Prozkoumání služby Microsoft Entra Domain Services
Ve většině dnešních organizací se obchodní aplikace (LOB) nasazují na počítače a zařízení, která jsou členy domény. Tyto organizace k ověřování používají přihlašovací údaje založené na službě AD DS a zásady skupiny je spravují. Při zvažování přesunu těchto aplikací do Azure je jedním z klíčových problémů způsob poskytování ověřovacích služeb těmto aplikacím. Abyste tuto potřebu splnili, můžete se rozhodnout implementovat virtuální privátní síť (VPN) typu site-to-site mezi místní infrastrukturou a Azure IaaS nebo můžete nasadit řadiče domény repliky z místní služby AD DS jako virtuální počítače v Azure. Tyto přístupy mohou zahrnovat další náklady a administrativní úsilí. Kromě toho rozdíl mezi těmito dvěma přístupy spočívá v tom, že při první možnosti se provoz ověřování přes síť VPN překročí, zatímco v druhé možnosti provoz replikace přes síť VPN a ověřovací provoz zůstane v cloudu.
Microsoft poskytuje microsoft Entra Domain Services jako alternativu k těmto přístupům. Tato služba, která běží jako součást vrstvy Microsoft Entra ID P1 nebo P2, poskytuje doménové služby, jako je správa zásad skupiny, připojení k doméně a ověřování Kerberos pro vašeho tenanta Microsoft Entra. Tyto služby jsou plně kompatibilní s místně nasazenou službou AD DS, takže je můžete používat bez nasazení a správy dalších řadičů domény v cloudu.
Vzhledem k tomu, že se Microsoft Entra ID může integrovat s místní službou AD DS, mohou uživatelé při implementaci služby Microsoft Entra Connect využívat přihlašovací údaje organizace v místní službě AD DS i ve službě Microsoft Entra Domain Services. I když nemáte službu AD DS nasazenou místně, můžete použít službu Microsoft Entra Domain Services jako cloudovou službu. To vám umožní mít podobné funkce místně nasazené služby AD DS, aniž byste museli nasazovat jeden řadič domény místně nebo v cloudu. Organizace může například vytvořit tenanta Microsoft Entra a povolit službu Microsoft Entra Domain Services a pak nasadit virtuální síť mezi místními prostředky a tenantem Microsoft Entra. Pro tuto virtuální síť můžete povolit službu Microsoft Entra Domain Services, aby všichni místní uživatelé a služby mohli používat doménové služby z ID Microsoft Entra.
Microsoft Entra Domain Services poskytuje organizacím několik výhod, například:
- Správci nemusí spravovat, aktualizovat a monitorovat řadiče domény.
- Správci nemusí nasazovat a spravovat replikaci služby Active Directory.
- Pro domény, které spravuje ID Microsoft Entra, není nutné mít skupiny Domain Admins ani Enterprise Admins.
Pokud se rozhodnete implementovat službu Microsoft Entra Domain Services, musíte vědět o aktuálních omezeních služby. Tady jsou některé z nich:
- Podporuje se pouze objekt služby Active Directory základního počítače.
- Schéma pro doménu služby Microsoft Entra Domain Services není možné rozšířit.
- Struktura organizační jednotky (OU) je plochá a vnořené organizační jednotky se v současné době nepodporují.
- Existuje integrovaný objekt zásad skupiny (GPO) a existuje pro účty počítačů a uživatelů.
- Není možné cílit na organizační jednotky s integrovanými objekty zásad skupiny. Kromě toho nemůžete použít filtry windows Management Instrumentation ani filtrování skupin zabezpečení.
Pomocí služby Microsoft Entra Domain Services můžete volně migrovat aplikace, které používají protokoly LDAP, NTLM nebo Kerberos z místní infrastruktury do cloudu. Můžete také použít aplikace, jako je Microsoft SQL Server nebo Microsoft SharePoint Server na virtuálních počítačích, nebo je nasadit v Azure IaaS, aniž byste potřebovali řadiče domény v cloudu nebo VPN k místní infrastruktuře.
Službu Microsoft Entra Domain Services můžete povolit pomocí webu Azure Portal. Tato služba se účtuje za hodinu na základě velikosti adresáře.