Beskriva Microsoft Entra Domain Services
Contosos IT-team distribuerar ett antal verksamhetsspecifika program (LOB) på datorer och enheter som är domänmedlemmar. Contoso använder AD DS-baserade autentiseringsuppgifter för autentisering och grupprincipobjekt för att hantera dessa enheter och appar. Nu överväger de att flytta apparna så att de körs i Azure. Ett viktigt problem för dig är hur du tillhandahåller autentiseringstjänster till dessa appar.
För att uppfylla detta behov kan Contosos IT-team välja att:
- Implementera ett virtuellt privat nätverk (VPN) från plats till plats mellan din lokala infrastruktur och Azure IaaS.
- Distribuera replikdomänkontrollanter från din lokala AD DS som virtuella datorer i Azure.
Dessa metoder kan dock medföra ytterligare kostnader och administrativa insatser. Skillnaden mellan dessa två metoder är också att med det första alternativet passerar autentiseringstrafiken VPN. I det andra alternativet passerar replikeringstrafiken VPN- och autentiseringstrafiken i molnet. Microsoft tillhandahåller Microsoft Entra Domain Services som ett alternativ till dessa metoder.
Vad är Microsoft Entra Domain Services?
Microsoft Entra Domain Services, som körs som en del av Microsoft Entra ID P1- eller P2-nivån, tillhandahåller domäntjänster som grupprincip hantering, domänanslutning och Kerberos-autentisering till din Microsoft Entra-klientorganisation. Dessa tjänster är helt kompatibla med lokal AD DS, så du kan använda dem utan att distribuera och hantera ytterligare domänkontrollanter i molnet.
Eftersom Microsoft Entra ID kan integreras med din lokala AD DS kan användarna använda organisationsautentiseringsuppgifter i både lokala AD DS och Microsoft Entra Domain Services när du implementerar Microsoft Entra Connect. Även om du inte har AD DS distribuerat lokalt kan du välja att använda Microsoft Entra Domain Services som en molnbaserad tjänst. På så sätt kan du ha liknande funktioner för lokalt distribuerad AD DS utan att behöva distribuera en enda domänkontrollant lokalt eller i molnet.
Contosos IT-personal kan till exempel välja att skapa en Microsoft Entra-klientorganisation och aktivera Microsoft Entra Domain Services och sedan distribuera ett virtuellt nätverk (VNet) mellan sina lokala resurser och Microsoft Entra-klientorganisationen. Contosos IT-personal kan aktivera Microsoft Entra Domain Services för det här virtuella nätverket så att alla lokala användare och tjänster kan använda domäntjänster från Microsoft Entra-ID.
Microsoft Entra Domain Services ger flera fördelar för organisationer, till exempel:
- Administratörer behöver inte hantera, uppdatera och övervaka domänkontrollanter.
- Administratörer behöver inte distribuera och hantera Active Directory-replikering.
- Domänadministratörer eller företagsadministratörer behöver inte ha grupper för domäner som hanteras av Microsoft Entra Domain Services.
Om du väljer att implementera Microsoft Entra Domain Services måste du förstå tjänstens aktuella begränsningar. Dessa kan vara:
- Endast basdatorns Active Directory-objekt stöds.
- Det går inte att utöka schemat för domänen Microsoft Entra Domain Services.
- Organisationsenhetens struktur är platt och kapslade organisationsenheter stöds inte för närvarande.
- Det finns ett inbyggt grupprincipobjekt som finns för dator- och användarkonton.
- Det går inte att rikta in sig på organisationsenheter med inbyggda grupprincipobjekt. Dessutom kan du inte använda WMI-filter (Windows Management Instrumentation) eller filtrering av säkerhetsgrupper.
Genom att använda Microsoft Entra Domain Services kan du fritt migrera program som använder LDAP, NT LAN Manager (NTLM) eller Kerberos-protokollen från din lokala infrastruktur till molnet. Du kan också använda program som Microsoft SQL Server eller SharePoint Server på virtuella datorer eller distribuera dem i Azure IaaS. Allt detta utan att behöva domänkontrollanter i molnet eller ett VPN till lokal infrastruktur. I följande tabell identifieras några vanliga scenarier som använder Microsoft Entra Domain Services.
| Fördel | beskrivning |
|---|---|
| Säker administration av virtuella Azure-datorer | Du kan ansluta virtuella Azure-datorer till en Microsoft Entra Domain Services-hanterad domän, vilket gör att du kan använda en enda uppsättning Active Directory-autentiseringsuppgifter. Den här metoden minskar problem med hantering av autentiseringsuppgifter, till exempel att underhålla lokala administratörskonton på varje virtuell dator eller separata konton och lösenord mellan miljöer. Du kan hantera och skydda virtuella datorer som du ansluter till en Microsoft Entra Domain Services-hanterad domän. Du kan också använda nödvändiga säkerhetsbaslinjer för virtuella datorer för att låsa dem i enlighet med företagets säkerhetsriktlinjer. Du kan till exempel använda grupprincip Management-funktioner för att begränsa vilka typer av program som kan startas på den virtuella datorn. |
| Lokala program som använder LDAP-bindningsautentisering | I det här scenariot låter Microsoft Entra Domain Services program utföra LDAP-bindningar som en del av autentiseringsprocessen. Äldre lokala program kan lyfta och flytta till Azure och fortsätta att smidigt autentisera användare utan någon ändring i konfigurationen eller användarupplevelsen. |
| Lokala program som använder LDAP-läsning för att komma åt katalogen | I det här scenariot låter Microsoft Entra Domain Services program utföra LDAP-läsningar mot den hanterade domänen för att hämta den attributinformation som behövs. Programmet behöver inte skrivas om, så en lift-and-shift till Azure gör att användarna kan fortsätta att använda appen utan att inse att det finns en ändring i var den körs. |
| Lokal tjänst eller daemonprogram | Vissa program innehåller flera nivåer, där en av nivåerna måste utföra autentiserade anrop till en serverdelsnivå, till exempel en databas. Active Directory-tjänstkonton används ofta i dessa scenarier. När du lyfter och flyttar program till Azure kan du med Microsoft Entra Domain Services fortsätta att använda tjänstkonton på samma sätt. Du kan välja att använda samma tjänstkonto som synkroniseras från din lokala katalog till Microsoft Entra-ID eller skapa en anpassad organisationsenhet och sedan skapa ett separat tjänstkonto i organisationsenheten. Med endera metoden fortsätter programmen att fungera på samma sätt för att göra autentiserade anrop till andra nivåer och tjänster. |
| Fjärrskrivbordstjänster i Azure | Du kan också använda Microsoft Entra Domain Services för att tillhandahålla hanterade domäntjänster till fjärrskrivbordsservrar som distribueras i Azure. |
Att tänka på
När du implementerar föregående scenarier gäller följande distributionsöverväganden:
- Microsoft Entra Domain Services – hanterade domäner använder en enda, platt organisationsenhetsstruktur som standard. Alla domänanslutna virtuella datorer finns i en enda organisationsenhet. Om du vill kan du skapa anpassade organisationsenheter.
- Microsoft Entra Domain Services använder ett inbyggt grupprincipobjekt för användare och datorcontainrar. Om du vill ha ytterligare kontroll kan du skapa anpassade grupprincipobjekt och rikta dem mot anpassade organisationsenheter.
- Microsoft Entra Domain Services stöder det grundläggande Active Directory-datorobjektschemat. Du kan dock inte utöka datorobjektets schema.
- Du kan inte ändra lösenord direkt i en Microsoft Entra Domain Services-hanterad domän. Slutanvändare kan ändra sitt lösenord antingen med hjälp av Microsoft Entra-ID:ts mekanism för lösenordsändring via självbetjäning eller mot den lokala katalogen. Dessa ändringar synkroniseras sedan automatiskt och är tillgängliga i den Microsoft Entra Domain Services-hanterade domänen.
Kontrollera också att:
- Program behöver inte ändra/skriva till LDAP-katalogen. LDAP-skrivåtkomst till en Microsoft Entra Domain Services-hanterad domän stöds inte.
- Programmet behöver inte något anpassat/utökat Active Directory-schema. Schematillägg stöds inte i Microsoft Entra Domain Services.
- Programmen använder ett användarnamn och lösenord för autentisering. Certifikat- eller smartkortsbaserad autentisering stöds inte av Microsoft Entra Domain Services.