72 – Na tela Select Role services, clique em Next.
73 – Na tela Confirm installation selections, marque a opção Restart the destination server automatically if required e clique em Install.
74 – Na tela Installation progress, clique em Close.
75 – Vamos logar no servidor VM-001 com a conta do usuário suporte-01.
Criar users e groups
Os objetos criados no AADDS não são replicados para o AD on-premises e nem para o Azure Active Directory, já os objetos criados no AD on-premises e/ou Azure Active Directory são replicados para o AADDS.
76 – Abra o Server Manager, clique em Tools e selecione Active Directory Users and Computers.
O Active Directory Users and Computers também pode ser aberto com o comando dsa.msc
77 – Na tela Active Directory Users and Computers, expanda o nome do domínio aads.jadsonalves.com.br
Vamos criar a seguinte estrutura de OUs.
JADSONALVES
-Groups
-Computers
-Service Account
-Users
78 – Vamos criar um usuário chamado User1, clique com o botão direito na OU users –> New –> User.
79 – Digite um nome para o usuário, um nome para logon e clique em Next.
80 – Digite uma senha para o usuário, nesse exemplo vamos utilizar a senha Pa$$w0rd, desmarque a opção User must change password at next logon, clique em Next e Finish.
81 – Como podemos observar na imagem abaixo a conta do User1 foi criada com sucesso.
82 – Vamos criar o grupo GG_AADDS-Admin e adicionar a conta do User1, clique com o botão direito na OU Groups –> New –> Group.
83 – Digite o nome para o grupo GG_AADDS-Admin, para a opção Group scope marque Global e para a opção Group type marque Security e clique em ok.
84 – Selecione o grupo GG_AADDS-Admin, clique em Members –> Add e adicione a conta do user1.
Adicionar o grupo GG_AADS-Admin ao grupo Administrators local da VM-001.
Estamos permitir que os usuários do grupo GG_AADS-Admin possam logar na máquina virtual VM-001.
85 – Abra o Server Manager, clique em Tools e Computer Management
86 – Na tela Computer Manager (Local), expanda Local Users and Groups e clique em Groups.
87 – Selecione o grupo Adminstrators, clique em Add e selecione o grupo GG_AADDS-Admin.
88 – Agora vamos logar na máquina VM-001 com o usuário User 1 que foi criado no AADDS.
Criar um compartilhamento de arquivos
89 – Vamos criar um compartilhamento de arquivos chamado TI no disco C do servidor VM-001.
Apenas os usuários que estão no grupo GG_AADDS-Admin terão acesso ao compartilhamento
Provisionar a GPO para mapear unidade de rede
90 – Vamos instalar a Feature Group Policy Management, abra o Server Manager, clique em Manage e Add Roles and Features.
91 – Na tela Before you begin, clique em Next.
92 – Na tela Select installation type, escolha Role-based or feature-based installation e clique em Next.
93 – Na tela Select destination server, deixe as configurações padrão e clique em Next.
94 – Na tela Select server roles, não iremos selecionar nenhuma das opções, clique em Next.
95 – Na tela Select features, selecione Group Policy Management e clique Next.
96 – Na tela Confirm installation selections, marque a opção Restart the destination server automatically if required e clique em Install.
97 – Na tela Installation progress, podemos observar que a feature foi instalada com sucesso, clique em Close.
98 – Abra o Server Manager, clique em Tools e selecione Group Policy Management.
O Group Policy Management também pode ser aberto com o comando gpmc.msc
93 – Expanda Domains, clique em adds.jadson.com.br –> JADSONALVES
99 – Na OU JADSONALVES, clique com o botão direto e selecione Create a GPO in this domain, and Linkit here…
100 – Digite um nome para a GPO e clique em Ok.
101 – Clique com o botão direito na GPO Mapear Unidade de Rede e clique em Edit…
102 – Clique em User Configuration –> Preferences –> Windows Settings –> Drive Maps
103 – Clique com o botão direito em Drive Maps, clique em New –> Mapped Drive.
104 – Na opção Action selecione Create, em Location selecione o compartilhamento TI (\\Vm-001\ti), marque a opção Reconnect, para opção Use selecione a letra de sua preferência, em nosso exemplo vou utilizar a letra X e clique em OK.
105 – Como podemos observar na imagem abaixo o mapeamento foi criado com sucesso.
106 – Vamos forçar a atualização das politicas de grupo com o comando gpupdate /force
Testar o acesso ao compartilhamento
107 – Como podemos observar o usuário User1 que faz parte do grupo GG_AADDS-Admins tem acesso ao compartilhamento ti que foi mapeado por GPO com a letra X.
108 – Como podemos observar o usuário suporte 01 que não faz parte do grupo GG_AADDS-Admins não tem acesso compartilhamento ti
Espero que este conteúdo tenha contribuído com o enriquecimento do conhecimento de vocês em Azure.
Tem alguma sugestão ou observação, comente.
Forte abraço, obrigado e até o próximo post. 🙂
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.