Hybridní identita

Dokončeno

Společnost Tailwind Traders používá službu Active Directory Domain Services (AD DS) jako svého místního zprostředkovatele identity v místním síťovém prostředí, protože v raném roce 2000 migrovala ze systému Windows NT 4.0. Mnoho stávajících aplikací společnosti Tailwind Traders má závislost na službě Active Directory. Některé z těchto aplikací mají jednoduchou závislost na službě Active Directory coby zprostředkovateli identit. Ostatní mají hlubší závislosti, jako jsou například komplexní požadavky Zásad skupiny, vlastní doménové oddíly a vlastní rozšíření schémat.

Vzhledem k tomu, že společnost Tailwind Traders začne přesouvat některé prostředky a vyvíjet nové aplikace v Azure, chce se vyhnout vytváření paralelního řešení identit. Nechtějí vyžadovat samostatné přihlašovací informace pro místní a cloudové prostředky.

V této lekci se dozvíte o různých způsobech implementace hybridní identity.

Nasazení řadičů domény do Azure

Tady je nejjednodušší způsob, jak v Azure zajistit stejné prostředí AD DS, jaké má organizace místně:

1. Nasadíte dvojici řadičů domény služby AD DS do podsítě ve virtuální síti Azure.

2. Připojíte virtuální síť k místní síti.

3. Nakonfigurujete podsíť jako novou lokalitu služby AD DS. Je to vidět na následujícím obrázku.

   

Jinou možností je nakonfigurovat doménu AD DS hostovanou v cloudu jako podřízenou doménu místní doménové struktury. Další možností je nakonfigurovat řadiče domény služby AD DS spuštěné v cloudu jako samostatnou doménovou strukturu, která má vztah důvěryhodnosti s místní doménovou strukturou. Na následujícím obrázku je topologie tohoto lesa prostředků.

Organizace, které nasazují řadiče domény na virtuální počítače v Azure, pak můžou nasazovat úlohy, které vyžadují dohled na řadič domény. Nasazení můžou provést, pokud jsou úlohy umístěny ve stejné podsíti virtuální sítě Azure, ve které jsou umístěné virtuální počítače řadiče domény. Tento model hybridního cloudu je pro mnoho organizací koncepčně jednoduchý, protože datacentra Azure se považují za vzdálenou lokalitu Active Directory.

Rozšíření místní domény nebo doménové struktury Active Directory do Azure může být pro společnost Tailwind Traders dostačující, ale záleží na požadavcích aplikací. Nevýhodou této nasazené možnosti je, že nepřetržitě spuštěné virtuální počítače, což je očekáváný způsob spuštění řadičů domény, znamenají také nepřetržité náklady.

Co je Microsoft Entra Connect?

Microsoft Entra Connect (dříve Azure AD Connect) umožňuje organizacím synchronizovat identity, které jsou přítomné ve své instanci místní Active Directory, do Microsoft Entra ID (dříve Azure AD). Tato metoda umožňuje použít stejnou identitu pro cloudové prostředky a místní prostředky. Microsoft Entra Connect se nejčastěji používá, když organizace přijmou Microsoft 365. Používají ho k povolení přístupu k aplikacím, jako je Microsoft SharePoint a Exchange spuštěný v cloudu, přes místní aplikace.

Pokud společnost Tailwind Traders plánuje přijmout technologie Microsoftu 365, jako je Exchange Online nebo Microsoft Teams, musí nakonfigurovat Microsoft Entra Connect tak, aby replikovala identity z místního prostředí AD DS do Azure. Pokud chce společnost také používat místní identity s aplikacemi v Azure, ale nechce nasazovat řadiče domény AD DS na virtuální počítače, musí také nasadit Microsoft Entra Connect.

Co je Microsoft Entra Domain Services?

Službu Microsoft Entra Domain Services můžete použít k promítání domény Microsoft Entra do virtuální podsítě Azure. Když použijete tuto konfiguraci, budou služby, jako je připojení k doméně, zásady skupiny, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos a NTLM dostupné pro všechny virtuální počítače nasazené v podsíti.

Služba Microsoft Entra Domain Services umožňuje mít k dispozici základní spravované prostředí Active Directory pro virtuální počítače, aniž byste se museli starat o správu, údržbu a placení virtuálních počítačů, které běží jako řadiče domény. Služba Microsoft Entra Domain Services také umožňuje používat místní identity prostřednictvím služby Microsoft Entra Connect k interakci s virtuálními počítači spuštěnými v speciálně nakonfigurované podsíti služby Azure Virtual Network.

Jednou z nevýhod služby Microsoft Entra Domain Services je, že implementace zásad skupiny je základní. Zahrnuje pevnou sadu zásad, ale nenabízí možnost vytvářet objekty Zásad skupiny (GPO). I když jsou identity používané místně dostupné v Azure, nejsou dostupné všechny zásady nakonfigurované místně.

Pro společnost Tailwind Traders poskytuje služba Microsoft Entra Domain Services dobrou střední úroveň pro hybridní úlohy. Umožňuje používat identity připojené k doméně a nabízí podstatnou část konfigurace Zásad skupiny. Nepodporuje ale aplikace, které vyžadují komplexní funkce služby Active Directory, jako jsou vlastní oddíly domény a rozšíření schématu.

Kontrola znalostí

1.

Mezi virtuálními počítači, které společnost Tailwind Traders plánuje migrovat z datacentra Auckland, má několik aplikací závislosti na službách Active Directory Domain Services (AD DS), které zahrnují vlastní rozšíření schémat a vlastní oddíly AD DS. Jaká z následujících řešení hybridní identity může společnost použít k podpoře těchto aplikací v případě, že by virtuální počítače, které tyto aplikace hostují, byly migrovány na virtuální počítače spuštěné v Azure jako IaaS?

Nakonfigurujte Microsoft Entra Connect pro replikaci místních identit AD DS do Azure. Vytvoříte podsíť ve virtuální síti Azure. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě. Připojte migrované virtuální počítače k doméně Služby Microsoft Entra Domain Services.

Vytvoříte podsíť ve virtuální síti Azure. Nakonfigurujete připojení VPN mezi touto virtuální sítí a místní sítí. Nasaďte na virtuální počítače se systémem Windows Server 2022 v této podsíti dva řadiče domény služby AD DS. Nakonfigurujete samostatnou lokalitu služby AD DS pro tuto podsíť Azure. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě.

Nakonfigurujte Microsoft Entra Connect pro replikaci místních identit AD DS do Azure. Vytvoříte podsíť ve virtuální síti Azure. Nakonfigurujte službu Microsoft Entra Domain Services a nakonfigurujte ji tak, aby byla k dispozici pro tuto nově vytvořenou podsíť. Provedete migraci virtuálních počítačů z datacentra v Aucklandu do této podsítě. Připojte migrované virtuální počítače k doméně Služby Microsoft Entra Domain Services.

2.

Dceřiná společnost Tailwind Traders nasazuje virtuální počítače IaaS s Windows Serverem 2022 do podsítě ve virtuální síti Azure. Tato virtuální síť je připojená k samostatnému předplatnému a tenantům Microsoft Entra. Tyto počítače musí být kvůli zabezpečení a identitám zařazeny do domény, ale nevyžadují složitou konfiguraci zásad skupiny. Tyto virtuální počítače nevyžadují synchronizaci identit z místní instance služby AD DS společnosti Tailwind Traders. Abyste dosáhli tohoto cíle, chcete minimalizovat počet nasazovaných virtuálních počítačů. Které z následujících řešení je vhodné?

Nasaďte Microsoft Entra Connect na každý virtuální počítač a synchronizujte s tenantem Microsoft Entra.

Nasaďte službu Microsoft Entra Domain Services a nakonfigurujte ji pro podsíť, která hostuje virtuální počítače. Připojte virtuální počítače k doméně služby Microsoft Entra Domain Services.

Nasadíte službu AD DS do nového virtuálního počítače v podsíti. Připojíte tyto virtuální počítače k doméně služby AD DS.

Před kontrolou vaší práce musíte odpovědět na všechny dotazy.