Bereitstellen und Verwalten von Microsoft Entra Domain Services für Azure Cloud Solution Providers
Azure Cloud Solutions Providers (CSP) ist ein Programm für Microsoft-Partner und stellt einen Lizenzkanal für verschiedene Microsoft-Clouddienste bereit. Mit Azure CSP können Partner den Vertrieb steuern, Kunden die jeweilige Nutzung in Rechnung stellen, technischen Support und Abrechnungssupport bieten und als einziger Ansprechpartner des Kunden fungieren. Darüber hinaus bietet Azure CSP eine vollständige Sammlung von Tools, z.B. ein Self-Service-Portal und zugehörige APIs. Mit diesen Tools können CSP-Partner auf einfache Weise Azure-Ressourcen bereitstellen und verwalten sowie Abrechnungsfunktionen für Kunden und ihre Abonnements bereitstellen.
Das Partner Center-Portal ist der Einstiegspunkt für alle Azure CSP-Partner und bietet umfassende Funktionen für die Kundenverwaltung, automatisierte Verarbeitung und vieles mehr. Azure CSP-Partner können die Partner Center-Funktionen über eine webbasierte Benutzeroberfläche oder mithilfe von PowerShell und verschiedenen API-Aufrufen verwenden.
Die folgende Abbildung veranschaulicht die Funktionsweise des CSP-Modells auf Übersichtsebene. Hier verfügt Contoso über einen Microsoft Entra-Mandanten. Das Unternehmen hat eine Partnerschaft mit einem CSP, der Ressourcen in seinem Azure CSP-Abonnement bereitstellt und verwaltet. Contoso verfügt möglicherweise auch über reguläre (direkte) Azure-Abonnements, die Contoso direkt in Rechnung gestellt werden.
Der Mandant des CSP-Partners verwendet drei spezielle Agent-Gruppen: Administrator-Agents, Helpdesk-Agents und Vertriebs-Agents.
Der Gruppe „Administrator-Agents“ wird die Mandantenadministratorrolle im Microsoft Entra-Mandanten von Contoso zugewiesen. Daher verfügt ein Benutzer, der zur Gruppe „Administrator-Agents“ des CSP-Partners gehört, über Mandantenadministratorrechte im Microsoft Entra-Mandanten von Contoso.
Wenn der CSP-Partner ein Azure CSP-Abonnement für Contoso bereitstellt, wird der Gruppe der Administrator-Agents die Besitzerrolle für dieses Abonnement zugewiesen. Daher verfügen die Administrator-Agents des CSP-Partners über die erforderlichen Berechtigungen zum Bereitstellen von Azure-Ressourcen wie virtuellen Computern, virtuellen Netzwerken und Microsoft Entra Domain Services im Auftrag von Contoso.
Weitere Informationen finden Sie in der Übersicht zu Azure CSP.
Vorteile der Verwendung von Domain Services in einem Azure CSP-Abonnement
Microsoft Entra Domain Services (Microsoft Entra DS) stellt verwaltete Domänendienste bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos-/NTLM-Authentifizierung, die mit Windows Server Active Directory Domain Services vollständig kompatibel sind. Im Laufe der Jahrzehnte wurden viele Anwendungen erstellt, die mit diesen Funktionen in AD zusammenarbeiten. Viele unabhängige Softwarehersteller (ISVs) haben Anwendungen vor Ort bei ihren Kunden erstellt und bereitgestellt. Diese Anwendungen sind schwer zu unterstützen, da dies oft den Zugriff auf die verschiedenen Umgebungen erfordert, in denen diese Anwendungen bereitgestellt werden. Mit Azure CSP-Abonnements haben Sie eine einfachere Alternative mit der Skalierung und Flexibilität von Azure.
Domain Services unterstützt Azure CSP-Abonnements. Sie können Ihre Anwendung in einem Azure CSP-Abonnement bereitstellen, das an den Microsoft Entra-Mandanten Ihres Kunden gebunden ist. Auf diese Weise können Ihre Mitarbeiter (Supportpersonal) die virtuellen Computer, auf denen Ihre Anwendung bereitgestellt wird, mit den Anmeldeinformationen Ihres Unternehmens verwalten, pflegen und warten.
Sie können auch eine verwaltete Domain Services-Domäne im Microsoft Entra Mandanten Ihres Kunden bereitstellen. Ihre Anwendung wird dann mit der verwalteten Domäne Ihres Kunden verbunden. Funktionen innerhalb Ihrer Anwendung, die auf Kerberos/NTLM, LDAP oder die System.DirectoryServices-API angewiesen sind, arbeiten nahtlos mit der Domäne Ihres Kunden zusammen. Ihre Endkunden profitieren von der Nutzung Ihrer Anwendung als Dienst, ohne sich um die Verwaltung der Infrastruktur kümmern zu müssen, in der die Anwendung bereitgestellt wird.
Alle Abrechnungen für Azure-Ressourcen, die Sie in diesem Abonnement verbrauchen (einschließlich Domain Services) werden Ihnen in Rechnung gestellt. Sie behalten die vollständige Kontrolle über die Beziehung zum Kunden, wenn es um Vertrieb, Abrechnung, technischen Support usw. geht. Mit der Flexibilität der Azure CSP-Plattform kann ein kleines Team von Supportmitarbeitern viele solcher Kunden betreuen, die Instanzen Ihrer Anwendung bereitstellen.
CSP-Bereitstellungsmodelle für Domain Services
Es gibt zwei Möglichkeiten, wie Sie Domain Services mit einem Azure CSP-Abonnement verwenden können. Entscheiden Sie sich basierend auf den Sicherheits- und Einfachheitserwägungen Ihrer Kunden für die richtige Lösung.
Direktes Bereitstellungsmodell
In diesem Bereitstellungsmodell wird Domain Services innerhalb eines virtuellen Netzwerks aktiviert, das zum Azure CSP-Abonnement gehört. Die Administrator-Agents des CSP-Partners verfügen über die folgenden Berechtigungen:
Zum Verwalten dieser Funktion ist ein globaler Administrator erforderlich.
Für diese Funktion sind Abonnementbesitzerrechte für das Azure CSP-Abonnement erforderlich.
In diesem Bereitstellungsmodell können die Administrator-Agents des CSP-Anbieters Identitäten für den Kunden verwalten. Diese Administrator-Agents können Aufgaben wie Bereitstellen neuer Benutzer oder Gruppen oder Hinzufügen von Anwendungen im Microsoft Entra-Mandanten des Kunden ausführen.
Dieses Bereitstellungsmodell ist möglicherweise für kleinere Organisationen geeignet, die keinen dedizierten Identitätsadministrator haben oder es bevorzugen, dass der CSP-Partner Identitäten in ihrem Auftrag verwaltet.
Peerbereitstellungsmodell
In diesem Bereitstellungsmodell wird Domain Services in einem virtuellen Netzwerk aktiviert, das dem Kunden gehört – ein direktes Azure-Abonnement, das vom Kunden bezahlt wird. Der CSP-Partner kann Anwendungen innerhalb eines virtuellen Netzwerks bereitstellen, das zum CSP-Abonnement des Kunden gehört. Die virtuellen Netzwerke können dann mithilfe von Azure-Peering virtueller Netzwerke verbunden werden.
Durch diese Bereitstellung können die vom CSP-Partner im Azure CSP-Abonnement bereitgestellten Workloads oder Anwendungen mit der verwalteten Domäne des Kunden verbunden werden, die im direkten Azure-Abonnement des Kunden bereitgestellt wird.
Dieses Bereitstellungsmodell bietet eine Trennung der Berechtigungen und ermöglicht es den Helpdesk-Agents des CSP-Partners, das Azure-Abonnement zu verwalten und die darin enthaltenen Ressourcen bereitzustellen und zu verwalten. Die Helpdesk-Mitarbeiter des CSP-Partners benötigen jedoch keine hoch privilegierte Rolle im Microsoft Entra-Verzeichnis des Kunden. Die Identitätsadministratoren des Kunden können weiterhin Identitäten für ihre Organisation verwalten.
Dieses Bereitstellungsmodell eignet sich möglicherweise für Szenarien, in denen ein ISV eine gehostete Version seiner lokalen Anwendung bereitstellt, die ebenfalls eine Verbindung mit Microsoft Entra ID des Kunden herstellen muss.
Verwalten von Domain Services in CSP-Abonnements
Die folgenden wichtigen Überlegungen gelten für die Verwaltung einer verwalteten Domäne in einem Azure CSP-Abonnement:
CSP-Administrator-Agents können eine verwaltete Domäne mit ihren Anmeldeinformationen bereitstellen: Domain Services unterstützt Azure CSP-Abonnements. Benutzer, die zur Gruppe der Administrator-Agents eines CSP-Partners gehören, können eine neue verwaltete Domäne bereitstellen.
CSPs können neue verwaltete Domänen für ihre Kunden mit einem Skript mithilfe von PowerShell erstellen: Weitere Details dazu finden Sie unter Aktivieren von Domain Services mithilfe von PowerShell.
CSP-Administrator-Agents können in der verwalteten Domäne keine laufenden Verwaltungsaufgaben mit ihren Anmeldeinformationen ausführen: CSP-Administratorbenutzer können innerhalb der verwalteten Domäne keine routinemäßigen Verwaltungsaufgaben mit ihren Anmeldeinformationen ausführen. Diese Benutzer sind für den Microsoft Entra-Mandanten des Kunden externe Benutzer, deren Anmeldeinformationen im Microsoft Entra-Mandanten des Kunden nicht verfügbar sind. Domain Services hat keinen Zugriff auf die Kerberos- und NTLM-Kennworthashes für diese Benutzer, sodass diese in verwalteten Domänen nicht authentifiziert werden können.
Warnung
Sie müssen ein Benutzerkonto im Verzeichnis des Kunden erstellen, um laufende Verwaltungsaufgaben für die verwaltete Domäne auszuführen.
Sie können sich nicht mit den Anmeldeinformationen eines CSP-Administratorbenutzers bei der verwalteten Domäne anmelden. Verwenden Sie dafür die Anmeldeinformationen eines Benutzerkontos, das zum Microsoft Entra-Mandanten des Kunden gehört. Sie benötigen diese Anmeldeinformationen für Aufgaben wie das Einbinden virtueller Computer in die verwaltete Domäne, die DNS-Verwaltung oder die Verwaltung von Gruppenrichtlinien.
Das für die laufende Verwaltung erstellte Benutzerkonto muss der Gruppe AAD DC-Administratoren hinzugefügt werden: Die Gruppe AAD DC-Administratoren verfügt über Berechtigungen, um bestimmte delegierte Verwaltungsaufgaben in der verwalteten Domäne auszuführen. Zu diesen Aufgaben gehören die Konfiguration von DNS, das Erstellen von Organisationseinheiten und die Verwaltung von Gruppenrichtlinien.
Damit ein CSP-Partner diese Aufgaben für eine verwaltete Domäne ausführen kann, muss im Microsoft Entra-Mandanten des Kunden ein Benutzerkonto erstellt werden. Die Anmeldeinformationen für dieses Konto müssen für die Administrator-Agents des CSP-Partners freigegeben werden. Außerdem muss dieses Benutzerkonto der Gruppe AAD DC-Administratoren hinzugefügt werden, damit Konfigurationsaufgaben für die verwaltete Domäne mit diesem Benutzerkonto ausgeführt werden können.
Nächste Schritte
Registrieren Sie sich zunächst beim Azure CSP-Programm. Anschließend können Sie Microsoft Entra Domain Services über das Microsoft Entra Admin Center oder über Azure PowerShell aktivieren.