Microsoft Entra Domain Services onderzoeken
In de meeste organisaties worden lob-toepassingen (Line-Of-Business) momenteel geïmplementeerd op computers en apparaten die domeinleden zijn. Deze organisaties gebruiken ad DS-referenties voor verificatie en groepsbeleid beheert deze. Wanneer u deze apps wilt verplaatsen om te worden uitgevoerd in Azure, is een belangrijk probleem hoe u verificatieservices aan deze apps kunt leveren. Om aan deze behoefte te voldoen, kunt u ervoor kiezen om een site-naar-site virtueel particulier netwerk (VPN) te implementeren tussen uw lokale infrastructuur en de Azure IaaS, of u kunt replicadomeincontrollers van uw lokale AD DS implementeren als virtuele machines (VM's) in Azure. Deze benaderingen kunnen extra kosten en administratieve inspanningen met zich meebrengen. Daarnaast is het verschil tussen deze twee benaderingen dat met de eerste optie verificatieverkeer de VPN kruist, terwijl in de tweede optie replicatieverkeer het VPN kruist en verificatieverkeer in de cloud blijft.
Microsoft biedt Microsoft Entra Domain Services als alternatief voor deze benaderingen. Deze service, die wordt uitgevoerd als onderdeel van de Laag Microsoft Entra ID P1 of P2, biedt domeinservices zoals groepsbeleidsbeheer, domeindeelname en Kerberos-verificatie voor uw Microsoft Entra-tenant. Deze services zijn volledig compatibel met lokaal geïmplementeerde AD DS, zodat u ze kunt gebruiken zonder extra domeincontrollers in de cloud te implementeren en te beheren.
Omdat Microsoft Entra ID kan worden geïntegreerd met uw lokale AD DS, kunnen gebruikers bij het implementeren van Microsoft Entra Connect organisatiereferenties gebruiken in zowel on-premises AD DS als in Microsoft Entra Domain Services. Zelfs als u AD DS niet lokaal hebt geïmplementeerd, kunt u Ervoor kiezen om Microsoft Entra Domain Services te gebruiken als een cloudservice. Hierdoor hebt u vergelijkbare functionaliteit van lokaal geïmplementeerde AD DS zonder dat u één domeincontroller on-premises of in de cloud hoeft te implementeren. Een organisatie kan er bijvoorbeeld voor kiezen om een Microsoft Entra-tenant te maken en Microsoft Entra Domain Services in te schakelen en vervolgens een virtueel netwerk te implementeren tussen de on-premises resources en de Microsoft Entra-tenant. U kunt Microsoft Entra Domain Services inschakelen voor dit virtuele netwerk, zodat alle on-premises gebruikers en services domeinservices van Microsoft Entra-id kunnen gebruiken.
Microsoft Entra Domain Services biedt verschillende voordelen voor organisaties, zoals:
- Beheerders hoeven domeincontrollers niet te beheren, bij te werken en te bewaken.
- Beheerders hoeven Active Directory-replicatie niet te implementeren en te beheren.
- U hoeft geen groepen domeinadministratoren of ondernemingsadministratoren te hebben voor domeinen die door Microsoft Entra ID worden beheerd.
Als u Microsoft Entra Domain Services wilt implementeren, moet u rekening houden met de huidige beperkingen van de service. Deze omvatten:
- Alleen het Active Directory-basisobject van de basiscomputer wordt ondersteund.
- Het is niet mogelijk om het schema voor het domein Microsoft Entra Domain Services uit te breiden.
- De organisatie-eenheidsstructuur is plat en geneste OE's worden momenteel niet ondersteund.
- Er is een ingebouwd groepsbeleidsobject (GPO) en bestaat voor computer- en gebruikersaccounts.
- Het is niet mogelijk om OE's met ingebouwde GPO's te targeten. Daarnaast kunt u geen Windows Management Instrumentation-filters of beveiligingsgroepfilters gebruiken.
Met Behulp van Microsoft Entra Domain Services kunt u toepassingen die gebruikmaken van LDAP, NTLM of de Kerberos-protocollen, vrij migreren van uw on-premises infrastructuur naar de cloud. U kunt ook toepassingen zoals Microsoft SQL Server of Microsoft SharePoint Server op VM's gebruiken of implementeren in Azure IaaS, zonder dat u domeincontrollers in de cloud of een VPN naar een lokale infrastructuur nodig hebt.
U kunt Microsoft Entra Domain Services inschakelen met behulp van Azure Portal. Deze service wordt per uur in rekening gebracht op basis van de grootte van uw directory.