Microsoft Entra Domain Services deployment and management for Azure Dostawca rozwiązań w chmurze s (Wdrażanie i zarządzanie usługami Microsoft Entra Domain Services dla usługi Azure Dostawca rozwiązań w chmurze s)
Azure Dostawca rozwiązań w chmurze s (CSP) to program dla partnerów firmy Microsoft i zapewnia kanał licencji dla różnych usług w chmurze firmy Microsoft. Dostawca CSP platformy Azure umożliwia partnerom zarządzanie sprzedażą, posiadanie relacji rozliczeń, zapewnienie pomocy technicznej i rozliczeniowej oraz kontakt klienta. Ponadto dostawca CSP platformy Azure udostępnia pełny zestaw narzędzi, w tym portal samoobsługowy i towarzyszących interfejsów API. Te narzędzia umożliwiają partnerom CSP łatwe aprowizowanie zasobów platformy Azure i zarządzanie nimi oraz zapewnianie rozliczeń dla klientów i ich subskrypcji.
Portal Centrum partnerskiego jest punktem wejścia dla wszystkich partnerów programu Azure CSP i zapewnia zaawansowane możliwości zarządzania klientami, zautomatyzowane przetwarzanie i nie tylko. Partnerzy programu Azure CSP mogą korzystać z możliwości Centrum partnerskiego przy użyciu internetowego interfejsu użytkownika lub programu PowerShell i różnych wywołań interfejsu API.
Na poniższym diagramie pokazano, jak działa model CSP na wysokim poziomie. W tym miejscu firma Contoso ma dzierżawę firmy Microsoft Entra. Mają współpracę z dostawcą CSP, który wdraża zasoby i zarządza nimi w ramach subskrypcji programu Azure CSP. Firma Contoso może również mieć regularne (bezpośrednie) subskrypcje platformy Azure, które są rozliczane bezpośrednio w firmie Contoso.
Dzierżawa partnera CSP ma trzy specjalne grupy agentów — agenci administracyjni , agenci pomocy technicznej i agenci sprzedaży .
Grupa Agentów administracyjnych jest przypisana do roli administratora dzierżawy w dzierżawie firmy Microsoft Firmy Microsoft. W związku z tym użytkownik należący do grupy agentów administracyjnych partnera CSP ma uprawnienia administratora dzierżawy w dzierżawie firmy Microsoft Entra firmy Contoso.
Gdy partner CSP aprowizuje subskrypcję dostawcy CSP platformy Azure dla firmy Contoso, ich grupa agentów administracyjnych zostanie przypisana do roli właściciela dla tej subskrypcji. W związku z tym agenci administracyjni partnera CSP mają wymagane uprawnienia do aprowizowania zasobów platformy Azure, takich jak maszyny wirtualne, sieci wirtualne i usługi Microsoft Entra Domain Services w imieniu firmy Contoso.
Aby uzyskać więcej informacji, zobacz Omówienie programu Azure CSP
Korzyści wynikające z korzystania z usług Domain Services w subskrypcji programu Azure CSP
Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługami domena usługi Active Directory Systemu Windows Server. W ciągu dziesięcioleci wiele aplikacji zostało utworzonych w celu współdziałania z usługą AD przy użyciu tych możliwości. Wielu niezależnych dostawców oprogramowania (ISV) utworzyło i wdrażało aplikacje w siedzibie swoich klientów. Te aplikacje są trudne do obsługi, ponieważ często wymagasz dostępu do różnych środowisk, w których są wdrażane aplikacje. W przypadku subskrypcji programu Azure CSP masz prostszą alternatywę dla skalowania i elastyczności platformy Azure.
Usługi Domain Services obsługują subskrypcje programu Azure CSP. Aplikację można wdrożyć w subskrypcji programu Azure CSP powiązanej z dzierżawą firmy Microsoft firmy Microsoft klienta. W związku z tym pracownicy (pracownicy pomocy technicznej) mogą zarządzać maszynami wirtualnymi, na których aplikacja jest wdrażana, oraz zarządzać nimi, korzystając z poświadczeń firmowych organizacji.
Można również wdrożyć domenę zarządzaną usług Domain Services w dzierżawie firmy Microsoft entra klienta. Aplikacja jest następnie połączona z domeną zarządzaną klienta. Możliwości w aplikacji, które korzystają z protokołu Kerberos/ NTLM, LDAP lub interfejsu API System.DirectoryServices, działają bezproblemowo w odniesieniu do domeny klienta. Klienci końcowi korzystają z korzystania z aplikacji jako usługi bez konieczności martwienia się o utrzymanie infrastruktury wdrażanej przez aplikację.
Wszystkie rozliczenia dotyczące zasobów platformy Azure, które są używane w tej subskrypcji, w tym usługi Domain Services, są naliczane z powrotem. Utrzymujesz pełną kontrolę nad relacją z klientem, jeśli chodzi o sprzedaż, rozliczenia, pomoc techniczną itd. Dzięki elastyczności platformy Azure CSP mały zespół agentów pomocy technicznej może obsługiwać wielu takich klientów, którzy mają wdrożone wystąpienia aplikacji.
Modele wdrażania programu CSP dla usług Domenowych
Istnieją dwa sposoby używania usług Domain Services z subskrypcją programu Azure CSP. Wybierz właściwy na podstawie zagadnień dotyczących zabezpieczeń i prostoty, które mają twoi klienci.
Model wdrażania bezpośredniego
W tym modelu wdrażania usługi Domain Services są włączone w sieci wirtualnej należącej do subskrypcji programu Azure CSP. Agenci administracyjni partnera CSP mają następujące uprawnienia:
Do zarządzania tą funkcją jest wymagany administrator globalny.
Uprawnienia właściciela subskrypcji w subskrypcji programu Azure CSP są wymagane dla tej funkcji.
W tym modelu wdrażania agenci administracyjni dostawcy CSP mogą administrować tożsamościami klienta. Ci agenci administracyjni mogą wykonywać zadania, takie jak aprowizuj nowych użytkowników lub grupy, lub dodają aplikacje w dzierżawie firmy Microsoft firmy Microsoft.
Ten model wdrażania może być odpowiedni dla mniejszych organizacji, które nie mają dedykowanego administratora tożsamości lub wolą partnera CSP administrować tożsamościami w ich imieniu.
Model wdrażania równorzędnego
W tym modelu wdrażania usługi Domain Services są włączone w sieci wirtualnej należącej do klienta — bezpośredniej subskrypcji platformy Azure płatnej przez klienta. Partner CSP może wdrażać aplikacje w sieci wirtualnej należącej do subskrypcji CSP klienta. Następnie można połączyć sieci wirtualne przy użyciu komunikacji równorzędnej sieci wirtualnych platformy Azure.
Dzięki temu wdrożeniu obciążenia lub aplikacje wdrożone przez partnera CSP w subskrypcji programu Azure CSP mogą łączyć się z domeną zarządzaną klienta aprowizowaną w bezpośredniej subskrypcji platformy Azure klienta.
Ten model wdrażania zapewnia rozdzielenie uprawnień i umożliwia agentom pomocy technicznej partnera CSP administrowanie subskrypcją platformy Azure oraz wdrażanie w nim zasobów i zarządzanie nimi. Jednak agenci pomocy technicznej partnera CSP nie potrzebują wysoce uprzywilejowanej roli w katalogu Microsoft Entra klienta. Administratorzy tożsamości klienta mogą nadal zarządzać tożsamościami w swojej organizacji.
Ten model wdrażania może być odpowiedni dla scenariuszy, w których niezależnego dostawcy oprogramowania udostępnia hostowaną wersję swojej aplikacji lokalnej, która również musi łączyć się z identyfikatorem Firmy Microsoft klienta Entra.
Administrowanie usługami Domain Services w subskrypcjach CSP
Podczas administrowania domeną zarządzaną w subskrypcji programu Azure CSP należy wziąć pod uwagę następujące ważne kwestie:
Agenci administracyjni programu CSP mogą aprowizować domenę zarządzaną przy użyciu poświadczeń: usługi Domain Services obsługują subskrypcje programu Azure CSP. Użytkownicy należący do grupy agentów administracyjnych partnera CSP mogą aprowizować nową domenę zarządzaną.
Dostawcy CSP mogą tworzyć skrypty nowych domen zarządzanych dla swoich klientów przy użyciu programu PowerShell: Zobacz , jak włączyć usługi Domain Services przy użyciu programu PowerShell , aby uzyskać szczegółowe informacje.
Agenci administracyjni programu CSP nie mogą wykonywać bieżących zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń: administratorzy programu CSP nie mogą wykonywać rutynowych zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń. Ci użytkownicy są zewnętrzni niż dzierżawa firmy Microsoft Entra klienta, a ich poświadczenia nie są dostępne w dzierżawie firmy Microsoft Entra klienta. Usługi Domain Services nie mają dostępu do skrótów haseł Protokołu Kerberos i NTLM dla tych użytkowników, więc nie można uwierzytelnić użytkowników w domenach zarządzanych.
Ostrzeżenie
Aby wykonywać bieżące zadania administracyjne w domenie zarządzanej, musisz utworzyć konto użytkownika w katalogu klienta.
Nie można zalogować się do domeny zarządzanej przy użyciu poświadczeń użytkownika administratora CSP. W tym celu użyj poświadczeń konta użytkownika należącego do dzierżawy firmy Microsoft Entra klienta. Te poświadczenia są potrzebne do zadań, takich jak dołączanie maszyn wirtualnych do domeny zarządzanej, administrowanie systemem DNS lub administrowanie zasadami grupy.
Konto użytkownika utworzone do bieżącej administracji musi zostać dodane do grupy Administratorzy kontrolera domeny usługi AAD: grupa Administratorzy kontrolera domeny usługi AAD ma uprawnienia do wykonywania określonych delegowanych zadań administracyjnych w domenie zarządzanej. Te zadania obejmują konfigurowanie systemu DNS, tworzenie jednostek organizacyjnych i administrowanie zasadami grupy.
Aby partner CSP wykonywał te zadania w domenie zarządzanej, należy utworzyć konto użytkownika w dzierżawie firmy Microsoft klienta. Poświadczenia dla tego konta muszą być udostępniane agentom administracyjnym partnera CSP. Ponadto to konto użytkownika musi zostać dodane do grupy Administratorzy kontrolera domeny usługi AAD, aby umożliwić wykonywanie zadań konfiguracyjnych w domenie zarządzanej przy użyciu tego konta użytkownika.
Następne kroki
Aby rozpocząć, zarejestruj się w programie Azure CSP. Następnie możesz włączyć usługi Microsoft Entra Domain Services przy użyciu centrum administracyjnego firmy Microsoft lub programu Azure PowerShell.