Co je Microsoft Entra Domain Services?

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos/NTLM. Tyto doménové služby používáte bez nutnosti nasazovat, spravovat a opravovat řadiče domény (DCS) v cloudu.

Spravovaná doména služby Domain Services umožňuje spouštět starší aplikace v cloudu, které nemůžou používat moderní metody ověřování nebo kde nechcete, aby se vyhledávání adresářů vždy vrátilo do místního prostředí SLUŽBY AD DS. Starší aplikace můžete z místního prostředí přesunout do spravované domény, aniž byste museli spravovat prostředí SLUŽBY AD DS v cloudu.

Domain Services se integruje s vaším stávajícím tenantem Microsoft Entra. Tato integrace umožňuje uživatelům přihlásit se ke službám a aplikacím připojeným ke spravované doméně pomocí svých stávajících přihlašovacích údajů. K zabezpečení přístupu k prostředkům můžete použít také existující skupiny a uživatelské účty. Tyto funkce poskytují plynulejší přesun místních prostředků do Azure.

Podívejte se na naše krátké video, kde se dozvíte více o Domain Services.

Jak služba Domain Services funguje?

Při vytváření spravované domény služby Domain Services definujete jedinečný obor názvů. Tento obor názvů je název domény, například aaddscontoso.com. Do vaší vybrané oblasti Azure jsou nasazeni dva řadiče domény systému Windows Server. Toto nasazení řadičů domény se označuje jako sada replik.

Tyto řadiče domény nemusíte spravovat, konfigurovat ani aktualizovat. Platforma Azure zpracovává řadiče domény jako součást spravované domény, včetně záloh a šifrování neaktivních uložených dat pomocí služby Azure Disk Encryption.

Spravovaná doména je nakonfigurovaná tak, aby prováděla jednosměrnou synchronizaci z ID Microsoft Entra, aby poskytovala přístup k centrální sadě uživatelů, skupin a přihlašovacích údajů. Prostředky můžete vytvářet přímo ve spravované doméně, ale nejsou synchronizovány zpět do Microsoft Entra ID. Aplikace, služby a virtuální počítače v Azure, které se připojují ke spravované doméně, pak můžou používat běžné funkce služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM.

V hybridním prostředí s místní službou AD DS Microsoft Entra Connect synchronizuje informace o identitě s Microsoft Entra ID, které jsou následně synchronizovány se spravovanou doménou.

synchronizace

Domain Services replikuje informace o identitě z ID Microsoft Entra, takže funguje s tenanty Microsoft Entra, které jsou pouze v cloudu, nebo synchronizované s místním prostředím AD DS. Pro obě prostředí existuje stejná sada funkcí služby Domain Services.

• Pokud máte stávající místní prostředí služby AD DS, můžete synchronizovat informace o uživatelských účtech a poskytnout tak konzistentní identitu uživatelům. Další informace najdete v tématu Způsob synchronizace objektů a přihlašovacích údajů ve spravované doméně.
• Pro prostředí, která využívají pouze cloud, nepotřebujete tradiční místní prostředí služby AD DS k používání centralizovaných služeb identity služby Domain Services.

Spravovanou doménu můžete rozšířit tak, aby obsahovala více než jednu sadu replik na klienta Microsoft Entra. Sady replik je možné přidat do jakékoli partnerské virtuální sítě v jakékoli oblasti Azure, která podporuje službu Domain Services. Přidáním sad replik v různých oblastech Azure můžete zajistit geografické zotavení po havárii pro starší aplikace, pokud oblast Azure přejde do režimu offline. Další informace najdete v tématu Koncepty a funkce sady replik pro spravované domény.

Podívejte se na toto video o integraci služby Domain Services s vašimi aplikacemi a úlohami za účelem poskytování služeb identit v cloudu:

Pokud chcete zobrazit scénáře nasazení služby Domain Services v akci, můžete prozkoumat následující příklady:

• Domain Services pro hybridní organizace
• Domain Services pro výhradně cloudové organizace

Funkce a výhody služby Domain Services

Aby identitní služby poskytovaly aplikacím a virtuálním počítačům v cloudu, Doménové služby jsou plně kompatibilní s tradičním prostředím AD DS pro operace, jako je připojení k doméně, LDAPS (Secure LDAP), zásady skupiny, správa DNS a podpora vazby a čtení LDAP. Podpora zápisu protokolu LDAP je k dispozici pro objekty vytvořené ve spravované doméně, ale ne pro prostředky synchronizované z Microsoft Entra ID.

Chcete-li se dozvědět více o možnostech vaší identity, porovnejte službu Domain Services s Microsoft Entra ID, AD DS na virtuálních počítačích Azure a AD DS v místním nasazení.

Následující funkce služby Domain Services zjednodušují operace nasazení a správy:

• Zjednodušené prostředí nasazení: Služby domény jsou pro vašeho tenanta služby Microsoft Entra umožněny pomocí jednoho průvodce v Centru pro správu Entra.
• integrované s ID Microsoft Entra: uživatelské účty, členství ve skupinách a přihlašovací údaje jsou automaticky dostupné z vašeho tenanta Microsoft Entra. Noví uživatelé, skupiny nebo změny atributů z vašeho tenanta Microsoft Entra nebo místního prostředí SLUŽBY AD DS se automaticky synchronizují se službou Domain Services.
  • Účty v externích adresářích propojené s VAŠÍM ID Microsoft Entra nejsou ve službě Domain Services dostupné. Pro tyto externí adresáře nejsou k dispozici přihlašovací údaje, takže není možné je synchronizovat do spravované domény.
• Použít firemní přihlašovací údaje a hesla: Hesla pro uživatele ve službě Domain Services jsou stejná jako ve vašem tenantovi Microsoft Entra. Uživatelé mohou použít své firemní přihlašovací údaje, aby se připojili k doméně, přihlásili se interaktivně nebo přes vzdálenou plochu a ověřili se vůči spravované doméně.
• ověřování protokolem NTLM a Kerberos: S podporou ověřování NTLM a Kerberos můžete nasadit aplikace, které spoléhají na integrované ověřování systému Windows.
• vysoká dostupnost: Domain Services obsahuje více řadičů domény, které poskytují vysokou dostupnost pro vaši spravovanou doménu. Tato vysoká dostupnost zaručuje dostupnost služby a odolnost vůči selháním.
  • V oblastech, které podporují zón dostupnosti Azure, jsou tyto řadiče domény také distribuovány napříč zónami, aby se zajistila další odolnost.
  • sady replik lze také použít k zajištění geografického zotavení po havárii pro starší aplikace, pokud oblast Azure přejde do režimu offline.

Mezi klíčové aspekty spravované domény patří:

• Spravovaná doména je samostatná doména. Nejedná se o rozšíření místní domény.
  • V případě potřeby můžete vytvořit jednosměrné odchozí důvěryhodné vztahy z Domain Services do místního prostředí služby AD DS. Další informace najdete v tématu Koncepty a funkce pro doménové služby.
• Váš IT tým nemusí spravovat, opravovat ani monitorovat řadiče domény pro tuto spravovanou doménu.

V případě hybridních prostředí, na kterých běží místní služba AD DS, nemusíte spravovat replikaci SLUŽBY AD do spravované domény. Uživatelské účty, členství ve skupinách a přihlašovací údaje z místního adresáře se synchronizují s Microsoft Entra ID prostřednictvím Microsoft Entra Connect. Tyto uživatelské účty, členství ve skupinách a přihlašovací údaje jsou automaticky dostupné v rámci spravované domény.

Další kroky

Chcete-li se dozvědět více o tom, jak se služba Domain Services porovnává s jinými řešeními identity a jak funguje synchronizace, přečtěte si následující články:

• Porovnání služeb Domain Services s Microsoft Entra ID, Active Directory Domain Services na virtuálních počítačích Azure a místními službami Active Directory Domain Services
• Zjistěte, jak služba Microsoft Entra Domain Services synchronizuje s adresářem Microsoft Entra
• Informace o tom, jak spravovat spravovanou doménu, najdete v tématu koncepty správy uživatelských účtů, hesel a správy ve službě Domain Services.

Začněte tím, že vytvořit spravovanou doménu pomocí centra pro správu Microsoft Entra.