Bagikan melalui


Konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Microsoft Entra Domain Services

Saat Anda membuat dan menjalankan domain terkelola Microsoft Entra Domain Services, ada beberapa perbedaan perilaku dibandingkan dengan lingkungan AD DS lokal tradisional. Anda menggunakan alat administratif yang sama di Domain Services sebagai domain yang dikelola sendiri, tetapi Anda tidak dapat langsung mengakses pengendali domain (DC). Ada juga beberapa perbedaan perilaku untuk kebijakan kata sandi dan hash kata sandi tergantung pada sumber pembuatan akun pengguna.

Artikel konseptual ini menjelaskan cara mengelola domain terkelola dan perilaku akun pengguna yang berbeda bergantung pada cara pembuatannya.

Manajemen domain

Domain terkelola adalah ruang namespace DNS dan direktori yang cocok. Di domain terkelola, pengendali domain (DC) yang berisi semua sumber daya seperti pengguna dan grup, informasi masuk, dan kebijakan adalah bagian dari layanan terkelola. Untuk redundansi, dua DC dibuat sebagai bagian dari domain terkelola. Anda tidak bisa masuk ke DC ini untuk melakukan tugas manajemen. Sebagai gantinya, Anda membuat komputer virtual manajemen yang bergabung ke domain terkelola, lalu memasang alat manajemen AD DS reguler Anda. Anda dapat menggunakan snap-in Pusat Administrasi Direktori Aktif atau Microsoft Management Console (MMC) seperti objek DNS atau Kebijakan Grup, misalnya.

Pembuatan akun pengguna

Akun pengguna dapat dibuat di domain terkelola dalam berbagai cara. Sebagian besar akun pengguna disinkronkan dari ID Microsoft Entra, yang juga dapat menyertakan akun pengguna yang disinkronkan dari lingkungan AD DS lokal. Anda juga dapat membuat akun secara manual langsung di domain terkelola. Beberapa fitur, seperti sinkronisasi kata sandi awal atau kebijakan kata sandi, berperilaku berbeda tergantung pada bagaimana dan di mana akun pengguna dibuat.

  • Akun pengguna dapat disinkronkan dari ID Microsoft Entra. Ini termasuk akun pengguna khusus cloud yang dibuat langsung di ID Microsoft Entra, dan akun pengguna hibrid yang disinkronkan dari lingkungan AD DS lokal menggunakan Microsoft Entra Connect.
    • Sebagian besar akun pengguna di domain terkelola dibuat melalui proses sinkronisasi dari ID Microsoft Entra.
  • Akun pengguna dapat dibuat secara manual di domain terkelola, dan tidak ada di ID Microsoft Entra.
    • Jika Anda perlu membuat akun layanan untuk aplikasi yang hanya berjalan di domain terkelola, Anda dapat membuatnya secara manual di domain terkelola. Karena sinkronisasi adalah salah satu cara dari ID Microsoft Entra, akun pengguna yang dibuat di domain terkelola tidak disinkronkan kembali ke ID Microsoft Entra.

Kebijakan kata sandi

Layanan Domain mencakup kebijakan kata sandi default yang menentukan pengaturan untuk hal-hal seperti penguncian akun, usia kata sandi maksimum, dan kompleksitas kata sandi. Pengaturan seperti kebijakan penguncian akun berlaku untuk semua pengguna di domain terkelola, terlepas dari bagaimana pengguna dibuat sebagaimana diuraikan di bagian sebelumnya. Beberapa pengaturan, seperti panjang kata sandi minimum dan kompleksitas kata sandi, hanya berlaku untuk pengguna yang dibuat langsung di domain terkelola.

Anda dapat membuat kebijakan kata sandi kustom Anda sendiri untuk mengambil alih kebijakan default di domain terkelola. Kebijakan kustom ini kemudian dapat diterapkan ke grup pengguna tertentu sesuai kebutuhan.

Untuk informasi selengkapnya tentang perbedaan cara kebijakan kata sandi diterapkan tergantung pada sumber pembuatan pengguna, lihat Kebijakan penguncian kata sandi dan akun pada domain terkelola.

Hash kata sandi

Untuk mengautentikasi pengguna di domain terkelola, Domain Services memerlukan hash kata sandi dalam format yang cocok untuk autentikasi NT LAN Manager (NTLM) dan Kerberos. ID Microsoft Entra tidak menghasilkan atau menyimpan hash kata sandi dalam format yang diperlukan untuk autentikasi NTLM atau Kerberos hingga Anda mengaktifkan Layanan Domain untuk penyewa Anda. Untuk alasan keamanan, ID Microsoft Entra juga tidak menyimpan kredensial kata sandi apa pun dalam bentuk teks yang jelas. Oleh karena itu, ID Microsoft Entra tidak dapat secara otomatis menghasilkan hash kata sandi NTLM atau Kerberos ini berdasarkan kredensial pengguna yang ada.

Untuk akun pengguna khusus cloud, pengguna harus mengubah kata sandi mereka sebelum mereka dapat menggunakan domain terkelola. Proses perubahan kata sandi ini menyebabkan hash kata sandi untuk autentikasi Kerberos dan NTLM dihasilkan dan disimpan di ID Microsoft Entra. Akun tidak disinkronkan dari ID Microsoft Entra ke Layanan Domain hingga kata sandi diubah.

Untuk pengguna yang disinkronkan dari lingkungan AD DS lokal menggunakan Microsoft Entra Connect, aktifkan sinkronisasi hash kata sandi.

Penting

Microsoft Entra Connect hanya menyinkronkan hash kata sandi warisan saat Anda mengaktifkan Layanan Domain untuk penyewa Microsoft Entra Anda. Hash kata sandi warisan tidak digunakan jika Anda hanya menggunakan Microsoft Entra Connect untuk menyinkronkan lingkungan AD DS lokal dengan ID Microsoft Entra.

Jika aplikasi warisan Anda tidak menggunakan autentikasi NTLM atau ikatan sederhana LDAP, kami sarankan Anda menonaktifkan sinkronisasi hash kata sandi NTLM untuk Layanan Domain. Untuk informasi selengkapnya, lihat Menonaktifkan suite cipher yang lemah dan sinkronisasi hash informasi masuk NTLM.

Setelah dikonfigurasi dengan tepat, hash kata sandi yang dapat digunakan disimpan di domain terkelola. Jika Anda menghapus domain terkelola, hash kata sandi apa pun yang disimpan pada saat itu juga dihapus. Informasi kredensial yang disinkronkan di ID Microsoft Entra tidak dapat digunakan kembali jika nanti Anda membuat domain terkelola lain - Anda harus mengonfigurasi ulang sinkronisasi hash kata sandi untuk menyimpan hash kata sandi lagi. VM atau pengguna yang bergabung dengan domain sebelumnya tidak akan dapat segera mengautentikasi - ID Microsoft Entra perlu menghasilkan dan menyimpan hash kata sandi di domain terkelola baru. Untuk informasi selengkapnya, lihat Proses sinkronisasi hash kata sandi untuk Domain Services dan Microsoft Entra Connect.

Penting

Microsoft Entra Connect hanya boleh diinstal dan dikonfigurasi untuk sinkronisasi dengan lingkungan AD DS lokal. Tidak didukung untuk menginstal Microsoft Entra Connect di domain terkelola untuk menyinkronkan objek kembali ke ID Microsoft Entra.

Hutan dan kepercayaan

Hutan adalah konstruksi logis yang digunakan oleh Active Directory Domain Services (AD DS) untuk mengelompokkan satu atau beberapa domain. Domain kemudian menyimpan objek untuk pengguna atau grup, dan menyediakan layanan autentikasi.

Di Layanan Domain, forest hanya berisi satu domain. hutan AD DS lokal sering berisi banyak domain. Dalam organisasi besar, terutama setelah gabung dan akuisisi, Anda mungkin berakhir dengan beberapa hutan lokal yang masing-masing kemudian berisi beberapa domain.

Secara default, domain terkelola menyinkronkan semua objek dari ID Microsoft Entra, termasuk akun pengguna apa pun yang dibuat di lingkungan AD DS lokal. Akun pengguna dapat langsung mengautentikasi terhadap domain terkelola, seperti masuk ke komputer virtual yang bergabung dengan domain. Pendekatan ini berfungsi ketika hash kata sandi dapat disinkronkan dan pengguna tidak menggunakan metode masuk eksklusif seperti autentikasi kartu pintar.

Di Domain Services, Anda juga dapat membuat kepercayaan forest dengan domain lain untuk memungkinkan pengguna mengakses sumber daya. Bergantung pada persyaratan akses Anda, Anda dapat membuat kepercayaan hutan ke arah yang berbeda.

Arah kepercayaan Akses pengguna
Dua-Arah Memungkinkan pengguna di domain terkelola dan domain lokal untuk mengakses sumber daya di salah satu domain.
Keluar satu arah Memungkinkan pengguna di domain lokal mengakses sumber daya di domain terkelola, tetapi bukan sebaliknya.
Masuk satu arah Memungkinkan pengguna di domain terkelola mengakses sumber daya di domain lokal.

SKU Layanan Domain

Di Domain Services, performa dan fitur yang tersedia didasarkan pada SKU. Anda memilih SKU saat membuat domain terkelola, dan Anda dapat mengalihkan SKU saat persyaratan bisnis Anda berubah setelah domain terkelola disebarkan. Tabel berikut ini menguraikan SKU yang tersedia dan perbedaan di antaranya:

Nama SKU Jumlah objek maksimum Frekuensi pencadangan
Standard Tidak Terbatas Setiap 5 hari
Perusahaan Tidak Terbatas Setiap 3 hari
Premium Tidak Terbatas Harian

Sebelum SKU Domain Services ini, model penagihan berdasarkan jumlah objek (akun pengguna dan komputer) di domain terkelola digunakan. Tidak ada lagi harga variabel berdasarkan jumlah objek di domain terkelola.

Untuk informasi selengkapnya, lihat halaman harga Layanan Domain.

Performa domain terkelola

Performa domain bervariasi berdasarkan bagaimana autentikasi diterapkan untuk aplikasi. Sumber daya komputasi tambahan dapat membantu meningkatkan waktu respons kueri dan mengurangi waktu yang dihabiskan dalam operasi sinkronisasi. Ketika tingkat SKU meningkat, sumber daya komputasi yang tersedia untuk domain terkelola ditingkatkan. Pantau performa aplikasi Anda dan rencanakan sumber daya yang diperlukan.

Jika permintaan bisnis atau aplikasi Anda berubah dan Anda memerlukan daya komputasi tambahan untuk domain terkelola, Anda dapat beralih ke SKU lain.

Frekuensi pencadangan

Frekuensi pencadangan menentukan seberapa sering rekam jepret domain terkelola diambil. Pencadangan adalah proses otomatis yang dikelola oleh platform Azure. Jika terjadi masalah dengan domain terkelola Anda, dukungan Azure dapat membantu Anda memulihkan dari cadangan. Karena sinkronisasi hanya terjadi satu cara dari MICROSOFT Entra ID, masalah apa pun di domain terkelola tidak akan berdampak pada ID Microsoft Entra atau lingkungan dan fungsionalitas AD DS lokal.

Ketika tingkat SKU meningkat, frekuensi rekam jepret pencadangan tersebut meningkat. Ulas persyaratan bisnis dan tujuan titik pemulihan (RPO) Anda untuk menentukan frekuensi pencadangan yang diperlukan untuk domain terkelola Anda. Jika persyaratan bisnis atau aplikasi Anda berubah dan Anda memerlukan pencadangan yang lebih sering, Anda dapat beralih ke SKU lain.

Layanan Domain menyediakan panduan berikut untuk rentang waktu pemulihan untuk berbagai jenis masalah:

  • Tujuan titik pemulihan (RPO) adalah rentang waktu maksimum di mana ada potensi data atau kerugian transaksi dari insiden.
  • Objek waktu pemulihan (RTO) adalah rentang waktu yang ditargetkan yang terjadi sebelum tingkat layanan kembali beroperasi setelah insiden.
Terbitan RPO RTO
Masalah yang disebabkan oleh kehilangan atau kerusakan data pada pengontrol domain Domain Services, layanan dependen, eksploitasi yang mengorbankan domain, atau insiden lain yang memerlukan pemulihan pengendali domain. Lima hari sebelum terjadinya peristiwa Dua jam hingga empat hari, tergantung pada ukuran penyewa
Masalah yang diidentifikasi oleh diagnostik domain kami. Nol (0 menit) Dua jam hingga empat hari, tergantung pada ukuran penyewa

Langkah berikutnya

Untuk memulai, buat domain terkelola Domain Services.