Zelfbeheerde Active Directory-domein Services, Microsoft Entra ID en beheerde Microsoft Entra Domain Services vergelijken
Er zijn drie gebruikelijke manieren om op Active Directory gebaseerde services in Azure te gebruiken om toepassingen, services of apparaten toegang te geven tot een centrale identiteit. Deze keuze van identiteitsoplossingen biedt u de flexibiliteit om gebruik te maken van de meest geschikte map voor de behoeften van uw organisatie. Als u bijvoorbeeld vooral alleen-cloudgebruikers met mobiele apparaten beheert, is het wellicht niet zinvol om uw eigen AD DS-identiteitsoplossing (Active Directory Domain Services) te bouwen en uit te voeren. In plaats daarvan kunt u gewoon Microsoft Entra ID gebruiken.
Hoewel de drie op Active Directory gebaseerde identiteitsoplossingen een gemeenschappelijke naam en technologie delen, zijn ze ontworpen om services te bieden die voldoen aan verschillende klanteisen. Op hoog niveau zijn de identiteitsoplossingen en functiesets als volgt:
- Active Directory Domain Services (AD DS) - LDAP-server (Lightweight Directory Access Protocol) voor zakelijk gebruik die belangrijke functies biedt, zoals identiteit en verificatie, computerobjectbeheer, groepsbeleid en vertrouwensrelaties.
- AD DS is een centraal onderdeel in veel organisaties met een on-premises IT-omgeving en biedt kernverificatie van gebruikersaccounts en computerbeheerfuncties.
- Zie Overzicht van Active Directory Domain Services in de documentatie van Windows Server voor meer informatie.
- Microsoft Entra ID : cloudidentiteit en mobile device management dat gebruikersaccounts en verificatieservices biedt voor resources zoals Microsoft 365, het Microsoft Entra-beheercentrum of SaaS-toepassingen.
- Microsoft Entra-id kan worden gesynchroniseerd met een on-premises AD DS-omgeving om één identiteit te bieden aan gebruikers die systeemeigen in de cloud werken.
- Zie Wat is Microsoft Entra ID voor meer informatie over Microsoft Entra ID ?
- Microsoft Entra Domain Services - Biedt beheerde domeinservices met een subset van volledig compatibele traditionele AD DS-functies, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.
- Domain Services kan worden geïntegreerd met Microsoft Entra-id, die zelf kan worden gesynchroniseerd met een on-premises AD DS-omgeving. Met deze mogelijkheid worden de centrale identiteitgebruikscases uitgebreid naar traditionele webtoepassingen die worden uitgevoerd in Azure als onderdeel van een lift-and-shift-strategie.
- Zie Hoe objecten en referenties worden gesynchroniseerd in een beheerd domein voor meer informatie over synchronisatie met Microsoft Entra ID en on-premises.
In dit overzichtsartikel wordt vergeleken hoe deze identiteitsoplossingen kunnen samenwerken of afzonderlijk kunnen worden gebruikt, afhankelijk van de behoeften van uw organisatie.
Domain Services en zelfbeheerde AD DS
Als u toepassingen en services hebt die toegang nodig hebben tot traditionele verificatiemechanismen zoals Kerberos of NTLM, zijn er twee manieren om Active Directory Domain Services in de cloud aan te bieden:
- Een beheerd domein dat u maakt met Behulp van Microsoft Entra Domain Services. Microsoft maakt en beheert de vereiste resources.
- Een zelfbeheerd domein dat u maakt en configureert met behulp van traditionele resources zoals virtuele machines (VM's), een Windows Server-gastbesturingssysteem en Active Directory Domain Services (AD DS). U blijft deze resources vervolgens beheren.
Met Domain Services worden de belangrijkste serviceonderdelen door Microsoft geïmplementeerd en onderhouden als een beheerde domeinervaring. U hoeft de AD DS-infrastructuur voor onderdelen zoals de VM's, het Windows Server-besturingssysteem of de domeincontrollers (DC's) niet te implementeren, te beheren, te patchen en te beveiligen.
Domain Services biedt een kleinere subset van functies voor traditionele zelfbeheerde AD DS-omgeving, waardoor een deel van de ontwerp- en beheercomplexiteit wordt verminderd. Zo hoeven er geen AD-forests, domein, sites en replicatiekoppelingen te worden ontworpen en onderhouden. U kunt nog steeds forestvertrouwensrelaties maken tussen Domain Services en on-premises omgevingen.
Voor toepassingen en services die worden uitgevoerd in de cloud en toegang nodig hebben tot traditionele verificatiemechanismen zoals Kerberos of NTLM, biedt Domain Services een beheerde domeinervaring met de minimale hoeveelheid administratieve overhead. Zie Beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Services voor meer informatie.
Wanneer u een zelfbeheerde AD DS-omgeving implementeert en uitvoert, moet u alle bijbehorende infrastructuur en maponderdelen onderhouden. Er is extra onderhoudsoverhead bij een zelfbeheerde AD DS-omgeving, maar u kunt vervolgens extra taken uitvoeren, zoals het schema uitbreiden of forestvertrouwensrelaties maken.
Algemene implementatiemodellen voor een zelfbeheerde AD DS-omgeving die identiteit biedt aan toepassingen en services in de cloud, bevatten het volgende:
- Zelfstandige alleen-cloud-AD DS - virtuele Azure-machines worden geconfigureerd als domeincontrollers en er wordt een afzonderlijke, alleen-cloud-AD DS-omgeving gemaakt. Deze AD DS-omgeving kan niet worden geïntegreerd met een on-premises AD DS-omgeving. Er wordt een andere set referenties gebruikt voor het aanmelden en het beheren van virtuele machines in de cloud.
- Een on-premises domein uitbreiden naar Azure - een virtueel Azure-netwerk maakt verbinding met een on-premises netwerk met behulp van een VPN-/ExpressRoute-verbinding. Virtuele Azure-machines maken verbinding met dit virtuele Azure-netwerk, dat deze machines laat deelnemen aan domeinen van de on-premises AD DS-omgeving.
- U kunt ook virtuele Azure-machines maken en het niveau ervan verhogen tot replicadomeincontrollers van het on-premises AD DS-domein. Deze domeincontrollers worden gerepliceerd via een VPN-/ExpressRoute-verbinding met de on-premises AD DS-omgeving. Het on-premises AD DS-domein wordt uitgebreid naar Azure.
De volgende tabel bevat een overzicht van enkele van de functies die u mogelijk nodig hebt voor uw organisatie en de verschillen tussen een beheerd domein of een zelfbeheerd AD DS-domein:
| Functie | Beheerd domein | Zelfbeheerd AD DS |
|---|---|---|
| Beheerde service | ✓ | ✕ |
| Beveiligde implementaties | ✓ | De beheerder beveiligt de implementatie |
| DNS-server | ✓ (beheerde service) | ✓ |
| Beheerdersbevoegdheden voor domein of onderneming | ✕ | ✓ |
| Domeindeelname | ✓ | ✓ |
| Domeinverificatie met behulp van NTLM en Kerberos | ✓ | ✓ |
| Beperkte Kerberos-delegering | Op basis van resource | Op basis van resource en account |
| Aangepaste OE-structuur | ✓ | ✓ |
| Groepsbeleid | ✓ | ✓ |
| Schema-uitbreidingen | ✕ | ✓ |
| Vertrouwensrelaties AD-domein/forest | ✓ (alleen uitgaande forestvertrouwensrelaties in één richting) | ✓ |
| Secure LDAP (LDAPS) | ✓ | ✓ |
| LDAP-leesbewerkingen | ✓ | ✓ |
| LDAP-schrijfbewerkingen | ✓ (binnen het beheerde domein) | ✓ |
| Geografisch gedistribueerde implementaties | ✓ | ✓ |
Domain Services en Microsoft Entra-id
Met Microsoft Entra ID kunt u de identiteit beheren van apparaten die door de organisatie worden gebruikt en de toegang tot bedrijfsbronnen vanaf die apparaten beheren. Gebruikers kunnen ook hun persoonlijke apparaat (een BYO-model (Bring Your Own) registreren bij Microsoft Entra ID, waarmee het apparaat een identiteit heeft. Microsoft Entra ID verifieert vervolgens het apparaat wanneer een gebruiker zich aanmeldt bij Microsoft Entra ID en het apparaat gebruikt voor toegang tot beveiligde resources. Het apparaat kan worden beheerd met MDM-software (Mobile Device Management), bijvoorbeeld Microsoft Intune. Met deze beheermogelijkheid kunt u de toegang tot gevoelige resources beperken tot beheerde en beleidsconforme apparaten.
Traditionele computers en laptops kunnen ook deelnemen aan Microsoft Entra ID. Dit mechanisme biedt dezelfde voordelen als het registreren van een persoonlijk apparaat bij Microsoft Entra ID, zoals gebruikers toestaan zich aan te melden bij het apparaat met hun bedrijfsreferenties.
Microsoft Entra-gekoppelde apparaten bieden u de volgende voordelen:
- Eenmalige aanmelding (SSO) voor toepassingen die worden beveiligd door Microsoft Entra-id.
- Roaming conform het bedrijfsbeleid van gebruikersinstellingen op alle apparaten.
- Toegang tot de Windows Store voor Bedrijven met behulp van bedrijfsreferenties.
- Windows Hello voor Bedrijven.
- Beperkte toegang tot apps en resources van apparaten die voldoen aan het bedrijfsbeleid.
Apparaten kunnen worden gekoppeld aan Microsoft Entra-id met of zonder een hybride implementatie die een on-premises AD DS-omgeving bevat. De volgende tabel biedt een overzicht van algemene apparaateigendomsmodellen en hoe deze gewoonlijk deelnemen aan een domein:
| Type apparaat | Apparaatplatformen | Mechanisme |
|---|---|---|
| Persoonlijke apparaten | Windows 10, iOS, Android, macOS | Microsoft Entra geregistreerd |
| Een apparaat in eigendom van een organisatie dat niet deelneemt aan on-premises AD DS | Windows 10 | Aan Microsoft Entra gekoppeld |
| Een apparaat in eigendom van een organisatie dat deelneemt aan on-premises AD DS | Windows 10 | Hybride aan Microsoft Entra gekoppeld |
Op een apparaat dat is toegevoegd aan Microsoft Entra of geregistreerd, vindt gebruikersverificatie plaats met behulp van moderne OAuth-/OpenID-Verbinding maken protocollen. Deze protocollen werken via internet en zijn dus handig voor mobiele scenario's waarin gebruikers vanaf elke locatie toegang hebben tot bedrijfsresources.
Met apparaten die lid zijn van Domain Services kunnen toepassingen gebruikmaken van de Kerberos- en NTLM-protocollen voor verificatie, zodat oudere toepassingen kunnen worden ondersteund die worden gemigreerd om te worden uitgevoerd op Virtuele Azure-machines als onderdeel van een lift-and-shift-strategie. In de volgende tabel worden de verschillen weergegeven in hoe de apparaten worden gerepresenteerd en deze zichzelf kunnen verifiëren bij de map:
| Aspect | Aan Microsoft Entra gekoppeld | Lid van Domain Services |
|---|---|---|
| Apparaat beheerd door | Microsoft Entra ID | Beheerd domein van Domain Services |
| Representatie in de map | Apparaatobjecten in de Map Microsoft Entra | Computerobjecten in het beheerde domein domain Domain Services |
| Verificatie | Op OAuth/OpenID Connect gebaseerde protocollen | Kerberos- en NTLM-protocollen |
| Beheer | MDM-software (Mobile Device Management), zoals Intune | Groepsbeleid |
| Netwerken | Werkt via internet | Moet zijn verbonden met of gekoppeld aan het virtuele netwerk waarop het beheerde domein is geïmplementeerd |
| Ideaal voor... | Mobiele of desktopapparaten voor eindgebruikers | Server-VM's die zijn geïmplementeerd in Azure |
Als on-premises AD DS en Microsoft Entra ID zijn geconfigureerd voor federatieve verificatie met AD FS, is er geen (huidige/geldige) wachtwoordhash beschikbaar in Azure DS. Microsoft Entra-gebruikersaccounts die zijn gemaakt voordat fed-verificatie is geïmplementeerd, hebben mogelijk een oude wachtwoord-hash, maar dit komt waarschijnlijk niet overeen met een hash van hun on-premises wachtwoord. Als gevolg hiervan kan Domain Services de gebruikersreferenties niet valideren
Volgende stappen
Als u aan de slag wilt gaan met het gebruik van Domain Services, maakt u een door Domain Services beheerd domein met behulp van het Microsoft Entra-beheercentrum.
U kunt ook meer informatie vinden over beheerconcepten voor gebruikersaccounts, wachtwoorden en beheer in Domain Services en hoe objecten en referenties worden gesynchroniseerd in een beheerd domein.