A Microsoft Entra Domain Services vizsgálata
A legtöbb szervezetnél ma az üzletági (LOB) alkalmazások a tartománytagok számítógépein és eszközein vannak üzembe helyezve. Ezek a szervezetek AD DS-alapú hitelesítő adatokat használnak a hitelesítéshez, és a csoportházirend kezeli őket. Ha úgy gondolja, hogy ezeket az alkalmazásokat az Azure-ban futtatásra helyezi át, az egyik legfontosabb probléma az, hogy hogyan biztosíthat hitelesítési szolgáltatásokat ezeknek az alkalmazásoknak. Ennek az igénynek a kielégítése érdekében létrehozhat egy helyek közötti virtuális magánhálózatot (VPN) a helyi infrastruktúra és az Azure IaaS között, vagy telepítheti a replika tartományvezérlőket a helyi AD DS-ből virtuális gépként (VM-ként) az Azure-ban. Ezek a megközelítések további költségeket és adminisztratív erőfeszítéseket vonhatnak maguk után. Emellett a két megközelítés közötti különbség az, hogy az első lehetőségnél a hitelesítési forgalom áthalad a VPN-en, míg a második lehetőségnél a replikációs forgalom áthalad a VPN-en, és a hitelesítési forgalom a felhőben marad.
A Microsoft a Microsoft Entra Domain Services szolgáltatást nyújtja e megközelítések alternatívaként. Ez a Szolgáltatás, amely a Microsoft Entra ID P1 vagy P2 szint részeként fut, tartományi szolgáltatásokat biztosít, például csoportházirend-kezelést, tartományhoz való csatlakozást és Kerberos-hitelesítést a Microsoft Entra-bérlőnek. Ezek a szolgáltatások teljes mértékben kompatibilisek a helyileg telepített AD DS-vel, így további tartományvezérlők üzembe helyezése és kezelése nélkül is használhatja őket a felhőben.
Mivel a Microsoft Entra ID integrálható a helyi AD DS-vel, a Microsoft Entra Csatlakozás megvalósításakor a felhasználók a helyszíni AD DS-ben és a Microsoft Entra Domain Servicesben is használhatják a szervezeti hitelesítő adatokat. Még ha nincs is helyileg üzembe helyezve az AD DS, akkor is dönthet úgy, hogy a Microsoft Entra Domain Services szolgáltatást csak felhőalapú szolgáltatásként használja. Ez lehetővé teszi a helyileg üzembe helyezett AD DS hasonló funkcióit anélkül, hogy egyetlen tartományvezérlőt kellene üzembe helyeznie a helyszínen vagy a felhőben. Egy szervezet például létrehozhat egy Microsoft Entra-bérlőt, és engedélyezheti a Microsoft Entra Domain Services szolgáltatást, majd üzembe helyezhet egy virtuális hálózatot a helyszíni erőforrások és a Microsoft Entra-bérlő között. Engedélyezheti a Microsoft Entra Domain Services szolgáltatást ehhez a virtuális hálózathoz, hogy minden helyszíni felhasználó és szolgáltatás használhassa a Microsoft Entra-azonosítóból származó tartományi szolgáltatásokat.
A Microsoft Entra Domain Services számos előnnyel jár a szervezetek számára, például:
- Rendszergazda istratoroknak nincs szükségük a tartományvezérlők kezelésére, frissítésére és figyelésére.
- Rendszergazda istratoroknak nincs szükségük az Active Directory-replikáció üzembe helyezésére és kezelésére.
- Nincs szükség tartomány Rendszergazda vagy Vállalati Rendszergazda csoportokra a Microsoft Entra ID által kezelt tartományokhoz.
Ha a Microsoft Entra Domain Services implementálása mellett dönt, tisztában kell lennie a szolgáltatás jelenlegi korlátaival. These include:
- Csak az alapszámítógép Active Directory-objektuma támogatott.
- A Microsoft Entra Domain Services tartomány sémáját nem lehet kibővíteni.
- A szervezeti egység (szervezeti egység) struktúrája lapos, és a beágyazott szervezeti egységek jelenleg nem támogatottak.
- Van egy beépített csoportházirend-objektum (GPO), amely számítógép- és felhasználói fiókokhoz létezik.
- A szervezeti egységeket nem lehet beépített csoportházirend-objektumokkal megcélozni. Emellett nem használhat Windows Management Instrumentation-szűrőket vagy biztonságicsoport-szűrést.
A Microsoft Entra Domain Services használatával szabadon migrálhatja az LDAP, NTLM vagy Kerberos protokollt használó alkalmazásokat a helyszíni infrastruktúrából a felhőbe. Használhat olyan alkalmazásokat is, mint a Microsoft SQL Server vagy a Microsoft SharePoint Server virtuális gépeken, vagy üzembe helyezheti őket az Azure IaaS-ben anélkül, hogy a felhőben tartományvezérlőkre vagy VPN-ekre van szüksége a helyi infrastruktúrához.
A Microsoft Entra Domain Servicest az Azure Portal használatával engedélyezheti. Ez a szolgáltatás óránkénti díja a címtár méretétől függően.