Hybride identiteit

  • 10 minuten

Tailwind Traders maakt gebruik van Active Directory Domain Services (AD DS) als de on-premises id-provider in de on-premises netwerkomgeving, omdat deze vanaf Windows NT 4.0 in het begin van de jaren 2000 is gemigreerd. Veel bestaande Tailwind Traders-toepassingen bevatten een afhankelijkheid op Active Directory. Een aantal van deze toepassingen heeft een eenvoudige afhankelijkheid op Active Directory als een identiteitsprovider. Andere toepassingen hebben uitgebreidere afhankelijkheden, zoals complexe groepsbeleidsvereisten, aangepaste domeinpartities en aangepaste schema-extensies.

Omdat Tailwind Traders begint met het verplaatsen van enkele resources en het ontwikkelen van nieuwe toepassingen in Azure, wil het bedrijf voorkomen dat er een parallelle identiteitsoplossing wordt gemaakt. Ze willen geen afzonderlijke aanmeldingsgegevens vereisen voor on-premises en cloudresources.

In deze les leert u meer over de verschillende manieren om hybride identiteiten te implementeren.

Domeincontrollers implementeren naar Azure

De eenvoudigste manier om dezelfde AD DS-omgeving in Azure te bieden als die een organisatie on-premises heeft, is:

  1. Een paar AD DS-domeincontrollers implementeren in een subnet van een virtueel Azure-netwerk.

  2. Dat virtuele netwerk verbinden met het on-premises netwerk.

  3. Dat subnet configureren als een nieuwe AD DS-site, zoals wordt weergegeven in de volgende afbeelding.

    Diagram met replicatie van een on-premises identiteit die wordt gehost in Active Directory-domein Services naar Microsoft Entra-id.

Een andere optie is om het in de cloud gehoste AD DS-domein te configureren als een onderliggend domein van de forest van het on-premises domein. Een andere optie is het configureren van de AD DS-domeincontrollers die in de cloud worden uitgevoerd als een afzonderlijk forest met een vertrouwensrelatie met het on-premises forest. De volgende afbeelding toont-de topologie van deze resourceforest.

Diagram met on-premises AD DS geconfigureerd in een vertrouwensrelatie met een AD DS-implementatie die wordt gehost op een Azure-subnet.

Organisaties die domeincontrollers implementeren op virtuele machines (VM's) in Azure, kunnen vervolgens workloads implementeren waarvoor een lijn van detectie naar een domeincontroller is vereist. Ze kunnen de implementatie uitvoeren zolang de workloads zich op hetzelfde subnet van het Azure Virtual Network bevinden, waar hun domeincontroller-VM's zijn geplaatst. Dit model van een hybride cloud is conceptueel eenvoudig voor veel organisaties, omdat Azure-datacenters worden behandeld als een externe Active Directory-site.

Voor Tailwind Traders kan het uitbreiden van zijn on-premises Active Directory-domein of forest naar Azure wellicht voldoende zijn, afhankelijk van toepassingsvereisten. Het nadeel van het implementeren van deze optie is dat er doorlopende kosten zijn gekoppeld aan VM's die continu worden uitgevoerd, zoals dat is vereist voor domeincontrollers.

Wat is Microsoft Entra Connect?

Met Microsoft Entra Connect (voorheen Azure AD Connect) kunnen organisaties de identiteiten die aanwezig zijn in hun on-premises Active Directory-exemplaar synchroniseren met Microsoft Entra ID (voorheen Azure AD). Met deze methode kunt u dezelfde identiteit gebruiken voor cloudresources en on-premises resources. Microsoft Entra Connect wordt het vaakst gebruikt wanneer organisaties Microsoft 365 gebruiken. Ze gebruiken het om toepassingen zoals Microsoft SharePoint en Exchange die in de cloud worden uitgevoerd, toegang te geven via on-premises toepassingen.

Als Tailwind Traders van plan is om Microsoft 365-technologieën zoals Exchange Online of Microsoft Teams te gebruiken, moet Microsoft Entra Connect worden geconfigureerd om identiteiten te repliceren vanuit de on-premises AD DS-omgeving naar Azure. Als het bedrijf ook on-premises identiteiten wil gebruiken met toepassingen in Azure, maar geen AD DS-domeincontrollers op VM's wil implementeren, moet het ook Microsoft Entra Connect implementeren.

Wat is Microsoft Entra Domain Services?

U kunt Microsoft Entra Domain Services gebruiken om een Microsoft Entra-domein te projecteren op een virtueel Azure-subnet. Wanneer u deze configuratie gebruikt, worden services zoals domeindeelname, Groepsbeleid, Lightweight Directory Access Protocol (LDAP) en Kerberos- en NTLM-verificatie beschikbaar voor elke VM die is geïmplementeerd in het subnet.

Met Microsoft Entra Domain Services kunt u beschikken over een eenvoudige beheerde Active Directory-omgeving die beschikbaar is voor VM's zonder dat u zich zorgen hoeft te maken over het beheren, onderhouden en betalen van de VM's die als domeincontrollers worden uitgevoerd. Met Microsoft Entra Domain Services kunt u ook on-premises identiteiten gebruiken via Microsoft Entra Connect om te communiceren met vm's die worden uitgevoerd op een speciaal geconfigureerd Azure Virtual Network-subnet.

Een nadeel van Microsoft Entra Domain Services is dat de implementatie van groepsbeleid basis is. Het bevat een vaste set beleidsregels en biedt geen mogelijkheid om GPO's (Group Policy Objects, groepsbeleidobjecten) te maken. Hoewel de identiteiten die on-premises worden gebruikt, beschikbaar zijn in Azure, zijn beleidsregels die on-premises zijn geconfigureerd, niet beschikbaar.

Voor Tailwind Traders biedt Microsoft Entra Domain Services een goede middelste basis voor hybride workloads. Hiermee kunnen aan het domein toegevoegde identiteiten worden gebruikt en een aanzienlijke hoeveelheid groepsbeleidsregels worden geconfigureerd. Maar het biedt geen ondersteuning voor toepassingen waarvoor complexe Active Directory-functionaliteit is vereist, zoals aangepaste domeinpartities en schema-extensies.