共用方式為

什麼是 Microsoft Entra Domain Services?

  • 發行項

Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、組策略、輕量型目錄存取通訊協定(LDAP)和 Kerberos/NTLM 驗證。 您不需要在雲端中部署、管理及修補域控制器(DC),即可使用這些網域服務。

Domain Services 受控網域可讓您在雲端中執行無法使用新式驗證方法的舊版應用程式,或不想讓目錄查閱一律回到內部部署 AD DS 環境的位置。 您可以將這些舊版應用程式從內部部署環境隨即轉移至受控網域,而不需要在雲端中管理 AD DS 環境。

Domain Services 會與您的現有 Microsoft Entra 租用戶整合。 此整合可讓使用者使用現有的認證登入連線到受控網域的服務與應用程式。 您也可以使用現有的群組和使用者帳戶來保護資源的存取。 這些功能可讓您更順暢地將內部部署資源直接遷移至 Azure。

若要開始使用,請使用 Microsoft Entra 系統管理中心建立網域服務受控網域

請看一下我們的短片,以深入瞭解 Domain Services。

Domain Services 如何運作?

當您建立 Domain Services 受控網域時,您會定義唯一的命名空間。 此命名空間是網域名稱,例如 aaddscontoso.com。 接著會將兩個 Windows Server 域控制器 (DC) 部署到您選取的 Azure 區域。 此類 DC 部署稱為副本集。

您不需要管理、設定或更新這些 DC。 Azure 平台會處理 DC 作為受控網域的一部分,包括使用 Azure 磁碟加密進行備份和待用加密。

受控網域已設定為從 Microsoft Entra ID 執行單向同步處理,以提供一組中央使用者、群組和認證的存取權。 您可以直接在受管理的網域中建立資源,但不會同步回 Microsoft Entra ID。 聯機到受控網域之 Azure 中的應用程式、服務和 VM 可以使用常見的 AD DS 功能,例如加入網域、組策略、LDAP 和 Kerberos/NTLM 驗證。

在具有內部部署 AD DS 環境的混合式環境中,Microsoft Entra Connect 會將身分識別資訊與Microsoft Entra ID 同步處理,然後同步處理至受控網域。

Microsoft Entra Domain Services 中的同步處理 使用 AD Connect 與 Microsoft Entra ID 和內部部署 AD DS 進行同步

Domain Services 會從 Microsoft Entra ID 複寫身份資訊,因此它適用於僅限雲端或與內部部署 AD DS 環境同步的 Microsoft Entra 租戶。 這兩個環境都有相同的一組 Domain Services 功能。

  • 如果您有現有的內部部署 AD DS 環境,您可以同步處理使用者帳戶資訊,為使用者提供一致的身分識別。 若要深入瞭解,請參閱 如何在受控網域中同步處理對象和認證
  • 針對僅限雲端的環境,您不需要傳統的內部部署 AD DS 環境,即可使用 Domain Services 的集中式身分識別服務。

您可以擴展受控網域,讓每個 Microsoft Entra 租戶擁有多個副本集。 複製集可以新增至支援網域服務的任何 Azure 區域中的任何對接的虛擬網路。 藉由在不同的 Azure 區域中新增副本集,您可以在 Azure 區域離線時,為舊版應用程式提供地理災害復原。 如需詳細資訊,請參閱 受管理網域的複本集概念和功能

觀看這段影片,瞭解 Domain Services 如何與您的應用程式和工作負載整合,以提供雲端中的身分識別服務:


若要查看作用中的 Domain Services 部署案例,您可以探索下列範例:

Domain Services 功能和優點

為了為雲端中的應用程式和 VM 提供身分識別服務,Domain Services 與傳統 AD DS 環境完全相容,適用於加入網域、安全 LDAP(LDAPS)、組策略、DNS 管理和 LDAP 系結和讀取支援等作業。 LDAP 寫入支援適用於在受控網域中建立的物件,但不適用於從 Microsoft Entra ID 同步處理的資源。

若要深入瞭解您的身分識別選項,比較 Domain Services 與 Microsoft Entra ID、Azure VM 上的 AD DS,以及內部部署 AD DS

Domain Services 的下列功能可簡化部署和管理作業:

  • 簡化的部署體驗: Domain Services 會使用 Microsoft Entra 系統管理中心的單一精靈,為您的 Microsoft Entra 租用戶啟用。
  • 結合 Microsoft Entra 身分識別: 用戶帳戶、群組成員資格和憑證會自動從您的 Microsoft Entra 租戶取得。 來自於您的 Microsoft Entra 租戶或內部部署 AD DS 環境的新使用者、群組或屬性變更,會自動同步至 Domain Services。
    • 與您 Microsoft Entra ID 相關聯的外部目錄中的帳戶在網域服務中不可用。 這些外部目錄無法使用認證,因此無法同步處理至受控網域。
  • 使用您的公司認證/密碼:網域服務中使用者 密碼與您Microsoft Entra 租使用者中的密碼相同。 使用者可以使用其公司認證來加入網域的計算機、以互動方式登入或透過遠端桌面登入,以及針對受控網域進行驗證。
  • NTLM 和 Kerberos 驗證: 支援 NTLM 和 Kerberos 驗證,您可以部署依賴 Windows 整合式驗證的應用程式。
  • 高可用性: Domain Services 包含多個域控制器,可為受控網域提供高可用性。 高可用性可保證服務運行時間和抵抗故障的能力。
    • 在支援 Azure 可用性區域的地區中,這些域控制器也會在不同區域內分散,以取得額外的復原能力。
    • 複本集 也可以在 Azure 區域離線時,為舊版應用程式提供地理災害復原。

受控網域的一些重要層面包括下列各項:

  • 受控網域是獨立網域。 這不是內部部署網域的延伸模組。
    • 如有需要,您可以建立從 Domain Services 到內部部署 AD DS 環境的單向外部樹系信任。 如需詳細資訊,請參閱 Domain Services的樹系概念和功能。
  • 您的 IT 小組不需要管理、修補或監視此受控網域的域控制器。

對於在內部部署執行 AD DS 的混合式環境,您不需要管理 AD 到受控網域的複寫。 來自內部部署目錄的用戶帳戶、群組成員資格和認證會透過 Microsoft Entra Connect同步至 Microsoft Entra ID。 這些用戶帳戶、群組成員資格和認證會自動在受控網域內使用。

後續步驟

若要深入瞭解 Domain Services 與其他身分識別解決方案的比較,以及同步處理的運作方式,請參閱下列文章:

若要開始使用,使用 Microsoft Entra 系統管理中心建立受控網域。