Aracılığıyla paylaş

Microsoft Entra Domain Services için yaygın kullanım örnekleri ve senaryolar

  • Makale

Microsoft Entra Domain Services, etki alanına katılma, grup ilkesi, basit dizin erişim protokolü (LDAP) ve Kerberos / NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Microsoft Entra Domain Services, mevcut Microsoft Entra kiracınızla tümleştirilerek kullanıcıların mevcut kimlik bilgilerini kullanarak oturum açmalarını sağlar. Etki alanı denetleyicilerini bulutta dağıtmak, yönetmek ve güncellemek zorunda kalmadan bu etki alanı hizmetlerini kullanarak, şirket içi kaynaklarınızı Azure'a daha sorunsuz bir şekilde taşıyabilirsiniz.

Bu makalede, Microsoft Entra Domain Services'ın değer sağladığı ve bu gereksinimleri karşıladığı bazı yaygın iş senaryoları özetlenmektedir.

Bulutta kimlik çözümleri sağlamanın yaygın yolları

Mevcut iş yüklerini buluta geçirdiğinizde, dizin kullanan uygulamalar şirket içi AD DS dizinine okuma veya yazma erişimi için LDAP kullanabilir. Windows Server'da çalışan uygulamalar genellikle etki alanına katılmış sanal makinelere (VM) dağıtılır, böylece Grup İlkesi kullanılarak güvenli bir şekilde yönetilebilirler. Uygulamalar, son kullanıcıların kimliğini doğrulamak için Kerberos veya NTLM kimlik doğrulaması gibi Windows ile tümleşik kimlik doğrulamasına da güvenebilir.

BT yöneticileri genellikle Azure'da çalışan uygulamalara kimlik hizmeti sağlamak için aşağıdaki çözümlerden birini kullanır:

  • Azure'da çalışan iş yükleri ile şirket içi AD DS ortamı arasında siteden siteye VPN bağlantısı yapılandırın.
    • Şirket içi etki alanı denetleyicileri daha sonra VPN bağlantısı aracılığıyla kimlik doğrulaması sağlar.
  • AD DS etki alanını/ormanını çiftlemek ve genişletmek için Azure sanal makinelerini (VM) kullanarak yedek etki alanı denetleyicileri oluşturun.
    • Azure VM'lerinde çalışan etki alanı denetleyicileri kimlik doğrulaması sağlar ve dizin bilgilerini şirket içi AD DS ortamı arasında çoğaltır.
  • Azure VM'lerinde çalışan etki alanı denetleyicilerini kullanarak Azure'da tek başına bir AD DS ortamı dağıtın.
    • Azure VM'lerinde çalışan etki alanı denetleyicileri kimlik doğrulaması sağlar, ancak şirket içi AD DS ortamından çoğaltılan dizin bilgisi yoktur.

Bu yaklaşımlarla şirket içi dizine yapılan VPN bağlantıları, uygulamaları geçici ağ hatalarına veya kesintilerine karşı savunmasız hale getirir. Etki alanı denetleyicilerini Azure'daki VM'leri kullanarak dağıtırsanız, BT ekibinin VM'leri yönetmesi, ardından güvenlik, düzeltme eki uygulama, izleme, yedekleme ve sorun giderme işlemleri yapması gerekir.

Microsoft Entra Domain Services, kimlik hizmetleri sağlamak için şirket içi AD DS ortamına vpn bağlantıları oluşturma veya Azure'da VM'leri çalıştırma ve yönetme gereksinimine alternatifler sunar. Yönetilen hizmet olarak, Microsoft Entra Domain Services hem karma hem de yalnızca bulut ortamları için tümleşik kimlik çözümü oluşturma karmaşıklığını azaltır.

Microsoft Entra Domain Services'ı Azure VM'lerinde veya şirket içi Microsoft Entra ID ve kendi kendine yönetilen AD DS ile karşılaştırma

Karma kuruluşlar için Microsoft Entra Domain Services

Birçok kuruluş hem bulut hem de şirket içi uygulama iş yüklerini içeren hibrit bir altyapı çalıştırır. Kaldırma ve kaydırma stratejisi kapsamında Azure'a geçirilen eski uygulamalar, kimlik bilgileri sağlamak için geleneksel LDAP bağlantılarını kullanabilir. Bu hibrit altyapıyı desteklemek için, şirket içi Active Directory Domain Services (AD DS) ortamındaki kimlik bilgileri bir Microsoft Entra tenant'ına eşitlenebilir. Daha sonra Microsoft Entra Domain Services, şirket içi dizin hizmetlerine yönelik uygulama bağlantısını yapılandırmaya ve yönetmeye gerek kalmadan Azure'daki bu eski uygulamalara bir kimlik kaynağı sağlar.

Şimdi hem şirket içi hem de Azure kaynaklarını çalıştıran karma bir kuruluş olan Litware Corporation örneğine göz atalım:

Şirket içi eşitlemeMicrosoft Entra Domain Services

  • Etki alanı hizmetleri gerektiren uygulamalar ve sunucu iş yükleri Azure'daki bir sanal ağda dağıtılır.
    • Bu, bir lift and shift stratejisi kapsamında Azure'a geçirilen eski uygulamaları içerebilir.
  • Litware Corporation, şirket içi dizinlerindeki kimlik bilgilerini Microsoft Entra kiracısına eşitlemek için Microsoft Entra Connectdağıtır.
    • Eşitlenen kimlik bilgileri kullanıcı hesaplarını ve grup üyeliklerini içerir.
  • Litware'in BT ekibi, bu veya eşlenmiş bir sanal ağda Microsoft Entra kiracısı için Microsoft Entra Domain Services'ı etkinleştirir.
  • Azure sanal ağına dağıtılan uygulamalar ve VM'ler daha sonra etki alanına katılma, LDAP okuma, LDAP bağlama, NTLM ve Kerberos kimlik doğrulaması ve Grup İlkesi gibi Microsoft Entra Domain Services özelliklerini kullanabilir.

Önemli

Microsoft Entra Connect yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Kimliği'ne yeniden eşitlemek için yönetilen bir etki alanına Microsoft Entra Connect'in yüklenmesi desteklenmez.

Yalnızca bulut kuruluşları için Microsoft Entra Domain Services

Yalnızca buluta yönelik Bir Microsoft Entra kiracısı şirket içi kimlik kaynağına sahip değildir. Örneğin kullanıcı hesapları ve grup üyelikleri doğrudan Microsoft Entra Id'de oluşturulur ve yönetilir.

Şimdi kimlik için Microsoft Entra Id kullanan, yalnızca buluta yönelik bir kuruluş olan Contoso örneğine bakalım. Tüm kullanıcı kimlikleri, kimlik bilgileri ve grup üyelikleri Microsoft Entra Kimliği'nde oluşturulur ve yönetilir. Microsoft Entra Connect'in şirket içi dizinden kimlik bilgilerini eşitlemek için ek yapılandırması yoktur.

Yalnızca bulut yapılandırmasına sahip, şirket içi eşitlemesi olmayan kuruluşlar için Microsoft Entra Domain Services

  • Etki alanı hizmetleri gerektiren uygulamalar ve sunucu iş yükleri Azure'daki bir sanal ağda dağıtılır.
  • Contoso'nun BT ekibi, Microsoft Entra Domain Services'ı bu veya eşlenmiş bir sanal ağdaki Microsoft Entra kiracısı için etkinleştirir.
  • Azure sanal ağına dağıtılan uygulamalar ve VM'ler daha sonra etki alanına katılma, LDAP okuma, LDAP bağlama, NTLM ve Kerberos kimlik doğrulaması ve Grup İlkesi gibi Microsoft Entra Domain Services özelliklerini kullanabilir.

Azure sanal makinelerinin güvenli yönetimi

Tek bir AD kimlik bilgileri kümesi kullanmanıza izin vermek için, Azure sanal makineleri (VM' ler) Microsoft Entra Domain Services tarafından yönetilen bir etki alanına eklenebilir. Bu yaklaşım, her VM'de yerel yönetici hesaplarının korunması veya ortamlar arasında ayrı hesaplar ve parolalar gibi kimlik bilgisi yönetimi sorunlarını azaltır.

Yönetilen bir etki alanına katılmış VM'ler de grup ilkesi kullanılarak yönetilebilir ve güvenli hale getirilebilir. Şirket güvenlik yönergelerine uygun olarak vm'leri kilitlemek için gerekli güvenlik temelleri uygulanabilir. Örneğin, VM'de başlatılabilir uygulama türlerini kısıtlamak için grup ilkesi yönetim özelliklerini kullanabilirsiniz.

Azure sanal makinelerinin kolay yönetimi

Şimdi yaygın bir örnek senaryoya göz atalım. Sunucular ve diğer altyapı kullanım ömrü sona ererken Contoso, şu anda şirket içinde barındırılan uygulamaları buluta taşımak istiyor. Güncel BT standardı, kurumsal uygulamaları barındıran sunucuların etki alanına dahil edilmiş ve grup politikası kullanılarak yönetilmesi gerektiğini belirtir.

Contoso'nun BT yöneticisi, kullanıcılar şirket kimlik bilgilerini kullanarak oturum açabildiği için yönetimi kolaylaştırmak amacıyla Azure'da dağıtılan VM'lerin etki alanına katılmayı tercih eder. Etki alanına katıldığında VM'ler, grup ilkesi nesneleri (GPO' lar) kullanılarak gerekli güvenlik temellerine uyacak şekilde de yapılandırılabilir. Contoso, Azure'da kendi etki alanı denetleyicilerini dağıtmayı, izlemeyi ve yönetmeyi tercih etmez.

Microsoft Entra Domain Services, bu kullanım örneğine çok uygundur. Yönetilen bir etki alanı, etki alanına katılan VM'ler kullanmanıza, tek bir kimlik bilgisi kümesiyle çalışmanıza ve grup ilkesi uygulamanıza olanak tanır. Yönetilen bir etki alanı olduğundan, etki alanı denetleyicilerini kendiniz yapılandırmanız ve korumanız gerekmez.

Dağıtım notları

Aşağıdaki dağıtım konuları bu örnek kullanım örneği için geçerlidir:

  • Yönetilen etki alanları varsayılan olarak tek, düz bir Kuruluş Birimi (OU) yapısı kullanır. Etki alanına katılmış tüm VM'ler tek bir OU'da yer alır. İsterseniz, özel OU'lar oluşturabilirsiniz.
  • Microsoft Entra Domain Services, kullanıcı ve bilgisayar kapsayıcılarının her biri için bir yerleşik GPO kullanır. Ek denetim için özel GPO'lar oluşturabilir ve bunları özel OU'lara hedefleyebilirsiniz.
  • Microsoft Entra Domain Services, temel AD bilgisayar nesne şemasını destekler. Bilgisayar nesnesinin şemasını genişletemezsiniz.

LDAP bağlama kimlik doğrulaması kullanan şirket içi taşı ve yerleştir (lift-and-shift) uygulamaları

Örnek bir senaryo olarak Contoso'nun yıllar önce bir ISV'den satın alınmış bir şirket içi uygulaması vardır. Uygulama şu anda ISV tarafından bakım modundadır ve uygulamada değişiklik istemek çok pahalıdır. Bu uygulama, bir web formu kullanarak kullanıcı kimlik bilgilerini toplayan ve ardından şirket içi AD DS ortamına LDAP bağlaması gerçekleştirerek kullanıcıların kimliğini doğrulayan web tabanlı bir ön uca sahiptir.

LDAP bağlama

Contoso bu uygulamayı Azure'a geçirmek istiyor. Uygulamanın as-isçalışmaya devam etmesi ve hiçbir değişiklik gerekmemesi gerekir. Ayrıca, kullanıcıların mevcut kurumsal kimlik bilgilerini kullanarak ve ek eğitim olmadan kimlik doğrulaması yapabilmesi gerekir. Uygulamanın nerede çalıştığı, son kullanıcılar için şeffaf olmalıdır.

Bu senaryo için Microsoft Entra Domain Services, uygulamaların kimlik doğrulama işleminin bir parçası olarak LDAP bağlamaları gerçekleştirmesine olanak tanır. Eski şirket içi uygulamalar Azure'a geçiş yapabilir ve yapılandırma veya kullanıcı deneyiminde herhangi bir değişiklik yapmadan kullanıcıların kimliğini sorunsuz bir şekilde doğrulamaya devam edebilir.

Dağıtım notları

Aşağıdaki dağıtım konuları bu örnek kullanım örneği için geçerlidir:

Dizine erişmek için LDAP okuma kullanan şirket içi lift-and-shift uygulamaları

Önceki örnek senaryoda olduğu gibi Contoso'nun da neredeyse on yıl önce geliştirilmiş bir şirket içi iş kolu (LOB) uygulaması olduğunu varsayalım. Bu uygulama dizine duyarlıdır ve AD DS'den kullanıcılar hakkındaki bilgileri/öznitelikleri okumak için LDAP kullanmak üzere tasarlanmıştır. Uygulama öznitelikleri değiştirmez veya dizine başka bir şekilde yazmaz.

Contoso bu uygulamayı Azure'a geçirmek ve şu anda bu uygulamayı barındıran eskiyen şirket içi donanımı devre dışı bırakmaktadır. Uygulama REST tabanlı Microsoft Graph API'leri gibi modern dizin API'lerini kullanmak için yeniden yazılamaz. Uygulamanın kodu değiştirilmeden veya uygulama yeniden yazılmadan bulutta çalıştırılabileceği bir lift-and-shift seçeneği aranmaktadır.

Bu senaryoya yardımcı olmak için Microsoft Entra Domain Services, uygulamaların ihtiyaç duyduğu öznitelik bilgilerini almak için yönetilen etki alanında LDAP okumaları gerçekleştirmesine olanak tanır. Uygulamanın yeniden yazılması gerekmez, bu nedenle Azure'a lift-and-shift özelliği, kullanıcıların çalıştığı yerde bir değişiklik olduğunu fark etmeden uygulamayı kullanmaya devam etmelerini sağlar.

Dağıtım notları

Aşağıdaki dağıtım konuları bu örnek kullanım örneği için geçerlidir:

  • Uygulamanın dizinde değişiklik/yazma gereksinimi olmadığından emin olun. Yönetilen etki alanına LDAP yazma erişimi desteklenmez.
  • Uygulamanın özel/genişletilmiş bir Active Directory şemasına ihtiyacı olmadığından emin olun. Şema uzantıları Microsoft Entra Etki Alanı Hizmetleri'nde desteklenmez.

Şirket içi hizmet veya daemon uygulamasını Azure'a geçirme

Bazı uygulamalar, katmanlardan birinin veritabanı gibi bir arka uç katmanına kimliği doğrulanmış çağrılar gerçekleştirmesi gereken birden çok katman içerir. AD hizmet hesapları bu senaryolarda yaygın olarak kullanılır. Uygulamaları Azure'a kaldırıp kaydırdığınızda, Microsoft Entra Domain Services hizmet hesaplarını aynı şekilde kullanmaya devam etmenizi sağlar. Şirket içi dizininizden Microsoft Entra Id ile eşitlenen aynı hizmet hesabını kullanmayı veya özel bir OU oluşturmayı ve ardından bu OU'da ayrı bir hizmet hesabı oluşturmayı seçebilirsiniz. Her iki yaklaşımdan biriyle de uygulamalar, diğer katmanlara ve hizmetlere kimliği doğrulanmış çağrılar yapmak için aynı şekilde çalışmaya devam eder.

Hizmet hesabı WIA kullanarak

Bu örnek senaryoda Contoso'nun web ön ucu, SQL sunucusu ve arka uç FTP sunucusu içeren özel olarak oluşturulmuş bir yazılım kasası uygulaması vardır. Hizmet hesaplarını kullanarak Windows ile tümleşik kimlik doğrulaması, web ön ucunun kimliğini FTP sunucusunda doğrular. Web ön ucu hizmet hesabı olarak çalışacak şekilde ayarlanır. Arka uç sunucusu, web ön ucu için hizmet hesabından erişim yetkisi vermek üzere yapılandırılmıştır. Contoso, bu uygulamayı Azure'a taşımak için bulutta kendi etki alanı denetleyicisi VM'lerini dağıtmak ve yönetmek istemiyor.

Bu senaryo için web ön ucunu, SQL sunucusunu ve FTP sunucusunu barındıran sunucular Azure VM'lerine geçirilebilir ve yönetilen bir etki alanına eklenebilir. VM'ler daha sonra uygulamanın kimlik doğrulaması amacıyla şirket içi dizinlerindeki aynı hizmet hesabını kullanabilir ve bu, Microsoft Entra Connect kullanılarak Microsoft Entra ID aracılığıyla eşitlenir.

Dağıtım notları

Aşağıdaki dağıtım konuları bu örnek kullanım örneği için geçerlidir:

  • Uygulamaların kimlik doğrulaması için bir kullanıcı adı ve parola kullandığından emin olun. Sertifika veya akıllı kart tabanlı kimlik doğrulaması Microsoft Entra Domain Services tarafından desteklenmez.
  • Yönetilen bir etki alanında parolaları doğrudan değiştiremezsiniz. Son kullanıcılar, Microsoft Entra self-servis parola değiştirme mekanizmasını kullanarak veya şirket içi dizin üzerinden parolalarını değiştirebilir. Bu değişiklikler daha sonra otomatik olarak eşitlenir ve yönetilen etki alanında kullanılabilir.

Azure'da Windows Server uzak masaüstü hizmetleri dağıtımları

Azure'da dağıtılan uzak masaüstü sunucularına yönetilen etki alanı hizmetleri sağlamak için Microsoft Entra Domain Services'ı kullanabilirsiniz.

Bu dağıtım senaryosu hakkında daha fazla bilgi için bkz. Microsoft Entra Domain Services'ı RDS dağıtımile tümleştirme.

Etki alanına bağlı HDInsight kümeleri

Apache Ranger'ın etkin olduğu yönetilen bir etki alanına katılmış bir Azure HDInsight kümesi ayarlayabilirsiniz. Apache Ranger aracılığıyla Hive ilkeleri oluşturup uygulayabilir ve veri bilimcileri gibi kullanıcıların Excel veya Tableau gibi ODBC tabanlı araçları kullanarak Hive'a bağlanmasına izin vekleyebilirsiniz. HBase, Spark ve Storm gibi diğer iş yüklerini etki alanına katılmış HDInsight'a eklemek için çalışmaya devam ediyoruz.

Bu dağıtım senaryosu hakkında daha fazla bilgi için bkz. etki alanına katılmış HDInsight kümelerini yapılandırma

Sonraki adımlar

Başlamak için Microsoft Entra Domain Services tarafından yönetilen etki alanıoluşturun ve yapılandırın.