Tożsamość hybrydowa z usługami Active Directory i Microsoft Entra ID w strefach docelowych platformy Azure
Ten artykuł zawiera wskazówki dotyczące projektowania i implementowania identyfikatora Entra firmy Microsoft oraz tożsamości hybrydowej dla stref docelowych platformy Azure.
Organizacje działające w chmurze wymagają usługi katalogowej do zarządzania tożsamościami użytkowników i dostępem do zasobów. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem, która zapewnia niezawodne możliwości zarządzania użytkownikami i grupami. Możesz użyć identyfikatora Entra firmy Microsoft jako rozwiązania do obsługi tożsamości autonomicznej lub zintegrować go z infrastrukturą usług Microsoft Entra Domain Services lub infrastrukturą usług lokalna usługa Active Directory Domain Services (AD DS).
Microsoft Entra ID zapewnia nowoczesne bezpieczne zarządzanie tożsamościami i dostępem dla platformy Azure i usług Microsoft 365. Możesz użyć identyfikatora Entra firmy Microsoft dla różnych organizacji i obciążeń. Na przykład organizacje z lokalną infrastrukturą usług AD DS i obciążeniami opartymi na chmurze mogą używać synchronizacji katalogów z identyfikatorem Entra firmy Microsoft. Synchronizacja katalogów zapewnia, że środowiska lokalne i w chmurze współdzielą spójny zestaw tożsamości, grup i ról. Aplikacje wymagające starszych mechanizmów uwierzytelniania mogą wymagać usług Domain Services dla zarządzanych usług domenowych w chmurze i rozszerzenia lokalnej infrastruktury usług AD DS na platformę Azure.
Zarządzanie tożsamościami w chmurze jest procesem iteracyjnym. Możesz zacząć od rozwiązania natywnego dla chmury, które ma niewielki zestaw użytkowników i odpowiednie role na potrzeby początkowego wdrożenia. W miarę dojrzewania migracji może być konieczne zintegrowanie rozwiązania tożsamości przy użyciu synchronizacji katalogów lub dodanie usług domenowych hostowanych w chmurze w ramach wdrożeń w chmurze.
Dostosuj rozwiązanie tożsamości w czasie w zależności od wymagań dotyczących uwierzytelniania obciążenia i innych potrzeb, takich jak zmiany w strategii tożsamości organizacji i wymagania dotyczące zabezpieczeń lub integracja z innymi usługami katalogowymi. Podczas oceny rozwiązań usługi Active Directory systemu Windows Server zapoznaj się z różnicami między identyfikatorem Entra firmy Microsoft, usługami domenowymi i usługami AD DS w systemie Windows Server.
Aby uzyskać więcej informacji, zobacz Przewodnik po decyzjach dotyczących tożsamości.
Usługi zarządzania tożsamościami i dostępem w strefach docelowych platformy Azure
Zespół ds. platformy jest odpowiedzialny za administrowanie zarządzaniem tożsamościami i dostępem. Usługi zarządzania tożsamościami i dostępem mają podstawowe znaczenie dla zabezpieczeń organizacji. Twoja organizacja może użyć identyfikatora Entra firmy Microsoft do kontrolowania dostępu administracyjnego i ochrony zasobów platformy. Takie podejście uniemożliwia użytkownikom spoza zespołu platformy wprowadzanie zmian w konfiguracji lub podmiotów zabezpieczeń zawartych w identyfikatorze Entra firmy Microsoft.
W przypadku korzystania z usług AD DS lub usług domenowych należy chronić kontrolery domeny przed nieautoryzowanym dostępem. Kontrolery domeny są wysoce narażone na ataki i powinny mieć ścisłe mechanizmy kontroli zabezpieczeń i podział na obciążenia aplikacji.
Wdróż kontrolery domeny i skojarzone składniki, takie jak serwery Microsoft Entra Connect, w subskrypcji tożsamości, która znajduje się w grupie zarządzania platformy. Kontrolery domeny nie są delegowane do zespołów aplikacji. Ta izolacja umożliwia właścicielom aplikacji korzystanie z usług tożsamości bez konieczności ich obsługi, co zmniejsza ryzyko naruszenia zabezpieczeń usług zarządzania tożsamościami i dostępem. Zasoby w subskrypcji platformy tożsamości są krytycznym punktem zabezpieczeń dla środowisk w chmurze i środowiskach lokalnych.
Aprowizuj strefy docelowe, aby właściciele aplikacji mogli wybrać identyfikator entra firmy Microsoft lub usługi AD DS i usług domenowych, aby dopasować je do swoich potrzeb związanych z obciążeniem. W zależności od rozwiązania do obsługi tożsamości może być konieczne skonfigurowanie innych usług. Na przykład może być konieczne włączenie i zabezpieczenie łączności sieciowej z siecią wirtualną Tożsamości. Jeśli używasz procesu subskrypcji do sprzedaży, dołącz te informacje o konfiguracji w żądaniu subskrypcji.
Domeny platformy Azure i domeny lokalne (tożsamość hybrydowa)
Obiekty użytkownika tworzone w całości w usłudze Microsoft Entra ID są nazywane kontami tylko w chmurze. Konta tylko w chmurze obsługują nowoczesne uwierzytelnianie i dostęp do zasobów platformy Azure i platformy Microsoft 365 oraz obsługują dostęp dla urządzeń lokalnych korzystających z systemu Windows 10 lub Windows 11.
Twoja organizacja może już mieć długotrwałe katalogi usług AD DS zintegrowane z innymi systemami, takimi jak planowanie zasobów biznesowych lub przedsiębiorstwa (ERP) za pośrednictwem protokołu LDAP (Lightweight Directory Access Protocol). Te domeny mogą mieć wiele komputerów i aplikacji przyłączonych do domeny, które używają protokołów Kerberos lub starszych protokołów NTLMv2 do uwierzytelniania. W tych środowiskach można synchronizować obiekty użytkownika z identyfikatorem Entra firmy Microsoft, aby użytkownicy mogli logować się zarówno do systemów lokalnych, jak i zasobów w chmurze przy użyciu jednej tożsamości. Ujednolicenie lokalnych i usług katalogowych w chmurze jest nazywane tożsamością hybrydową. Domeny lokalne można rozszerzyć na strefy docelowe platformy Azure:
Aby zachować pojedynczy obiekt użytkownika w środowiskach chmurowych i lokalnych, można zsynchronizować użytkowników domeny usług AD DS z identyfikatorem Entra FIRMY Microsoft za pośrednictwem programu Microsoft Entra Connect lub Microsoft Entra Cloud Sync. Aby określić zalecaną konfigurację środowiska, zobacz Topologies for Microsoft Entra Connect and Topologies for Microsoft Entra Cloud Sync (Topologie dla usługi Microsoft Entra Cloud Sync).
Aby przyłączyć maszyny wirtualne z systemem Windows do domeny i inne usługi, można wdrożyć kontrolery domeny usług AD DS lub usługi Domain Services na platformie Azure. Użyj tego podejścia, aby użytkownicy usług AD DS mogli logować się do serwerów z systemem Windows, udziałów plików platformy Azure i innych zasobów, które używają usługi Active Directory jako źródła uwierzytelniania. Można również użyć innych technologii usługi Active Directory, takich jak zasady grupy, jako źródła uwierzytelniania. Aby uzyskać więcej informacji, zobacz Typowe scenariusze wdrażania dla usług Microsoft Entra Domain Services.
Zalecenia dotyczące tożsamości hybrydowej
Aby określić wymagania dotyczące rozwiązania tożsamości, należy udokumentować dostawcę uwierzytelniania używanego przez każdą aplikację. Skorzystaj z przewodnika po decyzjach dotyczących tożsamości, aby wybrać odpowiednie usługi dla organizacji. Aby uzyskać więcej informacji, zobacz Porównanie usługi Active Directory z identyfikatorem entra firmy Microsoft.
Usługi Domain Services mogą być używane w przypadku aplikacji korzystających z usług domenowych i korzystających ze starszych protokołów. Istniejące domeny usług AD DS czasami obsługują zgodność z poprzednimi wersjami i zezwalają na starsze protokoły, co może negatywnie wpłynąć na zabezpieczenia. Zamiast rozszerzać domenę lokalną, rozważ użycie usług domenowych do utworzenia nowej domeny, która nie zezwala na starsze protokoły. Użyj nowej domeny jako usługi katalogowej dla aplikacji hostowanych w chmurze.
Uwzględnij odporność jako krytyczne wymaganie projektowe strategii tożsamości hybrydowej na platformie Azure. Microsoft Entra ID to globalnie nadmiarowy system oparty na chmurze, ale nie są to usługi domenowe i usługi AD DS. Starannie zaplanuj odporność podczas implementowania usług Domenowych i usług AD DS. Podczas projektowania jednej z usług rozważ użycie wdrożeń wieloregionowych, aby zapewnić ciągłą obsługę usługi w przypadku zdarzenia regionalnego.
Aby rozszerzyć lokalne wystąpienie usług AD DS na platformę Azure i zoptymalizować wdrożenie, uwzględnij regiony platformy Azure w projekcie lokacji usługi Active Directory. Utwórz lokację w lokacjach i usługach usług AD DS dla każdego regionu świadczenia usługi Azure, w którym planujesz wdrożyć obciążenia. Następnie utwórz nowy obiekt podsieci w lokacjach usług AD DS i usługach dla każdego zakresu adresów IP, który planujesz wdrożyć w regionie. Skojarz nowy obiekt podsieci z utworzoną witryną usług AD DS. Ta konfiguracja gwarantuje, że usługa lokalizatora kontrolera domeny kieruje żądania autoryzacji i uwierzytelniania do najbliższych kontrolerów domeny usług AD DS w tym samym regionie świadczenia usługi Azure.
Ocenianie scenariuszy konfigurowania gości, klientów lub partnerów w celu uzyskania dostępu do zasobów. Określ, czy te scenariusze dotyczą firmy Microsoft Entra B2B, czy Tożsamość zewnętrzna Microsoft Entra dla klientów. Aby uzyskać więcej informacji, zobacz Tożsamość zewnętrzna Microsoft Entra.
Nie używaj serwera proxy aplikacji Microsoft Entra na potrzeby dostępu intranetowego, ponieważ dodaje opóźnienie do środowiska użytkownika. Aby uzyskać więcej informacji, zobacz Microsoft Entra application proxy planning (Planowanie serwera proxy aplikacji firmy Microsoft) i Microsoft Entra application proxy security considerations (Zagadnienia dotyczące zabezpieczeń serwera proxy aplikacji firmy Microsoft).
Rozważ różne metody, których można użyć do zintegrowania lokalna usługa Active Directory z platformą Azure w celu spełnienia wymagań organizacji.
Jeśli masz federację usług Active Directory Federation Services (AD FS) z identyfikatorem Entra firmy Microsoft, możesz użyć synchronizacji skrótów haseł jako kopii zapasowej. Usługi AD FS nie obsługują bezproblemowego logowania jednokrotnego (SSO) firmy Microsoft.
Określ odpowiednie narzędzie do synchronizacji tożsamości w chmurze.
Jeśli masz wymagania dotyczące korzystania z usług AD FS, zobacz Wdrażanie usług AD FS na platformie Azure.
Jeśli używasz programu Microsoft Entra Connect jako narzędzia do synchronizacji, rozważ wdrożenie serwera przejściowego w regionie innym niż podstawowy serwer Microsoft Entra Connect na potrzeby odzyskiwania po awarii. Alternatywnie, jeśli nie używasz wielu regionów, zaimplementuj strefy dostępności w celu zapewnienia wysokiej dostępności.
Jeśli używasz usługi Microsoft Entra Cloud Sync jako narzędzia do synchronizacji, rozważ zainstalowanie co najmniej trzech agentów na różnych serwerach w wielu regionach na potrzeby odzyskiwania po awarii. Alternatywnie można zainstalować agentów na różnych serwerach w różnych strefach dostępności w celu zapewnienia wysokiej dostępności.
Ważne
Zdecydowanie zalecamy przeprowadzenie migracji do identyfikatora Entra firmy Microsoft, chyba że są wymagane usługi AD FS. Aby uzyskać więcej informacji, zobacz Zasoby dotyczące likwidowania usług AD FS i Migrowanie z usług AD FS do identyfikatora entra firmy Microsoft.
Microsoft Entra ID, Domain Services i AD DS
Aby zaimplementować usługi katalogowe firmy Microsoft, zapoznaj się z administratorami z następującymi opcjami:
Kontrolery domeny usług AD DS można wdrożyć na platformie Azure jako maszyny wirtualne z systemem Windows, które są w pełni sterowane przez platformę lub administratorów tożsamości. Takie podejście jest rozwiązaniem infrastruktury jako usługi (IaaS). Kontrolery domeny można dołączyć do istniejącej domeny usługi Active Directory lub hostować nową domenę, która ma opcjonalną relację zaufania z istniejącymi domenami lokalnymi. Aby uzyskać więcej informacji, zobacz Architektura punktu odniesienia usługi Azure Virtual Machines w strefie docelowej platformy Azure.
Domain Services to usługa zarządzana przez platformę Azure, której można użyć do utworzenia nowej zarządzanej domeny usługi Active Directory hostowanej na platformie Azure. Domena może mieć relację zaufania z istniejącymi domenami i może synchronizować tożsamości z identyfikatora Entra firmy Microsoft. Administratorzy nie mają bezpośredniego dostępu do kontrolerów domeny i nie są odpowiedzialni za stosowanie poprawek i inne operacje konserwacji.
Podczas wdrażania usług Domain Services lub integrowania środowisk lokalnych z platformą Azure użyj regionów ze strefami dostępności, aby zwiększyć dostępność, jeśli to możliwe. Rozważ również wdrożenie w wielu regionach świadczenia usługi Azure w celu zwiększenia odporności.
Po skonfigurowaniu usług AD DS lub Usług domenowych można użyć tej samej metody co komputery lokalne do przyłączania maszyn wirtualnych i udziałów plików platformy Azure do domeny. Aby uzyskać więcej informacji, zobacz Porównanie usług opartych na katalogach firmy Microsoft.
Microsoft Entra ID i zalecenia dotyczące usług AD DS
Użyj serwera proxy aplikacji Microsoft Entra, aby uzyskać dostęp do aplikacji korzystających z uwierzytelniania lokalnego zdalnie za pośrednictwem identyfikatora Entra firmy Microsoft. Ta funkcja zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. Serwer proxy aplikacji Firmy Microsoft Entra nie wymaga sieci VPN ani żadnych zmian w infrastrukturze sieci. Jest on jednak wdrażany jako pojedyncze wystąpienie w usłudze Microsoft Entra ID, więc właściciele aplikacji i zespoły ds. platformy lub tożsamości muszą współpracować, aby upewnić się, że aplikacja jest poprawnie skonfigurowana.
Oceń zgodność obciążeń usług AD DS w systemie Windows Server i usługach domenowych. Aby uzyskać więcej informacji, zobacz Typowe przypadki użycia i scenariusze.
Wdróż maszyny wirtualne kontrolera domeny lub zestawy replik usług domenowych w subskrypcji platformy Tożsamości w grupie zarządzania platformy.
Zabezpiecz sieć wirtualną zawierającą kontrolery domeny. Aby zapobiec bezpośredniej łączności z Internetem z siecią wirtualną i kontrolerem domeny, umieść serwery usług AD DS w izolowanej podsieci z sieciową grupą zabezpieczeń. Sieciowa grupa zabezpieczeń zapewnia funkcjonalność zapory. Zasoby korzystające z kontrolerów domeny do uwierzytelniania muszą mieć trasę sieciową do podsieci kontrolera domeny. Włącz trasę sieciową tylko dla aplikacji, które wymagają dostępu do usług w subskrypcji tożsamości. Aby uzyskać więcej informacji, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
Użyj usługi Azure Virtual Network Manager , aby wymusić standardowe reguły dotyczące sieci wirtualnych. Możesz na przykład użyć usługi Azure Policy lub tagów zasobów sieci wirtualnej, aby dodać sieci wirtualne strefy docelowej do grupy sieci, jeśli wymagają one usług tożsamości usługi Active Directory. Następnie można użyć grupy sieciowej, która umożliwia dostęp do podsieci kontrolera domeny tylko z aplikacji, które tego wymagają, i zablokować dostęp z innych aplikacji.
Zabezpiecz uprawnienia kontroli dostępu opartej na rolach (RBAC), które mają zastosowanie do maszyn wirtualnych kontrolera domeny i innych zasobów tożsamości. Administratorzy z przypisaniami ról RBAC na płaszczyźnie sterowania platformy Azure, takimi jak Współautor, Właściciel lub Współautor maszyny wirtualnej, mogą uruchamiać polecenia na maszynach wirtualnych. Upewnij się, że tylko autoryzowani administratorzy mogą uzyskiwać dostęp do maszyn wirtualnych w subskrypcji tożsamości i że nadmierne przypisania ról nie są dziedziczone z wyższych grup zarządzania.
Zachowaj podstawowe aplikacje blisko lub w tym samym regionie co sieć wirtualna dla zestawów replik, aby zminimalizować opóźnienia. W organizacji obejmującej wiele regionów wdróż usługi Domain Services w regionie hostujący podstawowe składniki platformy. Usługi domenowe można wdrożyć tylko w jednej subskrypcji. Aby rozszerzyć usługi Domain Services do dalszych regionów, można dodać do czterech kolejnych zestawów replik w oddzielnych sieciach wirtualnych, które są równorzędne z podstawową siecią wirtualną.
Rozważ wdrożenie kontrolerów domeny usług AD DS w wielu regionach platformy Azure i w różnych strefach dostępności, aby zwiększyć odporność i dostępność. Aby uzyskać więcej informacji, zobacz Tworzenie maszyn wirtualnych w strefach dostępności i Migrowanie maszyn wirtualnych do stref dostępności.
Zapoznaj się z metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft w ramach planowania tożsamości. Uwierzytelnianie może wystąpić tylko w chmurze i lokalnie lub lokalnie.
Rozważ użycie uwierzytelniania Kerberos dla identyfikatora Entra firmy Microsoft zamiast wdrażania kontrolerów domeny w chmurze, jeśli użytkownik systemu Windows wymaga protokołu Kerberos dla udziałów plików usługi Azure Files.