Che cos'è Microsoft Entra Domain Services?

Servizi di dominio Microsoft Entra fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. Questi servizi di dominio vengono usati senza la necessità di distribuire, gestire e applicare patch ai controller di dominio nel cloud.

Un dominio gestito di Servizi di dominio consente di eseguire applicazioni legacy nel cloud che non possono usare metodi di autenticazione moderni o in cui non si vuole che le ricerche di directory tornino sempre a un ambiente di Active Directory Domain Services locale. È possibile trasferire in modalità lift-and-shift tali applicazioni legacy dall'ambiente locale a un dominio gestito, senza dover gestire l'ambiente di Active Directory Domain Services nel cloud.

Domain Services si integra con il tenant esistente di Microsoft Entra. Questa integrazione consente agli utenti di accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali esistenti. È anche possibile usare gruppi e account utente esistenti per proteggere l'accesso alle risorse. Queste funzionalità offrono un trasferimento in modalità lift-and-shift più uniforme delle risorse locali in Azure.

Per altre informazioni su Domain Services, vedere il breve video.

Come funziona Domain Services?

Quando si crea un dominio gestito di Servizi di dominio, si definisce uno spazio dei nomi univoco. Questo spazio dei nomi è il nome di dominio, ad esempio aaddscontoso.com. Due controller di dominio di Windows Server vengono quindi distribuiti nell'area di Azure selezionata. Questa distribuzione di controller di dominio è nota come set di repliche.

Non è necessario gestire, configurare o aggiornare questi controller di dominio. La piattaforma Azure gestisce i DC come parte del dominio gestito, inclusi i backup e la crittografia dei dati a riposo usando Azure Disk Encryption.

Un dominio gestito è configurato per eseguire una sincronizzazione unidirezionale da Microsoft Entra ID per fornire l'accesso a un set centrale di utenti, gruppi e credenziali. È possibile creare risorse direttamente nel dominio gestito, ma non vengono sincronizzate con Microsoft Entra ID. Le applicazioni, i servizi e le macchine virtuali in Azure che si connettono al dominio gestito possono quindi usare funzionalità comuni di Active Directory Domain Services, ad esempio aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM.

In un ambiente ibrido con un ambiente Active Directory Domain Services locale, Microsoft Entra Connect sincronizza le informazioni sull'identità con Microsoft Entra ID, che viene quindi sincronizzato con il dominio gestito.

Servizi di dominio replica le informazioni sull'identità dall'ID Microsoft Entra, funzionando quindi con i tenant di Microsoft Entra che sono esclusivamente cloud o sincronizzati con un ambiente di Active Directory Domain Services di Microsoft locale. Lo stesso set di funzionalità di Servizi di dominio esiste per entrambi gli ambienti.

• Se si dispone di un ambiente Active Directory Domain Services locale esistente, è possibile sincronizzare le informazioni sull'account utente per fornire un'identità coerente per gli utenti. Per altre informazioni, vedere Modalità di sincronizzazione di oggetti e credenziali in un dominio gestito.
• Per gli ambienti solo cloud, non è necessario un ambiente di Active Directory Domain Services locale tradizionale per usare i servizi di gestione delle identità centralizzati di Servizi di dominio.

È possibile espandere un dominio gestito per avere più di un set di repliche per ogni tenant di Microsoft Entra. I set di repliche possono essere aggiunti a qualsiasi rete virtuale con peering in qualsiasi area di Azure che supporta Servizi di dominio. Aggiungendo set di repliche in aree di Azure diverse, è possibile fornire il ripristino di emergenza geografico per le applicazioni legacy se un'area di Azure diventa offline. Per ulteriori informazioni, vedere Concetti e funzionalità dei set di repliche per i domini gestiti.

Guardare questo video sul modo in cui Servizi di dominio si integra con le applicazioni e i carichi di lavoro per fornire servizi di identità nel cloud:

Per visualizzare gli scenari di distribuzione di Servizi di dominio in azione, è possibile esplorare gli esempi seguenti:

• Domain Services per organizzazioni ibride
• Domain Services per organizzazioni solo cloud

Funzionalità e vantaggi di Servizi di dominio

Per fornire servizi di gestione delle identità alle applicazioni e alle macchine virtuali nel cloud, Servizi di dominio è completamente compatibile con un ambiente di Active Directory Domain Services tradizionale per operazioni quali aggiunta a un dominio, LDAP sicuro (LDAPS), Criteri di gruppo, gestione DNS e binding LDAP e supporto per la lettura. Il supporto per la scrittura LDAP è disponibile per gli oggetti creati nel dominio gestito, ma non per le risorse sincronizzate da Microsoft Entra ID.

Per sapere di più sulle opzioni di identità, confronta i Servizi di dominio con Microsoft Entra ID, i Servizi di dominio Active Directory nelle macchine virtuali di Azure e i Servizi di dominio Active Directory nei server locali.

Le funzionalità seguenti di Servizi di dominio semplificano le operazioni di distribuzione e gestione:

• L'esperienza di distribuzione semplificata: Domain Services è abilitato per il tenant di Microsoft Entra usando una singola procedura guidata nell'interfaccia di amministrazione di Microsoft Entra.
• Integrato con Microsoft Entra ID: Gli account degli utenti, i membri dei gruppi e le credenziali sono automaticamente disponibili dal tenant Microsoft Entra. I nuovi utenti, i gruppi o le modifiche apportate agli attributi dal tenant di Microsoft Entra o dall'ambiente di Active Directory Domain Services locale vengono sincronizzati automaticamente con Servizi di dominio.
  • Gli account nelle directory esterne collegate all'ID Microsoft Entra non sono disponibili in Servizi di dominio. Le credenziali non sono disponibili per queste directory esterne, quindi non possono essere sincronizzate in un dominio gestito.
• Usare le credenziali o le password aziendali: Le password per gli utenti nei Servizi di dominio sono uguali a quelle nel tenant di Microsoft Entra. Gli utenti possono usare le credenziali aziendali per aggiungere computer aggiunti a un dominio, accedere in modo interattivo o tramite desktop remoto ed eseguire l'autenticazione nel dominio gestito.
• autenticazione NTLM e Kerberos: Con il supporto per l'autenticazione NTLM e Kerberos, è possibile distribuire applicazioni che si basano sull'autenticazione integrata di Windows.
• Disponibilità elevata: Domain Services include più controller di dominio, che offrono disponibilità elevata per il dominio gestito. Questa disponibilità elevata garantisce la continuità del servizio e la resilienza ai guasti.
  • Nelle aree che supportano zone di disponibilità di Azure, questi controller di dominio vengono distribuiti anche tra zone per maggiore resilienza.
  • Replica set possono essere usati anche per fornire il ripristino di emergenza geografico per le applicazioni legacy se un'area di Azure va offline.

Di seguito sono riportati alcuni aspetti chiave di un dominio gestito:

• Il dominio gestito è un dominio autonomo. Non è un'estensione di un dominio locale.
  • Se necessario, è possibile creare trust di foresta unidirezionali in uscita da Servizi di dominio di Azure a un ambiente AD DS locale. Per ulteriori informazioni, vedere i concetti e le funzionalità della foresta e per i servizi di dominio.
• Il team IT non deve gestire, applicare patch o monitorare i controller di dominio per questo dominio gestito.

Per gli ambienti ibridi che eseguono Active Directory Domain Services in locale, non è necessario gestire la replica di Active Directory nel dominio gestito. Gli account utente, le appartenenze ai gruppi e le credenziali della directory locale vengono sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connect. Questi account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili all'interno del dominio gestito.

Passaggi successivi

Per altre informazioni sui confronti di Servizi di dominio con altre soluzioni di gestione delle identità e sul funzionamento della sincronizzazione, vedere gli articoli seguenti:

• Confrontare i servizi di dominio con l'ID Microsoft Entra, i Servizi di dominio Active Directory nelle macchine virtuali di Azure e i servizi di dominio Active Directory locali
• Informazioni sulla sincronizzazione di Microsoft Entra Domain Services con la directory di Microsoft Entra
• Per informazioni su come gestire un dominio gestito, vedere concetti di gestione per account utente, password e amministrazione in Servizi di dominio.

Per iniziare, creare un dominio gestito usando il centro di amministrazione di Microsoft Entra.