比較自我管理的 Active Directory Domain Services、Microsoft Entra 標識符,以及受控Microsoft Entra Domain Services
若要提供應用程式、服務或裝置存取中央身分識別,有三種常見方式可在 Azure 中使用 Active Directory 型服務。 身分識別解決方案中的這個選擇可讓您彈性地針對組織的需求使用最適合的目錄。 例如,如果您大部分管理執行行動裝置的僅限雲端使用者,建置及執行您自己的 Active Directory 網域服務 (AD DS) 身分識別解決方案可能沒有意義。 相反地,您可以只使用 Microsoft Entra ID。
雖然這三個 Active Directory 型身分識別解決方案共用一般名稱和技術,但它們的設計目的是提供符合不同客戶需求的服務。 概括而言,這些身分識別解決方案和功能集如下:
-
Active Directory Domain Services (AD DS) - 企業就緒輕量型目錄存取通訊協定 (LDAP) 伺服器,可提供身分識別和驗證、計算機物件管理、組策略和信任等重要功能。
- AD DS 是許多具有內部部署IT環境的組織中的核心元件,並提供核心使用者帳戶驗證和電腦管理功能。
- 如需詳細資訊,請參閱 Windows Server 檔中的
Active Directory 網域服務概觀。
-
Microsoft Entra ID - 雲端式身分識別和行動裝置管理,可為 Microsoft 365、Microsoft Entra 系統管理中心或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。
- Microsoft Entra 識別碼可以與內部部署 AD DS 環境同步,為雲端中原生運作的使用者提供單一身分識別。
- 如需Microsoft Entra標識符的詳細資訊,請參閱 什麼是Microsoft Entra ID?
-
Microsoft Entra Domain Services - 提供受控網域服務,其中包含一部分完全相容的傳統 AD DS 功能,例如網域加入、組策略、LDAP 和 Kerberos /NTLM 驗證。
- Domain Services 與 Microsoft Entra 身份識別整合,其本身可以與內部 AD DS 環境同步。 這項功能會將集中身分識別使用案例延伸到在 Azure 中執行的傳統 Web 應用程式,作為隨即轉移策略的一部分。
- 若要深入瞭解如何與 Microsoft Entra ID 及內部部署環境進行同步化,請參閱 如何在管理網域中同步化對象與憑證。
本概觀文章會比較和對比這些身分識別解決方案如何一起運作,或根據組織的需求獨立使用。
網域服務和自我管理的 AD DS
如果您有需要存取 Kerberos 或 NTLM 等傳統驗證機制的應用程式和服務,有兩種方式可在雲端中提供 Active Directory 網域服務:
- 使用 Microsoft Entra Domain Services 建立的 受控網域。 Microsoft建立和管理必要的資源。
- 自我管理 網域,您透過使用傳統資源來進行建立和設定,例如虛擬機器 (VM)、Windows Server 客體 OS 和 Active Directory 網域服務 (AD DS)。 接著,您可以繼續管理這些資源。
使用網域服務時,核心服務元件會由 Microsoft 以受控 網域體驗的形式來部署和維護
Domain Services 為傳統的自我管理 AD DS 環境提供較小的功能子集,可減少一些設計和管理複雜性。 例如,沒有任何AD樹系、網域、網站和複寫連結可供設計和維護。 您仍然可以 網域服務和內部部署環境之間的樹系信任。
對於在雲端中執行且需要存取 Kerberos 或 NTLM 等傳統驗證機制的應用程式和服務,Domain Services 會以最少的系統管理額外負荷提供受控網域體驗。 如需詳細資訊,請參閱 Domain Services中的使用者帳戶、密碼和管理
當您部署和執行自我管理 AD DS 環境時,您必須維護所有相關聯的基礎結構和目錄元件。 自行管理 AD DS 環境會有額外的維護負擔,但您可以執行其他工作,例如擴充架構或建立樹系信任。
自我管理 AD DS 環境的常見部署模型,可為雲端中的應用程式和服務提供身分識別,包括:
- 獨立雲端專用 AD DS - Azure VM 會設定為域控制器,並建立個別的僅限雲端 AD DS 環境。 此 AD DS 環境不會與內部部署 AD DS 環境整合。 另一組認證可用來登入和管理雲端中的 VM。
-
將內部部署網域擴充至 Azure - Azure 虛擬網路會使用 VPN / ExpressRoute 連線連線到內部部署網路。 Azure 虛擬機器 (VM) 會連線到此 Azure 虛擬網路,以便讓它們能夠加入內部部署的 AD DS 環境。
- 替代方法是建立 Azure VM,並將其升級為來自內部部署 AD DS 網域的複本域控制器。 這些域控制器會透過 VPN/ExpressRoute 連線複寫至內部部署 AD DS 環境。 內部部署 AD DS 網域會有效地延伸至 Azure。
下表概述組織可能需要的一些功能,以及受控網域或自我管理 AD DS 網域之間的差異:
| 功能 | 受控網域 | 自行管理 AD DS |
|---|---|---|
| 受控服務 | ✓ | ✕ |
| 安全部署 | ✓ | 系統管理員確保部署 |
| DNS 伺服器 | ✓ (管理服務) | ✓ |
| 網域或企業系統管理員許可權 | ✕ | ✓ |
| 加入網域 | ✓ | ✓ |
| 使用 NTLM 和 Kerberos 進行網域驗證 | ✓ | ✓ |
| Kerberos 限制委派 | 以資源為基礎 | 以資源為基礎的 & 帳戶型 |
| 自定義 OU 結構 | ✓ | ✓ |
| 群組策略 | ✓ | ✓ |
| 架構延伸模組 | ✕ | ✓ |
| AD 網域/樹系信任關係 | ✓ (預覽需要企業 SKU) | ✓ |
| 安全 LDAP (LDAPS) | ✓ | ✓ |
| LDAP 讀取 | ✓ | ✓ |
| LDAP 寫入 | ✓ (在受控網域內) | ✓ |
| 異地分散式部署 | ✓ | ✓ |
Domain Services 和 Microsoft Entra ID
Microsoft Entra ID 可讓您管理組織所使用的裝置身分識別,並控制從這些裝置存取公司資源。 使用者也可以將其個人裝置(自備設備(BYO)型)註冊到Microsoft Entra ID,為該裝置提供身分識別。 當使用者登入 Microsoft Entra ID 並使用裝置存取受保護的資源時,Microsoft Entra ID 會首先驗證該裝置。 您可以使用行動裝置管理 (MDM) 軟體來管理裝置,例如 Microsoft Intune。 此管理能力可讓您將敏感性資源的存取限制為受控和符合原則規範的裝置。
傳統電腦和筆記型電腦也可以加入 Microsoft Entra ID。 此機制提供使用Microsoft Entra標識符註冊個人裝置的相同優點,例如允許使用者使用其公司認證登入裝置。
Microsoft Entra 加入的裝置提供下列優點:
- 使用 Microsoft Entra ID 保障的應用程式單一登錄(SSO)。
- 符合企業政策的跨裝置用戶設定同步。
- 使用公司認證存取商務用 Windows 市集。
- Windows Hello 企業版。
- 限制從符合公司政策的裝置存取應用程式和資源。
裝置可以加入 Microsoft Entra ID,不論是否使用包含內部部署 AD DS 環境的混合部署。 下表概述常見的裝置擁有權模型,以及它們通常如何加入網域:
| 裝置類型 | 裝置平臺 | 機制 |
|---|---|---|
| 個人裝置 | Windows 10, iOS, Android, macOS | Microsoft Entra 已註冊 |
| 組織擁有的裝置未加入本地端 AD DS | Windows 10 | Microsoft Entra 已加入 |
| 加入至內部部署 Active Directory 網域服務 (AD DS) 的組織所擁有的裝置 | Windows 10 | Microsoft Entra 混合式加入 |
在已加入或已註冊Microsoft的裝置上,用戶驗證會使用新式 OAuth / OpenID Connect 型通訊協議進行。 這些通訊協定是設計來透過因特網運作,因此非常適合使用者從任何地方存取公司資源的行動案例。
透過已加入網域服務的裝置,應用程式可以使用 Kerberos 和 NTLM 通訊協定進行驗證,因此可以支援那些作為升級遷移策略一部分而移植到 Azure VM 上運行的舊版應用程式。 下表概述裝置的呈現方式差異,並可針對目錄進行自我驗證:
| 層面 | Microsoft Entra 已加入 | 已加入網域服務的 |
|---|---|---|
| 由控制裝置 | Microsoft Entra ID | Domain Services 管理的網域 |
| 目錄中的表示法 | Microsoft Entra 目錄中的裝置物件 | Domain Services 受控網域中的計算機物件 |
| 認證 | OAuth / OpenID Connect 型通訊協定 | Kerberos 和 NTLM 通訊協定 |
| 管理 | 行動裝置管理 (MDM) 軟體,例如 Intune | 群組原則 |
| 聯網 | 透過因特網運作 | 必須連線至或與受控網域部署所在的虛擬網路對等互連 |
| 非常適合... | 末端用戶行動裝置或桌上型裝置 | 部署在 Azure 中的伺服器虛擬機器 |
如果內部部署 AD DS 和 Microsoft Entra 識別碼已設定為使用 AD FS 進行同盟驗證,則 Azure DS 中沒有可用的密碼哈希。 在 Microsoft 實施聯邦驗證之前建立的 Entra 使用者帳戶可能擁有舊的密碼雜湊值,但這很有可能不符合其內部部署密碼的雜湊值。 因此,Domain Services 將無法驗證用戶認證
後續步驟
若要開始使用 Domain Services,使用 Microsoft Entra 系統管理中心建立 Domain Services 受控網域。
您也可以深入瞭解 Domain Services 中有關使用者帳戶、密碼和管理的