Hybrididentitet med Active Directory och Microsoft Entra-ID i Azure-landningszoner
Den här artikeln innehåller vägledning om hur du utformar och implementerar Microsoft Entra-ID och hybrididentitet för Azure-landningszoner.
Organisationer som arbetar i molnet kräver en katalogtjänst för att hantera användaridentiteter och åtkomst till resurser. Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst som ger robusta funktioner för att hantera användare och grupper. Du kan använda Microsoft Entra-ID som en fristående identitetslösning eller integrera den med en Infrastruktur för Microsoft Entra Domain Services eller en lokal Active Directory Domain Services-infrastruktur (AD DS).
Microsoft Entra ID tillhandahåller modern säker identitets- och åtkomsthantering för Azure- och Microsoft 365-tjänster. Du kan använda Microsoft Entra-ID för olika organisationer och arbetsbelastningar. Organisationer med en lokal AD DS-infrastruktur och molnbaserade arbetsbelastningar kan till exempel använda katalogsynkronisering med Microsoft Entra-ID. Katalogsynkronisering säkerställer att lokala miljöer och molnmiljöer delar en konsekvent uppsättning identiteter, grupper och roller. Program som kräver äldre autentiseringsmekanismer kan behöva Domain Services för hanterade domäntjänster i molnet och utöka den lokala AD DS-infrastrukturen till Azure.
Molnbaserad identitetshantering är en iterativ process. Du kan börja med en molnbaserad lösning som har en liten uppsättning användare och motsvarande roller för en inledande distribution. När migreringen mognar kan du behöva integrera din identitetslösning med hjälp av katalogsynkronisering eller lägga till molnbaserade domäntjänster som en del av dina molndistributioner.
Justera din identitetslösning över tid beroende på dina arbetsbelastningsautentiseringskrav och andra behov, till exempel ändringar i organisationens identitetsstrategi och säkerhetskrav eller integrering med andra katalogtjänster. När du utvärderar Windows Server Active Directory-lösningar kan du förstå skillnaderna mellan Microsoft Entra ID, Domain Services och AD DS på Windows Server.
Mer information finns i Beslutsguide för identitet.
Identitets- och åtkomsthanteringstjänster i Azure-landningszoner
Plattformsteamet ansvarar för administrationen av identitets- och åtkomsthantering. Identitets- och åtkomsthanteringstjänster är grundläggande för organisationens säkerhet. Din organisation kan använda Microsoft Entra-ID för att styra administrativ åtkomst och skydda plattformsresurser. Den här metoden hindrar användare utanför plattformsteamet från att göra ändringar i konfigurationen eller säkerhetsobjekten i Microsoft Entra-ID:t.
Om du använder AD DS eller Domain Services måste du skydda domänkontrollanterna från obehörig åtkomst. Domänkontrollanter är mycket sårbara för attacker och bör ha strikta säkerhetskontroller och åtskillnad från programarbetsbelastningar.
Distribuera domänkontrollanter och associerade komponenter, till exempel Microsoft Entra Connect-servrar, i identitetsprenumerationen som finns i plattformshanteringsgruppen. Domänkontrollanter delegeras inte till programteam. Med den här isoleringen kan programägare använda identitetstjänster utan att behöva underhålla dem, vilket minskar risken för intrång i identitets- och åtkomsthanteringstjänster. Resurserna i identitetsplattformsprenumerationen är en viktig säkerhetspunkt för dina molnmiljöer och lokala miljöer.
Etablera landningszoner så att programägare kan välja antingen Microsoft Entra-ID eller AD DS och Domain Services för att passa deras arbetsbelastningsbehov. Du kan behöva konfigurera andra tjänster, beroende på din identitetslösning. Du kan till exempel behöva aktivera och skydda nätverksanslutningen till det virtuella identitetsnätverket. Om du använder en prenumerationsautomatprocess ska du inkludera den här konfigurationsinformationen i din prenumerationsbegäran.
Azure- och lokala domäner (hybrididentitet)
Användarobjekt som du skapar helt i Microsoft Entra-ID kallas endast molnbaserade konton. Endast molnbaserade konton stöder modern autentisering och åtkomst till Azure- och Microsoft 365-resurser och stöder åtkomst för lokala enheter som använder Windows 10 eller Windows 11.
Din organisation kanske redan har långvariga AD DS-kataloger som du integrerar med andra system, till exempel affärs- eller företagsresursplanering (ERP) via Lightweight Directory Access Protocol (LDAP). Dessa domäner kan ha många domänanslutna datorer och program som använder Kerberos eller äldre NTLMv2-protokoll för autentisering. I dessa miljöer kan du synkronisera användarobjekt till Microsoft Entra-ID så att användarna kan logga in på både lokala system och molnresurser med en enda identitet. Att förena lokala katalogtjänster och molnkatalogtjänster kallas hybrididentitet. Du kan utöka lokala domäner till Azure-landningszoner:
Om du vill underhålla ett enskilt användarobjekt i både molnmiljöer och lokala miljöer kan du synkronisera AD DS-domänanvändare med Microsoft Entra-ID via Microsoft Entra Connect eller Microsoft Entra Cloud Sync. Information om hur du fastställer den rekommenderade konfigurationen för din miljö finns i Topologier för Microsoft Entra Connect och Topologier för Microsoft Entra Cloud Sync.
Om du vill domänansluta virtuella Windows-datorer och andra tjänster kan du distribuera AD DS-domänkontrollanter eller Domäntjänster i Azure. Använd den här metoden så att AD DS-användare kan logga in på Windows-servrar, Azure-filresurser och andra resurser som använder Active Directory som autentiseringskälla. Du kan också använda andra Active Directory-tekniker, till exempel grupprincip, som autentiseringskälla. Mer information finns i Vanliga distributionsscenarier för Microsoft Entra Domain Services.
Rekommendationer för hybrididentitet
För att fastställa kraven för identitetslösningen dokumenterar du den autentiseringsprovider som varje program använder. Använd beslutsguiden för identiteter för att välja rätt tjänster för din organisation. Mer information finns i Jämför Active Directory med Microsoft Entra-ID.
Du kan använda Domain Services för program som förlitar sig på domäntjänster och använder äldre protokoll. Befintliga AD DS-domäner stöder ibland bakåtkompatibilitet och tillåter äldre protokoll, vilket kan påverka säkerheten negativt. I stället för att utöka en lokal domän bör du överväga att använda Domain Services för att skapa en ny domän som inte tillåter äldre protokoll. Använd den nya domänen som katalogtjänst för molnbaserade program.
Ta hänsyn till återhämtning som ett kritiskt designkrav för din hybrididentitetsstrategi i Azure. Microsoft Entra ID är ett globalt redundant, molnbaserat system , men det är inte Domain Services och AD DS. Planera noggrant för återhämtning när du implementerar Domain Services och AD DS. När du utformar någon av tjänsterna bör du överväga att använda distributioner i flera regioner för att säkerställa fortsatt tjänstdrift i händelse av en regional incident.
Om du vill utöka en lokal AD DS-instans till Azure och optimera distributionen, införlivar du dina Azure-regioner i din Active Directory-webbplatsdesign. Skapa en webbplats i AD DS-webbplatser och -tjänster för varje Azure-region där du planerar att distribuera arbetsbelastningar. Skapa sedan ett nytt undernätsobjekt på AD DS-platser och -tjänster för varje IP-adressintervall som du planerar att distribuera i regionen. Associera det nya undernätsobjektet med den AD DS-webbplats som du skapade. Den här konfigurationen säkerställer att domänkontrollanttjänsten dirigerar auktoriserings- och autentiseringsbegäranden till närmaste AD DS-domänkontrollanter inom samma Azure-region.
Utvärdera scenarier som konfigurerar gäster, kunder eller partner så att de kan komma åt resurser. Avgör om dessa scenarier omfattar Microsoft Entra B2B eller Microsoft Entra Externt ID för kunder. Mer information finns i Externt ID för Microsoft Entra.
Använd inte Microsoft Entra-programproxy för intranätåtkomst eftersom det ger svarstid till användarupplevelsen. Mer information finns i Microsoft Entra-programproxyplanering och Säkerhetsöverväganden för Microsoft Entra-programproxy.
Överväg olika metoder som du kan använda för att integrera lokal Active Directory med Azure för att uppfylla organisationens krav.
Om du har Active Directory Federation Services (AD FS) federation (AD FS) med Microsoft Entra-ID kan du använda synkronisering av lösenordshash som en säkerhetskopia. AD FS stöder inte enkel inloggning med Microsoft Entra (SSO).
Fastställ rätt synkroniseringsverktyg för din molnidentitet.
Om du har krav för att använda AD FS kan du läsa Distribuera AD FS i Azure.
Om du använder Microsoft Entra Connect som synkroniseringsverktyg bör du överväga att distribuera en mellanlagringsserver i en region som skiljer sig från din primära Microsoft Entra Connect-server för haveriberedskap. Om du inte använder flera regioner kan du också implementera tillgänglighetszoner för hög tillgänglighet.
Om du använder Microsoft Entra Cloud Sync som synkroniseringsverktyg bör du överväga att installera minst tre agenter på olika servrar i flera regioner för haveriberedskap. Du kan också installera agenterna mellan servrar i olika tillgänglighetszoner för hög tillgänglighet.
Viktigt!
Vi rekommenderar starkt att du migrerar till Microsoft Entra-ID såvida du inte specifikt behöver AD FS. Mer information finns i Resurser för att inaktivera AD FS och Migrera från AD FS till Microsoft Entra ID.
Microsoft Entra ID, Domain Services och AD DS
Bekanta administratörer med följande alternativ för att implementera Microsoft-katalogtjänster:
Du kan distribuera AD DS-domänkontrollanter till Azure som virtuella Windows-datorer som plattforms- eller identitetsadministratörer har fullständig kontroll över. Den här metoden är en IaaS-lösning (infrastruktur som en tjänst). Du kan ansluta domänkontrollanterna till en befintlig Active Directory-domän eller vara värd för en ny domän som har en valfri förtroenderelation med befintliga lokala domäner. Mer information finns i Baslinjearkitektur för Azure Virtual Machines i en Azure-landningszon.
Domain Services är en Azure-hanterad tjänst som du kan använda för att skapa en ny hanterad Active Directory-domän som finns i Azure. Domänen kan ha en förtroenderelation med befintliga domäner och kan synkronisera identiteter från Microsoft Entra-ID. Administratörer har inte direkt åtkomst till domänkontrollanterna och ansvarar inte för korrigeringar och andra underhållsåtgärder.
När du distribuerar Domain Services eller integrerar lokala miljöer i Azure använder du regioner med tillgänglighetszoner för ökad tillgänglighet när det är möjligt. Överväg också att distribuera över flera Azure-regioner för ökad återhämtning.
När du har konfigurerat AD DS eller Domain Services kan du använda samma metod som lokala datorer för att domänansluta virtuella Azure-datorer och filresurser. Mer information finns i Jämför Microsofts katalogbaserade tjänster.
Microsoft Entra ID- och AD DS-rekommendationer
Använd Microsoft Entra-programproxy för att få åtkomst till program som använder lokal autentisering via Microsoft Entra-ID. Den här funktionen ger säker fjärråtkomst till lokala webbprogram. Microsoft Entra-programproxy kräver inte något VPN eller några ändringar i nätverksinfrastrukturen. Den distribueras dock som en enda instans till Microsoft Entra-ID, så programägare och plattforms- eller identitetsteam måste samarbeta för att säkerställa att programmet är korrekt konfigurerat.
Utvärdera kompatibiliteten för arbetsbelastningar för AD DS på Windows Server och Domain Services. Mer information finns i Vanliga användningsfall och scenarier.
Distribuera domänkontrollantens virtuella datorer eller Domain Services-replikuppsättningar till identitetsplattformsprenumerationen i plattformshanteringsgruppen.
Skydda det virtuella nätverk som innehåller domänkontrollanterna. Om du vill förhindra direkt internetanslutning till och från det virtuella nätverket och domänkontrollanten placerar du AD DS-servrarna i ett isolerat undernät med en nätverkssäkerhetsgrupp (NSG). NSG:n tillhandahåller brandväggsfunktioner. Resurser som använder domänkontrollanter för autentisering måste ha en nätverksväg till domänkontrollantundernätet. Aktivera endast en nätverksväg för program som kräver åtkomst till tjänster i identitetsprenumerationen. Mer information finns i Distribuera AD DS i ett virtuellt Azure-nätverk.
Använd Azure Virtual Network Manager för att tillämpa standardregler som gäller för virtuella nätverk. Du kan till exempel använda Azure Policy- eller resurstaggar för virtuella nätverk för att lägga till virtuella nätverk i landningszonen i en nätverksgrupp om de kräver Active Directory-identitetstjänster. Nätverksgruppen kan sedan användas som endast tillåter åtkomst till domänkontrollantundernätet från program som kräver det och blockerar åtkomsten från andra program.
Skydda de rollbaserade behörigheter för åtkomstkontroll (RBAC) som gäller för de virtuella domänkontrollantdatorerna och andra identitetsresurser. Administratörer med RBAC-rolltilldelningar på Azure-kontrollplanet, till exempel Deltagare, Ägare eller Virtuell datordeltagare, kan köra kommandon på de virtuella datorerna. Se till att endast behöriga administratörer kan komma åt de virtuella datorerna i identitetsprenumerationen och att övergivna rolltilldelningar inte ärvs från högre hanteringsgrupper.
Håll dina kärnprogram nära, eller i samma region som, det virtuella nätverket för replikuppsättningarna för att minimera svarstiden. I en multiregional organisation distribuerar du Domain Services till den region som är värd för kärnplattformskomponenterna. Du kan bara distribuera Domain Services till en enda prenumeration. Om du vill expandera Domain Services till ytterligare regioner kan du lägga till ytterligare fyra replikuppsättningar i separata virtuella nätverk som är peer-kopplade till det primära virtuella nätverket.
Överväg att distribuera AD DS-domänkontrollanter till flera Azure-regioner och mellan tillgänglighetszoner för att öka återhämtning och tillgänglighet. Mer information finns i Skapa virtuella datorer i tillgänglighetszoner och Migrera virtuella datorer till tillgänglighetszoner.
Utforska autentiseringsmetoderna för Microsoft Entra-ID som en del av din identitetsplanering. Autentisering kan ske i molnet och lokalt eller endast lokalt.
Överväg att använda Kerberos-autentisering för Microsoft Entra-ID i stället för att distribuera domänkontrollanter i molnet om en Windows-användare kräver Kerberos för Azure Files-filresurser.