Descrivere i servizi directory di Azure

  • 6 minuti

Microsoft Entra ID è un servizio directory che consente di accedere sia alle applicazioni cloud Microsoft che alle applicazioni cloud sviluppate dall'utente. Microsoft Entra ID consente anche di gestire la distribuzione di Active Directory locale.

Per gli ambienti locali, Active Directory in esecuzione in Windows Server offre un servizio di gestione delle identità e degli accessi gestito dalla propria organizzazione. Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Con Microsoft Entra ID è possibile controllare gli account identità, ma Microsoft garantisce che il servizio sia disponibile a livello globale. Se si lavora con Active Directory, Microsoft Entra ID sarà familiare.

Quando si proteggono le identità in locale con Active Directory, Microsoft non monitora i tentativi di accesso. Quando si connette Active Directory a Microsoft Entra ID, Microsoft può collaborare alla protezione rilevando tentativi di accesso sospetti senza costi aggiuntivi. Ad esempio, Microsoft Entra ID può rilevare i tentativi di accesso da posizioni impreviste o da dispositivi sconosciuti.

Chi usa Microsoft Entra ID?

Microsoft Entra ID è per:

  • Amministratori IT. Gli amministratori possono usare Microsoft Entra ID per controllare l'accesso alle applicazioni e alle risorse in base ai requisiti aziendali.
  • Sviluppatori di app. Gli sviluppatori possono usare Microsoft Entra ID per offrire un approccio basato su standard per l'aggiunta di funzionalità alle applicazioni sviluppate, ad esempio l'aggiunta di funzionalità SSO a un'app o l'abilitazione di un'app per l'uso delle credenziali esistenti di un utente.
  • Utenti. Gli utenti possono gestire le proprie identità e intraprendere azioni di manutenzione, ad esempio la reimpostazione della password self-service.
  • Abbonati a servizi online. Gli abbonati a Microsoft 365, Microsoft Office 365, Azure e Microsoft Dynamics CRM Online usano già Microsoft Entra ID per l'autenticazione nel proprio account.

Che cosa fa Microsoft Entra ID?

Microsoft Entra ID fornisce servizi come:

  • Autenticazione: include la verifica dell'identità per accedere ad applicazioni e risorse. Include anche l'offerta di funzionalità quali la reimpostazione della password self-service, l'autenticazione a più fattori, un elenco personalizzato di password escluse e servizi di blocco intelligente.
  • Single Sign-On (SSO): consente di memorizzare una sola combinazione di nome utente e password per accedere a più applicazioni. Il modello di sicurezza risulta semplificato perché a un utente è associata una singola identità. Quando gli utenti cambiano ruolo o lasciano l'organizzazione, le modifiche all'accesso sono associate all'identità, riducendo significativamente l'impegno necessario per modificare o disabilitare gli account.
  • Gestione delle applicazioni.: È possibile gestire le app cloud e locali usando Microsoft Entra ID. Funzionalità come Application Proxy, le app SaaS, il portale App personali e l'accesso Single Sign-On offrono un'esperienza utente migliore.
  • Gestione dei dispositivi: Oltre ad account per le singole persone, Microsoft Entra ID supporta la registrazione dei dispositivi. La registrazione consente la gestione dei dispositivi tramite strumenti come Microsoft Intune. Consente anche di usare i criteri di accesso condizionale basato sul dispositivo per limitare i tentativi di accesso solo a quelli provenienti da dispositivi noti, indipendentemente dall'account utente richiedente.

È possibile connettere l'istanza locale di AD con Microsoft Entra ID?

Se si usa un ambiente locale che esegue Active Directory e una distribuzione cloud con Microsoft Entra ID, è necessario gestire due set di identità. È tuttavia possibile connettere Active Directory con Microsoft Entra ID, consentendo un'esperienza di gestione delle identità coerente tra il cloud e l'ambiente locale.

Un metodo per connettere Microsoft Entra ID con l'istanza locale di AD consiste nell'usare Microsoft Entra Connect. Microsoft Entra Connect sincronizza le identità utente tra l'istanza locale di Active Directory e Microsoft Entra ID. Microsoft Entra ID Connect sincronizza le modifiche tra entrambi i sistemi di gestione delle identità, consentendo di usare funzionalità come l'accesso Single Sign-On, l'autenticazione a più fattori e la reimpostazione della password self-service in entrambi i sistemi.

Che cos'è Microsoft Entra Domain Services?

Microsoft Entra Domain Services è un servizio che offre servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, Criteri di gruppo, Lightweight Directory Access Protocol (LDAP) e l'autenticazione Kerberos/NTLM. Proprio come Microsoft Entra ID consente di usare i servizi directory senza dover gestire l'infrastruttura che lo supporta, con Microsoft Entra Domain Services si può usufruire dei servizi di dominio senza la necessità di distribuire, gestire e applicare patch ai controller di dominio nel cloud.

Un dominio gestito di Microsoft Entra Domain Services consente di eseguire applicazioni legacy nel cloud, quando queste non supportano metodi di autenticazione moderni o quando non si vuole che le ricerche nella directory siano sempre reindirizzate verso un ambiente AD DS locale. È possibile trasferire in modalità lift-and-shift tali applicazioni legacy dall'ambiente locale a un dominio gestito, senza dover gestire l'ambiente Active Directory Domain Services nel cloud.

Microsoft Entra Domain Services si integra con il tenant di Microsoft Entra esistente. Grazie a questa integrazione, gli utenti possono accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali esistenti. Per proteggere l'accesso alle risorse, è anche possibile usare gruppi e account utente esistenti. Queste funzionalità consentono un trasferimento in modalità lift-and-shift più agevole delle risorse locali in Azure.

Come funziona Microsoft Entra Domain Services?

Quando si crea un dominio gestito di Microsoft Entra Domain Services, si definisce uno spazio dei nomi univoco. Questo spazio dei nomi è il nome di dominio. Due controller di dominio Windows Server vengono quindi distribuiti nell'area di Azure selezionata. Questa distribuzione di controller di dominio è nota come set di repliche.

Non è necessario gestire, configurare o aggiornare questi controller di dominio. La piattaforma Azure gestisce i controller di dominio come parte del dominio gestito, inclusi i backup e la crittografia dei dati inattivi tramite Crittografia dischi di Azure.

Le informazioni sono sincronizzate?

Un dominio gestito è configurato per eseguire una sincronizzazione unidirezionale da Microsoft Entra ID a Microsoft Entra Domain Services. È possibile creare risorse direttamente nel dominio gestito, ma non vengono sincronizzate con Microsoft Entra ID. In un ambiente ibrido con un ambiente Active Directory Domain Services locale, Microsoft Entra Connect sincronizza le informazioni sull'identità con Microsoft Entra ID, che viene quindi sincronizzato con il dominio gestito.

Diagramma del servizio Microsoft Entra Connect che sincronizza le informazioni dell'istanza di AD locale nel tenant Microsoft Entra.

Le applicazioni, i servizi e le VM in Azure che si connettono al dominio gestito possono quindi usare funzionalità comuni di Microsoft Entra Domain Services come l'aggiunta a un dominio, Criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM.