Badanie usług Microsoft Entra Domain Services
W większości organizacji obecnie aplikacje biznesowe (LOB) są wdrażane na komputerach i urządzeniach, które są członkami domeny. Organizacje te używają poświadczeń opartych na usługach AD DS do uwierzytelniania, a zasady grupy zarządzają nimi. Jeśli rozważasz przeniesienie tych aplikacji do uruchamiania na platformie Azure, jednym z kluczowych problemów jest zapewnienie usług uwierzytelniania tym aplikacjom. Aby spełnić te potrzeby, możesz wdrożyć wirtualną sieć prywatną typu lokacja-lokacja między lokalną infrastrukturą a usługą Azure IaaS lub wdrożyć kontrolery domeny repliki z lokalnych usług AD DS jako maszyny wirtualne na platformie Azure. Te podejścia mogą wiązać się z dodatkowymi kosztami i nakładem pracy administracyjnej. Ponadto różnica między tymi dwoma metodami polega na tym, że w przypadku pierwszej opcji ruch uwierzytelniania przekroczy sieć VPN, podczas gdy w drugiej opcji ruch replikacji przekroczy sieć VPN i ruch uwierzytelniania pozostanie w chmurze.
Firma Microsoft udostępnia usługę Microsoft Entra Domain Services jako alternatywę dla tych metod. Ta usługa, która działa w ramach warstwy Microsoft Entra ID P1 lub P2, zapewnia usługi domenowe, takie jak zarządzanie zasadami grupy, przyłączanie do domeny i uwierzytelnianie Kerberos w dzierżawie firmy Microsoft Entra. Te usługi są w pełni zgodne z lokalnie wdrożonym usługami AD DS, więc można ich używać bez wdrażania dodatkowych kontrolerów domeny i zarządzania nimi w chmurze.
Ponieważ identyfikator Entra firmy Microsoft może integrować się z lokalnymi usługami AD DS, podczas implementowania programu Microsoft Entra Connect użytkownicy mogą korzystać z poświadczeń organizacji zarówno w lokalnych usługach AD DS, jak i w usługach Microsoft Entra Domain Services. Nawet jeśli nie masz wdrożonych lokalnie usług AD DS, możesz użyć usług Microsoft Entra Domain Services jako usługi tylko w chmurze. Dzięki temu można mieć podobne funkcje lokalnie wdrożonych usług AD DS bez konieczności wdrażania pojedynczego kontrolera domeny lokalnie lub w chmurze. Na przykład organizacja może utworzyć dzierżawę firmy Microsoft Entra i włączyć usługi Microsoft Entra Domain Services, a następnie wdrożyć sieć wirtualną między jej zasobami lokalnymi a dzierżawą firmy Microsoft Entra. Możesz włączyć usługi Microsoft Entra Domain Services dla tej sieci wirtualnej, aby wszyscy lokalni użytkownicy i usługi mogli korzystać z usług domenowych z identyfikatora Entra firmy Microsoft.
Usługi Microsoft Entra Domain Services zapewniają kilka korzyści dla organizacji, takich jak:
- Administratorzy nie muszą zarządzać, aktualizować i monitorować kontrolerów domeny.
- Administratorzy nie muszą wdrażać replikacji usługi Active Directory i zarządzać nią.
- Nie ma potrzeby posiadania grup Administratorzy domeny ani Administratorzy przedsiębiorstwa dla domen zarządzanych przez usługę Microsoft Entra ID.
Jeśli zdecydujesz się wdrożyć usługi Microsoft Entra Domain Services, musisz pamiętać o bieżących ograniczeniach usługi. Są to:
- Obsługiwany jest tylko obiekt usługi Active Directory komputera podstawowego.
- Nie można rozszerzyć schematu dla domeny usług Microsoft Entra Domain Services.
- Struktura jednostki organizacyjnej (OU) jest płaska i zagnieżdżona nie jest obecnie obsługiwana.
- Istnieje wbudowany obiekt zasad grupy (GPO) i istnieje dla kont komputerów i użytkowników.
- Nie można kierować do jednostek organizacyjnych z wbudowanymi obiektami zasad grupy. Ponadto nie można używać filtrów instrumentacji zarządzania Windows ani filtrowania grup zabezpieczeń.
Za pomocą usług Microsoft Entra Domain Services można swobodnie migrować aplikacje korzystające z protokołów LDAP, NTLM lub Kerberos z infrastruktury lokalnej do chmury. Można również używać aplikacji, takich jak Microsoft SQL Server lub Microsoft SharePoint Server na maszynach wirtualnych, lub wdrażać je w usłudze Azure IaaS bez konieczności używania kontrolerów domeny w chmurze lub sieci VPN do infrastruktury lokalnej.
Usługi Microsoft Entra Domain Services można włączyć przy użyciu witryny Azure Portal. Opłaty za usługę na godzinę zależą od rozmiaru katalogu.