Zelfbeheerde Active Directory Domain Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services vergelijken
Als u toepassingen, services of apparaten toegang wilt bieden tot een centrale identiteit, zijn er drie algemene manieren om op Active Directory gebaseerde services in Azure te gebruiken. Deze keuze in identiteitsoplossingen biedt u de flexibiliteit om de meest geschikte directory te gebruiken voor de behoeften van uw organisatie. Als u bijvoorbeeld voornamelijk cloudgebruikers beheert die mobiele apparaten uitvoeren, is het mogelijk niet zinvol om uw eigen AD DS-identiteitsoplossing (Active Directory Domain Services) te bouwen en uit te voeren. In plaats daarvan kunt u gewoon Microsoft Entra ID gebruiken.
Hoewel de drie identiteitsoplossingen op basis van Active Directory een gemeenschappelijke naam en technologie delen, zijn ze ontworpen om services te bieden die voldoen aan verschillende klantbehoeften. Op hoog niveau zijn deze identiteitsoplossingen en functiesets:
-
Active Directory Domain Services (AD DS) - Een voor bedrijven geschikte LDAP-server (Lightweight Directory Access Protocol) die belangrijke functies biedt, zoals identiteit en authenticatie, computerobjectbeheer, groepsbeleid en vertrouwensrelaties.
- AD DS is een centraal onderdeel in veel organisaties met een on-premises IT-omgeving en biedt kernfuncties voor gebruikersaccountverificatie en computerbeheer.
- Zie Overzicht van Active Directory Domain Services in de Windows Server-documentatievoor meer informatie.
-
Microsoft Entra ID - Cloudidentiteit en Mobile Device Management die gebruikersaccount- en verificatieservices biedt voor resources zoals Microsoft 365, het Microsoft Entra-beheercentrum of SaaS-toepassingen.
- Microsoft Entra-id kan worden gesynchroniseerd met een on-premises AD DS-omgeving om één identiteit te bieden aan gebruikers die systeemeigen in de cloud werken.
- Voor meer informatie over Microsoft Entra ID, zie Wat is Microsoft Entra ID?
-
Microsoft Entra Domain Services - Biedt beheerde domeinservices met een subset van volledig compatibele traditionele AD DS-functies, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.
- Domain Services kan worden geïntegreerd met Microsoft Entra-id, die zelf kan worden gesynchroniseerd met een on-premises AD DS-omgeving. Deze mogelijkheid breidt gebruiksvoorbeelden voor centrale identiteiten uit naar traditionele webtoepassingen die worden uitgevoerd in Azure als onderdeel van een lift-and-shift-strategie.
- Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domeinvoor meer informatie over synchronisatie met Microsoft Entra ID en on-premises.
Dit overzichtsartikel vergelijkt en contrasteert hoe deze identiteitsoplossingen samenwerken, of onafhankelijk worden gebruikt, afhankelijk van de behoeften van uw organisatie.
Domain Services en zelfbeheerde AD DS
Als u toepassingen en services hebt die toegang nodig hebben tot traditionele verificatiemechanismen, zoals Kerberos of NTLM, zijn er twee manieren om Active Directory Domain Services in de cloud te bieden:
- Een beheerd domein dat u maakt met behulp van Microsoft Entra Domain Services. Microsoft maakt en beheert de vereiste resources.
- Een zelfbeheerd domein dat u maakt en configureert met behulp van traditionele resources, zoals virtuele machines (VM's), windows Server-gastbesturingssysteem en Active Directory Domain Services (AD DS). Vervolgens gaat u door met het beheren van deze resources.
Met Domain Services worden de kernserviceonderdelen door Microsoft geïmplementeerd en onderhouden als een beheerde domeinervaring. U implementeert, beheert, patcht en beveiligt de AD DS-infrastructuur niet voor onderdelen zoals de VM's, het Besturingssysteem van Windows Server of domeincontrollers (DC's).
Domain Services biedt een kleinere subset van functies voor traditionele zelfbeheerde AD DS-omgeving, waardoor een deel van de ontwerp- en beheercomplexiteit wordt verminderd. Er zijn bijvoorbeeld geen AD-forests, domeinen, sites en replicatiekoppelingen om te ontwerpen en te onderhouden. U kunt nog steeds forestvertrouwensrelaties maken tussen Domain Services en on-premises omgevingen.
Voor toepassingen en services die worden uitgevoerd in de cloud en toegang nodig hebben tot traditionele verificatiemechanismen zoals Kerberos of NTLM, biedt Domain Services een beheerde domeinervaring met de minimale hoeveelheid administratieve overhead. Zie Beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Servicesvoor meer informatie.
Wanneer u een zelfbeheerde AD DS-omgeving implementeert en uitvoert, moet u alle bijbehorende infrastructuur- en directoryonderdelen onderhouden. Er is extra onderhoudsoverhead met een zelfbeheerde AD DS-omgeving, maar u kunt vervolgens aanvullende taken uitvoeren, zoals het schema uitbreiden of forestvertrouwensrelaties maken.
Algemene implementatiemodellen voor een zelfbeheerde AD DS-omgeving die identiteit biedt aan toepassingen en services in de cloud, zijn onder andere:
- Zelfstandige AD DS- in de cloud: Virtuele Azure-machines worden geconfigureerd als domeincontrollers en er wordt een afzonderlijke AD DS-omgeving met alleen de cloud gemaakt. Deze AD DS-omgeving kan niet worden geïntegreerd met een on-premises AD DS-omgeving. Er wordt een andere set referenties gebruikt voor het aanmelden en beheren van VM's in de cloud.
-
on-premises domein uitbreiden naar Azure: een virtueel Azure-netwerk maakt verbinding met een on-premises netwerk met behulp van een VPN-/ExpressRoute-verbinding. Virtuele Azure-machines maken verbinding met dit virtuele Azure-netwerk, waarmee ze domeindeelname kunnen maken met de on-premises AD DS-omgeving.
- U kunt ook Virtuele Azure-machines maken en deze promoveren als replicadomeincontrollers van het on-premises AD DS-domein. Deze domeincontrollers repliceren via een VPN-/ExpressRoute-verbinding met de on-premises AD DS-omgeving. Het on-premises AD DS-domein wordt effectief uitgebreid naar Azure.
De volgende tabel bevat een overzicht van enkele van de functies die u mogelijk nodig hebt voor uw organisatie en de verschillen tussen een beheerd domein of een zelfbeheerd AD DS-domein:
| functie | beheerd domein | Zelf-beheerde AD DS |
|---|---|---|
| beheerde service | ✓ | ✕ |
| Beveiligde implementaties | ✓ | Beheerder beveiligt de implementatie |
| DNS-server | ✓ (beheerde service) | ✓ |
| domein- of ondernemingsbeheerdersbevoegdheden | ✕ | ✓ |
| domein toevoegen | ✓ | ✓ |
| domeinverificatie met behulp van NTLM- en Kerberos- | ✓ | ✓ |
| beperkte Kerberos-delegering | Op basis van resources | Op resources gebaseerde & op basis van een account |
| aangepaste OU-structuur | ✓ | ✓ |
| groepsbeleid | ✓ | ✓ |
| schema-extensies | ✕ | ✓ |
| AD-domein/bosvertrouwensrelaties | ✓ (Preview vereist Enterprise SKU) | ✓ |
| |
✓ | ✓ |
| LDAP-leesactie | ✓ | ✓ |
| LDAP-schrijfbewerkingen | ✓ (binnen het beheerde domein) | ✓ |
| geografisch gedistribueerde implementaties | ✓ | ✓ |
Domain Services en Microsoft Entra-id
Met Microsoft Entra ID kunt u de identiteit beheren van apparaten die door de organisatie worden gebruikt en de toegang tot bedrijfsbronnen vanaf die apparaten beheren. Gebruikers kunnen ook hun persoonlijke apparaat (een BYO-model (Bring Your Own) registreren bij Microsoft Entra ID, waarmee het apparaat een identiteit heeft. Microsoft Entra ID verifieert vervolgens het apparaat wanneer een gebruiker zich aanmeldt bij Microsoft Entra ID en het apparaat gebruikt voor toegang tot beveiligde resources. Het apparaat kan worden beheerd met MDM-software (Mobile Device Management), zoals Microsoft Intune. Met deze beheermogelijkheid kunt u de toegang tot gevoelige resources beperken tot beheerde en beleid compatibele apparaten.
Traditionele computers en laptops kunnen ook deelnemen aan Microsoft Entra ID. Dit mechanisme biedt dezelfde voordelen als het registreren van een persoonlijk apparaat bij Microsoft Entra ID, zoals gebruikers toestaan zich aan te melden bij het apparaat met hun bedrijfsreferenties.
Microsoft Entra-gekoppelde apparaten bieden u de volgende voordelen:
- Eenmalige aanmelding (SSO) voor toepassingen die worden beveiligd door Microsoft Entra-id.
- Roaming van gebruikersinstellingen volgens het bedrijfsbeleid over verschillende apparaten.
- Toegang tot de Windows Store voor Bedrijven met bedrijfsreferenties.
- Windows Hello voor Bedrijven.
- Beperkte toegang tot apps en resources vanaf apparaten die voldoen aan het bedrijfsbeleid.
Apparaten kunnen worden gekoppeld aan Microsoft Entra-id met of zonder een hybride implementatie die een on-premises AD DS-omgeving bevat. De volgende tabel bevat algemene modellen voor apparaateigendom en hoe deze doorgaans worden gekoppeld aan een domein:
| type van apparaat | Apparaatplatforms | mechanisme |
|---|---|---|
| Persoonlijke apparaten | Windows 10, iOS, Android, macOS | Microsoft Entra geregistreerd |
| Apparaat in bedrijfseigendom dat niet is toegevoegd aan on-premises AD DS | Windows 10 | Microsoft Entra toegevoegd |
| Apparaat dat eigendom is van de organisatie is gekoppeld aan een on-premises AD DS | Windows 10 | Microsoft Entra hybride gekoppeld |
Op een apparaat dat is toegevoegd aan Microsoft Entra of geregistreerd, vindt gebruikersverificatie plaats met behulp van moderne OAuth-/OpenID Connect-protocollen. Deze protocollen zijn ontworpen om via internet te werken, dus zijn ideaal voor mobiele scenario's waarbij gebruikers overal toegang hebben tot bedrijfsbronnen.
Met apparaten die lid zijn van Domain Services kunnen toepassingen gebruikmaken van de Kerberos- en NTLM-protocollen voor verificatie, zodat oudere toepassingen kunnen worden ondersteund die worden gemigreerd om te worden uitgevoerd op Virtuele Azure-machines als onderdeel van een lift-and-shift-strategie. De volgende tabel geeft een overzicht van de verschillen in hoe de apparaten worden weergegeven en hoe ze zichzelf kunnen authenticeren tegenover de directory.
| Aspect | Microsoft Entra toegevoegd aan | Domain Services-verbonden |
|---|---|---|
| Apparaat bestuurd door | Microsoft Entra ID | Beheerd domein van Domain Services |
| Representatie in de directory | Apparaatobjecten in de Directory Microsoft Entra | Computerobjecten in de beheerde domeindiensten |
| Authenticatie | Op OAuth/OpenID Connect gebaseerde protocollen | Kerberos- en NTLM-protocollen |
| Beheer | MDM-software (Mobile Device Management), zoals Intune | Groepsbeleid |
| Netwerken | Werkt via internet | Moet zijn verbonden met of gekoppeld zijn aan het virtuele netwerk waarin het beheerde domein is geïmplementeerd |
| Geweldig voor... | Mobiele of desktopapparaten van eindgebruikers | Server-VM's geïmplementeerd in Azure |
Als on-premises AD DS en Microsoft Entra ID zijn geconfigureerd voor federatieve verificatie met AD FS, is er geen (huidige/geldige) wachtwoordhash beschikbaar in Azure DS. Microsoft Entra-gebruikersaccounts die zijn gemaakt voordat fed-verificatie is geïmplementeerd, hebben mogelijk een oude wachtwoord-hash, maar dit komt waarschijnlijk niet overeen met een hash van hun on-premises wachtwoord. Als gevolg hiervan kan Domain Services de gebruikersreferenties niet valideren
Volgende stappen
Als u aan de slag wilt gaan met het gebruik van Domain Services, maakt u een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.
U kunt ook meer informatie vinden over beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Services en hoe objecten en referenties worden gesynchroniseerd in een beheerd domein.