Delen via

Hybride identiteit met Active Directory en Microsoft Entra-id in Azure-landingszones

  • Artikel

Dit artikel bevat richtlijnen voor het ontwerpen en implementeren van Microsoft Entra ID en hybride identiteit voor Azure-landingszones.

Organisaties die in de cloud werken, vereisen een adreslijstservice voor het beheren van gebruikersidentiteiten en toegang tot resources. Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer die robuuste mogelijkheden biedt voor het beheren van gebruikers en groepen. U kunt Microsoft Entra ID gebruiken als een zelfstandige identiteitsoplossing of deze integreren met een Microsoft Entra Domain Services-infrastructuur of een on-premises Active Directory-domein Services-infrastructuur (AD DS).

Microsoft Entra ID biedt modern beveiligd identiteits- en toegangsbeheer voor Azure- en Microsoft 365-services. U kunt Microsoft Entra ID gebruiken voor verschillende organisaties en workloads. Organisaties met een on-premises AD DS-infrastructuur en cloudworkloads kunnen bijvoorbeeld adreslijstsynchronisatie gebruiken met Microsoft Entra-id. Adreslijstsynchronisatie zorgt ervoor dat on-premises en cloudomgevingen een consistente set identiteiten, groepen en rollen delen. Toepassingen waarvoor verouderde verificatiemechanismen nodig zijn, hebben mogelijk Domain Services nodig voor beheerde domeinservices in de cloud en om de on-premises AD DS-infrastructuur uit te breiden naar Azure.

Cloudgebaseerd identiteitsbeheer is een iteratief proces. U kunt beginnen met een cloudeigen oplossing met een kleine set gebruikers en bijbehorende rollen voor een eerste implementatie. Naarmate uw migratie verder wordt ontwikkeld, moet u mogelijk uw identiteitsoplossing integreren met behulp van adreslijstsynchronisatie of door de cloud gehoste domeinservices toevoegen als onderdeel van uw cloudimplementaties.

Pas uw identiteitsoplossing na verloop van tijd aan, afhankelijk van uw vereisten voor workloadverificatie en andere behoeften, zoals wijzigingen in uw organisatieidentiteitsstrategie en beveiligingsvereisten of integratie met andere adreslijstservices. Wanneer u Windows Server Active Directory-oplossingen evalueert, begrijpt u de verschillen tussen Microsoft Entra ID, Domain Services en AD DS op Windows Server.

Zie de handleiding identiteitsbeslissing voor meer informatie.

Identiteits- en toegangsbeheerservices in Azure-landingszones

Het platformteam is verantwoordelijk voor het beheer van identiteits- en toegangsbeheer. Identiteits- en toegangsbeheerservices zijn essentieel voor de beveiliging van de organisatie. Uw organisatie kan Microsoft Entra ID gebruiken om beheertoegang te beheren en platformbronnen te beveiligen. Deze aanpak voorkomt dat gebruikers buiten het platformteam wijzigingen aanbrengen in de configuratie of in de beveiligingsprinciplen die zijn opgenomen in Microsoft Entra-id.

Als u AD DS of Domain Services gebruikt, moet u de domeincontrollers beschermen tegen onbevoegde toegang. Domeincontrollers zijn zeer kwetsbaar voor aanvallen en moeten strikte beveiligingscontroles en scheiding van toepassingsworkloads hebben.

Implementeer domeincontrollers en gekoppelde onderdelen, zoals Microsoft Entra Verbinding maken-servers, in het identiteitsabonnement dat zich in de platformbeheergroep bevindt. Domeincontrollers worden niet gedelegeerd aan toepassingsteams. Dankzij deze isolatie kunnen toepassingseigenaren identiteitsservices gebruiken zonder ze te hoeven onderhouden, waardoor het risico op inbreuk op identiteits- en toegangsbeheerservices wordt verminderd. De resources in het identity platform-abonnement zijn een essentieel beveiligingspunt voor uw cloud- en on-premises omgevingen.

Richt landingszones in zodat toepassingseigenaren Microsoft Entra ID of AD DS en Domain Services kunnen kiezen om aan hun workloadbehoeften te voldoen. Mogelijk moet u andere services configureren, afhankelijk van uw identiteitsoplossing. U moet bijvoorbeeld mogelijk netwerkconnectiviteit met het virtuele identiteitsnetwerk inschakelen en beveiligen. Als u een abonnementsverkoopproces gebruikt, neemt u deze configuratiegegevens op in uw abonnementsaanvraag.

Azure- en on-premises domeinen (hybride identiteit)

Gebruikersobjecten die u volledig in Microsoft Entra ID maakt, worden alleen-cloudaccounts genoemd. Cloudaccounts ondersteunen moderne verificatie en toegang tot Azure- en Microsoft 365-resources en bieden ondersteuning voor lokale apparaten die gebruikmaken van Windows 10 of Windows 11.

Uw organisatie heeft mogelijk al lang bestaande AD DS-directory's die u integreert met andere systemen, zoals LINE-of-Business- of Enterprise Resource Planning (ERP) via ldap (Lightweight Directory Access Protocol). Deze domeinen kunnen veel computers en toepassingen die lid zijn van een domein en die gebruikmaken van Kerberos- of oudere NTLMv2-protocollen voor verificatie. In deze omgevingen kunt u gebruikersobjecten synchroniseren met Microsoft Entra ID, zodat gebruikers zich met één identiteit kunnen aanmelden bij zowel on-premises systemen als cloudresources. On-premises en clouddirectoryservices worden hybride identiteit genoemd. U kunt on-premises domeinen uitbreiden naar Azure-landingszones:

  • Als u één gebruikersobject in zowel cloud- als on-premises omgevingen wilt onderhouden, kunt u AD DS-domeingebruikers synchroniseren met Microsoft Entra-id via Microsoft Entra Verbinding maken of Microsoft Entra Cloud Sync. Zie Topologieën voor Microsoft Entra Verbinding maken en Topologieën voor Microsoft Entra Cloud Sync om de aanbevolen configuratie voor uw omgeving te bepalen.

  • Als u lid wilt worden van virtuele Windows-machines (VM's) en andere services, kunt u AD DS-domeincontrollers of Domain Services implementeren in Azure. Gebruik deze methode zodat AD DS-gebruikers zich kunnen aanmelden bij Windows-servers, Azure-bestandsshares en andere resources die Gebruikmaken van Active Directory als verificatiebron. U kunt ook andere Active Directory-technologieën, zoals groepsbeleid, gebruiken als verificatiebron. Zie Algemene implementatiescenario's voor Microsoft Entra Domain Services voor meer informatie.

Aanbevelingen voor hybride identiteit

  • Als u de vereisten voor uw identiteitsoplossing wilt bepalen, documenteert u de verificatieprovider die door elke toepassing wordt gebruikt. Gebruik de handleiding voor identiteitsbeslissing om de juiste services voor uw organisatie te selecteren. Zie Active Directory vergelijken met Microsoft Entra ID voor meer informatie.

  • U kunt Domain Services gebruiken voor toepassingen die afhankelijk zijn van domeinservices en oudere protocollen gebruiken. Bestaande AD DS-domeinen ondersteunen soms compatibiliteit met eerdere versies en maken verouderde protocollen mogelijk, wat een negatieve invloed kan hebben op de beveiliging. In plaats van een on-premises domein uit te breiden, kunt u Domain Services gebruiken om een nieuw domein te maken dat geen verouderde protocollen toestaat. Gebruik het nieuwe domein als de adreslijstservice voor toepassingen die in de cloud worden gehost.

  • Houd rekening met tolerantie als een kritieke ontwerpvereiste voor uw hybride identiteitsstrategie in Azure. Microsoft Entra ID is een wereldwijd redundant, cloudsysteem , maar Domain Services en AD DS zijn dat niet. Plan zorgvuldig tolerantie wanneer u Domain Services en AD DS implementeert. Wanneer u een van beide services ontwerpt, kunt u overwegen om implementaties met meerdere regio's te gebruiken om een continue servicebewerking te garanderen in het geval van een regionaal incident.

  • Als u een on-premises AD DS-exemplaar wilt uitbreiden naar Azure en de implementatie wilt optimaliseren, moet u uw Azure-regio's opnemen in uw Active Directory-siteontwerp. Maak een site in AD DS-sites en -services voor elke Azure-regio waar u workloads wilt implementeren. Maak vervolgens een nieuw subnetobject in AD DS-sites en -services voor elk IP-adresbereik dat u in de regio wilt implementeren. Koppel het nieuwe subnetobject aan de AD DS-site die u hebt gemaakt. Deze configuratie zorgt ervoor dat de domeincontroller-locatorservice autorisatie- en verificatieaanvragen doorsturen naar de dichtstbijzijnde AD DS-domeincontrollers binnen dezelfde Azure-regio.

  • Evalueer scenario's waarmee gasten, klanten of partners worden ingesteld, zodat ze toegang hebben tot resources. Bepaal of deze scenario's betrekking hebben op Microsoft Entra B2B of Microsoft Entra Externe ID voor klanten. Zie Microsoft Entra Externe ID voor meer informatie.

  • Gebruik geen Microsoft Entra-toepassingsproxy voor intranettoegang omdat hiermee latentie wordt toegevoegd aan de gebruikerservaring. Zie De planning van microsoft Entra-toepassingsproxy's en beveiligingsoverwegingen voor Microsoft Entra-toepassingsproxy's voor meer informatie.

  • Overweeg verschillende methoden die u kunt gebruiken om on-premises Active Directory te integreren met Azure om te voldoen aan de vereisten van uw organisatie.

  • Als u Active Directory Federation Services (AD FS) federatie met Microsoft Entra ID hebt, kunt u wachtwoord-hashsynchronisatie gebruiken als back-up. AD FS biedt geen ondersteuning voor naadloze eenmalige aanmelding van Microsoft Entra.

  • Bepaal het juiste synchronisatieprogramma voor uw cloudidentiteit.

  • Zie AD FS implementeren in Azure als u vereisten hebt voor het gebruik van AD FS.

  • Als u Microsoft Entra Verbinding maken als synchronisatiehulpprogramma gebruikt, kunt u overwegen om een faseringsserver te implementeren in een regio die verschilt van uw primaire Microsoft Entra Verbinding maken-server voor herstel na noodgevallen. Als u niet meerdere regio's gebruikt, kunt u ook beschikbaarheidszones implementeren voor hoge beschikbaarheid.

  • Als u Microsoft Entra Cloud Sync als synchronisatieprogramma gebruikt, kunt u overwegen om ten minste drie agents op verschillende servers in meerdere regio's te installeren voor herstel na noodgevallen. U kunt de agents ook installeren op servers in verschillende beschikbaarheidszones voor hoge beschikbaarheid.

Belangrijk

We raden u ten zeerste aan om te migreren naar Microsoft Entra-id, tenzij u specifiek AD FS nodig hebt. Zie Bronnen voor het buiten gebruik stellen van AD FS en Migreren van AD FS naar Microsoft Entra ID voor meer informatie.

Microsoft Entra ID, Domain Services en AD DS

Als u Microsoft-adreslijstservices wilt implementeren, moet u beheerders vertrouwd maken met de volgende opties:

  • U kunt AD DS-domeincontrollers implementeren in Azure als Windows-VM's die volledig beheer hebben over platform- of identiteitsbeheerders. Deze benadering is een IaaS-oplossing (Infrastructure as a Service). U kunt de domeincontrollers toevoegen aan een bestaand Active Directory-domein of een nieuw domein hosten dat een optionele vertrouwensrelatie heeft met bestaande on-premises domeinen. Zie de basislijnarchitectuur van Azure Virtual Machines in een Azure-landingszone voor meer informatie.

  • Domain Services is een door Azure beheerde service die u kunt gebruiken om een nieuw beheerd Active Directory-domein te maken dat wordt gehost in Azure. Het domein kan een vertrouwensrelatie hebben met bestaande domeinen en kan identiteiten synchroniseren vanuit Microsoft Entra-id. Beheer istrators hebben geen directe toegang tot de domeincontrollers en zijn niet verantwoordelijk voor patching en andere onderhoudsbewerkingen.

  • Wanneer u Domain Services implementeert of on-premises omgevingen integreert in Azure, gebruikt u locaties met beschikbaarheidszones voor een hogere beschikbaarheid, indien mogelijk. Overweeg ook om te implementeren in meerdere Azure-regio's voor meer tolerantie.

Nadat u AD DS of Domain Services hebt geconfigureerd, kunt u dezelfde methode gebruiken als on-premises computers om deel te nemen aan Virtuele Azure-machines en bestandsshares. Zie Microsoft-services op basis van mappen vergelijken voor meer informatie.

Aanbevelingen voor Microsoft Entra ID en AD DS

  • Gebruik de Microsoft Entra-toepassingsproxy voor toegang tot toepassingen die op afstand gebruikmaken van on-premises verificatie via Microsoft Entra-id. Deze functie biedt veilige externe toegang tot on-premises webtoepassingen. Microsoft Entra-toepassingsproxy vereist geen VPN of eventuele wijzigingen in de netwerkinfrastructuur. Het wordt echter geïmplementeerd als één exemplaar in Microsoft Entra ID, dus moeten toepassingseigenaren en het platform- of identiteitsteams samenwerken om ervoor te zorgen dat de toepassing correct is geconfigureerd.

  • Evalueer de compatibiliteit van workloads voor AD DS op Windows Server en Domain Services. Zie Veelvoorkomende use cases en scenario's voor meer informatie.

  • Implementeer VM's van domeincontrollers of Domain Services-replicasets in het identiteitsplatformabonnement binnen de platformbeheergroep.

  • Beveilig het virtuele netwerk dat de domeincontrollers bevat. Als u directe internetverbinding naar en van het virtuele netwerk en de domeincontroller wilt voorkomen, plaatst u de AD DS-servers in een geïsoleerd subnet met een netwerkbeveiligingsgroep (NSG). De NSG biedt firewallfunctionaliteit. Resources die gebruikmaken van domeincontrollers voor verificatie moeten een netwerkroute hebben naar het subnet van de domeincontroller. Schakel een netwerkroute alleen in voor toepassingen waarvoor toegang tot services in het identiteitsabonnement is vereist. Zie AD DS implementeren in een virtueel Azure-netwerk voor meer informatie.

  • Gebruik Azure Virtual Network Manager om standaardregels af te dwingen die van toepassing zijn op virtuele netwerken. U kunt bijvoorbeeld Azure Policy- of virtuele netwerkresourcetags gebruiken om virtuele landingszonenetwerken toe te voegen aan een netwerkgroep als ze Active Directory-identiteitsservices nodig hebben. De netwerkgroep kan vervolgens worden gebruikt die toegang tot het subnet van de domeincontroller alleen toestaat vanuit toepassingen die dit vereisen en de toegang van andere toepassingen blokkeren.

  • Beveilig de RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) die van toepassing zijn op de VM's van de domeincontroller en andere identiteitsbronnen. Beheer istrators met RBAC-roltoewijzingen op het Azure-besturingsvlak, zoals Inzender, Eigenaar of Inzender voor virtuele machines, kunnen opdrachten uitvoeren op de VM's. Zorg ervoor dat alleen geautoriseerde beheerders toegang hebben tot de VM's in het identiteitsabonnement en dat te veel machtigingen voor roltoewijzingen niet worden overgenomen van hogere beheergroepen.

  • Houd uw kerntoepassingen dicht bij of in dezelfde regio als het virtuele netwerk voor uw replicasets om de latentie te minimaliseren. In een multiregionale organisatie implementeert u Domain Services in de regio die als host fungeert voor de kernplatformonderdelen. U kunt Domain Services alleen implementeren in één abonnement. Als u Domain Services wilt uitbreiden naar andere regio's, kunt u maximaal vier replicasets toevoegen in afzonderlijke virtuele netwerken die zijn gekoppeld aan het primaire virtuele netwerk.

  • Overweeg om AD DS-domeincontrollers te implementeren in meerdere Azure-regio's en in verschillende beschikbaarheidszones om de tolerantie en beschikbaarheid te vergroten. Zie VM's maken in beschikbaarheidszones en VM's migreren naar beschikbaarheidszones voor meer informatie.

  • Verken de verificatiemethoden voor Microsoft Entra-id als onderdeel van uw identiteitsplanning. Verificatie kan plaatsvinden in de cloud en on-premises of alleen on-premises.

  • Overweeg kerberos-verificatie te gebruiken voor Microsoft Entra-id in plaats van domeincontrollers in de cloud te implementeren als een Windows-gebruiker Kerberos voor Azure Files-bestandsshares vereist.

Volgende stap

Identiteits- en toegangsbeheer voor landingszone