Opis usług Microsoft Entra Domain Services

Ukończone

Zespół IT firmy Contoso wdraża szereg aplikacji biznesowych (LOB) na komputerach i urządzeniach będących członkami domeny. Firma Contoso używa poświadczeń opartych na usługach AD DS do uwierzytelniania i obiektów zasad grupy do zarządzania tymi urządzeniami i aplikacjami. Teraz rozważają przeniesienie tych aplikacji na platformę Azure. Kluczowym problemem jest zapewnienie usług uwierzytelniania tym aplikacjom.

Aby zaspokoić tę potrzebę, zespół IT firmy Contoso może wybrać następujące elementy:

  • Zaimplementuj wirtualną sieć prywatną typu lokacja-lokacja (VPN) między infrastrukturą lokalną a usługą Azure IaaS.
  • Wdróż kontrolery domeny repliki z lokalnych usług AD DS jako maszyny wirtualne na platformie Azure.

Jednak te podejścia mogą wiązać się z dodatkowymi kosztami i nakładem pracy administracyjnej. Ponadto różnica między tymi dwoma podejściami polega na tym, że w przypadku pierwszej opcji ruch uwierzytelniania przekroczy sieć VPN; w drugiej opcji ruch replikacji przekroczy sieć VPN, a ruch uwierzytelniania pozostanie w chmurze. Firma Microsoft udostępnia usługę Microsoft Entra Domain Services jako alternatywę dla tych metod.

Co to jest usługa Microsoft Entra Domain Services?

Microsoft Entra Domain Services, który działa w ramach warstwy Microsoft Entra ID P1 lub P2, zapewnia usługi domenowe, takie jak zarządzanie zasadami grupy, przyłączanie do domeny i uwierzytelnianie Kerberos w dzierżawie firmy Microsoft Entra. Te usługi są w pełni zgodne z lokalnymi usługami AD DS, więc można ich używać bez wdrażania dodatkowych kontrolerów domeny i zarządzania nimi w chmurze.

Ponieważ identyfikator Entra firmy Microsoft może integrować się z lokalnymi usługami AD DS, podczas implementowania programu Microsoft Entra Connect użytkownicy mogą korzystać z poświadczeń organizacji zarówno w lokalnych usługach AD DS, jak i w usługach Microsoft Entra Domain Services. Nawet jeśli nie masz wdrożonych lokalnie usług AD DS, możesz użyć usług Microsoft Entra Domain Services jako usługi tylko w chmurze. Dzięki temu można mieć podobne funkcje lokalnie wdrożonych usług AD DS bez konieczności wdrażania pojedynczego kontrolera domeny lokalnie lub w chmurze.

Na przykład pracownicy DZIAŁU IT firmy Contoso mogą utworzyć dzierżawę firmy Microsoft Entra i włączyć usługi Microsoft Entra Domain Services, a następnie wdrożyć sieć wirtualną między jej zasobami lokalnymi a dzierżawą firmy Microsoft Entra. Pracownicy DZIAŁU IT firmy Contoso mogą włączyć usługi Microsoft Entra Domain Services dla tej sieci wirtualnej, aby wszyscy lokalni użytkownicy i usługi mogli korzystać z usług domenowych z identyfikatora Entra firmy Microsoft.

Usługi Microsoft Entra Domain Services zapewniają kilka korzyści dla organizacji, takich jak:

  • Administratorzy nie muszą zarządzać, aktualizować i monitorować kontrolery domeny.
  • Administratorzy nie muszą wdrażać replikacji usługi Active Directory i zarządzać nią.
  • Nie ma potrzeby posiadania grup Administratorzy domeny ani Administratorzy przedsiębiorstwa dla domen zarządzanych przez usługi Microsoft Entra Domain Services.

Jeśli zdecydujesz się wdrożyć usługi Microsoft Entra Domain Services, musisz zrozumieć bieżące ograniczenia usługi. Są to:

  • Obsługiwany jest tylko obiekt usługi Active Directory komputera podstawowego.
  • Nie można rozszerzyć schematu dla domeny usług Microsoft Entra Domain Services.
  • Struktura jednostki organizacyjnej jest płaska, a zagnieżdżone jednostki organizacyjne nie są obecnie obsługiwane.
  • Istnieje wbudowany obiekt zasad grupy, który istnieje dla kont komputerów i użytkowników.
  • Nie można kierować do jednostek organizacyjnych z wbudowanymi obiektami zasad grupy. Ponadto nie można używać filtrów instrumentacji zarządzania Windows (WMI) ani filtrowania grup zabezpieczeń.

Za pomocą usług Microsoft Entra Domain Services można swobodnie migrować aplikacje korzystające z protokołu LDAP, NT LAN Manager (NTLM) lub protokołów Kerberos z infrastruktury lokalnej do chmury. Możesz również używać aplikacji, takich jak Microsoft SQL Server lub SharePoint Server na maszynach wirtualnych, lub wdrażać je w usłudze Azure IaaS. Wszystko to bez konieczności używania kontrolerów domeny w chmurze lub sieci VPN do infrastruktury lokalnej. W poniższej tabeli przedstawiono niektóre typowe scenariusze korzystające z usług Microsoft Entra Domain Services.

Korzyść opis
Bezpieczne administrowanie maszynami wirtualnymi platformy Azure Maszyny wirtualne platformy Azure można dołączyć do domeny zarządzanej przez usługi Microsoft Entra Domain Services, co umożliwia użycie jednego zestawu poświadczeń usługi Active Directory. Takie podejście zmniejsza problemy z zarządzaniem poświadczeniami, takie jak utrzymywanie kont administratorów lokalnych na każdej maszynie wirtualnej lub oddzielne konta i hasła między środowiskami. Możesz zarządzać i zabezpieczać maszyny wirtualne przyłączone do domeny zarządzanej przez usługi Microsoft Entra Domain Services. Możesz również zastosować wymagane punkty odniesienia zabezpieczeń do maszyn wirtualnych, aby zablokować je zgodnie z wytycznymi dotyczącymi zabezpieczeń firmy. Na przykład można użyć funkcji zarządzania zasadami grupy, aby ograniczyć typy aplikacji, które można uruchamiać na maszynie wirtualnej.
Aplikacje lokalne korzystające z uwierzytelniania powiązanego LDAP W tym scenariuszu usługi Microsoft Entra Domain Services umożliwiają aplikacjom wykonywanie powiązań LDAP w ramach procesu uwierzytelniania. Starsze aplikacje lokalne mogą przenosić się na platformę Azure i nadal bezproblemowo uwierzytelniać użytkowników bez żadnych zmian w konfiguracji lub środowisku użytkownika.
Aplikacje lokalne korzystające z odczytu LDAP w celu uzyskania dostępu do katalogu W tym scenariuszu usługi Microsoft Entra Domain Services umożliwiają aplikacjom wykonywanie odczytów LDAP względem domeny zarządzanej w celu pobrania potrzebnych informacji o atrybucie. Aplikacja nie musi zostać przepisana, więc lift-and-shift na platformę Azure umożliwia użytkownikom kontynuowanie korzystania z aplikacji bez świadomości, że w jej miejscu jest uruchamiana zmiana.
Lokalna aplikacja usługi lub demona Niektóre aplikacje obejmują wiele warstw, w których jedna z warstw musi wykonywać uwierzytelnione wywołania do warstwy zaplecza, takiej jak baza danych. Konta usług Active Directory są często używane w tych scenariuszach. W przypadku przenoszenia aplikacji na platformę Azure usługi Microsoft Entra Domain Services umożliwiają dalsze korzystanie z kont usług w taki sam sposób. Możesz użyć tego samego konta usługi, które jest synchronizowane z katalogu lokalnego do identyfikatora Entra firmy Microsoft, lub utworzyć niestandardową jednostkę organizacyjną, a następnie utworzyć oddzielne konto usługi w tej jednostki organizacyjnej. W przypadku obu metod aplikacje nadal działają w taki sam sposób, aby wykonywać uwierzytelnione wywołania do innych warstw i usług.
Usługi pulpitu zdalnego na platformie Azure Za pomocą usług Microsoft Entra Domain Services można również udostępniać zarządzane usługi domenowe serwerom usług pulpitu zdalnego wdrożonych na platformie Azure.

Kwestie wymagające rozważenia

Podczas implementowania poprzednich scenariuszy mają zastosowanie następujące zagadnienia dotyczące wdrażania:

  • Domeny zarządzane przez usługi Microsoft Entra Domain Services domyślnie używają jednej, płaskiej struktury jednostki organizacyjnej. Wszystkie maszyny wirtualne przyłączone do domeny znajdują się w jednej jednostki organizacyjnej. W razie potrzeby możesz utworzyć niestandardowe jednostki organizacyjne.
  • Usługa Microsoft Entra Domain Services używa wbudowanego obiektu zasad grupy dla kontenerów użytkowników i komputerów. Aby uzyskać dodatkową kontrolę, możesz utworzyć niestandardowe obiekty zasad grupy i kierować je do niestandardowych jednostek organizacyjnych.
  • Usługi Microsoft Entra Domain Services obsługują podstawowy schemat obiektu komputera usługi Active Directory. Nie można jednak rozszerzyć schematu obiektu komputera.
  • Nie można zmieniać haseł bezpośrednio w domenie zarządzanej przez usługi Microsoft Entra Domain Services. Użytkownicy końcowi mogą zmieniać swoje hasło przy użyciu samoobsługowego mechanizmu zmiany hasła identyfikatora firmy Microsoft lub katalogu lokalnego. Te zmiany są następnie automatycznie synchronizowane i dostępne w domenie zarządzanej przez usługi Microsoft Entra Domain Services.

Upewnij się również, że:

  • Żadne aplikacje nie muszą modyfikować/zapisywać w katalogu LDAP. Dostęp do zapisu LDAP w domenie zarządzanej przez usługi Microsoft Entra Domain Services nie jest obsługiwany.
  • Aplikacja nie potrzebuje niestandardowego/rozszerzonego schematu usługi Active Directory. Rozszerzenia schematu nie są obsługiwane w usługach Microsoft Entra Domain Services.
  • Aplikacje używają nazwy użytkownika i hasła do uwierzytelniania. Uwierzytelnianie oparte na certyfikatach lub kartach inteligentnych nie jest obsługiwane przez usługi Microsoft Entra Domain Services.