Изучение доменных служб Microsoft Entra
В большинстве организаций сегодня бизнес-приложения развертываются на компьютерах и устройствах, являющихся членами домена. Эти организации используют учетные данные на основе AD DS для проверки подлинности, а групповая политика управляет ими. При перемещении этих приложений в Azure важной проблемой является предоставление служб проверки подлинности этим приложениям. Чтобы удовлетворить эту потребность, можно реализовать виртуальную частную сеть типа "сеть — сеть" (VPN) между локальной инфраструктурой и Azure IaaS или развернуть контроллеры домена реплики из локальных доменных служб AD DS в качестве виртуальных машин в Azure. Эти подходы могут влечь за собой дополнительные затраты и административные усилия. Кроме того, разница между этими двумя подходами заключается в том, что при первом варианте трафик проверки подлинности будет пересекать VPN, в то время как во втором варианте трафик репликации будет пересекать VPN и трафик проверки подлинности остается в облаке.
Корпорация Майкрософт предоставляет доменные службы Microsoft Entra в качестве альтернативы этим подходам. Эта служба, которая выполняется как часть уровня Microsoft Entra ID P1 или P2, предоставляет доменные службы, такие как управление групповыми политиками, присоединение к домену и проверка подлинности Kerberos в клиенте Microsoft Entra. Эти службы полностью совместимы с локально развернутыми AD DS, поэтому их можно использовать без развертывания дополнительных контроллеров домена в облаке и управления ими.
Так как идентификатор Microsoft Entra может интегрироваться с локальными AD DS, при реализации Microsoft Entra Connect пользователи могут использовать учетные данные организации как в локальных доменных службах AD DS, так и в доменных службах Microsoft Entra. Даже если у вас нет локального развертывания AD DS, вы можете использовать доменные службы Microsoft Entra в качестве облачной службы. Это позволяет использовать аналогичные функции локально развернутой службы AD DS без необходимости развертывания отдельного контроллера домена локально или в облаке. Например, организация может создать клиент Microsoft Entra и включить доменные службы Microsoft Entra, а затем развернуть виртуальную сеть между локальными ресурсами и клиентом Microsoft Entra. Доменные службы Microsoft Entra можно включить для этой виртуальной сети, чтобы все локальные пользователи и службы могли использовать доменные службы из идентификатора Microsoft Entra.
Доменные службы Microsoft Entra предоставляют несколько преимуществ для организаций, таких как:
- Администраторам не нужно управлять, обновлять и отслеживать контроллеры домена.
- Администраторам не нужно развертывать репликацию Active Directory и управлять ими.
- Администраторы домена или группы администраторов предприятия для доменов, которым управляет идентификатор Microsoft Entra.
Если вы решили реализовать доменные службы Microsoft Entra, необходимо учитывать текущие ограничения службы. Например:
- Поддерживается только базовый объект Active Directory компьютера.
- Невозможно расширить схему для домена доменных служб Microsoft Entra.
- Структура подразделения является неструктурированным и вложенными подразделениями в настоящее время не поддерживается.
- Существует встроенный объект групповой политики (GPO), который существует для учетных записей компьютеров и пользователей.
- Невозможно нацеливать на подразделения с помощью встроенных объектов групповой политики. Кроме того, нельзя использовать фильтры инструментирования управления Windows или фильтрацию групп безопасности.
С помощью доменных служб Microsoft Entra можно свободно перенести приложения, использующие протоколы LDAP, NTLM или Kerberos из локальной инфраструктуры в облако. Вы также можете использовать такие приложения, как Microsoft SQL Server или Microsoft SharePoint Server на виртуальных машинах, или развернуть их в IaaS Azure, не нуждаясь в контроллерах домена в облаке или VPN в локальной инфраструктуре.
Доменные службы Microsoft Entra можно включить с помощью портал Azure. Плата за обслуживание в час зависит от размера каталога.