Hibrid identitás

Befejeződött

A Tailwind Traders a helyi hálózati környezetben az Active Directory Domain Servicest (AD DS) használja helyszíni identitásszolgáltatóként, amióta a 2000-es évek elején migrált a Windows NT 4.0-s verziójáról. A Tailwind Traders számos meglévő alkalmazása rendelkezik Active Directory-függőséggel. Ezen alkalmazások némelyike egyszerű függőséggel rendelkezik az Active Directoryra mint identitásszolgáltatóra vonatkozóan. Mások mélyebb függőségekkel rendelkeznek, például összetett csoportszabályzat-követelményekkel, egyéni tartományi partíciókkal és egyéni sémabővítményekkel.

Mivel a Tailwind Traders erőforrásokat helyez át és új alkalmazásokat fejleszt az Azure-ban, a vállalat szeretné elkerülni, hogy olyan párhuzamos identitáskezelési megoldást hozzon létre, amely külön bejelentkezési adatokat igényel a helyszíni és a felhőbeli erőforrásokhoz.

Ebben a leckében a hibrid identitáskezelés implementálásának különféle módszereivel ismerkedhet meg.

Tartományvezérlők telepítése az Azure-ban

Ha a szervezet által a helyszínen használt AD DS-környezetet szeretné használni az Azure-ban, ennek legegyszerűbb módja a következő:

1. Helyezzen üzembe két AD DS-tartományvezérlőt egy Azure-beli virtuális hálózat alhálózatán.

2. Csatlakoztassa a virtuális hálózatot a helyszíni hálózathoz.

3. Konfigurálja az alhálózatot új AD DS-helyként, ahogy az az alábbi képen látható.

   

Másik lehetőségként a felhőben üzemeltetett AD DS-tartományt a helyszíni tartomány erdőjének gyermektartományaként is konfigurálhatja. További lehetőségként a felhőben futó AD DS-tartományvezérlőket egy olyan különálló erdőként is konfigurálhatja, amely megbízhatósági kapcsolatban áll a helyszíni erdővel. Az alábbi ábra ezt az erőforráserdő-topológiát szemlélteti.

Ha a szervezet tartományvezérlőket telepít az Azure-beli virtuális gépeken, akkor olyan számítási feladatokat helyezhet üzembe, amelyek rálátást igényelnek ugyanazon Azure-beli virtuális hálózat alhálózatának az egyik tartományvezérlőjére, amelyen üzembe helyezték a tartományvezérlő virtuális gépeket. Ez a hibrid felhő egy alapvetően egyszerű modellje számos szervezet számára, mert az Azure-adatközpontokat távoli Active Directory-helyként vannak kezelve.

A Tailwind Traders számára az alkalmazás igényeitől függően elegendő lehet a helyszíni Active Directory-tartomány vagy erdő kiterjesztése az Azure-ba. Ezen lehetőség alkalmazásának hátulütője, hogy a tartományvezérlők folyamatos üzemeltetése miatt a virtuális gépek is folyamatosan futnak, így ennek a költségével is számolni kell.

Mi a Microsoft Entra Csatlakozás?

A Microsoft Entra Csatlakozás (korábbi nevén Azure AD Csatlakozás) lehetővé teszi a szervezetek számára, hogy szinkronizálják a helyi Active Directory példányukban található identitásokat a Microsoft Entra-azonosítóval (korábbi nevén Azure AD). Ez lehetővé teszi, ugyanazt az identitást használhatja a felhőbeli és a helyszíni erőforrásokhoz is. A Microsoft Entra Csatlakozás leggyakrabban akkor használják, ha a szervezetek a Microsoft 365-öt használják, hogy lehetővé tegyék a felhőben futó alkalmazások, például a Microsoft SharePoint és az Exchange helyszíni alkalmazásokon keresztüli elérését.

Ha a Tailwind Traders olyan Microsoft 365-technológiákat tervez bevezetni, mint az Exchange Online vagy a Microsoft Teams, konfigurálnia kell a Microsoft Entra Csatlakozás a helyszíni AD DS-környezet identitásainak azure-ba való replikálásához. Ha a vállalat helyszíni identitásokat is szeretne használni az Azure-beli alkalmazásokkal, de nem szeretne AD DS-tartományvezérlőket üzembe helyezni virtuális gépeken, akkor a Microsoft Entra Csatlakozás is üzembe kell helyeznie.

Mi az a Microsoft Entra Domain Services?

A Microsoft Entra Domain Services használatával egy Microsoft Entra-tartományt kivetíthet egy Azure-beli virtuális alhálózatra. Ilyen esetben az olyan szolgáltatások, mint a tartományhoz való csatlakozás, a csoportházirend, a Lightweight Directory Access Protocol (LDAP), valamint a Kerberos- és NTLM-hitelesítés elérhetővé válnak az alhálózaton üzembe helyezett bármely virtuális gép számára.

A Microsoft Entra Domain Services lehetővé teszi, hogy egy alapszintű felügyelt Active Directory-környezet legyen elérhető a virtuális gépek számára anélkül, hogy a tartományvezérlőként futó virtuális gépek kezelésével, karbantartásával és kifizetésével kellene foglalkoznia. A Microsoft Entra Domain Services lehetővé teszi, hogy helyszíni identitásokat használjon a Microsoft Entra Csatlakozás segítségével egy speciálisan konfigurált Azure-beli virtuális hálózat alhálózatán futó virtuális gépekkel való interakcióhoz.

A Microsoft Entra Domain Services egyik hátránya, hogy a csoportházirend implementálása alapszintű. Rögzített számú csoportszabályzatot tartalmaz, és nem teszi lehetővé csoportházirend-objektumok (GPO-k) létrehozását. Habár a helyszínen használt identitások elérhetők lesznek az Azure-ban, a helyszínen konfigurált szabályzatok nem válnak elérhetővé.

A Tailwind Traders esetében a Microsoft Entra Domain Services jó középutat biztosít a hibrid számítási feladatokhoz. Lehetővé teszi a tartományhoz csatlakozó identitások használatát, továbbá számos csoportszabályzat-konfigurációt kínál. Nem támogatja azonban az összetett Active Directory-funkciókat, például az egyéni tartománypartíciókat és a sémabővítményeket igénylő alkalmazásokat.

Tesztelje tudását

1.

A Tailwind Traders által az aucklandi adatközpontból migrálni kívánt virtuális gépek között számos gazdaalkalmazás rendelkezik az AD DS-re irányuló függőségekkel, amelyek lehetnek egyéni sémabővítmények vagy egyéni AD DS-partíciók. A következő hibrid identitáskezelési megoldások közül melyiket használhatja a vállalat az alkalmazások támogatásához, ha az alkalmazásokat futtató virtuális gépeket IaaS-alapú (Azure-on szolgáltatásként nyújtott infrastruktúra) virtuális gépként migrálná?

Konfigurálja a Microsoft Entra Csatlakozás, hogy replikálja a helyszíni AD DS-identitásokat az Azure-ba. Alhálózat létrehozása egy Azure-beli virtuális hálózatban. Migrálja a virtuális gépeket az aucklandi adatközpontból erre az alhálózatra. Csatlakozzon a migrált virtuális gépekhez a Microsoft Entra Domain Services tartományhoz.

Alhálózat létrehozása egy Azure-beli virtuális hálózatban. Konfiguráljon egy VPN-kapcsolatot ezen virtuális hálózat és a helyszíni hálózat között. Két AD DS-tartományvezérlő üzembe helyezése ezen az alhálózaton Futó Windows Server 2022 rendszerű virtuális gépeken. Konfiguráljon egy külön AD DS-helyet az Azure-alhálózathoz. Migrálja a virtuális gépeket az aucklandi adatközpontból erre az alhálózatra.

Konfigurálja a Microsoft Entra Csatlakozás, hogy replikálja a helyszíni AD DS-identitásokat az Azure-ba. Alhálózat létrehozása egy Azure-beli virtuális hálózatban. Konfigurálja a Microsoft Entra Domain Servicest, és konfigurálja, hogy elérhető legyen az újonnan létrehozott alhálózat számára. Migrálja a virtuális gépeket az aucklandi adatközpontból erre az alhálózatra. Csatlakozzon a migrált virtuális gépekhez a Microsoft Entra Domain Services tartományhoz.

2.

A Tailwind Traders leányvállalata Windows Server 2022 IaaS virtuális gépeket helyez üzembe egy Azure-beli virtuális hálózat alhálózatán. Ez a virtuális hálózat egy külön előfizetéshez és a Microsoft Entra-bérlőhöz csatlakozik. Ezeknek a számítógépeknek biztonsági és identitáskezelési szempontok miatt tartományhoz csatlakoztatottnak kell lenniük, azonban nem igényelnek bonyolult csoportszabályzat-konfigurációt. Ezeknek a virtuális gépeknek nincs szükségük a Tailwind Traders valamely helyszíni AD DS-példányáról szinkronizált identitásokra. Ön ebből a célból minél kevesebb virtuális gépet szeretne üzembe helyezni. Az alábbiak közül melyik lenne megfelelő megoldás?

Telepítse a Microsoft Entra Csatlakozás minden virtuális gépen, és szinkronizálja a Microsoft Entra-bérlővel.

Telepítse a Microsoft Entra Domain Servicest, és konfigurálja a virtuális gépeket üzemeltető alhálózathoz. Csatlakozzon a virtuális gépekhez a Microsoft Entra Domain Services tartományhoz.

Helyezze üzembe az AD DS-t az alhálózat egyik új virtuális gépén. Csatlakoztassa a virtuális gépeket az AD DS-tartományhoz.

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás