Udostępnij za pośrednictwem

Typowe przypadki użycia i scenariusze dla usług Microsoft Entra Domain Services

  • Artykuł

Microsoft Entra Domain Services udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, uproszczony protokół dostępu do katalogu (LDAP) i uwierzytelnianie Kerberos / NTLM. Usługa Microsoft Entra Domain Services integruje się z istniejącą dzierżawą Microsoft Entra, co umożliwia użytkownikom logować się za pomocą swoich dotychczasowych poświadczeń. Te usługi domenowe są używane bez konieczności wdrażania kontrolerów domeny, zarządzania nimi i stosowania poprawek w chmurze, co zapewnia bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.

W tym artykule opisano niektóre typowe scenariusze biznesowe, w których usługi Microsoft Entra Domain Services zapewniają wartość i spełniają te potrzeby.

Typowe sposoby dostarczania rozwiązań do obsługi tożsamości w chmurze

Podczas migracji istniejących obciążeń do chmury aplikacje obsługujące katalogi mogą używać protokołu LDAP do odczytu lub zapisu do lokalnego katalogu usług AD DS. Aplikacje uruchamiane w systemie Windows Server są zwykle wdrażane na maszynach wirtualnych przyłączonych do domeny, dzięki czemu mogą być bezpiecznie zarządzane przy użyciu zasad grupy. Aby uwierzytelnić użytkowników końcowych, aplikacje mogą również korzystać z uwierzytelniania zintegrowanego z systemem Windows, takiego jak uwierzytelnianie Kerberos lub NTLM.

Administratorzy IT często używają jednego z następujących rozwiązań, aby zapewnić usługę tożsamości aplikacjom uruchomionym na platformie Azure:

  • Skonfiguruj połączenie sieci VPN typu lokacja-lokacja między obciążeniami uruchomionymi na platformie Azure i lokalnym środowisku usług AD DS.
    • Lokalne kontrolery domeny zapewniają następnie uwierzytelnianie za pośrednictwem połączenia sieci VPN.
  • Utwórz kontrolery domeny repliki przy użyciu maszyn wirtualnych platformy Azure, aby rozszerzyć domenę/las usług AD DS ze środowiska lokalnego.
    • Kontrolery domeny uruchamiane na maszynach wirtualnych platformy Azure zapewniają uwierzytelnianie i replikują informacje o katalogu między lokalnym środowiskiem usług AD DS.
  • Wdróż autonomiczne środowisko usług AD DS na platformie Azure przy użyciu kontrolerów domeny działających na maszynach wirtualnych platformy Azure.
    • Kontrolery domeny uruchomione na maszynach wirtualnych platformy Azure zapewniają uwierzytelnianie, ale informacje katalogowe nie są replikowane ze środowiska lokalnego AD DS.

Dzięki tym podejściom połączenia VPN z katalogiem lokalnym sprawiają, że aplikacje są narażone na przejściowe zakłócenia lub przerwy w sieci. Jeśli wdrażasz kontrolery domeny przy użyciu maszyn wirtualnych na platformie Azure, zespół IT musi zarządzać maszynami wirtualnymi, a następnie zabezpieczyć, zastosować poprawki, monitorować, tworzyć kopie zapasowe i rozwiązywać problemy.

Microsoft Entra Domain Services oferuje alternatywy dla potrzeby tworzenia połączeń sieci VPN z powrotem do lokalnego środowiska usług AD DS lub uruchamiania maszyn wirtualnych i zarządzania nimi na platformie Azure w celu zapewnienia usług tożsamości. Jako zarządzana usługa, Microsoft Entra Domain Services redukuje złożoność opracowywania zintegrowanego rozwiązania tożsamości dla środowisk hybrydowych i tylko chmurowych.

Porównanie usług Microsoft Entra Domain Services z Microsoft Entra ID oraz samodzielnie zarządzanymi usługami AD DS na maszynach wirtualnych platformy Azure lub lokalnie

Microsoft Entra Domain Services dla organizacji hybrydowych

Wiele organizacji uruchamia infrastrukturę hybrydową obejmującą obciążenia aplikacji w chmurze i lokalnych. Starsze aplikacje migrowane na platformę Azure w ramach strategii "lift and shift" mogą używać tradycyjnych połączeń LDAP do dostarczania informacji o tożsamości. Aby obsługiwać tę infrastrukturę hybrydową, informacje o tożsamości z lokalnego środowiska AD DS można synchronizować z dzierżawą Microsoft Entra. Usługi Microsoft Entra Domain Services udostępniają te aplikacje legacyjne w Azure jako źródło tożsamości, bez potrzeby konfigurowania i zarządzania połączeniem aplikacji z lokalnymi usługami katalogowymi.

Przyjrzyjmy się przykładowi dla firmy Litware Corporation, organizacji hybrydowej, która uruchamia zasoby lokalne i zasoby platformy Azure:

Microsoft Entra Domain Services dla organizacji hybrydowej, która obejmuje synchronizację lokalną

  • Aplikacje i obciążenia serwera, które wymagają usług domenowych, są wdrażane w sieci wirtualnej na platformie Azure.
    • Może to obejmować starsze aplikacje migrowane na platformę Azure w ramach strategii "lift and shift".
  • Aby zsynchronizować informacje o tożsamości z lokalnego katalogu do dzierżawy Microsoft Entra, firma Litware Corporation wdraża Microsoft Entra Connect.
    • Synchronizowane informacje o tożsamości obejmują konta użytkowników i członkostwa w grupach.
  • Zespół IT firmy Litware włącza usługi Microsoft Entra Domain Services dla dzierżawy Microsoft Entra w tej sieci wirtualnej lub w sieci równorzędnej.
  • Aplikacje i maszyny wirtualne wdrożone w sieci wirtualnej platformy Azure mogą następnie korzystać z funkcji usług Microsoft Entra Domain Services, takich jak przyłączenie do domeny, odczyt LDAP, powiązanie LDAP, uwierzytelnianie NTLM i Kerberos oraz zasady grupy.

Ważny

Program Microsoft Entra Connect powinien być zainstalowany i skonfigurowany tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie programu Microsoft Entra Connect w domenie zarządzanej w celu synchronizowania obiektów z powrotem z identyfikatorem Entra firmy Microsoft.

Microsoft Entra Domain Services dla organizacji działających wyłącznie w chmurze

Dzierżawa Microsoft Entra dostępna tylko w chmurze nie posiada lokalnego źródła tożsamości. Konta użytkowników i członkostwa w grupach, na przykład, są tworzone i zarządzane bezpośrednio w identyfikatorze Entra firmy Microsoft.

Teraz przyjrzyjmy się przykładowi dla firmy Contoso, organizacji działającej tylko w chmurze, która używa identyfikatora Entra firmy Microsoft do obsługi tożsamości. Wszystkie tożsamości użytkowników, ich poświadczenia i członkostwa w grupach są tworzone i zarządzane w usłudze Microsoft Entra ID. Nie ma dodatkowej konfiguracji programu Microsoft Entra Connect w celu zsynchronizowania żadnych informacji o tożsamości z katalogu lokalnego.

Microsoft Entra Domain Services dla organizacji w chmurze bez lokalnej synchronizacji

  • Aplikacje i obciążenia serwera, które wymagają usług domenowych, są wdrażane w sieci wirtualnej na platformie Azure.
  • Zespół IT Contoso włącza Microsoft Entra Domain Services dla ich dzierżawy Microsoft Entra w tej lub równorzędnej sieci wirtualnej.
  • Aplikacje i maszyny wirtualne wdrożone w sieci wirtualnej platformy Azure mogą następnie korzystać z funkcji usług Microsoft Entra Domain Services, takich jak przyłączenie do domeny, odczyt LDAP, powiązanie LDAP, uwierzytelnianie NTLM i Kerberos oraz zasady grupy.

Bezpieczna administracja maszynami wirtualnymi platformy Azure

Aby umożliwić korzystanie z jednego zestawu poświadczeń usługi AD, maszyny wirtualne platformy Azure można dołączyć do domeny zarządzanej usług Microsoft Entra Domain Services. Takie podejście zmniejsza problemy z zarządzaniem poświadczeniami, takie jak utrzymywanie kont administratorów lokalnych na każdej maszynie wirtualnej lub oddzielne konta i hasła między środowiskami.

Maszyny wirtualne przyłączone do domeny zarządzanej można również administrować i zabezpieczać przy użyciu zasad grupy. Wymagane punkty odniesienia zabezpieczeń można zastosować do maszyn wirtualnych w celu ich zablokowania zgodnie z wytycznymi dotyczącymi zabezpieczeń firmy. Na przykład można użyć funkcji zarządzania zasadami grupy, aby ograniczyć typy aplikacji, które można uruchamiać na maszynie wirtualnej.

usprawnione administrowanie maszynami wirtualnymi platformy Azure

Przyjrzyjmy się typowym przykładowym scenariuszom. Gdy serwery i inne infrastruktury osiągną koniec eksploatacji, firma Contoso chce przenieść aplikacje obecnie hostowane lokalnie do chmury. Ich obecny standard IT wymaga, aby serwery hostujące aplikacje firmowe były przyłączone do domeny i zarządzane przy użyciu zasad grupy.

Administrator IT firmy Contoso wolałby dołączyć do domeny maszyny wirtualne wdrożone na platformie Azure, aby ułatwić administrowanie, ponieważ użytkownicy mogą następnie logować się przy użyciu poświadczeń firmowych. Po przyłączeniu do domeny maszyny wirtualne można również skonfigurować tak, aby były zgodne z wymaganymi punktami odniesienia zabezpieczeń przy użyciu obiektów zasad grupy (GPO). Firma Contoso wolałaby nie wdrażać, monitorować własnych kontrolerów domeny i zarządzać nimi na platformie Azure.

Microsoft Entra Domain Services jest doskonałym rozwiązaniem dla tego przypadku użycia. Domena zarządzana umożliwia dołączanie maszyn wirtualnych do domeny, używanie jednego zestawu poświadczeń i stosowanie zasad grupy. Ponieważ jest to domena zarządzana, nie musisz konfigurować i obsługiwać kontrolerów domeny samodzielnie.

Uwagi dotyczące wdrażania

Następujące zagadnienia dotyczące wdrażania mają zastosowanie do tego przykładowego przypadku użycia:

  • Domeny zarządzane domyślnie używają jednej, płaskiej struktury jednostki organizacyjnej . Wszystkie maszyny wirtualne przyłączone do domeny znajdują się w jednej jednostki organizacyjnej. W razie potrzeby możesz utworzyć niestandardowych jednostek organizacyjnych.
  • Usługa Microsoft Entra Domain Services używa wbudowanego obiektu zasad grupy dla każdego z kontenerów użytkowników i komputerów. Aby uzyskać dodatkową kontrolę, można utworzyć niestandardowe obiekty zasad grupy i przypisywać je do niestandardowych jednostek organizacyjnych.
  • Usługi Microsoft Entra Domain Services obsługują standardowy schemat obiektu komputera AD. Nie można rozszerzyć schematu obiektu komputera.

Aplikacje lokalne metodą "lift-and-shift", które korzystają z uwierzytelniania LDAP za pomocą powiązania

Jako przykładowy scenariusz firma Contoso ma aplikację lokalną, która została zakupiona od niezależnego dostawcy oprogramowania wiele lat temu. Aplikacja jest obecnie w trybie konserwacji przez niezależnego dostawcę oprogramowania i żądanie zmian w aplikacji jest zbyt kosztowne. Ta aplikacja ma fronton internetowy, który zbiera poświadczenia użytkownika przy użyciu formularza internetowego, a następnie uwierzytelnia użytkowników, wykonując powiązanie LDAP ze środowiskiem lokalnym usług AD DS.

wiązanie LDAP

Firma Contoso chce przeprowadzić migrację tej aplikacji na platformę Azure. Aplikacja powinna nadal działać as-is, bez konieczności wprowadzania zmian. Ponadto użytkownicy powinni mieć możliwość uwierzytelniania przy użyciu istniejących poświadczeń firmowych i bez dodatkowego szkolenia. Powinno być jasne dla użytkowników końcowych, gdzie aplikacja jest uruchomiona.

W tym scenariuszu usługi Microsoft Entra Domain Services umożliwiają aplikacjom wykonywanie powiązań LDAP w ramach procesu uwierzytelniania. Starsze aplikacje lokalne mogą przenosić się na platformę Azure i nadal bezproblemowo uwierzytelniać użytkowników bez żadnych zmian w konfiguracji lub środowisku użytkownika.

Uwagi dotyczące wdrażania

Następujące zagadnienia dotyczące wdrażania mają zastosowanie do tego przykładowego przypadku użycia:

  • Upewnij się, że aplikacja nie musi wprowadzać zmian ani zapisywać do katalogu. Dostęp do zapisu LDAP w domenie zarządzanej nie jest obsługiwany.
  • Nie można zmieniać haseł bezpośrednio w domenie zarządzanej. Użytkownicy końcowi mogą zmienić swoje hasło przy użyciu mechanizmu samoobsługowego zmiany hasła firmy Microsoft firmy Microsoft lub w katalogu lokalnym. Te zmiany są następnie automatycznie synchronizowane i dostępne w domenie zarządzanej.

Aplikacje lokalne metodą "lift-and-shift", które używają odczytu LDAP w celu uzyskania dostępu do katalogu

Podobnie jak w poprzednim przykładowym scenariuszu, załóżmy, że firma Contoso ma lokalną aplikację biznesową (LOB), która została opracowana prawie dziesięć lat temu. Ta aplikacja jest świadoma katalogu i została zaprojektowana tak, aby używała protokołu LDAP do odczytywania informacji/atrybutów użytkowników z usług AD DS. Aplikacja nie modyfikuje atrybutów ani w inny sposób nie zapisuje w katalogu.

Firma Contoso chce zmigrować tę aplikację na platformę Azure i wycofać starzejący się sprzęt lokalny, który obecnie hostuje tę aplikację. Nie można przekształcić aplikacji, aby korzystała z nowoczesnych interfejsów API katalogowych, takich jak interfejs API Microsoft Graph oparty na protokole REST. Wymagana jest opcja lift-and-shift, w której można migrować aplikację do uruchamiania w chmurze bez modyfikowania kodu lub ponownego zapisywania aplikacji.

Aby pomóc w tym scenariuszu, usługi Microsoft Entra Domain Services umożliwiają aplikacjom wykonywanie odczytów LDAP względem domeny zarządzanej w celu uzyskania potrzebnych informacji o atrybucie. Aplikacja nie musi być przepisana, więc przeniesienie jej do platformy Azure pozwala użytkownikom dalej korzystać z aplikacji bez zorientowania się, że zmieniło się miejsce jej uruchamiania.

Uwagi dotyczące wdrażania

Następujące zagadnienia dotyczące wdrażania mają zastosowanie do tego przykładowego przypadku użycia:

  • Upewnij się, że aplikacja nie musi modyfikować ani zapisywać w katalogu. Dostęp do zapisu LDAP w domenie zarządzanej nie jest obsługiwany.
  • Upewnij się, że aplikacja nie potrzebuje niestandardowego/rozszerzonego schematu usługi Active Directory. Rozszerzenia schematu nie są obsługiwane w usługach Microsoft Entra Domain Services.

Migrowanie lokalnej usługi lub aplikacji demona na platformę Azure

Niektóre aplikacje obejmują wiele warstw, w których jedna z warstw musi wykonywać uwierzytelnione wywołania do warstwy zaplecza, takiej jak baza danych. Konta usług AD są często używane w tych scenariuszach. W przypadku przenoszenia aplikacji na platformę Azure usługi Microsoft Entra Domain Services umożliwiają dalsze korzystanie z kont usług w taki sam sposób. Możesz użyć tego samego konta usługi, które jest synchronizowane z twojego lokalnego katalogu do Microsoft Entra ID lub utworzyć niestandardową jednostkę organizacyjną i następnie utworzyć oddzielne konto usługi w tej jednostce organizacyjnej. W przypadku obu metod aplikacje nadal działają w taki sam sposób, aby wykonywać uwierzytelnione wywołania do innych warstw i usług.

konto usługi przy użyciu WIA

W tym przykładowym scenariuszu firma Contoso ma niestandardową aplikację skarbca oprogramowania, która obejmuje interfejs internetowy, serwer SQL i działający w tle serwer FTP. Uwierzytelnianie zintegrowane z systemem Windows przy użyciu kont usług uwierzytelnia fronton internetowy na serwerze FTP. Interfejs internetowy jest skonfigurowany do działania jako konto usługi. Serwer zaplecza jest skonfigurowany do autoryzowania dostępu z konta serwisowego dla front endu internetowego. Firma Contoso nie chce wdrażać maszyn wirtualnych kontrolera domeny i zarządzać nimi w chmurze, aby przenieść tę aplikację na platformę Azure.

W tym scenariuszu serwery hostowania frontonu internetowego, programu SQL Server i serwera FTP można migrować do maszyn wirtualnych platformy Azure i przyłączone do domeny zarządzanej. Maszyny wirtualne mogą następnie używać tego samego konta usługi w katalogu lokalnym do celów uwierzytelniania aplikacji, które jest synchronizowane za pośrednictwem identyfikatora Entra firmy Microsoft przy użyciu programu Microsoft Entra Connect.

Uwagi dotyczące wdrażania

Następujące zagadnienia dotyczące wdrażania mają zastosowanie do tego przykładowego przypadku użycia:

  • Upewnij się, że aplikacje używają nazwy użytkownika i hasła do uwierzytelniania. Uwierzytelnianie oparte na certyfikatach lub kartach inteligentnych nie jest obsługiwane przez usługi Microsoft Entra Domain Services.
  • Nie można zmieniać haseł bezpośrednio w domenie zarządzanej. Użytkownicy końcowi mogą zmienić swoje hasło przy użyciu mechanizmu samoobsługowego zmiany hasła firmy Microsoft firmy Microsoft lub w katalogu lokalnym. Te zmiany są następnie automatycznie synchronizowane i dostępne w domenie zarządzanej.

Wdrożenia usług pulpitu zdalnego systemu Windows Server na platformie Azure

Usługi Microsoft Entra Domain Services umożliwiają udostępnianie zarządzanych usług domenowych serwerom usług pulpitu zdalnego wdrożonych na platformie Azure.

Aby uzyskać więcej informacji na temat tego scenariusza wdrażania, zobacz , jak zintegrować Microsoft Entra Domain Services z wdrożeniem RDS (Usługi pulpitu zdalnego).

Klastry HDInsight przyłączone do domeny

Możesz skonfigurować klaster usługi Azure HDInsight przyłączony do domeny zarządzanej z włączoną usługą Apache Ranger. Zasady hive można tworzyć i stosować za pomocą platformy Apache Ranger oraz zezwalać użytkownikom, takim jak analitycy danych, na łączenie się z usługą Hive przy użyciu narzędzi opartych na protokole ODBC, takich jak Excel lub Tableau. Nadal pracujemy nad dodaniem innych obciążeń, takich jak HBase, Spark i Storm, do przyłączonej do domeny usługi HDInsight.

Aby uzyskać więcej informacji na temat tego scenariusza wdrażania, zobacz jak skonfigurować klastry usługi HDInsight przyłączone do domeny

Następne kroki

Aby rozpocząć, utwórz i skonfiguruj zarządzaną domenę usług Microsoft Entra Domain Services.