Porovnání samoobslužně spravovaných Active Directory Domain Services, Azure Active Directory a spravovaných Azure Active Directory Domain Services

Pokud chcete aplikacím, službám nebo zařízením poskytnout přístup k centrální identitě, existují tři běžné způsoby použití služeb založených na Active Directory v Azure. Tato volba v řešeních identit vám dává flexibilitu při používání nejvhodnějšího adresáře pro potřeby vaší organizace. Pokud například většinou spravujete jenom cloudové uživatele, kteří spouštějí mobilní zařízení, nemusí mít smysl vytvářet a spouštět vlastní řešení identit Active Directory Domain Services (AD DS). Místo toho můžete použít pouze Azure Active Directory.

I když tato tři řešení identit založená na Active Directory sdílejí společný název a technologii, jsou navržená tak, aby poskytovala služby, které splňují různé požadavky zákazníků. Na nejvyšší úrovni jsou tato řešení identit a sady funkcí:

  • Active Directory Domain Services (AD DS) – server LDAP (Lightweight Directory Access Protocol) připravený pro Enterprise, který poskytuje klíčové funkce, jako je identita a ověřování, správa objektů počítače, zásady skupiny a vztahy důvěryhodnosti.
  • Azure Active Directory (Azure AD) – cloudová správa identit a mobilních zařízení, která poskytuje uživatelské účty a ověřovací služby pro prostředky, jako jsou Microsoft 365, Azure Portal nebo aplikace SaaS.
    • Azure AD se může synchronizovat s místním prostředím SLUŽBY AD DS a poskytnout tak uživatelům jedinou identitu, která funguje nativně v cloudu.
    • Další informace o Službě Azure AD najdete v tématu Co je Azure Active Directory?
  • Azure Active Directory Domain Services (Azure AD DS) – Poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování kerberos/NTLM.
    • Azure AD DS se integruje se službou Azure AD, která se může synchronizovat s místním prostředím AD DS. Tato schopnost rozšiřuje centrální případy použití identity na tradiční webové aplikace, které běží v Azure jako součást strategie "lift and shift".
    • Další informace o synchronizaci s Azure AD a místním prostředím najdete v tématu Synchronizace objektů a přihlašovacích údajů ve spravované doméně.

Tento článek s přehledem porovnává, jak tato řešení identit mohou spolupracovat nebo se budou používat nezávisle v závislosti na potřebách vaší organizace.

Azure AD DS a samoobslužně spravovaná služba AD DS

Pokud máte aplikace a služby, které potřebují přístup k tradičním mechanismům ověřování, jako je Kerberos nebo NTLM, existují dva způsoby, jak Active Directory Domain Services v cloudu:

  • Spravovaná doména, kterou vytvoříte pomocí Azure Active Directory Domain Services (Azure AD DS). Microsoft vytváří a spravuje požadované prostředky.
  • Doména spravovaná vlastními prostředky, kterou vytvoříte a nakonfigurujete pomocí tradičních prostředků, jako jsou virtuální počítače, hostované operační systémy Windows Serveru a Active Directory Domain Services (AD DS). Tyto prostředky pak budete dál spravovat.

Díky Azure AD DS microsoft nasazovat a udržovat základní komponenty služby jako spravované prostředí domény. Infrastrukturu služby AD DS nasazujete, nespravujete, neopravujete ani nezabezpečíte pro komponenty, jako jsou virtuální počítače, Windows Server nebo řadiče domény.

Azure AD DS poskytuje menší podmnožinu funkcí tradičního samoobslužně spravovaného prostředí AD DS, což snižuje složitost návrhu a správy. Pro návrh a údržbu například neexistují žádné doménové struktury ad, domény, lokality a replikační odkazy. Stále můžete vytvářet vztahy důvěryhodnosti doménové struktury Azure AD DS a místními prostředími.

Pro aplikace a služby, které běží v cloudu a potřebují přístup k tradičním mechanismům ověřování, jako je Kerberos nebo NTLM, poskytuje Azure AD DS prostředí spravované domény s minimální režií na správu. Další informace najdete v tématu Koncepty správy uživatelských účtů, hesel a správy v Azure AD DS.

Když nasazujete a spustíte samoobslužné prostředí SLUŽBY AD DS, musíte udržovat všechny přidružené součásti infrastruktury a adresáře. Prostředí SLUŽBY AD DS má další režijní náklady na údržbu, ale pak můžete provádět další úlohy, jako je rozšíření schématu nebo vytvoření vztahu důvěryhodnosti doménové struktury.

Mezi běžné modely nasazení pro samoobslužně spravované prostředí AD DS, které poskytuje identitu aplikacím a službám v cloudu, patří:

  • Samostatná cloudová služba AD DS – Virtuální počítače Azure jsou nakonfigurované jako řadiče domény a vytvoří se samostatné cloudové prostředí AD DS. Toto prostředí služby AD DS se ne integruje s místním prostředím služby AD DS. K přihlášení a správě virtuálních počítače v cloudu se používá jiná sada přihlašovacích údajů.
  • Nasazení doménové struktury prostředků – Virtuální počítače Azure jsou nakonfigurované jako řadiče domény a vytvoří se doména AD DS, která je součástí existující doménové struktury. Vztah důvěryhodnosti se pak konfiguruje pro místní prostředí AD DS. Ostatní virtuální počítače Azure se mohou připojit k doméně této doménové struktury prostředků v cloudu. Ověřování uživatelů probíhá přes připojení VPN nebo ExpressRoute k místnímu prostředí AD DS.
  • Rozšíření místní domény do Azure – virtuální síť Azure se připojuje k místní síti pomocí připojení VPN nebo ExpressRoute. Virtuální počítače Azure se připojují k této virtuální síti Azure, což jim umožňuje připojení k doméně k místnímu prostředí AD DS.
    • Alternativou je vytvořit virtuální počítače Azure a povýšit je jako řadiče domény repliky z místní domény AD DS. Tyto řadiče domény se replikují přes připojení VPN nebo ExpressRoute do místního prostředí AD DS. Místní doména AD DS se efektivně rozšiřuje do Azure.

Následující tabulka uvádí některé funkce, které může vaše organizace potřebovat, a rozdíly mezi spravovanou doménou služby Azure AD DS nebo doménou služby AD DS spravovanou své vlastní:

Funkce Azure AD DS Samoobslužná služba AD DS
Spravovaná služba
Zabezpečená nasazení Správce zabezpečuje nasazení.
Server DNS : (spravovaná služba)
Oprávnění správce Enterprise domény nebo správce
Připojení k doméně
Ověřování domény pomocí protokolu NTLM a Kerberos
Omezené delegování protokolu Kerberos Na základě prostředků Založené na účtech & založených na prostředku
Vlastní struktura organizačních ou
Zásady skupiny
Rozšíření schématu
Vztahy důvěryhodnosti domény nebo doménové struktury AD : (pouze vztahy důvěryhodnosti odchozí doménové struktury)
Zabezpečený LDAP (LDAPS)
Čtení protokolu LDAP
Zápis protokolu LDAP : (v rámci spravované domény)
Geograficky distribuovaná nasazení

Azure AD DS a Azure AD

Azure AD umožňuje spravovat identitu zařízení používaných organizací a řídit přístup k podnikovým prostředkům z těchto zařízení. Uživatelé si také mohou zaregistrovat své osobní zařízení (model by-your-own, BYO) ve službě Azure AD, která zařízení poskytuje identitu. Azure AD pak ověří zařízení, když se uživatel přihlásí k Azure AD a použije ho pro přístup k zabezpečeným prostředkům. Zařízení je možné spravovat pomocí softwaru Mobile Správa zařízení (MDM), jako je Microsoft Intune. Tato možnost správy umožňuje omezit přístup k citlivým prostředkům na spravovaná zařízení splňující zásady.

Tradiční počítače a přenosné počítače se také mohou připojit ke službě Azure AD. Tento mechanismus nabízí stejné výhody registrace osobního zařízení ve službě Azure AD, například umožňuje uživatelům přihlásit se k zařízení pomocí podnikových přihlašovacích údajů.

Zařízení připojená k Azure AD poskytují následující výhody:

  • Jednotné přihlašování k aplikacím zabezpečeným službou Azure AD
  • Enterprise na zařízeních roaming uživatelských nastavení dodržující zásady.
  • Přístup k Windows Store pro firmy pomocí podnikových přihlašovacích údajů.
  • Windows Hello pro firmy.
  • Omezený přístup k aplikacím a prostředkům ze zařízení vyhovujících firemním zásadám

Zařízení je možné k Azure AD spojit s hybridním nasazením, které zahrnuje místní prostředí AD DS, nebo bez něj. Následující tabulka popisuje běžné modely vlastnictví zařízení a způsob, jakým by se obvykle připojily k doméně:

Typ zařízení Platformy zařízení Mechanismus
Osobní zařízení Windows 10, iOS, Android, macOS Registrováno v Azure AD
Zařízení vlastněné organizací, které není připojené k místní službě AD DS Windows 10 Připojení ke službě Azure AD
Zařízení vlastněné organizací připojené k místní službě AD DS Windows 10 Připojení k hybridní službě Azure AD

Na zařízení připojeném k Azure AD nebo zaregistrovaných zařízeních se ověřování uživatelů děje pomocí moderních protokolů OAuth nebo OpenID Připojení protokolů. Tyto protokoly jsou navržené tak, aby fungovaly přes internet, takže jsou skvělé pro mobilní scénáře, kdy uživatelé přistupuje k podnikovým prostředkům odkudkoli.

U Azure AD DS připojených k síti mohou aplikace k ověřování používat protokoly Kerberos a NTLM, takže mohou podporovat starší verze aplikací migrovaných tak, aby se spouštěly na virtuálních počítači Azure v rámci strategie "lift and shift". Následující tabulka popisuje rozdíly v tom, jak jsou zařízení reprezentována, a může se ověřit vůči adresáři:

Aspekt Připojeno ke službě Azure AD Azure AD DS připojeno
Zařízení řízené Azure AD Azure AD DS spravované domény
Reprezentace v adresáři Objekty zařízení v adresáři Azure AD Objekty počítačů ve Azure AD DS spravované doméně
Authentication Protokoly založené na Připojení OAuth nebo OpenID Protokoly Kerberos a NTLM
Správa Mobilní Správa zařízení (MDM), jako je Intune Zásady skupiny
Sítě Funguje přes internet. Musí být připojený k virtuální síti, ve které je nasazená spravovaná doména, nebo s ním mít partnerský vztah.
Skvělé pro... Mobilní nebo desktopová zařízení koncových uživatelů Serverové virtuální počítače nasazené v Azure

Pokud jsou pro federované ověřování pomocí ADFS nakonfigurované služby AD DS a Azure AD, v Azure DS není k dispozici žádná (aktuální/platná) hodnota hash hesla. Uživatelské účty Azure AD vytvořené před implementačním ověřováním fed můžou mít starou hodnotu hash hesla, ale pravděpodobně se neshodují s hodnotou hash jejich hesla. Proto Azure AD DS nebudou moct ověřit přihlašovací údaje uživatelů.

Další kroky

Pokud chcete začít s používáním Azure AD DS, vytvořte Azure AD DS doménu pomocí Azure Portal.

Další informace o konceptech správy uživatelských účtů, hesel a správy najdete v tématu Azure AD DS a o tom, jak se objekty a přihlašovací údaje synchronizují ve spravované doméně.