Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Entra Domain Services biedt beheerde domeinservices zoals domeindeelname, groepsbeleid, LIGHTWEIGHT Directory Access Protocol (LDAP) en Kerberos/NTLM-verificatie. U gebruikt deze domeinservices zonder dat u domeincontrollers (DC's) in de cloud hoeft te implementeren, beheren en patchen.
Gebruik Domain Services om verouderde toepassingen te ondersteunen die afhankelijk zijn van Active Directory Domain Services (AD DS)-protocollen en die niet eenvoudig kunnen worden gewijzigd om moderne verificatie te gebruiken. Door deze toepassingen uit te voeren op een beheerd domein in Azure, kunt u AD-afhankelijke workloads naar de cloud verplaatsen zonder hun on-premises AD DS-infrastructuur in Azure uit te breiden of te gebruiken.
Domain Services kan worden geïntegreerd met Microsoft Entra ID, die fungeert als de bron van autoriteit voor gebruikers, groepen en referenties. Met deze integratie kunnen gebruikers zich aanmelden bij toepassingen en services die zijn verbonden met het beheerde domein met behulp van hun bestaande identiteiten, terwijl u identiteitsbeheer kunt centraliseren in Microsoft Entra ID.
Bekijk onze korte video voor meer informatie over Microsoft Entra Domain Services.
Wanneer gebruikt u Microsoft Entra Domain Services
Domain Services helpt organisaties die toepassingen of workloads uitvoeren die nog steeds afhankelijk zijn van AD DS-protocollen om identiteits- en toegangsbeheer te moderniseren met Microsoft Entra ID.
Overweeg het gebruik van Domain Services in de volgende scenario's:
- Oudere toepassingen van Lift-and-Shift: U hebt toepassingen die on-premises worden uitgevoerd die afhankelijk zijn van LDAP, Kerberos, NTLM, Groepsbeleid of domeindeelname. U wilt deze workloads verplaatsen naar de cloud, maar voorkomen dat u ze herschrijft om moderne verificatie te ondersteunen, zoals OIDC of OAuth.
- Verminder de on-premises footprint: Uw organisatie wil workloads verplaatsen naar de cloud en on-premises hardware buiten gebruik stellen. In plaats van een site-naar-site-VPN-verbinding te onderhouden voor verificatieverkeer naar on-premises AD DS, kunt u een beheerd domein in Azure gebruiken.
- Implementeer een door AD geminimaliseerde strategie: U neemt een cloud-eerste strategie aan waarbij Microsoft Entra ID de primaire id-provider is. Domain Services ondersteunt de resterende verouderde AD DS-afhankelijke workloads en voorkomt dat oude AD DS-artefacten moeten worden uitgebreid naar Azure.
- Isoleer legacy workloads: U wilt AD DS-afhankelijke workloads isoleren in Azure, terwijl nieuwe toepassingen rechtstreeks gebruik maken van Microsoft Entra ID.
- Verouderde cloudondersteuning: U bent een cloudeigen organisatie zonder on-premises AD DS, maar u hebt specifieke toepassingen van derden die nog steeds LDAP of traditionele domeindeelname vereisen. Domain Services overbrugt deze kloof zonder dat u een volledige AD DS-infrastructuur hoeft te bouwen.
U kunt Domain Services gebruiken als overgangsmogelijkheid voor Azure gehoste workloads waarvoor verouderde verificatie is vereist, in plaats van als een algemene vervanging voor uw on-premises Active Directory of een vervanging voor cloudeigen identiteitsservices.
Meer informatie over deze scenario's vindt u in Gebruiksscenario's voor Microsoft Entra Domain Services.
Microsoft Entra Domain Services in het cloudtraject
Entra Domain Services helpt u bij het bereiken van uw doel van 'AD-minimalisatie'. Dit vermindert de afhankelijkheid van verouderde identiteitsinfrastructuur ten gunste van moderne, cloudidentiteit zoals Entra ID.
Entra Domain Services fungeert als een brug in deze reis:
- Moderne apps: Nieuwe, cloudeigen apps moeten entra-id gebruiken.
- Legacy-apps: Oudere apps die niet eenvoudig kunnen worden gemoderniseerd, draaien in Azure met behulp van Entra Domain Services.
Deze aanpak voorkomt de complexiteit en de beveiligingslast van het handmatig implementeren en beheren van AD-DC's op Azure Virtual Machines (IaaS). Door Domain Services te gebruiken, krijgt u de compatibiliteit die u nodig hebt voor verouderde apps en blijft uw identiteitsbeheer gecentraliseerd in Entra-id.
Zie de houding voor cloudtransformatie voor meer informatie over de aanbevolen benadering van Microsoft.
Hoe werkt Microsoft Entra Domain Services?
Wanneer u een door Domain Services beheerd domein maakt, definieert u een unieke naamruimte, zoals dscontoso.com. Twee Windows Server domeincontrollers worden geïmplementeerd in uw geselecteerde Azure regio als onderdeel van een replicaset.
Deze domeincontrollers worden volledig beheerd door Microsoft. U hoeft ze niet te configureren, patchen of bewaken. Het platform zorgt voor beschikbaarheid, back-ups en versleuteling in niet-actieve toestand.
Een beheerd domein is geconfigureerd voor het uitvoeren van een eenrichtingssynchronisatie vanuit Microsoft Entra ID. Gebruikers, groepen en referenties uit Microsoft Entra ID worden beschikbaar gesteld in het beheerde domein, zodat toepassingen, services en virtuele machines in Azure vertrouwde AD DS-mogelijkheden kunnen gebruiken, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.
In hybride omgevingen worden identiteitsgegevens van on-premises AD DS gesynchroniseerd met Microsoft Entra ID en vervolgens beschikbaar gesteld aan het beheerde domein.
Domain Services werkt met zowel cloud-Microsoft Entra tenants als tenants die zijn gesynchroniseerd met een on-premises AD DS-omgeving. Dezelfde set mogelijkheden voor beheerde domeinen is beschikbaar in beide scenario's.
U kunt ook meerdere replicasets implementeren in Azure regio's om de beschikbaarheid te verbeteren en scenario's voor herstel na noodgevallen te ondersteunen voor verouderde toepassingen. Zie Concepten en functies van replicasets voor beheerde domeinen voor meer informatie.
functies en voordelen van Microsoft Entra Domain Services
Domain Services is volledig compatibel met een traditionele AD DS-omgeving voor bewerkingen zoals domeindeelname, Secure LDAP (LDAPS), Groepsbeleid, DNS-beheer en LDAP-binding en leesondersteuning om identiteitsservices te bieden aan toepassingen en VM's in de cloud. Ondersteuning voor LDAP-schrijfbewerkingen is beschikbaar voor objecten die zijn gemaakt in het beheerde domein, maar niet voor resources die vanuit Microsoft Entra ID worden gesynchroniseerd.
De volgende functies van Domain Services vereenvoudigen implementatie- en beheerbewerkingen:
- Vereenvoudigde implementatie-ervaring: Domain Services is ingeschakeld voor uw Microsoft Entra-tenant met behulp van één wizard in het beheercentrum van Microsoft Entra.
-
Integratie met Microsoft Entra ID: Gebruikersaccounts, groepslidmaatschappen en referenties zijn automatisch beschikbaar vanuit uw Microsoft Entra ID. Nieuwe gebruikers, groepen of wijzigingen in kenmerken van uw Microsoft Entra tenant of uw on-premises AD DS-omgeving worden automatisch gesynchroniseerd met Domain Services.
- Accounts in externe mappen die zijn gekoppeld aan uw Microsoft Entra ID zijn niet beschikbaar in Domain Services. Referenties zijn niet beschikbaar voor deze externe directory's, en kunnen daarom niet worden gesynchroniseerd met een beheerd domein.
- Gebruik uw bedrijfsreferenties/wachtwoorden: Wachtwoorden voor gebruikers in Domain Services zijn hetzelfde als in uw Microsoft Entra-tenant. Gebruikers kunnen hun bedrijfsreferenties gebruiken voor computers die lid zijn van een domein, zich interactief of via extern bureaublad aanmelden en zich verifiëren bij het beheerde domein.
- Ondersteuning voor NTLM- en Kerberos-authenticatie: Met de ondersteuning voor NTLM- en Kerberos-authenticatie kunt u toepassingen implementeren die afhankelijk zijn van Windows-geïntegreerde authenticatie.
-
Ingebouwde hoge beschikbaarheid: Domain Services bevat meerdere domeincontrollers, die hoge beschikbaarheid bieden voor uw beheerde domein. Deze hoge beschikbaarheid garandeert service-uptime en tolerantie voor storingen.
- In regio's die ondersteuning bieden voor Azure Availability Zones, worden deze domeincontrollers ook verdeeld over zones voor extra tolerantie.
- Noodherstel: Gebruik replicasets om geografisch herstel na noodgevallen te bieden.
Een beheerd domein is een zelfstandig domein en is geen uitbreiding van een on-premises domein. Indien nodig kunt u forestvertrouwensrelaties configureren met on-premises AD DS-omgevingen ter ondersteuning van een hybride toegangsscenario.
Voor meer informatie over uw identiteitsopties, vergelijk Domain Services met Microsoft Entra ID, AD DS op Azure VM's en AD DS on-premises.
Volgende stappen
Zie de volgende artikelen voor meer informatie over Domain Services en andere identiteitsoplossingen en hoe synchronisatie werkt:
- Vergelijk Domain Services met Microsoft Entra ID, Active Directory Domain Services op Azure VMs en Active Directory Domain Services on-premises
- Leer hoe Microsoft Entra Domain Services synchroniseert met uw Microsoft Entra directory
- Zie beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Services voor meer informatie over het beheren van een beheerd domein.
Als u wilt beginnen, maakt u een beheerd domein met behulp van het Microsoft Entra-beheercentrum.