Microsoft Entra Domain Services 的常見用例和案例
Microsoft Entra Domain Services 提供受控網域服務,例如加入網域、組策略、輕量型目錄存取通訊協定 (LDAP) 和 Kerberos / NTLM 驗證。 Microsoft Entra Domain Services 與您的現有 Microsoft Entra 租戶整合,使得使用者可以使用其現有的認證進行登入。 您不需要在雲端中部署、管理及修補域控制器,即可使用這些網域服務,以更順暢地將內部部署資源隨即轉移至 Azure。
本文概述一些常見的商務案例,其中Microsoft Entra Domain Services 提供價值並符合這些需求。
在雲端中提供身分識別解決方案的常見方式
當您將現有的工作負載移轉至雲端時,目錄感知應用程式可能會使用LDAP來讀取或寫入內部部署AD DS 目錄。 在 Windows Server 上執行的應用程式通常會部署在已加入網域的虛擬機(VM)上,以便使用組策略安全地管理它們。 若要驗證使用者,應用程式也可能依賴 Windows 整合式驗證,例如 Kerberos 或 NTLM 驗證。
IT 系統管理員通常會使用下列其中一個解決方案,為在 Azure 中執行的應用程式提供身分識別服務:
- 設定在 Azure 和內部部署 AD DS 環境中執行的工作負載之間的站對站 VPN 連線。
- 然後,內部部署域控制器會透過 VPN 連線提供驗證。
- 使用 Azure 虛擬機器 (VM) 建立複本域控制器,以從內部部署擴充 AD DS 網域/樹系。
- 在 Azure VM 上執行的域控制器會提供驗證,並在內部部署 AD DS 環境之間復寫目錄資訊。
- 使用在 Azure VM 上執行的域控制器,在 Azure 中部署獨立 AD DS 環境。
- 在 Azure VM 上運行的網域控制器提供身份驗證,但不會從本地 AD DS 環境中繁殖目錄資訊。
透過這些方法,內部部署目錄的 VPN 連線可讓應用程式容易受到暫時性網路故障或中斷的影響。 如果您在 Azure 中使用 VM 部署域控制器,IT 小組必須管理 VM,然後保護、修補、監視、備份,並進行疑難解答。
Microsoft Entra Domain Services 提供建立 VPN 連線回內部部署 AD DS 環境或執行和管理 Azure 中 VM 以提供身分識別服務的需求替代方案。 作為受控服務,Microsoft Entra Domain Services 可降低為混合式和僅限雲端環境建立整合式身分識別解決方案的複雜性。
適用於混合型組織的 Microsoft Entra Domain Services
許多組織都會執行混合式基礎結構,其中包含雲端和內部部署應用程式工作負載。 舊版應用程式在移轉至 Azure 的過程中作為移轉策略的一部分,可能會使用傳統的 LDAP 連線來提供身分識別資訊。 若要支援這個混合式基礎結構,可以將內部部署 AD DS 環境的身分識別資訊同步到 Microsoft Entra 租戶。 Microsoft Entra Domain Services 提供 Azure 中的這些傳統應用程式身份識別來源,而不需要設定及管理應用程式連線回到內部部署的目錄服務。
讓我們看看 Litware Corporation 的範例,這是同時執行內部部署和 Azure 資源的混合式組織:
- 需要網域服務的應用程式和伺服器工作負載會部署在 Azure 的虛擬網路中。
- 這可能包括作為直接轉移策略的一部分,移轉至 Azure 的遺留應用程式。
- 若要將身份識別資訊從內部部署目錄同步至 Microsoft Entra 的租戶,Litware Corporation 會部署 Microsoft Entra Connect。
- 同步處理的身分識別資訊包括用戶帳戶和群組成員資格。
- Litware 的 IT 團隊會在此虛擬網路或對等互連的虛擬網路中,為其 Microsoft Entra 租使用者啟用 Microsoft Entra Domain Services。
- 接著,部署在 Azure 虛擬網路中的應用程式和 VM 可以使用Microsoft Entra Domain Services 功能,例如加入網域、LDAP 讀取、LDAP 系結、NTLM 和 Kerberos 驗證,以及組策略。
重要
Microsoft Entra Connect 應該只安裝並設定為與內部部署 AD DS 環境同步處理。 不支援在受管理的網域中安裝 Microsoft Entra Connect,將物件同步回 Microsoft Entra ID。
Microsoft Entra Domain Services 適用於僅有雲端的組織
僅限於雲端的 Microsoft Entra 租戶沒有內部部署的身分識別來源。 例如,用戶帳戶和群組成員資格會直接在 Microsoft Entra ID 中建立和管理。
現在讓我們看看 Contoso 的範例,這是使用 Microsoft Entra ID 進行身分識別的僅限雲端組織。 所有使用者身分識別、其憑證和群組成員資格都是在 Microsoft Entra ID 中創建並管理的。 Microsoft Entra Connect 不需要任何額外的設定即可同步處理內部部署目錄中的任何身分識別資訊。
- 需要網域服務的應用程式和伺服器工作負載會部署在 Azure 的虛擬網路中。
- Contoso 的 IT 小組為其 Microsoft Entra 租用戶在此或對等的虛擬網路中啟用 Microsoft Entra Domain Services。
- 接著,部署在 Azure 虛擬網路中的應用程式和 VM 可以使用Microsoft Entra Domain Services 功能,例如加入網域、LDAP 讀取、LDAP 系結、NTLM 和 Kerberos 驗證,以及組策略。
Azure 虛擬機的安全管理
若要讓您使用單一 AD 認證,Azure 虛擬機 (VM) 可以加入 Microsoft Entra Domain Services 受控網域。 這種方法可減少認證管理問題,例如在每個 VM 上維護本機系統管理員帳戶,或環境之間的個別帳戶和密碼。
加入受控網域的 VM 也可以使用組策略來管理和保護。 必要的安全性基準可以套用至 VM,以根據公司安全性指導方針加以保護。 例如,您可以使用組策略管理功能來限制可在 VM 上啟動的應用程式類型。
讓我們看看常見的範例案例。 當伺服器和其他基礎結構達到生命周期結束時,Contoso 想要將目前裝載於內部部署的應用程式移至雲端。 其目前的 IT 標準規定裝載公司應用程式的伺服器必須使用組策略加入網域並加以管理。
Contoso 的 IT 系統管理員希望將部署在 Azure 的虛擬機加入網域,這樣可以使管理更方便,因為用戶可以使用其公司憑證登入。 加入網域時,VM 也可以設定為符合使用組策略物件 (GPO) 的必要安全性基準。 Contoso 不想在 Azure 中部署、監視及管理自己的域控制器。
Microsoft Entra Domain Services 非常適合此使用案例。 受控網域可讓您將 VM 加入網域、使用一組認證,以及套用群組原則。 而且,因為它是受控網域,因此您不需要自行設定和維護域控制器。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 受管理的網域預設會使用單一平面化組織單位(OU)結構。 所有已加入網域的 VM 都位於單一 OU 中。 如有需要,您可以建立 自訂組織單位(OU)。
- Microsoft Entra Domain Services 會針對使用者容器和計算機容器使用內建的 GPO。 如需額外的控制,您可以 建立自訂 GPO,並將其目標設為自訂 OU。
- Microsoft Entra Domain Services 支援基底 AD 計算機對象架構。 您無法擴充計算機物件的架構。
使用LDAP系結驗證的隨即轉移內部部署應用程式
在範例案例中,Contoso 具有幾年前從 ISV 購買的內部部署應用程式。 ISV 目前應用程式處於維護模式,要求對應用程式的變更非常昂貴。 此應用程式具有 Web 型前端,會使用 Web 窗體收集使用者認證,然後藉由執行 LDAP 系結至內部部署 AD DS 環境來驗證使用者。
Contoso 想要將此應用程式移轉至 Azure。 應用程式應該會繼續 as-is運作,而不需要變更。 此外,用戶應該能夠使用現有的公司認證進行驗證,而不需要額外的訓練。 應用程式的運行位置對最終用戶而言應該是清晰的。
在此案例中,Microsoft Entra Domain Services 可讓應用程式在驗證程式中執行 LDAP 系結。 舊版內部部署應用程式可以隨即轉移至 Azure,並繼續順暢地驗證使用者,而不需要變更設定或用戶體驗。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式不需要修改/寫入目錄。 不支援對受控網域的LDAP寫入存取權。
- 您無法直接針對受控網域變更密碼。 終端使用者可以使用 Microsoft Entra 自助式密碼變更機制 或透過本地端目錄來變更其密碼。 這些變更接著會自動同步處理,並在受控網域中提供。
直接遷移使用LDAP讀取以存取目錄的內部部署應用程式
如同先前的範例案例,假設 Contoso 有近十年前開發的內部部署企業營運 (LOB) 應用程式。 此應用程式是目錄感知,其設計目的是使用LDAP從AD DS讀取使用者的相關信息/屬性。 應用程式不會修改屬性或寫入目錄。
Contoso 想要將此應用程式移轉至 Azure,並淘汰目前裝載此應用程式的過時內部部署硬體。 應用程式無法改寫以使用新式目錄 API,例如 REST 型 Microsoft Graph API。 需要隨即轉移選項,讓應用程式可在雲端中移轉以在雲端中執行,而不需要修改程式代碼或重寫應用程式。
為了協助處理此案例,Microsoft Entra Domain Services 可讓應用程式對受控網域執行 LDAP 讀取,以取得所需的屬性資訊。 應用程式不需要重寫,因此隨即轉移至 Azure 可讓用戶繼續使用應用程式,而不需要意識到其執行位置有所變更。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式不需要修改/寫入目錄。 不支援對受控網域的LDAP寫入存取權。
- 請確定應用程式不需要自定義/擴充的Active Directory 架構。 Microsoft Entra Domain Services 中不支援架構延伸模組。
將內部部署服務或精靈應用程式移轉至 Azure
有些應用程式包含多層,其中一層需要對後端層執行已驗證的呼叫,例如資料庫。 這些案例中通常會使用AD服務帳戶。 當您將應用程式隨即轉移至 Azure 時,Microsoft Entra Domain Services 可讓您以相同方式繼續使用服務帳戶。 您可以選擇使用從內部部署目錄同步到 Microsoft Entra ID 的相同服務帳戶,或者建立自訂的 OU,然後在該 OU 中建立一個獨立的服務帳戶。 使用任一種方法,應用程式會繼續以相同的方式對其他層級和服務進行已驗證的呼叫。
在此範例案例中,Contoso 具有自定義建置的軟體保存庫應用程式,其中包含 Web 前端、SQL 伺服器和後端 FTP 伺服器。 使用服務帳戶的 Windows 整合式驗證會向 FTP 伺服器驗證 Web 前端。 Web 前端會設定為以服務帳戶身分執行。 後端伺服器已設定為授權來自 Web 前端服務帳戶的存取。 Contoso 不想在雲端中部署及管理自己的域控制器 VM,以將此應用程式移至 Azure。
在此案例中,裝載 Web 前端、SQL Server 和 FTP 伺服器的伺服器可以移轉至 Azure VM 並加入受控網域。 然後,VM 可以在其內部部署目錄中使用相同的服務帳戶進行應用程式的驗證用途,這會使用 Microsoft Entra Connect 透過 Microsoft Entra ID 進行同步處理。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式使用使用者名稱和密碼進行驗證。 Microsoft Entra Domain Services 不支持憑證或智慧卡型驗證。
- 您無法直接針對受控網域變更密碼。 終端使用者可以使用 Microsoft Entra 自助式密碼變更機制 或透過本地部署目錄來變更其密碼。 這些變更接著會自動同步處理,並在受控網域中提供。
Azure 中的 Windows Server 遠端桌面服務部署
您可以使用 Microsoft Entra Domain Services,將受控網域服務提供給部署在 Azure 中的遠端桌面伺服器。
如需此部署案例的詳細資訊,請參閱 如何整合 Microsoft Entra Domain Services 與 RDS 部署。
已加入網域的 HDInsight 叢集
您可以設定已加入已啟用 Apache Ranger 的受控網域的 Azure HDInsight 叢集。 您可以透過 Apache Ranger 建立及套用 Hive 原則,並允許使用者,例如數據科學家,使用 Excel 或 Tableau 等 ODBC 型工具連線到 Hive。 我們繼續致力於將 HBase、Spark 和 Storm 等其他工作負載新增至已加入網域的 HDInsight。
如需此部署案例的詳細資訊,請參閱 如何設定已加入網域的 HDInsight 叢集