Udostępnij za pośrednictwem

Wdrażanie i zarządzanie usługami Microsoft Entra Domain Services dla dostawców rozwiązań chmurowych w ramach platformy Azure.

  • Artykuł

Azure Dostawcy rozwiązań chmurowych (CSP) to program dla partnerów firmy Microsoft i zapewnia kanał licencjonowania dla różnych usług chmurowych firmy Microsoft. Dostawca CSP platformy Azure umożliwia partnerom zarządzanie sprzedażą, posiadanie relacji związaną z rozliczeniami, zapewnienie pomocy technicznej i rozliczeniowej oraz bycie dla klienta jednym punktem kontaktu. Ponadto dostawca CSP platformy Azure udostępnia pełny zestaw narzędzi, w tym portal samoobsługowy i towarzyszących interfejsów API. Te narzędzia umożliwiają partnerom CSP łatwe aprowizowanie zasobów platformy Azure i zarządzanie nimi oraz zapewnianie rozliczeń dla klientów i ich subskrypcji.

Portal Centrum partnerskiego jest punktem wejścia dla wszystkich partnerów programu Azure CSP i zapewnia zaawansowane możliwości zarządzania klientami, zautomatyzowane przetwarzanie i nie tylko. Partnerzy programu Azure CSP mogą korzystać z możliwości Centrum partnerskiego przy użyciu internetowego interfejsu użytkownika lub programu PowerShell i różnych wywołań interfejsu API.

Na poniższym diagramie pokazano, jak działa model CSP na wysokim poziomie. W tym miejscu firma Contoso ma konto Microsoft Entra. Mają współpracę z dostawcą CSP, który wdraża zasoby i zarządza nimi w ramach subskrypcji programu Azure CSP. Firma Contoso może również mieć regularne (bezpośrednie) subskrypcje platformy Azure, które są rozliczane bezpośrednio w firmie Contoso.

Omówienie modelu CSP

Najemca partnera CSP ma trzy specjalne grupy agentów — administratorzy, pracownicy pomocy technicznej i sprzedawcy.

Grupa Agentów Admin jest przypisana do roli administratora dzierżawy w dzierżawie firmy Contoso w Microsoft Entra. W związku z tym użytkownik należący do grupy agentów administracyjnych partnera CSP ma uprawnienia administratora dzierżawy w dzierżawie Microsoft Entra firmy Contoso.

Gdy partner CSP tworzy subskrypcję Azure CSP dla firmy Contoso, grupa ich agentów administracyjnych jest przypisana do roli właściciela tej subskrypcji. W związku z tym agenci administracyjni partnera CSP mają wymagane uprawnienia do aprowizowania zasobów platformy Azure, takich jak maszyny wirtualne, sieci wirtualne i usługi Microsoft Entra Domain Services w imieniu firmy Contoso.

Aby uzyskać więcej informacji, zobacz Omówienie programu Azure CSP

Korzyści wynikające z korzystania z usług Domain Services w subskrypcji programu Azure CSP

Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak dołączenie do domeny, zasady grup, LDAP, uwierzytelnianie Kerberos/NTLM, które są w pełni zgodne z usługami domenowymi Active Directory w systemie Windows Server. W ciągu dziesięcioleci wiele aplikacji zostało utworzonych w celu współdziałania z usługą AD przy użyciu tych możliwości. Wielu niezależnych dostawców oprogramowania (ISV) utworzyło i wdrażało aplikacje w siedzibie swoich klientów. Te aplikacje są trudne do obsługi, ponieważ często wymagasz dostępu do różnych środowisk, w których są wdrażane aplikacje. W przypadku subskrypcji programu Azure CSP masz prostszą alternatywę dla skalowania i elastyczności platformy Azure.

Usługi Domain Services obsługują subskrypcje programu Azure CSP. Aplikację można wdrożyć w subskrypcji Azure CSP powiązanej z dzierżawą Microsoft Entra klienta. W rezultacie pracownicy pomocy technicznej mogą zarządzać, administrować i obsługiwać maszyny wirtualne, na których aplikacja jest wdrażana, korzystając z poświadczeń firmowych organizacji.

Można również wdrożyć zarządzaną domenę usług Domain Services w dzierżawie Microsoft Entra klienta. Aplikacja jest następnie połączona z domeną zarządzaną klienta. Możliwości w aplikacji, które korzystają z protokołu Kerberos/ NTLM, LDAP lub interfejsu API System.DirectoryServices, działają bezproblemowo w odniesieniu do domeny klienta. Klienci końcowi korzystają z korzystania z aplikacji jako usługi bez konieczności martwienia się o utrzymanie infrastruktury wdrażanej przez aplikację.

Wszystkie rozliczenia dotyczące zasobów platformy Azure, które są używane w tej subskrypcji, w tym usługi Domain Services, są naliczane z powrotem. Utrzymujesz pełną kontrolę nad relacją z klientem, jeśli chodzi o sprzedaż, rozliczenia, pomoc techniczną itd. Mały zespół agentów pomocy technicznej, dzięki elastyczności platformy Azure CSP, może obsługiwać wielu klientów, którzy mają wdrożone instance aplikacji.

Modele wdrażania programu CSP dla usług Domenowych

Istnieją dwa sposoby używania usług Domain Services z subskrypcją programu Azure CSP. Wybierz właściwy na podstawie zagadnień dotyczących zabezpieczeń i prostoty, które mają twoi klienci.

Model wdrażania bezpośredniego

W tym modelu wdrażania usługi Domain Services są włączone w sieci wirtualnej należącej do subskrypcji programu Azure CSP. Agenci administracyjni partnera CSP mają następujące uprawnienia:

Do zarządzania tą funkcją jest wymagany administrator globalny.

Uprawnienia właściciela subskrypcji w subskrypcji programu Azure CSP są wymagane dla tej funkcji.

Model wdrażania bezpośredniego

W tym modelu wdrażania agenci administracyjni dostawcy CSP mogą administrować tożsamościami klienta. Ci agenci administracyjni mogą wykonywać zadania, takie jak tworzenie nowych użytkowników lub grup, czy dodawanie aplikacji w dzierżawie Microsoft Entra klienta.

Ten model wdrażania może być odpowiedni dla mniejszych organizacji, które nie mają dedykowanego administratora tożsamości lub wolą partnera CSP administrować tożsamościami w ich imieniu.

Model wdrażania równorzędnego

W tym modelu wdrażania usługi Domain Services są włączone w sieci wirtualnej należącej do klienta — bezpośredniej subskrypcji platformy Azure płatnej przez klienta. Partner CSP może wdrażać aplikacje w sieci wirtualnej należącej do subskrypcji CSP klienta. Następnie można połączyć sieci wirtualne przy użyciu połączenia równorzędnego sieci wirtualnych Azure.

Dzięki temu wdrożeniu obciążenia lub aplikacje wdrożone przez partnera CSP w subskrypcji programu Azure CSP mogą łączyć się z domeną zarządzaną klienta aprowizowaną w bezpośredniej subskrypcji platformy Azure klienta.

Model wdrażania równorzędnego

Ten model wdrażania zapewnia rozdzielenie uprawnień i umożliwia agentom pomocy technicznej partnera CSP administrowanie subskrypcją platformy Azure oraz wdrażanie w nim zasobów i zarządzanie nimi. Jednak agenci pomocy technicznej partnera CSP nie potrzebują wysoce uprzywilejowanej roli w katalogu Microsoft Entra klienta. Administratorzy tożsamości klienta mogą nadal zarządzać tożsamościami w swojej organizacji.

Ten model wdrażania może być odpowiedni dla scenariuszy, w których niezależny dostawca oprogramowania udostępnia hostowaną wersję swojej aplikacji lokalnej, która również musi łączyć się z Microsoft Entra ID klienta.

Administrowanie usługami Domain Services w subskrypcjach CSP

Podczas administrowania domeną zarządzaną w subskrypcji programu Azure CSP należy wziąć pod uwagę następujące ważne kwestie:

  • Agenci administracyjni programu CSP mogą aprowizować domenę zarządzaną przy użyciu poświadczeń: usługi Domain Services obsługują subskrypcje programu Azure CSP. Użytkownicy należący do grupy agentów administracyjnych partnera CSP mogą aprowizować nową domenę zarządzaną.

  • Dostawcy CSP mogą tworzyć skrypty nowych domen zarządzanych dla swoich klientów przy użyciu programu PowerShell: Zobacz , jak włączyć usługi Domain Services przy użyciu programu PowerShell , aby uzyskać szczegółowe informacje.

  • Agenci administracyjni programu CSP nie mogą wykonywać bieżących zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń: administratorzy programu CSP nie mogą wykonywać rutynowych zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń. Ci użytkownicy są zewnętrzni wobec dzierżawy Microsoft Entra klienta i ich poświadczenia nie są w niej dostępne. Usługi Domain Services nie mają dostępu do skrótów haseł Protokołu Kerberos i NTLM dla tych użytkowników, więc nie można uwierzytelnić użytkowników w domenach zarządzanych.

    Ostrzeżenie

    Aby wykonywać bieżące zadania administracyjne w domenie zarządzanej, musisz utworzyć konto użytkownika w katalogu klienta.

    Nie można zalogować się do domeny zarządzanej przy użyciu poświadczeń użytkownika administratora CSP. W tym celu użyj poświadczeń konta użytkownika należącego do dzierżawy firmy Microsoft Entra klienta. Te poświadczenia są potrzebne do zadań, takich jak dołączanie maszyn wirtualnych do domeny zarządzanej, administrowanie systemem DNS lub administrowanie zasadami grupy.

  • Konto użytkownika utworzone do bieżącej administracji musi zostać dodane do grupy Administratorzy kontrolera domeny usługi AAD:grupa Administratorzy kontrolera domeny usługi AAD ma uprawnienia do wykonywania określonych delegowanych zadań administracyjnych w domenie zarządzanej. Te zadania obejmują konfigurowanie systemu DNS, tworzenie jednostek organizacyjnych i administrowanie zasadami grupy.

    Aby partner CSP mógł wykonywać te zadania w zarządzanej domenie, należy utworzyć konto użytkownika w dzierżawie Microsoft Entra klienta. Poświadczenia dla tego konta muszą być udostępniane agentom administracyjnym partnera CSP. Ponadto to konto użytkownika musi być dodane do grupy Administratorzy AAD DC, aby umożliwić wykonywanie zadań konfiguracyjnych w zarządzanej domenie przy użyciu tego konta użytkownika.

Następne kroki

Aby rozpocząć, zarejestruj się w programie Azure CSP. Następnie możesz włączyć usługi Microsoft Entra Domain Services przy użyciu centrum administracyjnego firmy Microsoft lub programu Azure PowerShell.