Identitas hibrid dengan Direktori Aktif dan ID Microsoft Entra di zona pendaratan Azure
Artikel ini menyediakan panduan tentang cara merancang dan menerapkan ID Microsoft Entra dan identitas hibrid untuk zona pendaratan Azure.
Organisasi yang beroperasi di cloud memerlukan layanan direktori untuk mengelola identitas pengguna dan akses ke sumber daya. MICROSOFT Entra ID adalah layanan manajemen identitas dan akses berbasis cloud yang menyediakan kemampuan yang kuat untuk mengelola pengguna dan grup. Anda dapat menggunakan ID Microsoft Entra sebagai solusi identitas mandiri, atau mengintegrasikannya dengan infrastruktur Microsoft Entra Domain Services atau infrastruktur Active Directory lokal Domain Services (AD DS).
ID Microsoft Entra menyediakan manajemen identitas dan akses aman modern untuk layanan Azure dan Microsoft 365. Anda dapat menggunakan ID Microsoft Entra untuk berbagai organisasi dan beban kerja. Misalnya, organisasi dengan infrastruktur AD DS lokal dan beban kerja berbasis cloud dapat menggunakan sinkronisasi direktori dengan ID Microsoft Entra. Sinkronisasi direktori memastikan bahwa lingkungan lokal dan cloud berbagi sekumpulan identitas, grup, dan peran yang konsisten. Aplikasi yang memerlukan mekanisme autentikasi lama mungkin memerlukan Layanan Domain untuk layanan domain terkelola di cloud dan untuk memperluas infrastruktur AD DS lokal ke Azure.
Manajemen identitas berbasis cloud adalah proses berulang. Anda mungkin mulai dengan solusi cloud-native yang memiliki sekumpulan kecil pengguna dan peran yang sesuai untuk penyebaran awal. Saat migrasi Anda matang, Anda mungkin perlu mengintegrasikan solusi identitas Anda dengan menggunakan sinkronisasi direktori atau menambahkan layanan domain yang dihosting cloud sebagai bagian dari penyebaran cloud Anda.
Sesuaikan solusi identitas Anda dari waktu ke waktu tergantung pada persyaratan autentikasi beban kerja Anda dan kebutuhan lain, seperti perubahan pada strategi identitas organisasi Anda dan persyaratan keamanan atau integrasi dengan layanan direktori lainnya. Saat Anda mengevaluasi solusi Direktori Aktif Windows Server, pahami perbedaan antara ID Microsoft Entra, Layanan Domain, dan AD DS di Windows Server.
Untuk informasi selengkapnya, lihat Panduan keputusan identitas.
Layanan manajemen identitas dan akses di zona pendaratan Azure
Tim platform bertanggung jawab atas administrasi manajemen identitas dan akses. Layanan manajemen identitas dan akses sangat mendasar untuk keamanan organisasi. Organisasi Anda dapat menggunakan ID Microsoft Entra untuk mengontrol akses administratif dan melindungi sumber daya platform. Pendekatan ini mencegah pengguna di luar tim platform membuat perubahan pada konfigurasi atau ke prinsip keamanan yang terkandung dalam ID Microsoft Entra.
Jika Anda menggunakan AD DS atau Layanan Domain, Anda harus melindungi pengendali domain dari akses yang tidak sah. Pengendali domain sangat rentan terhadap serangan dan harus memiliki kontrol dan pemisahan keamanan yang ketat dari beban kerja aplikasi.
Sebarkan pengontrol domain dan komponen terkait, seperti Microsoft Entra Koneksi server, dalam langganan Identitas yang terletak di grup manajemen platform. Pengendali domain tidak didelegasikan ke tim aplikasi. Isolasi ini memungkinkan pemilik aplikasi untuk menggunakan layanan identitas tanpa harus mempertahankannya, yang mengurangi risiko kompromi pada layanan manajemen identitas dan akses. Sumber daya dalam langganan platform Identitas adalah titik keamanan penting untuk lingkungan cloud dan lokal Anda.
Sediakan zona pendaratan sehingga pemilik aplikasi dapat memilih ID Microsoft Entra atau AD DS dan Layanan Domain agar sesuai dengan kebutuhan beban kerja mereka. Anda mungkin perlu mengonfigurasi layanan lain, tergantung pada solusi identitas Anda. Misalnya, Anda mungkin perlu mengaktifkan dan mengamankan konektivitas jaringan ke jaringan virtual Identitas. Jika Anda menggunakan proses penjual langganan, sertakan informasi konfigurasi ini dalam permintaan langganan Anda.
Domain Azure dan lokal (identitas hibrid)
Objek pengguna yang Anda buat sepenuhnya di ID Microsoft Entra dikenal sebagai akun khusus cloud. Akun khusus cloud mendukung autentikasi modern dan akses ke sumber daya Azure dan Microsoft 365 serta mendukung akses untuk perangkat lokal yang menggunakan Windows 10 atau Windows 11.
Organisasi Anda mungkin sudah memiliki direktori AD DS lama yang Anda integrasikan dengan sistem lain, seperti lini perencanaan sumber daya bisnis atau perusahaan (ERP) melalui Lightweight Directory Access Protocol (LDAP). Domain ini dapat memiliki banyak komputer dan aplikasi yang bergabung dengan domain yang menggunakan Kerberos atau protokol NTLMv2 yang lebih lama untuk autentikasi. Di lingkungan ini, Anda dapat menyinkronkan objek pengguna ke ID Microsoft Entra sehingga pengguna dapat masuk ke sistem lokal dan sumber daya cloud dengan satu identitas. Menyatukan layanan direktori lokal dan cloud dikenal sebagai identitas hibrid. Anda dapat memperluas domain lokal ke zona pendaratan Azure:
Untuk mempertahankan satu objek pengguna di lingkungan cloud dan lokal, Anda dapat menyinkronkan pengguna domain AD DS dengan ID Microsoft Entra melalui Microsoft Entra Koneksi atau Microsoft Entra Cloud Sync. Untuk menentukan konfigurasi yang direkomendasikan untuk lingkungan Anda, lihat Topologi untuk Microsoft Entra Koneksi dan Topologi untuk Microsoft Entra Cloud Sync.
Untuk bergabung dengan domain komputer virtual Windows (VM) dan layanan lainnya, Anda dapat menyebarkan pengendali domain AD DS atau Layanan Domain di Azure. Gunakan pendekatan ini sehingga pengguna AD DS dapat masuk ke server Windows, berbagi file Azure, dan sumber daya lain yang menggunakan Direktori Aktif sebagai sumber autentikasi. Anda juga dapat menggunakan teknologi Direktori Aktif lainnya, seperti kebijakan grup, sebagai sumber autentikasi. Untuk informasi selengkapnya, lihat Skenario penyebaran umum untuk Microsoft Entra Domain Services.
Rekomendasi identitas hibrid
Untuk menentukan persyaratan solusi identitas Anda, dokumentasikan penyedia autentikasi yang digunakan setiap aplikasi. Gunakan panduan keputusan identitas untuk memilih layanan yang tepat untuk organisasi Anda. Untuk informasi selengkapnya, lihat Membandingkan Direktori Aktif dengan ID Microsoft Entra.
Anda dapat menggunakan Layanan Domain untuk aplikasi yang mengandalkan layanan domain dan menggunakan protokol yang lebih lama. Domain AD DS yang ada terkadang mendukung kompatibilitas mundur dan memungkinkan protokol warisan, yang dapat berdampak negatif pada keamanan. Alih-alih memperluas domain lokal, pertimbangkan untuk menggunakan Domain Services untuk membuat domain baru yang tidak mengizinkan protokol warisan. Gunakan domain baru sebagai layanan direktori untuk aplikasi yang dihosting cloud.
Faktor ketahanan sebagai persyaratan desain penting untuk strategi identitas hibrid Anda di Azure. ID Microsoft Entra adalah sistem berbasis cloud yang berlebihan secara global tetapi Domain Services dan AD DS tidak. Rencanakan dengan cermat ketahanan saat Anda menerapkan Domain Services dan AD DS. Saat Anda merancang salah satu layanan, pertimbangkan untuk menggunakan penyebaran multiregion untuk memastikan operasi layanan berkelanjutan jika terjadi insiden regional.
Untuk memperluas instans AD DS lokal ke Azure dan mengoptimalkan penyebaran, masukkan wilayah Azure Anda ke dalam desain situs Direktori Aktif Anda. Buat situs di situs dan layanan AD DS untuk setiap wilayah Azure tempat Anda berencana untuk menyebarkan beban kerja. Kemudian buat objek subnet baru di situs dan layanan AD DS untuk setiap rentang alamat IP yang Anda rencanakan untuk disebarkan di wilayah tersebut. Kaitkan objek subnet baru dengan situs AD DS yang Anda buat. Konfigurasi ini memastikan bahwa layanan pencari lokasi pengendali domain mengarahkan permintaan otorisasi dan autentikasi ke pengendali domain AD DS terdekat dalam wilayah Azure yang sama.
Evaluasi skenario yang menyiapkan tamu, pelanggan, atau mitra sehingga mereka dapat mengakses sumber daya. Tentukan apakah skenario ini melibatkan Microsoft Entra B2B atau ID Eksternal Microsoft Entra untuk pelanggan. Untuk informasi selengkapnya, lihat ID Eksternal Microsoft Entra.
Jangan gunakan proksi aplikasi Microsoft Entra untuk akses intranet karena menambahkan latensi ke pengalaman pengguna. Untuk informasi selengkapnya, lihat Perencanaan proksi aplikasi Microsoft Entra dan pertimbangan keamanan proksi aplikasi Microsoft Entra.
Pertimbangkan berbagai metode yang dapat Anda gunakan untuk mengintegrasikan Active Directory lokal dengan Azure untuk memenuhi persyaratan organisasi Anda.
Jika Anda memiliki federasi Layanan Federasi Direktori Aktif (AD FS) dengan ID Microsoft Entra, Anda dapat menggunakan sinkronisasi hash kata sandi sebagai cadangan. Layanan Federasi Direktori Aktif tidak mendukung akses menyeluruh (SSO) tanpa hambatan Microsoft Entra.
Tentukan alat sinkronisasi yang tepat untuk identitas cloud Anda.
Jika Anda memiliki persyaratan untuk menggunakan Layanan Federasi Direktori Aktif, lihat Menyebarkan Layanan Federasi Direktori Aktif di Azure.
Jika Anda menggunakan Microsoft Entra Koneksi sebagai alat sinkronisasi, pertimbangkan untuk menyebarkan server penahapan di wilayah yang berbeda dari server microsoft Entra Koneksi utama Anda untuk pemulihan bencana. Atau, jika Anda tidak menggunakan beberapa wilayah, terapkan zona ketersediaan untuk ketersediaan tinggi.
Jika Anda menggunakan Microsoft Entra Cloud Sync sebagai alat sinkronisasi Anda, pertimbangkan untuk menginstal setidaknya tiga agen di berbagai server di beberapa wilayah untuk pemulihan bencana. Atau, Anda dapat menginstal agen di seluruh server di zona ketersediaan yang berbeda untuk ketersediaan tinggi.
Penting
Kami sangat menyarankan Agar Anda bermigrasi ke ID Microsoft Entra kecuali Anda secara khusus memerlukan Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Sumber Daya untuk menonaktifkan Layanan Federasi Direktori Aktif dan Migrasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra.
ID Microsoft Entra, Layanan Domain, dan AD DS
Untuk menerapkan layanan direktori Microsoft, biasakan administrator dengan opsi berikut:
Anda dapat menyebarkan pengontrol domain AD DS ke Azure sebagai VM Windows yang dikontrol sepenuhnya oleh platform atau administrator identitas. Pendekatan ini adalah solusi infrastruktur sebagai layanan (IaaS). Anda dapat bergabung dengan pengontrol domain ke domain Direktori Aktif yang sudah ada atau menghosting domain baru yang memiliki hubungan kepercayaan opsional dengan domain lokal yang sudah ada. Untuk informasi selengkapnya, lihat Arsitektur garis besar Azure Virtual Machines di zona pendaratan Azure.
Domain Services adalah layanan terkelola Azure yang dapat Anda gunakan untuk membuat domain Active Directory terkelola baru yang dihosting di Azure. Domain dapat memiliki hubungan kepercayaan dengan domain yang ada dan dapat menyinkronkan identitas dari ID Microsoft Entra. Administrator tidak memiliki akses langsung ke pengendali domain dan tidak bertanggung jawab untuk patching dan operasi pemeliharaan lainnya.
Saat Anda menyebarkan Layanan Domain atau mengintegrasikan lingkungan lokal ke Azure, gunakan lokasi dengan zona ketersediaan untuk meningkatkan ketersediaan jika memungkinkan. Pertimbangkan juga untuk menyebarkan di beberapa wilayah Azure untuk meningkatkan ketahanan.
Setelah mengonfigurasi AD DS atau Domain Services, Anda dapat menggunakan metode yang sama dengan komputer lokal untuk bergabung dengan domain Azure VM dan berbagi file. Untuk informasi selengkapnya, lihat Membandingkan layanan berbasis direktori Microsoft.
Rekomendasi MICROSOFT Entra ID dan AD DS
Gunakan proksi aplikasi Microsoft Entra untuk mengakses aplikasi yang menggunakan autentikasi lokal dari jarak jauh melalui ID Microsoft Entra. Fitur ini menyediakan akses jarak jauh yang aman ke aplikasi web lokal. Proksi aplikasi Microsoft Entra tidak memerlukan VPN atau perubahan apa pun pada infrastruktur jaringan. Namun, ini disebarkan sebagai satu instans ke dalam ID Microsoft Entra, sehingga pemilik aplikasi dan platform atau tim identitas harus berkolaborasi untuk memastikan bahwa aplikasi dikonfigurasi dengan benar.
Mengevaluasi kompatibilitas beban kerja untuk AD DS di Windows Server dan Domain Services. Untuk informasi selengkapnya, lihat Kasus dan skenario penggunaan umum.
Sebarkan VM pengendali domain atau set replika Layanan Domain ke dalam langganan platform Identitas dalam grup manajemen platform.
Amankan jaringan virtual yang berisi pengendali domain. Untuk mencegah konektivitas internet langsung ke dan dari jaringan virtual dan pengendali domain, tempatkan server AD DS dalam subnet terisolasi dengan kelompok keamanan jaringan (NSG). NSG menyediakan fungsionalitas firewall. Sumber daya yang menggunakan pengendali domain untuk autentikasi harus memiliki rute jaringan ke subnet pengendali domain. Aktifkan rute jaringan hanya untuk aplikasi yang memerlukan akses ke layanan dalam langganan Identitas. Untuk informasi selengkapnya, lihat Menyebarkan AD DS di jaringan virtual Azure.
Gunakan Azure Virtual Network Manager untuk menerapkan aturan standar yang berlaku untuk jaringan virtual. Misalnya, Anda dapat menggunakan Azure Policy atau tag sumber daya jaringan virtual untuk menambahkan jaringan virtual zona pendaratan ke grup jaringan jika memerlukan layanan identitas Direktori Aktif. Grup jaringan kemudian dapat digunakan yang memungkinkan akses ke subnet pengendali domain hanya dari aplikasi yang memerlukannya dan memblokir akses dari aplikasi lain.
Amankan izin kontrol akses berbasis peran (RBAC) yang berlaku untuk VM pengendali domain dan sumber daya identitas lainnya. Administrator dengan penetapan peran RBAC di sarana kontrol Azure, seperti Kontributor, Pemilik, atau Kontributor Komputer Virtual, dapat menjalankan perintah pada VM. Pastikan bahwa hanya administrator yang berwenang yang dapat mengakses VM dalam langganan Identitas dan bahwa penetapan peran yang terlalu permisif tidak diwarisi dari grup manajemen yang lebih tinggi.
Jaga agar aplikasi inti Anda tetap dekat dengan, atau di wilayah yang sama dengan, jaringan virtual untuk set replika Anda untuk meminimalkan latensi. Dalam organisasi multiregional, sebarkan Layanan Domain ke wilayah yang menghosting komponen platform inti. Anda hanya dapat menyebarkan Layanan Domain ke dalam satu langganan. Untuk memperluas Layanan Domain ke wilayah lebih lanjut, Anda dapat menambahkan hingga empat set replika lagi di jaringan virtual terpisah yang di-peering ke jaringan virtual utama.
Pertimbangkan untuk menyebarkan pengontrol domain AD DS ke beberapa wilayah Azure dan di seluruh zona ketersediaan untuk meningkatkan ketahanan dan ketersediaan. Untuk informasi selengkapnya, lihat Membuat VM di zona ketersediaan dan Memigrasikan VM ke zona ketersediaan.
Jelajahi metode autentikasi untuk ID Microsoft Entra sebagai bagian dari perencanaan identitas Anda. Autentikasi dapat terjadi di cloud dan lokal, atau lokal saja.
Pertimbangkan untuk menggunakan autentikasi Kerberos untuk ID Microsoft Entra alih-alih menyebarkan pengontrol domain di cloud jika pengguna Windows memerlukan Kerberos untuk berbagi file Azure Files.
Langkah selanjutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk