描述 Microsoft Entra Domain Services
Contoso IT 小組在網域成員電腦與裝置上,部署了一些企業營運 (LOB) 應用程式。 Contoso 使用 AD DS 的認證進行驗證,並使用 GPO 管理這些裝置與應用程式。 他們現在想要將這些應用程式移至 Azure 中執行。 您要解決的關鍵問題是,如何為這些應用程式提供驗證服務。
若要滿足此需求,Contoso IT 小組可以選擇:
- 在您的本機基礎結構與 Azure IaaS 之間,實作站對站虛擬私人網路 (VPN)。
- 將您本機 AD DS 的複本網域控制站,部署為 Azure 中的 VM。
然而這些方法可能需要額外的費用與管理工作。 這兩種方法的差異在於,使用第一個選項時,驗證流量會越過 VPN,而使用第二個選項時,複寫流量也會越過 VPN,但驗證流量會保留在雲端中。 Microsoft 提供的 Microsoft Entra Domain Services 就是這些方法的替代方案。
什麼是 Microsoft Entra Domain Services?
Microsoft Entra Domain Services 會在 Microsoft Entra ID P1 或 P2 層中執行,可為 Microsoft Entra 租使用者提供群組原則管理、加入網域和 Kerberos 驗證等網域服務。 這些服務與內部部署 AD DS 完全相容,因此您無須部署及管理雲端中的其他網域控制站,就能使用這些服務。
因為 Microsoft Entra ID 可與您的內部部署 AD DS 整合,所以當您在實作 Microsoft Entra Connect 之後,使用者可以在內部部署 AD DS 與 AMicrosoft Entra Domain Services 中使用組織認證。 即使您未在本機部署 AD DS,也可以選擇使用 Microsoft Entra Domain Services 作為僅限雲端的服務。 如此一來,您無須在內部部署或雲端中部署一部網域控制站,就能擁有類似於本機部署 AD DS 的功能。
例如,Contoso IT 人員可以選擇建立 Microsoft Entra 租使用者並啟用 Microsoft Entra Domain Services,然後在其內部部署資源和 Microsoft Entra 租使用者之間部署虛擬網路 (VNet)。 Contoso IT 人員可以啟用此 VNet 的 Microsoft Entra Domain Services,讓所有內部部署使用者和服務都可以使用來自 Microsoft Entra ID 的網域服務。
Microsoft Entra Domain Services 為組織提供了幾項優點,例如:
- 系統管理員無須管理、更新及監視網域控制站。
- 系統管理員無須部署及管理 Active Directory 複寫。
- Microsoft Entra Domain Services 管理的網域不再需要 Domain Admins 或 Enterprise Admins 群組。
若您選擇實作 Microsoft Entra Domain Services,必須了解服務目前的限制。 包括:
- 僅支援基礎電腦 Active Directory 物件。
- 無法擴充 Microsoft Entra Domain Services 網域的結構描述。
- OU 為單層式結構,目前不支援巢狀 OU。
- 有一個專供電腦與使用者帳戶使用的內建 GPO。
- 無法使用內建 GPO 來尋找 OU。 此外,您無法使用 Windows Management Instrumentation (WMI) 篩選或安全性群組篩選。
藉由使用 Microsoft Entra Domain Services,您可以隨時將使用 LDAP、NT LAN Manager (NTLM) 的應用程式或內部部署基礎結構的 Kerberos 通訊協定移轉至雲端。 您也可以使用應用程式 (例如 VM 上的 Microsoft SQL Server 或 SharePoint 伺服器),或是將其部署到 Azure IaaS 中。 一切都不需要雲端中的網域控制站,或本機基礎結構的 VPN。 下表識別一些利用 Microsoft Entra Domain Services 的常見案例。
| 優勢 | 描述 |
|---|---|
| 保護 Azure VM 的管理 | 您可以將 Azure VM 加入 Microsoft Entra Domain Services 受控網域,以只使用一組 Active Directory 認證集。 此法可減少認證管理問題,例如維護每部 VM 上的本機系統管理員帳戶,或不同環境的個別帳戶與密碼。 您可以管理和保護加入 Microsoft Entra Domain Services 受控網域的 VM。 您也可以依照公司安全性指導方針,對 VM 套用必要的安全性基準將其封鎖。 例如,您可以使用群組原則管理功能,限制可以在 VM 上啟動的應用程式類型。 |
| 使用 LDAP 繫結驗證的內部部署應用程式 | 在此案例中,Microsoft Entra Domain Services 允許應用程在證流程中執行 LDAP 繫結。 舊版的內部部署應用程式可以原形移轉到 Azure,完全無須變更使用者設定或使用者體驗,就能繼續無縫驗證使用者。 |
| 使用 LDAP 讀取存取目錄的內部部署應用程式 | 在此案例中,Microsoft Entra Domain Services 允許應用程式對受控網域執行 LDAP 讀取,以擷取所需的屬性資訊。 應用程式無須重寫就能原形移轉至 Azure,而使用者不僅能繼續使用應用程式,也不會發現其執行位置已有變更。 |
| 內部部署服務或精靈應用程式 | 有一些應用程式包含多個層級,其中一個層級必須對後端層級 (例如資料庫) 執行經過驗證的呼叫。 這些案例常是使用 Active Directory 服務帳戶。 當您將應用程式原形移轉至 Azure 時,Microsoft Entra Domain Services 可讓您以相同的方式,繼續使用服務帳戶。 您可以選擇使用從內部部署目錄同步至 Microsoft Entra ID 時所用的服務帳戶,或是建立自訂 OU,然後在該 OU 中建立個別的服務帳戶。 無論使用何種方法,應用程式都會繼續以相同的方式運作,以對其他層級與服務執行經過驗證的呼叫。 |
| Azure 中的遠端桌面服務 | 您也可以使用 Microsoft Entra Domain Services,為 Azure 中部署的遠端桌面伺服器,提供受控網域服務。 |
考量
在實作上述案例時,請注意下列部署考量:
- Microsoft Entra Domain Services 受控網域預設會使用單一、一般 OU 結構。 所有已加入網域的 VM,都在此 OU 中。 如有需要,您可以建立自訂 OU。
- Microsoft Entra Domain Services 會針對使用者和電腦容器使用內建 GPO。 如需其他控制,可以建立自訂 GPO,並將其指定為自訂 OU。
- Microsoft Entra Domain Services 支援基底 Active Directory 電腦物件架構。 但您無法擴充電腦物件的結構描述。
- 您無法直接在 Microsoft Entra Domain Services 受控網域中變更密碼。 終端使用者可以使用 Microsoft Entra ID 的自助式密碼變更機制,或針對內部部署目錄來變更其密碼。 這些變更會自動同步,並且可在 Microsoft Entra Domain Services 受控網域中使用。
另請務必確認:
- 所有應用程式皆無須修改/寫入 LDAP 目錄。 不支援對 Microsoft Entra Domain Services 受控網域的 LDAP 寫入存取權。
- 應用程式不需要自訂/擴充的 Active Directory 結構描述。 Microsoft Entra Domain Services 不支援結構描述擴充功能。
- 應用程式使用使用者名稱與密碼進行驗證。 Microsoft Entra Domain Services 不支援憑證或智慧卡型驗證。