Поделиться через


Что такое доменные службы Microsoft Entra?

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, протокол LDAP и проверка подлинности Kerberos/NTLM. Эти доменные службы используются без необходимости развертывать, управлять и исправлять контроллеры домена (DCS) в облаке.

Управляемый домен доменных служб позволяет запускать устаревшие приложения в облаке, которые не могут использовать современные методы проверки подлинности или где вы не хотите, чтобы поиски каталогов всегда возвращались в локальную среду AD DS. Вы можете поднять и переместить устаревшие приложения из локальной среды в управляемый домен без необходимости управлять средой AD DS в облаке.

Доменные службы интегрируются с существующим клиентом Microsoft Entra. Эта интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя имеющиеся учетные данные. Вы также можете использовать существующие группы и учетные записи пользователей для защиты доступа к ресурсам. Эти функции обеспечивают более плавное перемещение локальных ресурсов в Azure.

Ознакомьтесь с нашим коротким видео, чтобы узнать больше о доменных службах.

Как работают доменные службы?

При создании управляемого домена доменных служб определяется уникальное пространство имен. Это доменное имя, например aaddscontoso.com. Затем два контроллера домена Windows Server развертываются в выбранном регионе Azure. Это развертывание контроллеров домена называется набором реплик.

Вам не нужно управлять, настраивать или обновлять эти контроллеры домена. Платформа Azure обрабатывает доменные контроллеры как часть управляемого домена, включая резервные копии и шифрование данных на диске в состоянии покоя с помощью шифрования дисков Azure.

Управляемый домен настроен для односторонней синхронизации из идентификатора Microsoft Entra, чтобы предоставить доступ к центральному набору пользователей, групп и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не синхронизируются с идентификатором Microsoft Entra. Приложения, службы и виртуальные машины в Azure, которые подключаются к управляемому домену, могут использовать общие функции AD DS, такие как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos/NTLM.

В гибридной среде с локальной средой AD DS Microsoft Entra Connect синхронизирует информацию об идентификации с Microsoft Entra ID, который затем синхронизируется с управляемым доменом.

синхронизация в доменных службах Microsoft Entra с идентификатором Microsoft Entra и локальными AD DS с помощью AD Connect

Доменные службы реплицируют информацию об идентификации из Microsoft Entra ID, поэтому они работают с арендаторами Microsoft Entra, которые являются облачными или синхронизированы с локальной средой AD DS. Для обеих сред существует один набор функций доменных служб.

  • Если у вас есть локальная среда AD DS, можно синхронизировать сведения об учетной записи пользователя, чтобы обеспечить согласованное удостоверение для пользователей. Дополнительные сведения см. в статье Синхронизация объектов и учетных данных в управляемом домене.
  • Для облачных сред не требуется традиционная локальная среда AD DS для использования централизованных служб удостоверений доменных служб.

Вы можете расширить управляемый домен, чтобы иметь несколько наборов реплик в каждом клиенте Microsoft Entra. Наборы реплик можно добавлять в любую пиринговую виртуальную сеть в любом регионе Azure, поддерживающем доменные службы. Добавив наборы реплик в разных регионах Azure, вы можете обеспечить географическое аварийное восстановление для устаревших приложений, если регион Azure переходит в автономный режим. Дополнительные сведения см. в разделе Концепции и функции наборов реплик для управляемых доменов.

Ознакомьтесь с этим видео о том, как доменные службы интегрируются с приложениями и рабочими нагрузками для предоставления служб удостоверений в облаке:


Чтобы просмотреть сценарии развертывания доменных служб в действии, ознакомьтесь со следующими примерами:

Функции и преимущества доменных служб

Чтобы предоставить службы удостоверений приложениям и виртуальным машинам в облаке, доменные службы полностью совместимы с традиционной средой AD DS для таких операций, как присоединение к домену, защита LDAP (LDAPS), групповая политика, управление DNS и поддержка привязки LDAP и поддержки чтения. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизированных с идентификатором Microsoft Entra.

Чтобы узнать больше о параметрах идентификаций, сравните доменные службы с Microsoft Entra ID, AD DS локальными и на виртуальных машинах Azure.

Следующие функции доменных служб упрощают операции развертывания и управления.

  • упрощенный опыт развертывания: Доменные службы включаются для клиента Microsoft Entra с помощью одного мастера в Центре администрирования Microsoft Entra.
  • интегрирован с идентификатором Microsoft Entra: учетные записи пользователей, членство в группах и учетные данные автоматически доступны в клиенте Microsoft Entra. Новые пользователи, группы или изменения атрибутов из клиента Microsoft Entra или локальной среды AD DS автоматически синхронизируются с доменными службами.
    • Учетные записи во внешних каталогах, связанных с идентификатором Microsoft Entra, недоступны в доменных службах. Учетные данные недоступны для этих внешних каталогов, поэтому их невозможно синхронизировать с управляемым доменом.
  • Используйте корпоративные учетные данные и пароли: Пароли для пользователей в доменных службах такие же, как в вашем арендаторе Microsoft Entra. Пользователи могут использовать свои корпоративные учетные данные для компьютеров, присоединенных к домену, входить в систему в интерактивном режиме или через удаленный рабочий стол и проходить проверку подлинности в управляемом домене.
  • аутентификации NTLM и Kerberos: С поддержкой проверки подлинности NTLM и Kerberos можно развертывать приложения, использующие встроенную проверку подлинности Windows.
  • высокий уровень доступности: доменные службы включают несколько контроллеров домена, которые обеспечивают высокий уровень доступности управляемого домена. Эта высокая доступность гарантирует бесперебойную работу службы и устойчивость к сбоям.
    • В регионах, поддерживающих зонах доступности Azure, эти контроллеры домена также распределяются по зонам для дополнительной устойчивости.
    • Наборы реплик также можно использовать для обеспечения географического аварийного восстановления устаревших приложений, если регион Azure становится недоступен.

Ниже приведены некоторые ключевые аспекты управляемого домена:

  • Управляемый домен — это автономный домен. Это не расширение локального домена.
  • Ит-отделу не нужно управлять, исправлять или отслеживать контроллеры домена для этого управляемого домена.

Для гибридных сред, на которые выполняется локальная служба AD DS, вам не нужно управлять репликацией AD в управляемом домене. Учетные записи пользователей, членство в группах и учетные данные из локального каталога синхронизируются с идентификатором Microsoft Entra с помощью Microsoft Entra Connect. Эти учетные записи пользователей, членство в группах и учетные данные автоматически доступны в управляемом домене.

Дальнейшие действия

Дополнительные сведения о сравнении доменных служб с другими решениями для идентификации и о том, как работает синхронизация, см. в следующих статьях:

Чтобы начать, создайте управляемый домен с помощью центра администрирования Microsoft Entra.