دمج مجالات التطبيق المحلية مع Microsoft Azure AD

تقارن هذه المقالة بين الخيارات لتكامل بيئة Active Directory المحلية الخاصة بك مع شبكة Azure. لكل خيار، تتوفر بنية مرجعية أكثر تفصيلاً.

تستخدم العديد من المؤسسات خدمات مجال Active Directory (AD DS) لمصادقة الهويات المقترنة بالمستخدمين أو أجهزة الكمبيوتر أو التطبيقات أو الموارد الأخرى المضمنة في حدود الأمان. عادة ما تتم استضافة خدمات الدليل والهوية محلياً، ولكن إذا كان التطبيق الخاص بك مستضافاً محلياً بشكل جزئي ومستضافًا بشكل جزئي في Azure، فقد يكون هناك زمن انتقال يرسل طلبات المصادقة من Azure مرة أخرى إلى أماكن العمل. يمكن أن يقلل تنفيذ خدمات الدليل والهوية في Azure من زمن الانتقال هذا.

يوفر Azure حلين لتنفيذ خدمات الدليل والهوية في Azure:

• استخدم معرف Microsoft Entra لإنشاء مجال Active Directory في السحابة وتوصيله بمجال Active Directory محلي. يدمج Microsoft Entra الاتصال الدلائل المحلية مع معرف Microsoft Entra.

• قم بتوسيع البنية الأساسية الحالية لـ Active Directory المحلي إلى Azure، من خلال توزيع جهاز ظاهري في Azure يقوم بتشغيل AD DS كوحدة تحكم بالمجال. يتم استخدام هذه البنية بشكل شائع عندما تكون الشبكة المحلية وشبكة Azure الظاهرية متصلة بشبكة ظاهرية خاصة (VPN) أو اتصال ExpressRoute. هناك العديد من الاختلافات في هذه البنية ممكنة:

  • إنشاء مجال في Azure وضمه إلى تفرع AD المحلي.
  • قم بإنشاء مجموعة منفصلة في Azure تثق بها المجالات في مجموعة التفرعات المحلية الخاصة بك.
  • قم بإجراء نسخ متماثل لتوزيع خدمات الأمان المشترك لـ Active Directory (AD FS) إلى Azure.

تصف الأقسام التالية كل خيار من هذه الخيارات بمزيد من التفصيل.

دمج المجالات المحلية مع معرف Microsoft Entra

استخدم معرف Microsoft Entra لإنشاء مجال في Azure وربطه بمجال AD محلي.

دليل Microsoft Entra ليس ملحقا لدليل محلي. بل هو نسخة تحتوي على نفس العناصر والهويات. يتم نسخ التغييرات التي تم إجراؤها على هذه العناصر المحلية إلى معرف Microsoft Entra، ولكن لا يتم نسخ التغييرات التي تم إجراؤها في معرف Microsoft Entra مرة أخرى إلى المجال المحلي.

يمكنك أيضا استخدام معرف Microsoft Entra دون استخدام دليل محلي. في هذه الحالة، يعمل معرف Microsoft Entra كمصدر أساسي لجميع معلومات الهوية، بدلا من أن يحتوي على بيانات منسوخة نسخا متماثلا من دليل محلي.

المزايا‬

• لا تحتاج إلى الحفاظ على بنية AD أساسية في السحابة. تتم إدارة معرف Microsoft Entra بالكامل وصيانته بواسطة Microsoft.
• يوفر معرف Microsoft Entra نفس معلومات الهوية المتوفرة محليا.
• يمكن أن تحدث المصادقة في Azure، ما يقلل من الحاجة إلى التطبيقات الخارجية والمستخدمين للاتصال بالمجال المحلي.

التحديات

• يجب تكوين الاتصال بالمجال المحلي للحفاظ على مزامنة دليل Microsoft Entra.
• قد تحتاج التطبيقات إلى إعادة الكتابة لتمكين المصادقة من خلال معرف Microsoft Entra.
• إذا كنت ترغب في مصادقة حسابات الخدمة والكمبيوتر، يتعين عليك أيضا نشر Microsoft Entra Domain Services.

هندسة مرجعية

• دمج مجالات Active Directory محلي مع معرف Microsoft Entra

انضم AD DS في Azure إلى تفرع محلي

توزيع خوادم خدمات مجال AD (AD DS) إلى Azure. إنشاء مجال في Azure وضمه إلى تفرع AD المحلي.

ضع في اعتبارك هذا الخيار إذا كنت بحاجة إلى استخدام ميزات AD DS التي لا يتم تنفيذها حاليا بواسطة معرف Microsoft Entra.

المزايا‬

• يوفر الوصول إلى نفس معلومات الهوية المتوفرة محلياً.
• يمكنك مصادقة حسابات المستخدمين والخدمة والكمبيوتر محلياً وفي Azure.
• لا تحتاج إلى إدارة تفرع AD منفصلة. يمكن أن ينتمي المجال في Azure إلى التفرع المحلي.
• يمكنك تطبيق نهج المجموعة المحدد بواسطة عناصر نهج المجموعة المحلية على المجال في Azure.

التحديات

• يجب توزيع وإدارة خوادم AD DS الخاصة بك والمجال في السحابة.
• قد يكون هناك بعض زمن انتقال المزامنة بين خوادم المجال في السحابة والخوادم التي تعمل محلياً.

هندسة مرجعية

• توسيع خدمات مجال Active Directory (AD DS) إلى Azure

AD DS في Azure مع تفرع منفصل

قم بتوزيع خوادم خدمات مجال AD (AD DS) إلى Azure، ولكن أنشئ تفرع Active Directory منفصلاً عن التفرع المحلي. هذا التفرع موثوق بها من قبل المجالات في التفرع المحلي المتوفر لديك.

تشمل الاستخدامات النموذجية لهذه البنية الحفاظ على فصل الأمان للعناصر والهويات المحفوظة في السحابة، وترحيل المجالات الفردية من أماكن العمل إلى السحابة.

المزايا‬

• يمكنك تنفيذ الهويات المحلية وفصل هويات Azure فقط.
• لا تحتاج إلى النسخ المتماثل من تفرع AD المحلي إلى Azure.

التحديات

• تتطلب المصادقة داخل Azure للهويات المحلية قفزات إضافية للشبكة إلى خوادم AD المحلية.
• يجب توزيع خوادم AD DS الخاصة بك والتفرعات في السحابة، وإنشاء علاقات الثقة المناسبة بين التفرعات.

هندسة مرجعية

• قم بإنشاء مجموعة موارد لخدمات مجال Active Directory (AD DS) في Azure

توسيع AD FS إلى Azure

نسخ توزيع خدمات الأمان المشترك لـ Active Directory (AD FS) إلى Azure، لإجراء المصادقة الموحدة والتخويل للمكونات التي تعمل في Azure.

الاستخدامات النموذجية لهذه البنية:

• مصادقة المستخدمين وتخويلهم من المؤسسات الشريكة.
• السماح للمستخدمين بالمصادقة من مستعرضات الويب التي تعمل خارج جدار الحماية التنظيمي.
• السماح للمستخدمين بالاتصال من الأجهزة الخارجية المعتمدة، مثل الأجهزة المحمولة.

المزايا‬

• يمكنك الاستفادة من التطبيقات المدركة للمطالبات.
• يوفر القدرة على الثقة بالشركاء الخارجيين للمصادقة.
• التوافق مع مجموعة كبيرة من بروتوكولات المصادقة.

التحديات

• يجب عليك توزيع خوادم AD DS وخدمات الأمان المشترك لـ AD FS وWeb Application Proxy الخاصة بك في Azure.
• يمكن أن تكون هذه البنية معقدة للتكوين.

هندسة مرجعية

• توسيع خدمات الأمان المشترك لـ Active Directory (AD FS) إلى Azure