Implementatie en beheer van Microsoft Entra Domain Services voor Azure Cloud Solution Providers
Azure Cloud Solution Providers (CSP) is een programma voor Microsoft-partners en biedt een licentiekanaal voor verschillende Microsoft-cloudservices. Met Azure CSP kunnen partners verkoop beheren, eigenaar zijn van de factureringsrelatie, technische en factureringsondersteuning bieden en het contactpunt van de klant zijn. Daarnaast biedt Azure CSP een volledige set hulpprogramma's, waaronder een selfserviceportal en bijbehorende API's. Met deze hulpprogramma's kunnen CSP-partners eenvoudig Azure-resources inrichten en beheren en facturering bieden voor klanten en hun abonnementen.
De partnercentrumportal is het toegangspunt voor alle Azure CSP-partners en biedt uitgebreide mogelijkheden voor klantbeheer, geautomatiseerde verwerking en meer. Azure CSP-partners kunnen partnercentrummogelijkheden gebruiken met behulp van een webgebruikersinterface of met behulp van PowerShell en verschillende API-aanroepen.
In het volgende diagram ziet u hoe het CSP-model op hoog niveau werkt. Hier heeft Contoso een Microsoft Entra-tenant. Ze hebben een partnerschap met een CSP, die resources implementeert en beheert in hun Azure CSP-abonnement. Contoso kan ook reguliere (directe) Azure-abonnementen hebben, die rechtstreeks worden gefactureerd aan Contoso.
De tenant van de CSP-partner heeft drie speciale agentgroepen: beheerdersagenten , helpdeskmedewerkers en verkoopmedewerkers .
De groep Beheerdersagenten wordt toegewezen aan de rol tenantbeheerder in de Microsoft Entra-tenant van Contoso. Als gevolg hiervan heeft een gebruiker die deel uitmaakt van de beheerdersagentgroep van de CSP-partner tenantbeheerdersbevoegdheden in de Microsoft Entra-tenant van Contoso.
Wanneer de CSP-partner een Azure CSP-abonnement voor Contoso inricht, wordt de groep beheerdersagenten toegewezen aan de rol van eigenaar voor dat abonnement. Als gevolg hiervan hebben de beheerdersagenten van de CSP-partner de vereiste bevoegdheden voor het inrichten van Azure-resources, zoals virtuele machines, virtuele netwerken en Microsoft Entra Domain Services namens Contoso.
Zie het overzicht van Azure CSP voor meer informatie
Voordelen van het gebruik van Domain Services in een Azure CSP-abonnement
Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LDAP, Kerberos/NTLM-verificatie die volledig compatibel is met Windows Server Active Directory-domein Services. In de afgelopen decennia zijn veel toepassingen gebouwd om te werken met AD met behulp van deze mogelijkheden. Veel onafhankelijke softwareleveranciers (ISV's) hebben toepassingen gebouwd en geïmplementeerd op de locatie van hun klanten. Deze toepassingen zijn moeilijk te ondersteunen omdat u vaak toegang nodig hebt tot de verschillende omgevingen waar de toepassingen worden geïmplementeerd. Met Azure CSP-abonnementen hebt u een eenvoudiger alternatief met de schaal en flexibiliteit van Azure.
Domain Services ondersteunt Azure CSP-abonnementen. U kunt uw toepassing implementeren in een Azure CSP-abonnement dat is gekoppeld aan de Microsoft Entra-tenant van uw klant. Als gevolg hiervan kunnen uw werknemers (ondersteuningsmedewerkers) de VM's beheren, beheren en onderhouden waarop uw toepassing wordt geïmplementeerd met behulp van de bedrijfsreferenties van uw organisatie.
U kunt ook een door Domain Services beheerd domein implementeren in de Microsoft Entra-tenant van uw klant. Uw toepassing is vervolgens verbonden met het beheerde domein van uw klant. Mogelijkheden in uw toepassing die afhankelijk zijn van Kerberos/NTLM, LDAP of de System.DirectoryServices-API werken naadloos op het domein van uw klant. Eindgebruikers profiteren van het gebruik van uw toepassing als een service, zonder dat u zich zorgen hoeft te maken over het onderhouden van de infrastructuur waarop de toepassing is geïmplementeerd.
Alle facturering voor Azure-resources die u in dat abonnement gebruikt, inclusief Domain Services, wordt aan u in rekening gebracht. U behoudt volledige controle over de relatie met de klant als het gaat om verkoop, facturering, technische ondersteuning, enzovoort. Met de flexibiliteit van het Azure CSP-platform kan een klein team van ondersteuningsmedewerkers veel klanten bedienen die exemplaren van uw toepassing hebben geïmplementeerd.
CSP-implementatiemodellen voor Domain Services
Er zijn twee manieren waarop u Domain Services kunt gebruiken met een Azure CSP-abonnement. Kies de juiste op basis van de beveiligings- en eenvoudsoverwegingen die uw klanten hebben.
Model voor directe implementatie
In dit implementatiemodel is Domain Services ingeschakeld binnen een virtueel netwerk dat deel uitmaakt van het Azure CSP-abonnement. De beheerdersagents van de CSP-partner hebben de volgende bevoegdheden:
Er is een globale beheerder nodig om deze functie te beheren.
De bevoegdheden van de eigenaar van het abonnement voor het Azure CSP-abonnement zijn vereist voor deze functie.
In dit implementatiemodel kunnen de beheerdersagenten van de CSP-provider identiteiten voor de klant beheren. Deze beheerdersagents kunnen taken uitvoeren, zoals het inrichten van nieuwe gebruikers of groepen, of het toevoegen van toepassingen binnen de Microsoft Entra-tenant van de klant.
Dit implementatiemodel is mogelijk geschikt voor kleinere organisaties die geen toegewezen identiteitsbeheerder hebben of de CSP-partner namens hen identiteiten willen beheren.
Peered-implementatiemodel
In dit implementatiemodel is Domain Services ingeschakeld binnen een virtueel netwerk dat deel uitmaakt van de klant: een direct Azure-abonnement dat door de klant is betaald. De CSP-partner kan toepassingen implementeren binnen een virtueel netwerk dat hoort bij het CSP-abonnement van de klant. De virtuele netwerken kunnen vervolgens worden verbonden met behulp van peering van virtuele Azure-netwerken.
Met deze implementatie kunnen de workloads of toepassingen die zijn geïmplementeerd door de CSP-partner in het Azure CSP-abonnement, verbinding maken met het beheerde domein van de klant dat is ingericht in het directe Azure-abonnement van de klant.
Dit implementatiemodel biedt een scheiding van bevoegdheden en stelt de helpdeskagenten van de CSP-partner in staat om het Azure-abonnement te beheren en resources erin te implementeren en te beheren. De helpdeskagenten van de CSP-partner hebben echter geen bevoorrechte rol nodig in de Microsoft Entra-directory van de klant. De identiteitsbeheerders van de klant kunnen identiteiten voor hun organisatie blijven beheren.
Dit implementatiemodel kan geschikt zijn voor scenario's waarbij een ISV een gehoste versie van hun on-premises toepassing biedt, die ook verbinding moet maken met de Microsoft Entra-id van de klant.
Domain Services beheren in CSP-abonnementen
De volgende belangrijke overwegingen zijn van toepassing bij het beheren van een beheerd domein in een Azure CSP-abonnement:
CSP-beheerdersagents kunnen een beheerd domein inrichten met hun referenties: Domain Services ondersteunt Azure CSP-abonnementen. Gebruikers die behoren tot de beheerdersagentgroep van een CSP-partner, kunnen een nieuw beheerd domein inrichten.
CSP's kunnen het maken van nieuwe beheerde domeinen voor hun klanten scripten met behulp van PowerShell: Zie hoe u Domain Services inschakelt met behulp van PowerShell voor meer informatie.
CSP-beheerdersagents kunnen geen doorlopende beheertaken uitvoeren in het beheerde domein met behulp van hun referenties: CSP-beheerders kunnen geen routinebeheertaken uitvoeren binnen het beheerde domein met behulp van hun referenties. Deze gebruikers zijn extern voor de Microsoft Entra-tenant van de klant en hun referenties zijn niet beschikbaar in de Microsoft Entra-tenant van de klant. Domain Services heeft geen toegang tot de Kerberos- en NTLM-wachtwoordhashes voor deze gebruikers, zodat gebruikers niet kunnen worden geverifieerd op beheerde domeinen.
Waarschuwing
U moet een gebruikersaccount maken in de directory van de klant om lopende beheertaken uit te voeren op het beheerde domein.
U kunt zich niet aanmelden bij het beheerde domein met de referenties van een CSP-beheerder. Gebruik hiervoor de referenties van een gebruikersaccount dat deel uitmaakt van de Microsoft Entra-tenant van de klant. U hebt deze referenties nodig voor taken zoals het toevoegen van VM's aan het beheerde domein, het beheren van DNS of het beheren van groepsbeleid.
Het gebruikersaccount dat is gemaakt voor doorlopend beheer, moet worden toegevoegd aan de groep AAD DC-beheerders: de groep AAD DC-beheerders heeft bevoegdheden om bepaalde gedelegeerde beheertaken uit te voeren op het beheerde domein. Deze taken omvatten het configureren van DNS, het maken van organisatie-eenheden en het beheren van groepsbeleid.
Voor een CSP-partner om deze taken uit te voeren op een beheerd domein, moet er een gebruikersaccount worden gemaakt binnen de Microsoft Entra-tenant van de klant. De referenties voor dit account moeten worden gedeeld met de beheerdersagents van de CSP-partner. Dit gebruikersaccount moet ook worden toegevoegd aan de groep AAD DC-beheerders om configuratietaken voor het beheerde domein in te schakelen met dit gebruikersaccount.
Volgende stappen
Schrijf u in het Azure CSP-programma in om aan de slag te gaan. Vervolgens kunt u Microsoft Entra Domain Services inschakelen met behulp van het Microsoft Entra-beheercentrum of Azure PowerShell.