Porovnání samoobslužných služeb Doména služby Active Directory Services, MICROSOFT Entra ID a spravovaných služeb Microsoft Entra Domain Services
Aby bylo možné poskytovat aplikace, služby nebo zařízení přístup k centrální identitě, existují tři běžné způsoby použití služeb založených na Active Directory v Azure. Tato volba v řešeních identit vám dává flexibilitu používat nejvhodnější adresář pro potřeby vaší organizace. Pokud například většinou spravujete výhradně cloudové uživatele, kteří používají mobilní zařízení, nemusí mít smysl sestavovat a spouštět vlastní řešení identit Doména služby Active Directory Services (AD DS). Místo toho byste mohli použít id Microsoft Entra.
I když tři řešení identit založená na Active Directory sdílejí společný název a technologii, jsou navržená tak, aby poskytovala služby, které splňují různé požadavky zákazníků. Na vysoké úrovni jsou tato řešení identit a sady funkcí:
- Doména služby Active Directory Services (AD DS) – server LDAP (Lightweight Directory Access Protocol) připravený pro podniky, který poskytuje klíčové funkce, jako je identita a ověřování, správa objektů počítače, zásady skupiny a vztahy důvěryhodnosti.
- SLUŽBA AD DS je ústřední komponentou v mnoha organizacích s místním IT prostředím a poskytuje základní funkce ověřování uživatelských účtů a správy počítačů.
- Další informace naleznete v tématu Doména služby Active Directory Services přehled v dokumentaci k Systému Windows Server.
- Microsoft Entra ID – Cloudová identita a správa mobilních zařízení, které poskytují uživatelské účty a ověřovací služby pro prostředky, jako jsou Microsoft 365, Centrum pro správu Microsoft Entra nebo aplikace SaaS.
- Microsoft Entra ID je možné synchronizovat s místním prostředím služby AD DS a poskytnout tak uživatelům jedinou identitu, která funguje nativně v cloudu.
- Další informace o Microsoft Entra ID naleznete v tématu Co je Microsoft Entra ID?
- Microsoft Entra Domain Services – poskytuje spravované doménové služby s podmnožinou plně kompatibilních tradičních funkcí služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos / NTLM.
- Domain Services se integruje s ID Microsoft Entra, které se může synchronizovat s místním prostředím AD DS. Tato schopnost rozšiřuje případy použití centrální identity na tradiční webové aplikace, které běží v Azure jako součást strategie "lift and shift".
- Další informace o synchronizaci s MICROSOFT Entra ID a místním prostředím najdete v tématu Jak se objekty a přihlašovací údaje synchronizují ve spravované doméně.
Tento článek s přehledem porovnává a kontrastuje, jak tato řešení identit můžou spolupracovat nebo by se používala nezávisle v závislosti na potřebách vaší organizace.
Domain Services a samoobslužná služba AD DS
Pokud máte aplikace a služby, které potřebují přístup k tradičním mechanismům ověřování, jako je Kerberos nebo NTLM, existují dva způsoby, jak poskytovat služby Doména služby Active Directory v cloudu:
- Spravovaná doména , kterou vytvoříte pomocí služby Microsoft Entra Domain Services. Microsoft vytváří a spravuje požadované prostředky.
- Automaticky spravovaná doména, kterou vytvoříte a nakonfigurujete pomocí tradičních prostředků, jako jsou virtuální počítače, hostovaný operační systém Windows Serveru a Doména služby Active Directory Services (AD DS). Tyto prostředky pak budete dál spravovat.
Se službou Domain Services se základní součásti služby nasazují a spravují za vás microsoftem jako spravované prostředí domény. Nenasazujete, spravujete, opravujete a zabezpečujete infrastrukturu služby AD DS pro komponenty, jako jsou virtuální počítače, operační systém Windows Server nebo řadiče domény.
Služba Domain Services poskytuje menší podmnožinu funkcí pro tradiční prostředí AD DS spravovanou vlastním systémem, což snižuje některé složitosti návrhu a správy. Například neexistují žádné doménové struktury AD, domény, lokality a odkazy replikace pro návrh a údržbu. Stále můžete vytvářet vztahy důvěryhodnosti doménové struktury mezi Domain Services a místními prostředími.
Pro aplikace a služby, které běží v cloudu a potřebují přístup k tradičním mechanismům ověřování, jako je Kerberos nebo NTLM, poskytuje Služba Domain Services spravované prostředí domény s minimální režií na správu. Další informace najdete v tématu Koncepty správy uživatelských účtů, hesel a správy ve službě Domain Services.
Když nasadíte a spustíte samoobslužné prostředí SLUŽBY AD DS, musíte udržovat všechny přidružené součásti infrastruktury a adresáře. S prostředím AD DS, které spravuje svépomocí, jsou další režijní náklady na údržbu, ale pak můžete provádět další úlohy, jako je rozšíření schématu nebo vytvoření vztahů důvěryhodnosti doménové struktury.
Mezi běžné modely nasazení pro prostředí AD DS, které poskytuje identitu aplikacím a službám v cloudu, patří:
- Samostatná cloudová služba AD DS – Virtuální počítače Azure se konfigurují jako řadiče domény a vytvoří se samostatné prostředí AD DS jen pro cloud. Toto prostředí služby AD DS se neintegruje s místním prostředím služby AD DS. K přihlášení a správě virtuálních počítačů v cloudu se používá jiná sada přihlašovacích údajů.
- Rozšíření místní domény do Azure – Virtuální síť Azure se připojuje k místní síti pomocí připojení VPN nebo ExpressRoute. Virtuální počítače Azure se připojují k této virtuální síti Azure, což jim umožňuje připojit se k místnímu prostředí SLUŽBY AD DS.
- Alternativou je vytvoření virtuálních počítačů Azure a jejich zvýšení úrovně jako repliky řadičů domény z místní domény AD DS. Tyto řadiče domény se replikují přes připojení VPN nebo ExpressRoute k místnímu prostředí SLUŽBY AD DS. Místní doména AD DS se efektivně rozšiřuje do Azure.
Následující tabulka popisuje některé z funkcí, které může vaše organizace potřebovat, a rozdíly mezi spravovanou doménou nebo doménou služby AD DS, kterou spravujete sami:
Funkce | Spravovaná doména | Samoobslužná správa AD DS |
---|---|---|
Spravovaná služba | ✓ | ✕ |
Zabezpečená nasazení | ✓ | Správa istrator zabezpečuje nasazení. |
Server DNS | – (spravovaná služba) | ✓ |
Oprávnění správce domény nebo podniku | ✕ | ✓ |
Připojení k doméně | ✓ | ✓ |
Ověřování domén pomocí protokolů NTLM a Kerberos | ✓ | ✓ |
Omezené delegování kerberos | Založené na prostředcích | Založené na prostředcích a na základě účtu |
Vlastní struktura organizační jednotky | ✓ | ✓ |
Zásady skupiny | ✓ | ✓ |
Rozšíření schématu | ✕ | ✓ |
Doména AD / vztahy důvěryhodnosti doménové struktury | – (pouze jednosměrné vztahy důvěryhodnosti odchozích doménových struktur) | ✓ |
Secure LDAP (LDAPS) | ✓ | ✓ |
Čtení protokolu LDAP | ✓ | ✓ |
Zápis protokolu LDAP | – (v rámci spravované domény) | ✓ |
Geograficky distribuovaná nasazení | ✓ | ✓ |
Domain Services a MICROSOFT Entra ID
Microsoft Entra ID umožňuje spravovat identitu zařízení používaných organizací a řídit přístup k podnikovým prostředkům z těchto zařízení. Uživatelé si můžou také zaregistrovat svoje osobní zařízení (model BYO) s ID Microsoft Entra, které zařízení poskytuje identitu. Microsoft Entra ID pak ověří zařízení, když se uživatel přihlásí k Microsoft Entra ID a použije zařízení pro přístup k zabezpečeným prostředkům. Zařízení je možné spravovat pomocí softwaru Mobile Správa zařízení (MDM), jako je Microsoft Intune. Tato možnost správy umožňuje omezit přístup k citlivým prostředkům na spravovaná zařízení a zařízení dodržující zásady.
Tradiční počítače a přenosné počítače se také můžou připojit k Microsoft Entra ID. Tento mechanismus nabízí stejné výhody registrace osobního zařízení v Microsoft Entra ID, například umožnit uživatelům přihlásit se k zařízení pomocí firemních přihlašovacích údajů.
Zařízení připojená k Microsoft Entra poskytují následující výhody:
- Jednotné přihlašování k aplikacím zabezpečeným pomocí Microsoft Entra ID.
- Roaming uživatelských nastavení kompatibilních s podnikovými zásadami napříč zařízeními
- Přístup k Windows Storu pro firmy pomocí podnikových přihlašovacích údajů
- Windows Hello pro firmy.
- Omezený přístup k aplikacím a prostředkům ze zařízení kompatibilních s podnikovými zásadami.
Zařízení se dají připojit k Microsoft Entra ID s hybridním nasazením, které zahrnuje místní prostředí SLUŽBY AD DS nebo bez ní. Následující tabulka popisuje běžné modely vlastnictví zařízení a způsob jejich připojení k doméně:
Typ zařízení | Platformy zařízení | Mechanismus |
---|---|---|
Osobní zařízení | Windows 10, iOS, Android, macOS | Registrace k Microsoft Entra |
Zařízení vlastněné organizací není připojené k místní službě AD DS | Windows 10 | Připojení k Microsoft Entra |
Zařízení vlastněné organizací připojené k místní službě AD DS | Windows 10 | Hybridní připojení k Microsoft Entra |
Na zařízení připojeném k Microsoft Entra nebo registrovaném zařízení probíhá ověřování uživatelů pomocí moderních protokolů založených na OAuth / OpenID Připojení. Tyto protokoly jsou navržené tak, aby fungovaly přes internet, takže jsou skvělé pro mobilní scénáře, ve kterých uživatelé přistupují k podnikovým prostředkům odkudkoli.
U zařízení připojených ke službě Domain Services můžou aplikace k ověřování používat protokoly Kerberos a NTLM, takže můžou podporovat starší aplikace migrované tak, aby běžely na virtuálních počítačích Azure jako součást strategie "lift and shift". Následující tabulka popisuje rozdíly v tom, jak jsou zařízení reprezentována a mohou se ověřovat v adresáři:
Aspekt | Připojení k Microsoft Entra | Připojené ke službě Domain Services |
---|---|---|
Zařízení řízené pomocí | Microsoft Entra ID | Spravovaná doména služby Domain Services |
Reprezentace v adresáři | Objekty zařízení v adresáři Microsoft Entra | Objekty počítače ve spravované doméně Domain Services |
Ověřování | Protokoly založené na OAuth / OpenID Připojení | Protokoly Kerberos a NTLM |
Správa | Software pro mobilní Správa zařízení (MDM), jako je Intune | Zásady skupiny |
Sítě | Funguje přes internet | Musí se připojit k virtuální síti, do které je nasazená spravovaná doména, nebo se s ním připojit partnerský vztah. |
Skvělé pro... | Mobilní nebo desktopová zařízení koncového uživatele | Serverové virtuální počítače nasazené v Azure |
Pokud jsou místní služba AD DS a Microsoft Entra ID nakonfigurované pro federované ověřování pomocí služby AD FS, není v Azure DS k dispozici žádná (aktuální/platná) hodnota hash hesla. Uživatelské účty Microsoft Entra vytvořené před implementací ověření fedu můžou mít starou hodnotu hash hesel, ale pravděpodobně neodpovídá hodnotě hash místních hesel. V důsledku toho nebude služba Domain Services moct ověřit přihlašovací údaje uživatelů.
Další kroky
Pokud chcete začít používat službu Domain Services, vytvořte spravovanou doménu služby Domain Services pomocí Centra pro správu Microsoft Entra.
Další informace o konceptech správy pro uživatelské účty, hesla a správu najdete ve službě Domain Services a o tom, jak se objekty a přihlašovací údaje synchronizují ve spravované doméně.