Membandingkan Active Directory Domain Services yang dikelola sendiri, ID Microsoft Entra, dan Microsoft Entra Domain Services terkelola
Untuk menyediakan akses aplikasi, layanan, atau perangkat ke identitas pusat, ada tiga cara umum untuk menggunakan layanan berbasis Direktori Aktif di Azure. Pilihan dalam solusi identitas ini memberi Anda fleksibilitas untuk menggunakan direktori yang paling tepat untuk kebutuhan organisasi Anda. Misalnya, jika Anda sebagian besar mengelola pengguna khusus cloud yang menjalankan perangkat seluler, mungkin mustahil untuk membangun dan menjalankan solusi identitas Direktori Aktif (AD DS) Anda sendiri. Sebagai gantinya, Anda hanya dapat menggunakan ID Microsoft Entra.
Meskipun ketiga solusi identitas berbasis Direktori Aktif memiliki nama dan teknologi yang sama, solusi ini dirancang untuk menyediakan layanan yang memenuhi permintaan pelanggan yang berbeda. Pada tingkat tinggi, solusi identitas dan set fitur ini adalah:
- Active Directory Domain Services (AD DS) - Server protokol akses direktori ringan siap untuk perusahaan (LDAP) yang menyediakan fitur utama seperti identitas dan autentikasi, manajemen objek komputer, kebijakan grup, dan kepercayaan.
- AD DS adalah komponen sentral di banyak organisasi dengan lingkungan IT lokal, dan menyediakan autentikasi akun pengguna inti dan fitur manajemen komputer.
- Untuk informasi selengkapnya, lihat Gambaran umum AD DS dalam dokumentasi Windows Server.
- ID Microsoft Entra - Manajemen identitas dan perangkat seluler berbasis cloud yang menyediakan akun pengguna dan layanan autentikasi untuk sumber daya seperti Microsoft 365, pusat admin Microsoft Entra, atau aplikasi SaaS.
- ID Microsoft Entra dapat disinkronkan dengan lingkungan AD DS lokal untuk memberikan satu identitas kepada pengguna yang bekerja secara asli di cloud.
- Untuk informasi selengkapnya tentang ID Microsoft Entra, lihat Apa itu ID Microsoft Entra?
- Microsoft Entra Domain Services - Menyediakan layanan domain terkelola dengan subset fitur AD DS tradisional yang sepenuhnya kompatibel seperti gabungan domain, kebijakan grup, LDAP, dan autentikasi Kerberos / NTLM.
- Layanan Domain terintegrasi dengan ID Microsoft Entra, yang dapat disinkronkan dengan lingkungan AD DS lokal. Kemampuan ini memperluas kasus penggunaan identitas pusat ke aplikasi web tradisional yang berjalan di Azure sebagai bagian dari strategi lift-and-shift.
- Untuk mempelajari selengkapnya tentang sinkronisasi dengan ID Microsoft Entra dan lokal, lihat Bagaimana objek dan kredensial disinkronkan di domain terkelola.
Artikel gambaran umum ini membandingkan dan mengontraskan bagaimana solusi identitas ini dapat bekerja sama, atau akan digunakan secara independen, tergantung pada kebutuhan organisasi Anda.
Layanan Domain dan AD DS yang dikelola sendiri
Jika Anda memiliki aplikasi dan layanan yang memerlukan akses ke mekanisme autentikasi tradisional seperti Kerberos atau NTLM, ada dua cara untuk memiliki Direktori Aktif di cloud:
- Domain terkelola yang Anda buat menggunakan Microsoft Entra Domain Services. Microsoft membuat dan mengelola sumber daya yang diperlukan.
- Domain yang dikelola sendiri yang Anda buat dan konfigurasi menggunakan sumber daya tradisional seperti komputer virtual (VM), OS tamu Windows Server, dan Direktori Aktif (AD DS). Seterusnya, Andalah yang mengelola sumber daya ini.
Dengan Domain Services, komponen layanan inti disebarkan dan dikelola untuk Anda oleh Microsoft sebagai pengalaman domain terkelola. Anda tidak menyebarkan, mengelola, mem-patching, dan mengamankan infrastruktur AD DS untuk komponen seperti komputer virtual, OS Windows Server, atau pengendali domain (DC).
Layanan Domain menyediakan subset fitur yang lebih kecil untuk lingkungan AD DS tradisional yang dikelola sendiri, yang mengurangi beberapa kompleksitas desain dan manajemen. Misalnya, tidak ada forest AD, domain, situs, dan tautan replikasi untuk merancang dan memelihara. Anda masih dapat membuat kepercayaan hutan antara Layanan Domain dan lingkungan lokal.
Untuk aplikasi dan layanan yang berjalan di cloud dan memerlukan akses ke mekanisme autentikasi tradisional seperti Kerberos atau NTLM, Layanan Domain memberikan pengalaman domain terkelola dengan jumlah overhead administratif minimal. Untuk informasi selengkapnya, lihat Konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Layanan Domain.
Saat Anda menyebarkan dan menjalankan lingkungan AD DS yang dikelola sendiri, Anda harus mempertahankan semua komponen infrastruktur dan direktori terkait. Ada biaya pemeliharaan tambahan dengan lingkungan AD DS yang dikelola sendiri, tetapi Anda kemudian dapat melakukan tugas tambahan seperti memperluas skema atau membuat kepercayaan forest.
Model penyebaran umum untuk lingkungan AD DS yang dikelola sendiri menyediakan identitas untuk aplikasi dan layanan di cloud meliputi yang berikut ini:
- AD DS khusus cloud mandiri - Komputer virtual Azure dikonfigurasi sebagai pengendali domain dan lingkungan AD DS khusus cloud yang terpisah pun dibuat. Lingkungan AD DS ini tidak terintegrasi dengan lingkungan AD DS lokal. Set informasi masuk yang berbeda digunakan untuk masuk dan mengelola komputer virtual di awan.
- Memperluas domain lokal ke Azure - Jaringan virtual Azure tersambung ke jaringan lokal menggunakan koneksi VPN/ExpressRoute. Komputer virtual Azure tersambung ke jaringan virtual Azure ini, yang memungkinkan mereka bergabung dengan domain ke lingkungan AD DS lokal.
- Alternatifnya adalah membuat komputer virtual Azure dan mempromosikannya sebagai pengendali domain replika dari domain AD DS lokal. Pengendali domain ini mereplikasi melalui koneksi VPN/ExpressRoute ke lingkungan AD DS lokal. Domain AD DS lokal secara efektif diperluas ke Azure.
Tabel berikut menguraikan beberapa fitur yang mungkin Anda butuhkan untuk organisasi Anda, dan perbedaan antara domain terkelola atau domain AD DS yang dikelola sendiri:
| Fitur | Domain terkelola | AD DS yang dikelola sendiri |
|---|---|---|
| Layanan terkelola | ✓ | ✕ |
| Penyebaran aman | ✓ | Admin mengamankan penyebaran |
| Server DNS | ✓ (layanan terkelola) | ✓ |
| Hak istimewa administrator Domain atau Perusahaan | ✕ | ✓ |
| Bergabung ke Domain | ✓ | ✓ |
| Autentikasi domain menggunakan NTLM dan Kerberos | ✓ | ✓ |
| Delegasi yang dibatasi Kerberos | Berbasis sumber daya | Berbasis sumber daya & berbasis akun |
| Struktur unit organisasi kustom | ✓ | ✓ |
| Kebijakan Grup | ✓ | ✓ |
| Ekstensi skema | ✕ | ✓ |
| Domain AD/kepercayaan forest | ✓ (hanya kepercayaan forest keluar satu arah) | ✓ |
| LDAP Aman (LDAPS) | ✓ | ✓ |
| Bacaan LDAP | ✓ | ✓ |
| Penulisan LDAP | ✓ (dalam domain terkelola) | ✓ |
| Penyebaran yang didistribusikan sesuai lokasi geografis | ✓ | ✓ |
Layanan Domain dan ID Microsoft Entra
MICROSOFT Entra ID memungkinkan Anda mengelola identitas perangkat yang digunakan oleh organisasi dan mengontrol akses ke sumber daya perusahaan dari perangkat tersebut. Pengguna juga dapat mendaftarkan perangkat pribadi mereka (model bring-your-own (BYO) dengan ID Microsoft Entra, yang menyediakan perangkat dengan identitas. ID Microsoft Entra kemudian mengautentikasi perangkat saat pengguna masuk ke ID Microsoft Entra dan menggunakan perangkat untuk mengakses sumber daya yang aman. Perangkat dapat dikelola menggunakan perangkat lunak Manajemen Perangkat Bergerak (MDM) seperti Microsoft Intune. Kemampuan manajemen ini memungkinkan Anda membatasi akses ke sumber daya sensitif pada perangkat yang dikelola dan mematuhi kebijakan.
Komputer dan laptop tradisional juga dapat bergabung ke MICROSOFT Entra ID. Mekanisme ini menawarkan manfaat yang sama untuk mendaftarkan perangkat pribadi dengan ID Microsoft Entra, seperti untuk memungkinkan pengguna masuk ke perangkat menggunakan kredensial perusahaan mereka.
Perangkat yang bergabung dengan Microsoft Entra memberi Anda manfaat berikut:
- Akses menyeluruh (SSO) ke aplikasi yang diamankan oleh ID Microsoft Entra.
- Pengaturan penjelajahan pengguna yang mematuhi kebijakan perusahaan di seluruh perangkat.
- Akses ke Windows Store untuk Bisnis menggunakan info masuk perusahaan.
- Windows Hello untuk Bisnis.
- Akses terbatas ke aplikasi dan sumber daya dari perangkat yang mematuhi kebijakan perusahaan.
Perangkat dapat digabungkan ke ID Microsoft Entra dengan atau tanpa penyebaran hibrid yang menyertakan lingkungan AD DS lokal. Tabel berikut menguraikan model kepemilikan perangkat umum dan bagaimana mereka biasanya akan tergabung ke domain:
| Jenis perangkat | Platform perangkat | Mekanisme |
|---|---|---|
| Perangkat pribadi | Windows 10, iOS, Android, macOS | Terdaftar Microsoft Entra |
| Perangkat milik organisasi tidak tergabung ke AD DS lokal | Windows 10 | Gabungan Microsoft Entra |
| Perangkat milik organisasi tidak tergabung ke AD DS lokal | Windows 10 | Gabungan hibrida Microsoft Entra |
Pada perangkat gabungan atau terdaftar Microsoft Entra, autentikasi pengguna terjadi menggunakan protokol berbasis OAuth / OpenID Koneksi modern. Protokol ini dirancang untuk bekerja melalui internet, jadi sangat bagus untuk skenario seluler di mana pengguna mengakses sumber daya perusahaan dari mana saja.
Dengan perangkat yang bergabung dengan Layanan Domain, aplikasi dapat menggunakan protokol Kerberos dan NTLM untuk autentikasi, sehingga dapat mendukung aplikasi warisan yang dimigrasikan untuk berjalan di Azure VM sebagai bagian dari strategi lift-and-shift. Tabel berikut ini menguraikan perbedaan dalam bagaimana perangkat diwakili dan dapat mengautentikasi diri mereka sendiri pada direktori:
| Aspek | Gabungan Microsoft Entra | Bergabung dengan Layanan Domain |
|---|---|---|
| Perangkat dikontrol oleh | Microsoft Entra ID | Domain terkelola Domain Services |
| Representasi dalam direktori | Objek perangkat di direktori Microsoft Entra | Objek komputer di domain terkelola Domain Services |
| Autentikasi | Protokol berbasis OAuth/OpenID Connect | Protokol Kerberos dan NTLM |
| Manajemen | Perangkat lunak Manajemen Perangkat Bergerak (MDM) seperti Intune | Kebijakan Grup |
| Jaringan | Bekerja melalui internet | Harus disambungkan ke, atau disambungkan dengan, jaringan virtual tempat domain terkelola disebarkan |
| Bagus untuk... | Perangkat seluler atau desktop pengguna akhir | Komputer virtual server disebarkan di Azure |
Jika AD DS lokal dan ID Microsoft Entra dikonfigurasi untuk autentikasi federasi menggunakan Layanan Federasi Direktori Aktif, maka tidak ada hash kata sandi (saat ini/valid) yang tersedia di Azure DS. Akun pengguna Microsoft Entra yang dibuat sebelum autentikasi fed diimplementasikan mungkin memiliki hash kata sandi lama tetapi kemungkinan ini tidak cocok dengan hash kata sandi lokal mereka. Akibatnya, Domain Services tidak akan dapat memvalidasi kredensial pengguna
Langkah berikutnya
Untuk mulai menggunakan Domain Services, buat domain terkelola Domain Services menggunakan pusat admin Microsoft Entra.
Anda juga dapat mempelajari selengkapnya tentang konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Layanan Domain dan bagaimana objek dan kredensial disinkronkan di domain terkelola.