Поделиться через

Сравнение самоуправляемых доменных служб Active Directory, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra

  • Статья

Для предоставления приложений, служб или устройств доступа к центральной идентичности существует три распространенных способа использования Active Directory в Azure. Этот выбор вариантов решений для удостоверений обеспечивает гибкость в использовании каталога, который наиболее соответствует нуждам вашей организации. Например, если вы управляете в основном облачными пользователями, работающими на мобильных устройствах, возможно, не имеет смысла создавать и запускать собственное решение для идентификации доменных служб Active Directory (AD DS). Вместо этого можно просто использовать идентификатор Microsoft Entra.

Хотя три решения удостоверений на основе Active Directory имеют общее имя и технологию, они предназначены для предоставления услуг, которые соответствуют разным требованиям клиентов. При общем рассмотрении, решения управления идентификацией и наборы функций следующие:

  • доменные службы Active Directory (AD DS) — сервер протокола легковесного доступа к каталогам (LDAP), готовый для использования в предприятии, который предоставляет ключевые функции, такие как идентификация и проверка подлинности, управление объектами компьютера, групповая политика и доверительные отношения.
    • AD DS — это центральный компонент во многих организациях с локальной ИТ-средой и предоставляет основные функции проверки подлинности учетных записей пользователей и управления компьютерами.
    • Для получения дополнительной информации см. раздел «Обзор доменных служб Active Directory» в документации Windows Server.
  • Microsoft Entra ID — облачное управление удостоверениями и мобильными устройствами, которое предоставляет учетные записи пользователей и службы проверки подлинности для таких ресурсов, как Microsoft 365, Центр администрирования Microsoft Entra или приложения SaaS.
    • Учетные записи Microsoft Entra можно синхронизировать с локальной средой AD DS, чтобы предоставить пользователям единое удостоверение, работающей непосредственно в облаке.
    • Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе Что такое идентификатор Microsoft Entra?
  • Microsoft Entra Domain Services - Предоставляет управляемые доменные службы с подмножеством полностью совместимых традиционных функций AD DS, таких как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos и/или NTLM.
    • Доменные службы интегрируются с идентификатором Microsoft Entra, который сам может синхронизироваться с локальной средой AD DS. Эта возможность расширяет применение централизованного управления идентификацией на традиционные веб-приложения, работающие в Azure в рамках стратегии миграции и модернизации.
    • Дополнительные сведения о синхронизации с идентификатором Microsoft Entra и локальной средой см. в статье Синхронизация объектов и учетных данных в управляемом домене.

В этой обзорной статье сравниваются и контрастируются способы совместной работы этих решений идентификации или независимое использование в зависимости от потребностей вашей организации.

Чтобы приступить к работе, создайте управляемый домен доменных служб с помощью центра администрирования Microsoft Entra

Доменные службы и самостоятельно управляемые доменные службы AD DS

Если у вас есть приложения и службы, которым требуется доступ к традиционным механизмам проверки подлинности, таким как Kerberos или NTLM, в облаке можно предоставить доменные службы Active Directory:

  • Управляемый домен , который вы создаете с помощью доменных служб Microsoft Entra. Корпорация Майкрософт создает необходимые ресурсы и управляет ими.
  • самоуправляемый домен, который вы создаете и настраиваете с помощью традиционных ресурсов, таких как виртуальные машины, гостевая ОС Windows Server и доменные службы Active Directory (AD DS). Затем вы продолжите администрировать эти ресурсы.

При использовании доменных служб основные компоненты службы развертываются и поддерживаются корпорацией Майкрософт в качестве управляемого домена. Вы не развертываете, не управляете, не исправляете и не защищаете инфраструктуру AD DS для таких компонентов, как виртуальные машины, ОС Windows Server или контроллеры домена (DC).

Доменные службы предоставляют меньшее подмножество функций для традиционной управляемой среды AD DS, что снижает сложность проектирования и управления. Например, не требуется проектировать и обслуживать леса AD, домены, сайты и связи репликации. Вы по-прежнему можете создавать отношения доверия между доменными службами и локальными средами.

Для приложений и служб, которые работают в облаке и нуждаются в доступе к традиционным механизмам проверки подлинности, таким как Kerberos или NTLM, доменные службы обеспечивают управляемый домен с минимальным объемом административных накладных расходов. Дополнительные сведения см. в концепциях управления для учетных записей пользователей, паролей и администрирования в доменных службах.

При развертывании и запуске автономной среды AD DS необходимо поддерживать все связанные компоненты инфраструктуры и каталогов. Существуют дополнительные затраты на обслуживание с помощью локально управляемой среды AD DS, но вы сможете выполнять дополнительные задачи, такие как расширение схемы или создание доверия к лесу.

Распространенные модели развертывания для автономной среды AD DS, которая предоставляет удостоверения приложениям и службам в облаке, включают следующие:

  • автономные облачные службы AD DS — виртуальные машины Azure настраиваются в качестве контроллеров домена и создается отдельная облачная среда AD DS. Эта среда AD DS не интегрируется с локальной средой AD DS. Другой набор учетных данных используется для входа и администрирования виртуальных машин в облаке.
  • расширение локального домена в Azure. Виртуальная сеть Azure подключается к локальной сети с помощью VPN/ExpressRoute. Виртуальные машины Azure подключаются к этой виртуальной сети Azure, что позволяет им присоединяться к локальной среде AD DS.
    • Альтернативой является создание виртуальных машин Azure и их повышение в качестве контроллеров домена реплики из локального домена AD DS. Эти контроллеры домена реплицируются через VPN или подключение ExpressRoute к локальной среде AD DS. Локальный домен AD DS эффективно расширяется в Azure.

В следующей таблице описаны некоторые функции, которые могут потребоваться для вашей организации, и различия между управляемым доменом или самоуправляемой доменом AD DS:

функция Управляемый домен Самоуправляемые доменные службы Active Directory
управляемая услуга
Безопасные развертывания Администратор защищает развертывание
DNS-сервер (управляемая служба)
права администратора домена или предприятия
присоединение к домену
проверка подлинности домена с помощью NTLM и Kerberos
Kerberos ограниченное делегирование На основе ресурсов На основе ресурсов & на основе учетной записи
структура пользовательского организационного подразделения
групповая политика
расширения схемы
домен AD или доверие леса (для предварительного просмотра требуется Enterprise SKU)
Secure LDAP (LDAPS)
LDAP-чтение
запись в LDAP (в управляемом домене)
геораспределённых развертываний

Доменные службы и идентификатор Microsoft Entra

Идентификатор Microsoft Entra позволяет управлять удостоверениями устройств, используемых организацией, и управлять доступом к корпоративным ресурсам с этих устройств. Пользователи также могут зарегистрировать свое личное устройство (модель BYO) с помощью учетной записи Microsoft Entra, которая предоставляет устройству идентификацию. Затем идентификатор Microsoft Entra проверяет подлинность устройства при входе пользователя в идентификатор Microsoft Entra и использует устройство для доступа к защищенным ресурсам. Устройство можно управлять с помощью программного обеспечения управления мобильными устройствами (MDM), например Microsoft Intune. Эта возможность управления позволяет ограничить доступ к конфиденциальным ресурсам на управляемых и соответствующих политикам устройствах.

Традиционные компьютеры и ноутбуки также могут присоединяться к идентификатору Microsoft Entra. Этот механизм предоставляет те же преимущества регистрации личного устройства с помощью идентификатора Microsoft Entra, например, чтобы разрешить пользователям входить на устройство с помощью корпоративных учетных данных.

Устройства, присоединенные к Microsoft Entra, предоставляют следующие преимущества:

  • Единый вход в приложения, защищенные идентификатором Microsoft Entra.
  • Перенос пользовательских настроек с соблюдением корпоративной политики на различных устройствах.
  • Доступ к Магазину Windows для бизнеса с помощью корпоративных учетных данных.
  • Windows Hello для бизнеса.
  • Ограниченный доступ к приложениям и ресурсам с устройств, соответствующих корпоративной политике.

Устройства можно присоединить к идентификатору Microsoft Entra как с гибридным развертыванием, так и без него, включающего локальную среду AD DS. В следующей таблице описаны общие модели владения устройствами и их обычно присоединение к домену:

тип устройства Платформы устройств механизм
Личные устройства Windows 10, iOS, Android, macOS Зарегистрированный Microsoft Entra
Устройство, принадлежащее организации, не присоединено к локальным службам AD DS Windows 10 Microsoft Entra присоединился
Устройство, принадлежащее организации, присоединенное к локальным службам доменных каталогов Active Directory (AD DS) Windows 10 Подключение к Microsoft Entra в гибридном режиме

На присоединенном или зарегистрированном устройстве Microsoft Entra проверка подлинности пользователей выполняется с помощью современных протоколов на основе OAuth или OpenID Connect. Эти протоколы предназначены для работы через Интернет, поэтому они отлично подходят для мобильных сценариев, где пользователи получают доступ к корпоративным ресурсам из любого места.

С устройствами, присоединенными к доменным службам, приложения могут использовать протоколы Kerberos и NTLM для проверки подлинности, поэтому могут поддерживать устаревшие приложения, перенесенные для запуска на виртуальных машинах Azure в рамках стратегии лифта и смены. В следующей таблице описаны различия в том, как устройства представлены и могут выполнять проверку подлинности в каталоге.

аспект присоединился к Microsoft Entra присоединение к доменным службам
Устройство, управляемое с помощью Microsoft Entra ID Управляемый домен в рамках доменных служб
Представление в каталоге Объекты устройств в каталоге Microsoft Entra Объекты компьютера в управляемом домене доменных служб
Аутентификация Протоколы на основе OAuth / OpenID Connect Протоколы Kerberos и NTLM
Управление Программное обеспечение управления мобильными устройствами (MDM), например Intune Групповая политика
Сети Работает через Интернет Необходимо быть подключенным или иметь пиринг с виртуальной сетью, в которой развернут управляемый домен.
Отлично для... Мобильные или настольные устройства конечных пользователей Виртуальные машины сервера, развернутые в Azure

Если локальные доменные службы AD DS и идентификатор Microsoft Entra настроены для федеративной проверки подлинности с помощью AD FS, в Azure DS нет хэша пароля (текущего или допустимого). Учетные записи пользователей Microsoft Entra, созданные перед реализацией проверки подлинности, могут иметь старый хэш паролей, но это, скорее всего, не соответствует хэшу локального пароля. В результате доменные службы не смогут проверить учетные данные пользователей.

Дальнейшие действия

Чтобы приступить к работе с доменными службами, создать управляемый домен доменных служб с помощью центра администрирования Microsoft Entra.

Вы также можете узнать больше о принципах управления учетными записями пользователей, паролями и администрированием в доменных службах, а также о том, как синхронизируются объекты и учетные данные в управляемом доменеи .