Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk menyediakan akses aplikasi, layanan, atau perangkat ke identitas pusat, ada tiga cara umum untuk menggunakan layanan berbasis Direktori Aktif di Azure. Pilihan dalam solusi identitas ini memberi Anda fleksibilitas untuk menggunakan direktori yang paling tepat untuk kebutuhan organisasi Anda. Misalnya, jika Anda sebagian besar mengelola pengguna khusus cloud yang menjalankan perangkat seluler, mungkin tidak masuk akal untuk membangun dan menjalankan solusi identitas Active Directory Domain Services (AD DS) Anda sendiri. Sebagai gantinya, Anda hanya dapat menggunakan ID Microsoft Entra.
Meskipun tiga solusi identitas berbasis Direktori Aktif berbagi nama dan teknologi umum, solusi tersebut dirancang untuk menyediakan layanan yang memenuhi permintaan pelanggan yang berbeda. Pada tingkat tinggi, solusi identitas dan set fitur ini adalah:
-
Active Directory Domain Services (AD DS) - Server protokol akses direktori ringan siap pakai perusahaan (LDAP) yang menyediakan fitur utama seperti identitas dan autentikasi, manajemen objek komputer, kebijakan grup, dan kepercayaan. - AD DS adalah komponen pusat di banyak organisasi dengan lingkungan TI lokal, dan menyediakan autentikasi akun pengguna inti dan fitur manajemen komputer.
- Untuk informasi selengkapnya, lihat gambaran umum Active Directory Domain Services dalam dokumentasi Windows Server.
-
ID Microsoft Entra - Manajemen identitas dan perangkat seluler berbasis cloud yang menyediakan akun pengguna dan layanan autentikasi untuk sumber daya seperti Microsoft 365, pusat admin Microsoft Entra, atau aplikasi SaaS.
- ID Microsoft Entra dapat disinkronkan dengan lingkungan AD DS lokal untuk memberikan satu identitas kepada pengguna yang bekerja secara asli di cloud.
- Untuk informasi selengkapnya tentang ID Microsoft Entra, lihat Apa itu ID Microsoft Entra?
-
microsoft Entra Domain Services - Menyediakan layanan domain terkelola dengan subset fitur AD DS tradisional yang sepenuhnya kompatibel seperti gabungan domain, kebijakan grup, LDAP, dan autentikasi Kerberos / NTLM.
- Layanan Domain terintegrasi dengan ID Microsoft Entra, yang dapat disinkronkan dengan lingkungan AD DS lokal. Kemampuan ini memperluas kasus penggunaan identitas pusat ke aplikasi web tradisional yang berjalan di Azure sebagai bagian dari strategi lift-and-shift.
- Untuk mempelajari selengkapnya tentang sinkronisasi dengan MICROSOFT Entra ID dan lokal, lihat Bagaimana objek dan kredensial disinkronkan di domain terkelola.
Artikel gambaran umum ini membandingkan dan membedakan bagaimana solusi identitas ini dapat bekerja sama, atau akan digunakan secara independen, tergantung pada kebutuhan organisasi Anda.
Layanan Domain dan AD DS yang dikelola sendiri
Jika Anda memiliki aplikasi dan layanan yang memerlukan akses ke mekanisme autentikasi tradisional seperti Kerberos atau NTLM, ada dua cara untuk menyediakan Active Directory Domain Services di cloud:
- Domain terkelola yang Anda buat menggunakan Microsoft Entra Domain Services. Microsoft membuat dan mengelola sumber daya yang diperlukan.
- Domain yang dikelola sendiri
yang Anda buat dan konfigurasi menggunakan sumber daya tradisional seperti komputer virtual (VM), OS tamu Windows Server, dan Active Directory Domain Services (AD DS). Anda kemudian terus mengelola sumber daya ini.
Dengan Domain Services, komponen layanan inti disebarkan dan dikelola oleh Microsoft untuk Anda sebagai pengalaman domain terkelola . Anda tidak menyebarkan, mengelola, menambal, dan mengamankan infrastruktur AD DS untuk komponen seperti VM, OS Windows Server, atau pengendali domain (DC).
Layanan Domain menyediakan subset fitur yang lebih kecil untuk lingkungan AD DS tradisional yang dikelola sendiri, yang mengurangi beberapa kompleksitas desain dan manajemen. Misalnya, tidak ada hutan AD, domain, situs, dan tautan replikasi untuk dirancang dan dipelihara. Anda masih dapat membuat kepercayaan hutan antara Domain Services dan lingkungan lokal.
Untuk aplikasi dan layanan yang berjalan di cloud dan memerlukan akses ke mekanisme autentikasi tradisional seperti Kerberos atau NTLM, Layanan Domain memberikan pengalaman domain terkelola dengan jumlah overhead administratif minimal. Untuk informasi selengkapnya, lihat konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Domain Services.
Saat Anda menyebarkan dan menjalankan lingkungan AD DS yang dikelola sendiri, Anda harus mempertahankan semua komponen infrastruktur dan direktori terkait. Ada biaya pemeliharaan tambahan dengan lingkungan AD DS yang dikelola sendiri, tetapi Anda kemudian dapat melakukan tugas tambahan seperti memperluas skema atau membuat trust hutan.
Model penyebaran umum untuk lingkungan AD DS yang dikelola sendiri yang menyediakan identitas untuk aplikasi dan layanan di cloud meliputi yang berikut ini:
- AD DS khusus cloud mandiri - Mesin Virtual Azure dikonfigurasi sebagai pengendali domain dan dibuatlah lingkungan AD DS khusus cloud yang terpisah. Lingkungan AD DS ini tidak terintegrasi dengan lingkungan AD DS lokal. Serangkaian kredensial yang berbeda digunakan untuk masuk dan mengelola VM di cloud.
-
Memperluas domain lokal ke Azure - Jaringan virtual Azure tersambung ke jaringan lokal menggunakan koneksi VPN /ExpressRoute. Azure VM terhubung ke jaringan virtual Azure ini, yang memungkinkan mereka bergabung ke domain di lingkungan AD DS di lokasi.
- Alternatifnya adalah membuat Azure VM dan mempromosikannya sebagai pengontrol domain replika dari domain AD DS lokal. Pengendali domain ini mereplikasi melalui koneksi VPN / ExpressRoute ke lingkungan AD DS lokal. Domain AD DS lokal secara efektif diperluas ke Azure.
Tabel berikut menguraikan beberapa fitur yang mungkin Anda butuhkan untuk organisasi Anda, dan perbedaan antara domain terkelola atau domain AD DS yang dikelola sendiri:
| Fitur | domain terkelola | AD DS yang dikelola sendiri |
|---|---|---|
| layanan terkelola |
✓ | ✕ |
| Penyebaran Aman | ✓ | Administrator mengamankan penyebaran |
| server DNS | ✓ (layanan terkelola) | ✓ |
| domain atau hak istimewa administrator Perusahaan | ✕ | ✓ |
| penggabungan domain | ✓ | ✓ |
| autentikasi domain menggunakan NTLM dan Kerberos | ✓ | ✓ |
| delegasi terbatas Kerberos | Berbasis sumber daya | Model berbasis sumber daya & berbasis akun |
| struktur unit organisasi khusus | ✓ | ✓ |
| Kebijakan Grup | ✓ | ✓ |
| ekstensi Skema | ✕ | ✓ |
| domain AD/kepercayaan forest | ✓ (Memerlukan SKU Perusahaan) | ✓ |
| LDAP Terenkripsi (LDAPS) | ✓ | ✓ |
| baca LDAP | ✓ | ✓ |
| penulisan LDAP | ✓ (dalam domain terkelola) | ✓ |
| penyebaran terdistribusi geografis | ✓ | ✓ |
Layanan Domain dan ID Microsoft Entra
MICROSOFT Entra ID memungkinkan Anda mengelola identitas perangkat yang digunakan oleh organisasi dan mengontrol akses ke sumber daya perusahaan dari perangkat tersebut. Pengguna juga dapat mendaftarkan perangkat pribadi mereka (model bawa perangkat sendiri atau BYO) menggunakan ID Microsoft Entra, yang memberikan identitas pada perangkat tersebut. ID Microsoft Entra kemudian mengautentikasi perangkat saat pengguna masuk ke ID Microsoft Entra dan menggunakan perangkat untuk mengakses sumber daya yang aman. Perangkat dapat dikelola menggunakan perangkat lunak Mobile Device Management (MDM) seperti Microsoft Intune. Kemampuan manajemen ini memungkinkan Anda membatasi akses ke sumber daya sensitif ke perangkat yang dikelola dan mematuhi kebijakan.
Komputer dan laptop tradisional juga dapat bergabung ke MICROSOFT Entra ID. Mekanisme ini menawarkan manfaat yang sama untuk mendaftarkan perangkat pribadi dengan ID Microsoft Entra, seperti untuk memungkinkan pengguna masuk ke perangkat menggunakan kredensial perusahaan mereka.
Perangkat yang bergabung dengan Microsoft Entra memberi Anda manfaat berikut:
- Single-sign-on (SSO) ke aplikasi yang diamankan oleh Microsoft Entra ID.
- Roaming pengaturan pengguna yang sesuai dengan kebijakan perusahaan di berbagai perangkat.
- Akses ke Bursa Windows untuk Bisnis menggunakan kredensial perusahaan.
- Windows Hello untuk Bisnis.
- Akses terbatas ke aplikasi dan sumber daya dari perangkat yang mematuhi kebijakan perusahaan.
Perangkat dapat digabungkan ke ID Microsoft Entra dengan atau tanpa penyebaran hibrid yang menyertakan lingkungan AD DS lokal. Tabel berikut menguraikan model kepemilikan perangkat umum dan bagaimana biasanya mereka akan digabungkan ke domain:
| Jenis perangkat | Platform Perangkat | Mekanisme |
|---|---|---|
| Perangkat pribadi | Windows 10, iOS, Android, macOS | Microsoft Entra terdaftar |
| Perangkat milik organisasi tidak bergabung ke AD DS lokal | Windows 10 | Microsoft Entra bergabung |
| Perangkat milik organisasi bergabung ke AD DS lokal | Windows 10 | Bergabung secara hibrida dengan Microsoft Entra |
Pada perangkat gabungan atau terdaftar Microsoft Entra, autentikasi pengguna terjadi menggunakan protokol berbasis OAuth / OpenID Connect modern. Protokol ini dirancang untuk bekerja melalui internet, jadi sangat bagus untuk skenario seluler di mana pengguna mengakses sumber daya perusahaan dari mana saja.
Dengan perangkat yang bergabung dengan Layanan Domain, aplikasi dapat menggunakan protokol Kerberos dan NTLM untuk autentikasi, sehingga dapat mendukung aplikasi warisan yang dimigrasikan untuk berjalan di Azure VM sebagai bagian dari strategi lift-and-shift. Tabel berikut menguraikan perbedaan bagaimana perangkat diwakili dan dapat mengautentikasi diri terhadap direktori:
| Aspek | Microsoft Entra bergabung dengan | Domain Services yang bergabung dengan |
|---|---|---|
| Perangkat dikontrol oleh | Microsoft Entra ID | Domain yang Dikelola oleh Layanan Domain |
| Representasi dalam direktori | Objek perangkat di direktori Microsoft Entra | Objek komputer di domain terkelola Domain Services |
| Otentikasi | Protokol berbasis OAuth / OpenID Connect | Protokol Kerberos dan NTLM |
| Direksi | Perangkat lunak Mobile Device Management (MDM) seperti Intune | Kebijakan Grup |
| Jaringan | Bekerja melalui internet | Harus terhubung ke, atau dipasangkan dengan, jaringan virtual tempat domain terkelola disebarkan. |
| Sangat cocok untuk... | Perangkat seluler atau desktop pengguna akhir | Server-server VM yang dikerahkan di Azure |
Jika AD DS lokal dan ID Microsoft Entra dikonfigurasi untuk autentikasi federasi menggunakan AD FS, maka tidak ada hash kata sandi yang (saat ini/valid) tersedia di Azure DS. Akun pengguna Microsoft Entra yang dibuat sebelum autentikasi fed diimplementasikan mungkin memiliki hash kata sandi lama tetapi kemungkinan ini tidak cocok dengan hash kata sandi lokal mereka. Akibatnya, Domain Services tidak akan dapat memvalidasi kredensial pengguna
Langkah berikutnya
Untuk mulai menggunakan Layanan Domain, membuat domain terkelola Domain Services menggunakan pusat admin Microsoft Entra.
Anda juga dapat mempelajari selengkapnya tentang konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Domain Services dan bagaimana objek dan kredensial disinkronkan di domain terkelola.