Apa itu Microsoft Entra Domain Services?

Microsoft Entra Domain Services menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup, protokol akses direktori ringan (LDAP), dan autentikasi Kerberos/NTLM. Anda menggunakan layanan domain ini tanpa perlu menyebarkan, mengelola, dan menambal pengendali domain (DC) di cloud.

Domain terkelola Domain Services memungkinkan Anda menjalankan aplikasi warisan di cloud yang tidak dapat menggunakan metode autentikasi modern, atau di mana Anda tidak ingin pencarian direktori selalu kembali ke lingkungan AD DS lokal. Anda dapat mengangkat dan memindahkan aplikasi warisan tersebut dari lingkungan lokal Anda ke domain terkelola, tanpa perlu mengelola lingkungan AD DS di cloud.

Layanan Domain terintegrasi dengan tenant Microsoft Entra Anda yang sudah ada. Integrasi ini memungkinkan pengguna masuk ke layanan dan aplikasi yang terhubung ke domain terkelola menggunakan kredensial yang ada. Anda juga dapat menggunakan grup dan akun pengguna yang ada untuk mengamankan akses ke sumber daya. Fitur-fitur ini menyediakan migrasi langsung sumber daya lokal yang lebih mulus ke Azure.

Lihat video singkat kami untuk mempelajari selengkapnya tentang Domain Services.

Bagaimana cara kerja Layanan Domain?

Saat membuat domain terkelola Domain Services, Anda menentukan namespace unik. Namespace ini adalah nama domain, seperti aaddscontoso.com. Dua pengontrol domain Windows Server (DC) kemudian disebarkan ke wilayah Azure yang Anda pilih. Penyebaran Domain Controller (DC) ini dikenal sebagai set replika.

Anda tidak perlu mengelola, mengonfigurasi, atau memperbarui DC ini. Platform Azure menangani DC sebagai bagian dari domain terkelola, termasuk pencadangan dan enkripsi saat tidak aktif menggunakan Azure Disk Encryption.

Domain terkelola dikonfigurasi untuk melakukan sinkronisasi satu arah dari ID Microsoft Entra untuk menyediakan akses ke sekumpulan pengguna, grup, dan kredensial pusat. Anda dapat membuat sumber daya langsung di domain terkelola, tetapi tidak disinkronkan kembali ke ID Microsoft Entra. Aplikasi, layanan, dan VM di Azure yang terhubung ke domain terkelola kemudian dapat menggunakan fitur AD DS umum seperti gabungan domain, kebijakan grup, LDAP, dan autentikasi Kerberos/NTLM.

Di lingkungan hibrid dengan lingkungan AD DS lokal, Microsoft Entra Connect menyinkronkan informasi identitas dengan ID Microsoft Entra, yang kemudian disinkronkan ke domain terkelola.

Layanan Domain mereplikasi informasi identitas dari Microsoft Entra ID, sehingga dapat berfungsi dengan tenant Microsoft Entra yang berbasis di cloud saja, atau yang disinkronkan dengan lingkungan AD DS lokal. Set fitur Domain Services yang sama ada untuk kedua lingkungan.

• Jika Anda memiliki lingkungan AD DS lokal yang sudah ada, Anda dapat menyinkronkan informasi akun pengguna untuk memberikan identitas yang konsisten bagi pengguna. Untuk mempelajari selengkapnya, lihat Bagaimana objek dan kredensial disinkronkan di domain terkelola.
• Untuk lingkungan khusus cloud, Anda tidak memerlukan lingkungan AD DS lokal tradisional untuk menggunakan layanan identitas terpusat dari Layanan Domain.

Anda dapat memperluas domain terkelola agar memiliki lebih dari satu set replika per penyewa Microsoft Entra. Set replika dapat ditambahkan ke jaringan virtual yang di-peering di wilayah Azure mana pun yang mendukung Layanan Domain. Dengan menambahkan set replika di wilayah Azure yang berbeda, Anda dapat menyediakan pemulihan bencana geografis untuk aplikasi warisan jika wilayah Azure offline. Untuk informasi lebih lanjut, lihat konsep dan fitur set replika untuk domain terkelola.

Lihat video ini tentang bagaimana Layanan Domain terintegrasi dengan aplikasi dan beban kerja Anda untuk menyediakan layanan identitas di cloud:

Untuk melihat skenario penyebaran Layanan Domain yang sedang berjalan, Anda dapat menjelajahi contoh berikut:

• Domain Services untuk organisasi hibrid
• Domain Services untuk organisasi yang hanya menggunakan cloud

Fitur dan manfaat Layanan Domain

Untuk menyediakan layanan identitas ke aplikasi dan VM di cloud, Domain Services sepenuhnya kompatibel dengan lingkungan AD DS tradisional untuk operasi seperti gabungan domain, LDAP aman (LDAPS), Kebijakan Grup, manajemen DNS, dan LDAP mengikat dan membaca dukungan. Dukungan tulis LDAP tersedia untuk objek yang dibuat di domain terkelola, tetapi bukan sumber daya yang disinkronkan dari ID Microsoft Entra.

Untuk mempelajari selengkapnya tentang opsi identitas Anda, membandingkan Layanan Domain dengan ID Microsoft Entra, AD DS di Azure VM, dan AD DS lokal.

Fitur Domain Services berikut menyederhanakan operasi penyebaran dan manajemen:

• Pengalaman penyebaran yang disederhanakan: Domain Services diaktifkan untuk penyewa Microsoft Entra Anda menggunakan panduan tunggal di pusat admin Microsoft Entra.
• Terintegrasi dengan ID Microsoft Entra: Akun pengguna, keanggotaan grup, dan kredensial tersedia secara otomatis dari penyewa Microsoft Entra Anda. Pengguna, grup, atau perubahan baru pada atribut dari penyewa Microsoft Entra atau lingkungan AD DS lokal Anda secara otomatis disinkronkan ke Layanan Domain.
  • Akun di direktori eksternal yang ditautkan ke ID Microsoft Entra Anda tidak tersedia di Layanan Domain. Kredensial tidak tersedia untuk direktori eksternal tersebut, sehingga tidak dapat disinkronkan ke dalam domain terkelola.
• Menggunakan kredensial/kata sandi perusahaan Anda: kata sandi untuk pengguna di Layanan Domain sama seperti di penyewa Microsoft Entra Anda. Pengguna dapat menggunakan kredensial perusahaan mereka untuk komputer gabungan domain, masuk secara interaktif atau melalui desktop jarak jauh, dan mengautentikasi terhadap domain terkelola.
• autentikasi NTLM dan Kerberos: Dengan dukungan untuk autentikasi NTLM dan Kerberos, Anda dapat menyebarkan aplikasi yang mengandalkan autentikasi terintegrasi Windows.
• Ketersediaan tinggi: Domain Services mencakup beberapa pengendali domain, yang menyediakan ketersediaan tinggi untuk domain terkelola Anda. Ketersediaan tinggi ini menjamin waktu aktif dan ketahanan layanan terhadap kegagalan.
  • Di wilayah yang mendukung Azure Availability Zones, pengendali domain ini juga didistribusikan di berbagai zona untuk meningkatkan ketahanan.
  • set replika juga dapat digunakan untuk menyediakan pemulihan bencana geografis untuk aplikasi lama jika wilayah Azure mengalami gangguan.

Beberapa aspek utama domain terkelola meliputi yang berikut ini:

• Domain terkelola adalah domain yang berdiri sendiri. Ini bukan ekstensi domain lokal.
  • Jika diperlukan, Anda dapat membuat trust forest satu arah keluar dari Layanan Domain Active Directory ke lingkungan AD DS di tempat. Untuk informasi selengkapnya, lihat Konsep dan Fitur Forest untuk Layanan Domain.
• Tim TI Anda tidak perlu mengelola, menambal, atau memantau pengendali domain untuk domain terkelola ini.

Untuk lingkungan hibrid yang menjalankan AD DS lokal, Anda tidak perlu mengelola replikasi AD ke domain terkelola. Akun pengguna, keanggotaan grup, dan kredensial dari direktori lokal Anda disinkronkan ke ID Microsoft Entra melalui Microsoft Entra Connect. Akun pengguna, keanggotaan grup, dan kredensial ini secara otomatis tersedia dalam domain terkelola.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Layanan Domain dibandingkan dengan solusi identitas lain dan cara kerja sinkronisasi, lihat artikel berikut ini:

• Membandingkan Layanan Domain dengan Microsoft Entra ID, Active Directory Domain Services di Azure VM, dan Active Directory Domain Services on-premises
• Pelajari bagaimana Microsoft Entra Domain Services disinkronkan dengan direktori Microsoft Entra Anda
• Untuk mempelajari cara mengelola domain terkelola, lihat konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Domain Services.

Untuk memulai, membuat domain terkelola menggunakan pusat admin Microsoft Entra.