Hibrid identitás active directoryval és Microsoft Entra-azonosítóval az Azure-beli célzónákban
Ez a cikk útmutatást nyújt a Microsoft Entra ID és a hibrid identitás azure-beli kezdőzónákhoz való tervezéséhez és implementálásához.
A felhőben működő szervezeteknek címtárszolgáltatásra van szükségük a felhasználói identitások kezeléséhez és az erőforrásokhoz való hozzáféréshez. A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás, amely robusztus képességeket biztosít a felhasználók és csoportok kezeléséhez. A Microsoft Entra ID-t önálló identitásmegoldásként használhatja, vagy integrálhatja egy Microsoft Entra Domain Services-infrastruktúrával vagy egy helyi Active Directory Domain Services-infrastruktúrával (AD DS).
A Microsoft Entra ID modern biztonságos identitás- és hozzáférés-kezelést biztosít az Azure- és a Microsoft 365-szolgáltatásokhoz. A Microsoft Entra-azonosítót különböző szervezetekhez és számítási feladatokhoz használhatja. A helyszíni AD DS-infrastruktúrával és felhőalapú számítási feladatokkal rendelkező szervezetek például címtár-szinkronizálást használhatnak a Microsoft Entra ID-val. A címtár-szinkronizálás biztosítja, hogy a helyszíni és a felhőbeli környezetek azonos identitások, csoportok és szerepkörök konzisztens készletével osztozzanak. Az örökölt hitelesítési mechanizmusokat igénylő alkalmazásoknak tartományi szolgáltatásokra lehet szükségük a felügyelt tartományi szolgáltatásokhoz a felhőben, és ki kell terjeszteni a helyszíni AD DS-infrastruktúrát az Azure-ra.
A felhőalapú identitáskezelés egy iteratív folyamat. Előfordulhat, hogy egy natív felhőbeli megoldással kezd, amely kis számú felhasználóval és megfelelő szerepkörrel rendelkezik egy kezdeti üzembe helyezéshez. A migrálás érettségével előfordulhat, hogy címtár-szinkronizálással integrálnia kell az identitásmegoldást, vagy felhőben üzemeltetett tartományi szolgáltatásokat kell hozzáadnia a felhőbeli üzemelő példányok részeként.
Az identitásmegoldást idővel módosíthatja a számítási feladatok hitelesítési követelményeitől és egyéb igényeitől függően, például a szervezeti identitásstratégiában és a biztonsági követelményekben, vagy más címtárszolgáltatásokba való integrációban. A Windows Server Active Directory-megoldások értékelésekor ismerje meg a Microsoft Entra ID, a Domain Services és az AD DS közötti különbségeket a Windows Serveren.
További információ: Identitáskezelési útmutató.
Identitás- és hozzáférés-kezelési szolgáltatások az Azure-beli kezdőzónákban
A platformcsapat felelős az identitás- és hozzáférés-kezelés felügyeletéért. Az identitás- és hozzáférés-kezelési szolgáltatások alapvető fontosságúak a szervezeti biztonság szempontjából. A szervezet a Microsoft Entra ID-t használhatja a felügyeleti hozzáférés szabályozására és a platformerőforrások védelmére. Ez a módszer megakadályozza, hogy a platformcsapaton kívüli felhasználók módosítják a konfigurációt vagy a Microsoft Entra-azonosítóban található biztonsági tagokat.
Ha AD DS-t vagy Tartományi szolgáltatásokat használ, meg kell védenie a tartományvezérlőket a jogosulatlan hozzáféréstől. A tartományvezérlők rendkívül sebezhetőek a támadásokkal szemben, és szigorú biztonsági ellenőrzésekkel és az alkalmazás számítási feladataitól való elkülönítéssel kell rendelkezniük.
Helyezzen üzembe tartományvezérlőket és a kapcsolódó összetevőket, például a Microsoft Entra Csatlakozás-kiszolgálókat a platformfelügyeleti csoportban található Identitás-előfizetésben. A tartományvezérlők nem delegálhatók az alkalmazáscsapatokhoz. Ez az elkülönítés lehetővé teszi, hogy az alkalmazástulajdonosok anélkül használják az identitásszolgáltatásokat, hogy fenntartanák őket, ami csökkenti az identitás- és hozzáférés-kezelési szolgáltatások veszélyeztetésének kockázatát. Az Identitásplatform-előfizetés erőforrásai kritikus fontosságú biztonsági pontot jelentenek a felhőbeli és a helyszíni környezetek számára.
Kezdőzónák kiépítése, hogy az alkalmazástulajdonosok a számítási feladat igényeinek megfelelően a Microsoft Entra-azonosítót, az AD DS-t és a Domain Servicest is kiválaszthassák. Előfordulhat, hogy az identitásmegoldástól függően más szolgáltatásokat is konfigurálnia kell. Előfordulhat például, hogy engedélyeznie kell és biztonságossá kell tennie az identitás virtuális hálózatához való hálózati kapcsolatot. Ha előfizetés-feldolgozási folyamatot használ, adja meg ezt a konfigurációs információt az előfizetési kérelemben.
Azure- és helyszíni tartományok (hibrid identitás)
A kizárólag a Microsoft Entra-azonosítóban létrehozott felhasználói objektumokat csak felhőalapú fiókoknak nevezzük. A csak felhőalapú fiókok támogatják a modern hitelesítést és az Azure- és Microsoft 365-erőforrásokhoz való hozzáférést, valamint támogatják a Windows 10-et vagy Windows 11-et használó helyi eszközök elérését.
Előfordulhat, hogy a szervezet már rendelkezik olyan régi AD DS-címtárakkal, amelyeket más rendszerekkel integrál, például üzleti vagy vállalati erőforrás-tervezéssel (ERP) az Egyszerűsített címtárelérési protokoll (LDAP) használatával. Ezek a tartományok számos tartományhoz csatlakoztatott számítógéppel és alkalmazásokkal rendelkezhetnek, amelyek Kerberos vagy régebbi NTLMv2 protokollokat használnak a hitelesítéshez. Ezekben a környezetekben szinkronizálhatja a felhasználói objektumokat a Microsoft Entra-azonosítóval, így a felhasználók egyetlen identitással jelentkezhetnek be a helyszíni rendszerekbe és a felhőbeli erőforrásokba is. A helyszíni és a felhőbeli címtárszolgáltatások egységesítése hibrid identitásnak számít. A helyszíni tartományokat az Azure-beli célzónákra is kiterjesztheti:
Ha egyetlen felhasználói objektumot szeretne fenntartani felhőbeli és helyszíni környezetekben, szinkronizálhatja az AD DS-tartomány felhasználóit a Microsoft Entra ID-val a Microsoft Entra Csatlakozás vagy a Microsoft Entra Cloud Sync használatával. A környezethez javasolt konfiguráció meghatározásához tekintse meg a Microsoft Entra Csatlakozás és a Microsoft Entra Cloud Sync topológiáit.
Ha windowsos virtuális gépeket (virtuális gépeket) és más szolgáltatásokat szeretne tartományhoz csatlakoztatni, üzembe helyezhet AD DS-tartományvezérlőket vagy tartományi szolgáltatásokat az Azure-ban. Ezzel a módszerrel az AD DS-felhasználók bejelentkezhetnek Windows-kiszolgálókra, Azure-fájlmegosztásokra és más olyan erőforrásokra, amelyek hitelesítési forrásként használják az Active Directoryt. Más Active Directory-technológiákat, például csoportházirendet is használhat hitelesítési forrásként. További információ: A Microsoft Entra Domain Services gyakori üzembe helyezési forgatókönyvei.
Hibrid identitással kapcsolatos javaslatok
Az identitásmegoldás követelményeinek meghatározásához dokumentálja az egyes alkalmazások által használt hitelesítési szolgáltatót. Az identitásdöntési útmutatóval kiválaszthatja a szervezet számára megfelelő szolgáltatásokat. További információ: Az Active Directory összehasonlítása a Microsoft Entra-azonosítóval.
A Tartományi szolgáltatásokat olyan alkalmazásokhoz használhatja, amelyek tartományi szolgáltatásokra támaszkodnak, és régebbi protokollokat használnak. A meglévő AD DS-tartományok néha támogatják a visszamenőleges kompatibilitást, és lehetővé teszik az örökölt protokollokat, ami negatívan befolyásolhatja a biztonságot. Helyszíni tartomány kiterjesztése helyett fontolja meg, hogy a Domain Services használatával hozzon létre egy új tartományt, amely nem engedélyezi az örökölt protokollokat. Használja az új tartományt címtárszolgáltatásként a felhőalapú alkalmazásokhoz.
Az Azure-beli hibrid identitásstratégiához kritikus tervezési követelményként figyelembe kell vegye a rugalmasságot. A Microsoft Entra ID egy globálisan redundáns, felhőalapú rendszer , de a Domain Services és az AD DS nem. A tartományi szolgáltatások és az AD DS megvalósításakor gondosan tervezze meg a rugalmasságot. Bármelyik szolgáltatás tervezésekor fontolja meg többrégiós üzemelő példányok használatát, hogy regionális incidens esetén biztosítsa a szolgáltatás folyamatos működését.
A helyszíni AD DS-példány Azure-ba való kiterjesztéséhez és az üzembe helyezés optimalizálásához foglalja bele az Azure-régiókat az Active Directory-webhely kialakításába. Hozzon létre egy webhelyet az AD DS-helyeken és -szolgáltatásokban minden olyan Azure-régióban, ahol számítási feladatokat kíván üzembe helyezni. Ezután hozzon létre egy új alhálózati objektumot az AD DS-helyeken és -szolgáltatásokban a régióban üzembe helyezni kívánt IP-címtartományokhoz. Társítsa az új alhálózati objektumot a létrehozott AD DS-webhelyhez. Ez a konfiguráció biztosítja, hogy a tartományvezérlő lokátor szolgáltatása irányítja az engedélyezési és hitelesítési kéréseket a legközelebbi AD DS-tartományvezérlőkre ugyanazon az Azure-régión belül.
Értékelje ki azokat a forgatókönyveket, amelyek beállítják a vendégeket, az ügyfeleket vagy a partnereket, hogy hozzáférhessenek az erőforrásokhoz. Állapítsa meg, hogy ezek a forgatókönyvek a Microsoft Entra B2B-t vagy Microsoft Entra Külső ID érintik-e az ügyfelek számára. További információ: Microsoft Entra Külső ID.
Ne használja a Microsoft Entra alkalmazásproxyt intranetes hozzáféréshez, mert késést ad a felhasználói élményhez. További információkért tekintse meg a Microsoft Entra alkalmazásproxy-tervezését és a Microsoft Entra alkalmazásproxy biztonsági szempontjait.
Fontolja meg a különböző módszereket, amelyekkel integrálhatja a helyi Active Directory az Azure-ral a szervezeti követelményeknek való megfelelés érdekében.
Ha Active Directory összevonási szolgáltatások (AD FS) (AD FS) összevonással rendelkezik a Microsoft Entra ID-val, biztonsági mentésként használhatja a jelszókivonat-szinkronizálást. Az AD FS nem támogatja a Microsoft Entra közvetlen egyszeri bejelentkezést (SSO).
Határozza meg a felhőbeli identitás megfelelő szinkronizálási eszközét .
Ha rendelkezik az AD FS használatára vonatkozó követelményekkel, tekintse meg az AD FS üzembe helyezését az Azure-ban.
Ha a Microsoft Entra Csatlakozás használja szinkronizálási eszközként, érdemes lehet üzembe helyezni egy átmeneti kiszolgálót az elsődleges Microsoft Entra Csatlakozás-kiszolgálótól eltérő régióban vészhelyreállítás céljából. Ha nem használ több régiót, akkor a magas rendelkezésre állás érdekében implementáljon rendelkezésre állási zónákat.
Ha a Microsoft Entra Cloud Syncet használja szinkronizálási eszközként, érdemes lehet legalább három ügynököt telepíteni több különböző kiszolgálóra a vészhelyreállításhoz. Másik lehetőségként az ügynököket különböző rendelkezésre állási zónákban lévő kiszolgálókra is telepítheti a magas rendelkezésre állás érdekében.
Fontos
Erősen javasoljuk, hogy migráljon a Microsoft Entra-azonosítóra, hacsak nem igényel kifejezetten AD FS-t. További információ: Erőforrások az AD FS leszereléséhez és migráláshoz az AD FS-ről a Microsoft Entra ID-ra.
Microsoft Entra ID, Domain Services és AD DS
A Microsoft címtárszolgáltatásainak implementálásához ismerkedjen meg a rendszergazdákkal az alábbi lehetőségekkel:
Az AD DS-tartományvezérlőket windowsos virtuális gépekként helyezheti üzembe az Azure-ban, amelyeket a platform- vagy identitásadminisztrátorok teljes mértékben felügyelnek. Ez a megközelítés egy szolgáltatásként nyújtott infrastruktúra (IaaS) megoldás. Csatlakoztathatja a tartományvezérlőket egy meglévő Active Directory-tartományhoz, vagy üzemeltethet egy új tartományt, amely opcionális megbízhatósági kapcsolatban áll a meglévő helyszíni tartományokkal. További információ: Azure Virtual Machines alaparchitektúra egy Azure-beli célzónában.
A Domain Services egy Azure által felügyelt szolgáltatás, amellyel létrehozhat egy új felügyelt Active Directory-tartományt, amely az Azure-ban üzemel. A tartomány megbízhatósági kapcsolatban állhat a meglévő tartományokkal, és szinkronizálhatja az identitásokat a Microsoft Entra-azonosítóból. Rendszergazda istratorok nem rendelkeznek közvetlen hozzáféréssel a tartományvezérlőkhöz, és nem felelősek a javításért és más karbantartási műveletekért.
Amikor tartományi szolgáltatásokat helyez üzembe, vagy helyszíni környezeteket integrál az Azure-ba, lehetőség szerint rendelkezésre állási zónákkal rendelkező helyeket használjon a nagyobb rendelkezésre állás érdekében. Érdemes lehet több Azure-régióban is üzembe helyezni a nagyobb rugalmasság érdekében.
Az AD DS vagy a Domain Services konfigurálása után ugyanazt a módszert használhatja, mint a helyszíni számítógépek az Azure-beli virtuális gépekhez és fájlmegosztásokhoz való csatlakozáshoz. További információt a Microsoft címtáralapú szolgáltatásainak összehasonlítása című témakörben talál.
Microsoft Entra ID- és AD DS-javaslatok
A Microsoft Entra alkalmazásproxyval távolról, a Microsoft Entra-azonosítón keresztül érheti el a helyszíni hitelesítést használó alkalmazásokat. Ez a funkció biztonságos távoli hozzáférést biztosít a helyszíni webalkalmazásokhoz. A Microsoft Entra alkalmazásproxy nem igényel VPN-t vagy a hálózati infrastruktúra módosítását. Azonban egyetlen példányként van üzembe helyezve a Microsoft Entra ID-ben, így az alkalmazás tulajdonosainak és a platform- vagy identitáscsoportoknak együtt kell működniük annak biztosítása érdekében, hogy az alkalmazás megfelelően legyen konfigurálva.
Értékelje ki az AD DS számítási feladatainak kompatibilitását a Windows Serveren és a Domain Servicesben. További információ: Gyakori használati esetek és forgatókönyvek.
Tartományvezérlő virtuális gépek vagy tartományi szolgáltatások replikakészleteinek üzembe helyezése a platformfelügyeleti csoport identitásplatform-előfizetésében.
A tartományvezérlőket tartalmazó virtuális hálózat védelme. A virtuális hálózat és a tartományvezérlő közvetlen internetkapcsolatának megakadályozása érdekében helyezze az AD DS-kiszolgálókat egy elkülönített alhálózatra egy hálózati biztonsági csoporttal (NSG). Az NSG tűzfalfunkciókat biztosít. A hitelesítéshez tartományvezérlőket használó erőforrásoknak hálózati útvonalsal kell rendelkezniük a tartományvezérlő alhálózatához. Csak olyan alkalmazások számára engedélyezze a hálózati útvonalakat, amelyek hozzáférést igényelnek az identitás-előfizetés szolgáltatásaihoz. További információ: AD DS üzembe helyezése Azure-beli virtuális hálózaton.
Az Azure Virtual Network Manager használatával kényszerítheti ki a virtuális hálózatokra vonatkozó szabványos szabályokat. Az Azure Policy vagy a virtuális hálózati erőforráscímkék használatával például hozzáadhat kezdőzónás virtuális hálózatokat egy hálózati csoporthoz, ha azok Active Directory-identitásszolgáltatásokat igényelnek. A hálózati csoport ezután használható, amely csak azokat az alkalmazásokat engedélyezi, amelyek megkövetelik a tartományvezérlő alhálózatát, és letiltják a hozzáférést más alkalmazásokból.
Biztonságossá teheti a tartományvezérlő virtuális gépeire és egyéb identitáserőforrásaira vonatkozó szerepköralapú hozzáférés-vezérlési (RBAC) engedélyeket. Rendszergazda az Azure-vezérlősíkon RBAC-szerepkör-hozzárendeléssel (például Közreműködő, Tulajdonos vagy Virtuálisgép-közreműködő) rendelkező résztvevők parancsokat futtathatnak a virtuális gépeken. Győződjön meg arról, hogy csak a jogosult rendszergazdák férhetnek hozzá az Identitás-előfizetésben lévő virtuális gépekhez, és hogy a túlzottan megengedő szerepkör-hozzárendelések nem öröklődnek a magasabb szintű felügyeleti csoportoktól.
A késés minimalizálása érdekében tartsa az alapvető alkalmazásokat a replikakészletek virtuális hálózatához közel vagy ugyanabban a régióban. Többrégiós szervezetben helyezze üzembe a Domain Servicest az alapvető platformösszetevőket üzemeltető régióban. A Domain Servicest csak egyetlen előfizetésben helyezheti üzembe. A Tartományi szolgáltatások további régiókra való kibontásához további négy replikakészletet adhat hozzá az elsődleges virtuális hálózathoz társviszonyban lévő különálló virtuális hálózatokban.
Fontolja meg az AD DS-tartományvezérlők üzembe helyezését több Azure-régióban és rendelkezésre állási zónákban a rugalmasság és a rendelkezésre állás növelése érdekében. További információ: Virtuális gépek létrehozása rendelkezésre állási zónákban , virtuális gépek migrálása rendelkezésre állási zónákba.
Az identitástervezés részeként megismerheti a Microsoft Entra ID hitelesítési módszereit. A hitelesítés történhet a felhőben és a helyszínen, vagy csak a helyszínen.
Fontolja meg a Kerberos-hitelesítés használatát a Microsoft Entra ID-hoz ahelyett, hogy tartományvezérlőket helyez üzembe a felhőben, ha egy Windows-felhasználó kerberost igényel az Azure Files-fájlmegosztásokhoz.
Következő lépés
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: