Comparación de las opciones de integración de Active Directory local con una red de Azure

En este artículo se comparan las opciones para integrar el entorno de Active Directory (AD) local con una red de Azure. Para cada opción, hay disponible una arquitectura de referencia más detallada.

Muchas organizaciones usan Active Directory Domain Services (AD DS) para autenticar identidades asociadas a usuarios, equipos, aplicaciones u otros recursos que se incluyen en un límite de seguridad. Normalmente, los servicios de directorio e identidad se hospedan en el entorno local, pero si la aplicación se hospeda en parte local y en parte en Azure, puede haber latencia al enviar solicitudes de autenticación de Azure de nuevo a un entorno local. La implementación de servicios de directorio e identidad en Azure puede reducir esta latencia.

Azure proporciona dos soluciones para implementar servicios de directorio e identidad en Azure:

• Use id. de Entra de Microsoft para crear un dominio de Active Directory en la nube y conectarlo al dominio de Active Directory local. Microsoft Entra Connect integra los directorios locales con el identificador de Microsoft Entra.

• Amplíe la infraestructura de Active Directory local existente a Azure mediante la implementación de una máquina virtual en Azure que ejecuta AD DS como controlador de dominio. Esta arquitectura es más común cuando la red local y la red virtual de Azure (VNet) están conectadas mediante una conexión VPN o ExpressRoute. Se pueden realizar varias variaciones de esta arquitectura:

  • Cree un dominio en Azure y únalo al bosque de AD local.
  • Cree un bosque independiente en Azure que sea de confianza para los dominios del bosque local.
  • Replique una implementación de Servicios de federación de Active Directory (AD FS) en Azure.

En las secciones siguientes se describe cada una de estas opciones con más detalle.

Integración de los dominios locales con microsoft Entra ID

Use Microsoft Entra ID para crear un dominio en Azure y vincularlo a un dominio de AD local.

El directorio Microsoft Entra no es una extensión de un directorio local. En su lugar, es una copia que contiene los mismos objetos e identidades. Los cambios realizados en estos elementos locales se copian en el identificador de Entra de Microsoft, pero los cambios realizados en el id. de Microsoft Entra no se replican de nuevo en el dominio local.

También puede usar microsoft Entra ID sin usar un directorio local. En este caso, el identificador de Entra de Microsoft actúa como el origen principal de toda la información de identidad, en lugar de contener datos replicados desde un directorio local.

de ventajas de

• No es necesario mantener una infraestructura de AD en la nube. Microsoft Entra ID es totalmente administrado y mantenido por Microsoft.
• Microsoft Entra ID proporciona la misma información de identidad que está disponible en el entorno local.
• La autenticación puede producirse en Azure, lo que reduce la necesidad de que las aplicaciones externas y los usuarios se comuniquen con el dominio local.

desafíos de

• Debe configurar la conectividad con el dominio local para mantener sincronizado el directorio de Microsoft Entra.
• Es posible que las aplicaciones deba volver a escribirse para habilitar la autenticación a través del identificador de Microsoft Entra.
• Si desea autenticar cuentas de equipo y servicio, también tendrá que implementar Microsoft Entra Domain Services.

de arquitectura de referencia de

• Integrar dominios de Active Directory locales con el identificador de Microsoft Entra

AD DS en Azure unido a un bosque local

Implemente servidores de AD Domain Services (AD DS) en Azure. Cree un dominio en Azure y únalo al bosque de AD local.

Tenga en cuenta esta opción si necesita usar características de AD DS que microsoft Entra ID no implementa actualmente.

de ventajas de

• Proporciona acceso a la misma información de identidad que está disponible en el entorno local.
• Puede autenticar cuentas de usuario, servicio y equipo locales y en Azure.
• No es necesario administrar un bosque de AD independiente. El dominio de Azure puede pertenecer al bosque local.
• Puede aplicar la directiva de grupo definida por objetos de directiva de grupo locales al dominio de Azure.

desafíos de

• Debe implementar y administrar sus propios servidores y dominio de AD DS en la nube.
• Puede haber cierta latencia de sincronización entre los servidores de dominio en la nube y los servidores que se ejecutan en el entorno local.

de arquitectura de referencia de

• ampliar Active Directory Domain Services (AD DS) a Azure

AD DS en Azure con un bosque independiente

Implemente servidores de AD Domain Services (AD DS) en Azure, pero cree un bosque de Active Directory independiente que sea independiente del bosque local. Este bosque es de confianza para los dominios del bosque local.

Los usos típicos de esta arquitectura incluyen mantener la separación de seguridad para objetos e identidades contenidos en la nube y migrar dominios individuales de un entorno local a la nube.

de ventajas de

• Puede implementar identidades locales y separar identidades solo de Azure.
• No es necesario replicar desde el bosque de AD local a Azure.

desafíos de

• La autenticación en Azure para identidades locales requiere saltos de red adicionales a los servidores de AD locales.
• Debe implementar sus propios servidores y bosques de AD DS en la nube y establecer las relaciones de confianza adecuadas entre bosques.

de arquitectura de referencia de

• Crear un bosque de recursos de Active Directory Domain Services (AD DS) en Azure

Extensión de AD FS a Azure

Replique una implementación de Servicios de federación de Active Directory (AD FS) en Azure para realizar la autenticación federada y la autorización de los componentes que se ejecutan en Azure.

Usos típicos para esta arquitectura:

• Autenticación y autorización de usuarios de organizaciones asociadas.
• Permitir que los usuarios se autentiquen desde exploradores web que se ejecutan fuera del firewall de la organización.
• Permitir que los usuarios se conecten desde dispositivos externos autorizados, como dispositivos móviles.

de ventajas de

• Puede aprovechar las aplicaciones compatibles con notificaciones.
• Proporciona la capacidad de confiar en asociados externos para la autenticación.
• Compatibilidad con un gran conjunto de protocolos de autenticación.

desafíos de

• Debe implementar sus propios servidores proxy de aplicación web de AD DS, AD FS y AD FS en Azure.
• Esta arquitectura puede ser compleja de configurar.

de arquitectura de referencia de

• ampliar los servicios de federación de Active Directory (AD FS) a Azure