Поделиться через

Развертывание и управление доменными службами Microsoft Entra для поставщик облачных решений Azure

  • Статья

Azure Cloud Solution Providers CSP — это программа для партнеров корпорации Майкрософт, которая предоставляет канал лицензий для различных облачных служб Майкрософт. Azure CSP дает партнерам возможность управлять продажами и выставлением счетов, обеспечивать поддержку по выставлению счетов и техническую поддержку и быть единственным непосредственным контактом клиентов. Кроме того, Azure CSP предоставляет полный набор инструментов, включая портал самообслуживания и сопутствующие интерфейсы API. Эти инструменты позволяют партнерам CSP легко подготавливать ресурсы Azure и управлять ими, а также выставлять счета для клиентов и их подписок.

Портал центра партнеров является точкой входа для всех партнеров Azure CSP и предоставляет широкие возможности управления клиентами, автоматическую обработку данных и многое другое. Партнеры Azure CSP могут использовать возможности Центра партнеров с помощью пользовательского веб-интерфейса или с помощью PowerShell и различных вызовов API.

На приведенной ниже схеме показан общий принцип работы модели CSP. Здесь компания Contoso имеет клиент Microsoft Entra. Она является партнером CSP, и служба Azure CSP развертывает ресурсы в ее подписке Azure CSP и управляет ими. У компании Contoso также могут быть обычные (прямые) подписки Azure, счета за которые выставляются непосредственно этой компании.

Общие сведения о модели CSP

У клиента партнера CSP имеется три специальные группы агентов: агенты администрирования, агенты службы технической поддержки и агенты продаж.

Группа агентов администрирования назначается роли администратора клиента в клиенте Microsoft Entra Contoso. В результате пользователь, принадлежащий группе агентов администрирования партнера CSP, имеет права администратора клиента в клиенте Microsoft Entra Contoso.

Когда партнер CSP подготавливает подписку Azure CSP для компании Contoso, их группе агентов администрирования назначается роль владельца для этой подписки. В результате агенты администратора партнера CSP имеют необходимые привилегии для подготовки ресурсов Azure, таких как виртуальные машины, виртуальные сети и доменные службы Microsoft Entra от имени Contoso.

Дополнительные сведения см. в обзоре Azure CSP.

Преимущества использования доменных служб в подписке Azure CSP

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая со службами Windows Server домен Active Directory. На протяжении десятилетий было создано множество приложений для работы с AD и использования этих возможностей. Многие независимые поставщики программного обеспечения создавали и развертывали приложения в локальной среде клиентов. Поддержка таких приложений может быть обременительной, так как часто требуется доступ к различным средам, в которых развернуты эти приложения. Благодаря подпискам Azure CSP вы получаете более простую альтернативу с возможностями масштабирования и гибкости Azure.

Доменные службы поддерживают подписки Azure CSP. Вы можете развернуть приложение в подписке Azure CSP, привязанной к клиенту Microsoft Entra клиента. В результате ваши сотрудники (персонал службы поддержки) смогут администрировать и обслуживать виртуальные машины, на которых развернуто приложение, а также управлять этими виртуальными машинами, используя корпоративные учетные данные вашей организации.

Вы также можете развернуть управляемый домен доменных служб в клиенте Microsoft Entra клиента. Затем ваше приложение подключается к управляемому домену клиента. Возможности приложения, зависящие от Kerberos или NTLM, LDAP или API System.DirectoryServices, без проблем работают на домене вашего клиента. Клиенты получают много преимуществ, используя ваше приложение как службу и не беспокоясь об обслуживании инфраструктуры, в которой это приложение развернуто.

Все выставление счетов за ресурсы Azure, которые вы используете в этой подписке, включая доменные службы, взимается вам. Вы сохраняете полный контроль над отношениями с клиентом, когда речь идет о продажах, выставлении счетов, технической поддержке и т. д. Используя гибкие возможности платформы Azure CSP, небольшая команда агентов поддержки может обслуживать много таких клиентов, использующих экземпляры вашего развернутого приложения.

Модели развертывания CSP для доменных служб

Существует два способа использования доменных служб с подпиской Azure CSP. Выберите соответствующий способ, приняв во внимание требования к безопасности и простоте клиентов.

Модель прямого развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, которая принадлежит подписке Azure CSP. Агенты администрирования партнера CSP имеют следующие привилегии:

Для управления этой функцией требуется глобальный администратор .

Для этой функции требуются привилегии владельца подписки Azure CSP.

Модель прямого развертывания

В этой модели развертывания агенты администрирования поставщика CSP могут администрировать удостоверения клиента. Эти агенты администрирования могут выполнять такие задачи, как подготовка новых пользователей или групп, или добавлять приложения в клиент Microsoft Entra клиента.

Такая модель развертывания может подойти для небольших организаций, в которых нет специального администратора удостоверений или которые предпочитают использовать партнера CSP для управления удостоверениями от их имени.

Пиринговая модель развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, принадлежащей клиенту, — прямая подписка Azure, оплачиваемая клиентом. Партнер CSP затем может развертывать приложения в виртуальной сети, принадлежащей подписке CSP клиента. Эти виртуальные сети можно подключить с помощью пиринга виртуальных сетей Azure.

В результате рабочие нагрузки и приложения, развернутые партнером CSP в подписке Azure CSP, смогут подключаться к управляемому домену клиента, подготовленному в прямой подписке Azure клиента.

Пиринговая модель развертывания

Такая модель развертывания обеспечивает разделение привилегий и позволяет агентам службы технической поддержки партнера CSP администрировать подписку Azure, а также развертывать в ней ресурсы и управлять ими. Однако агенты службы поддержки партнера CSP не нуждаются в высоко привилегированной роли в каталоге Microsoft Entra клиента. Администраторы удостоверений клиента могут по-прежнему управлять удостоверениями в своей организации.

Эта модель развертывания может быть подходит для сценариев, когда isV предоставляет размещенную версию локального приложения, которая также должна подключаться к идентификатору Microsoft Entra клиента.

Администрирование доменных служб в подписках CSP

Ниже приведены важные рекомендации по администрированию управляемого домена в подписке Azure CSP.

  • Агенты администрирования CSP могут подготавливать управляемый домен с помощью учетных данных: доменные службы поддерживают подписки Azure CSP. Пользователи, принадлежащие к группе агентов администрирования партнера CSP, могут создать новый управляемый домен.

  • ПОСТАВЩИКИ услуг могут создавать новые управляемые домены для своих клиентов с помощью PowerShell: узнайте , как включить доменные службы с помощью PowerShell для получения дополнительных сведений.

  • Агенты администрирования CSP не могут выполнять повседневные задачи управления в управляемом домене, используя свои учетные данные: администраторы CSP не могут выполнять типовые задачи управления в управляемом домене, используя свои учетные данные. Эти пользователи являются внешними для клиента Microsoft Entra клиента, и их учетные данные недоступны в клиенте Microsoft Entra клиента. Доменные службы не имеют доступа к хэшам паролей Kerberos и NTLM для этих пользователей, поэтому пользователи не могут проходить проверку подлинности в управляемых доменах.

    Предупреждение

    Необходимо создать учетную запись пользователя в каталоге клиента для выполнения повседневных задач администрирования в управляемом домене.

    Невозможно войти в управляемый домен с помощью учетных данных администратора CSP. Для этого используйте учетные данные учетной записи пользователя, принадлежащей клиенту Microsoft Entra клиента. Эти учетные данные требуются для выполнения таких задач, как присоединение виртуальных машин к управляемому домену, администрирование DNS или администрирование групповой политики и т. д.

  • Учетная запись пользователя, созданная для повседневного администрирования, должна быть добавлена в группу Администраторы AAD DC: у группы администраторы AAD DC есть привилегии для выполнения некоторых делегированных задач администрирования в управляемом домене. Эти задачи включают в себя настройку DNS, создание подразделений и администрирование групповой политики.

    Чтобы партнер CSP выполнял эти задачи в управляемом домене, учетная запись пользователя должна быть создана в клиенте Microsoft Entra клиента. Учетные данные для этой учетной записи должны совместно использоваться агентами администрирования партнера CSP. Кроме того, эта учетная запись пользователя должна быть добавлена в группу Администраторы AAD DC для выполнения задач настройки в управляемом домене.

Следующие шаги

Чтобы приступить к работе, Зарегистрируйтесь в программе Azure CSP. Затем вы можете включить доменные службы Microsoft Entra с помощью Центра администрирования Microsoft Entra или Azure PowerShell.