Hybride identiteit met Active Directory en Microsoft Entra-id in Azure-landingszones
Dit artikel bevat richtlijnen voor het ontwerpen en implementeren van Microsoft Entra ID en hybride identiteit voor Azure-landingszones.
Organisaties die in de cloud werken, vereisen een adreslijstservice voor het beheren van gebruikersidentiteiten en toegang tot resources. Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer die robuuste mogelijkheden biedt voor het beheren van gebruikers en groepen. U kunt deze gebruiken als een zelfstandige identiteitsoplossing of deze integreren met een Infrastructuur van Microsoft Entra Domain Services of een on-premises Active Directory-domein Services-infrastructuur (AD DS).
Microsoft Entra ID biedt modern, veilig identiteits- en toegangsbeheer dat geschikt is voor veel organisaties en workloads en is de kern van Azure- en Microsoft 365-services. Als uw organisatie een on-premises AD DS-infrastructuur heeft, vereisen uw cloudworkloads mogelijk adreslijstsynchronisatie met Microsoft Entra ID voor een consistente set identiteiten, groepen en rollen tussen uw on-premises en cloudomgevingen. Of als u toepassingen hebt die afhankelijk zijn van verouderde verificatiemechanismen, moet u mogelijk beheerde Domain Services implementeren in de cloud.
Cloudgebaseerd identiteitsbeheer is een iteratief proces. U kunt beginnen met een cloudeigen oplossing met een kleine set gebruikers en bijbehorende rollen voor een eerste implementatie. Naarmate uw migratie zich verder ontwikkeld, moet u mogelijk uw identiteitsoplossing integreren met behulp van adreslijstsynchronisatie of door de cloud gehoste domeinservices toevoegen als onderdeel van uw cloudimplementaties.
Ga na verloop van tijd opnieuw naar uw identiteitsoplossing, afhankelijk van uw vereisten voor workloadverificatie en andere behoeften, zoals wijzigingen in de identiteitsstrategie en beveiligingsvereisten van uw organisatie, of integratie met andere adreslijstservices. Wanneer u Active Directory-oplossingen evalueert, begrijpt u de verschillen tussen Microsoft Entra ID, Domain Services en AD DS op Windows Server.
Zie de handleiding identiteitsbeslissing voor hulp bij uw identiteitsstrategie.
Identiteits- en toegangsbeheerservices in Azure-landingszones
Het platformteam is verantwoordelijk voor het beheer van identiteits- en toegangsbeheer. Identiteits- en toegangsbeheerservices zijn essentieel voor de beveiliging van de organisatie. Organisaties kunnen Microsoft Entra ID gebruiken om platformbronnen te beveiligen door beheertoegang te beheren. Deze aanpak voorkomt dat gebruikers buiten het platformteam wijzigingen aanbrengen in de configuratie of in de beveiligingsprinciplen die zijn opgenomen in Microsoft Entra-id.
Organisaties die AD DS of Domain Services gebruiken, moeten de domeincontrollers ook beschermen tegen onbevoegde toegang. Domeincontrollers zijn met name aantrekkelijke doelen voor aanvallers en moeten strikte beveiligingscontroles en scheiding van toepassingsworkloads hebben.
Domeincontrollers en gekoppelde onderdelen, zoals Microsoft Entra ID Verbinding maken-servers, worden geïmplementeerd in het identiteitsabonnement, dat zich in de platformbeheergroep bevindt. Domeincontrollers worden niet gedelegeerd aan toepassingsteams. Door deze isolatie te bieden, kunnen toepassingseigenaren de identiteitsservices gebruiken zonder ze te hoeven beheren en wordt het risico dat identiteits- en toegangsbeheerservices worden aangetast, verminderd. De resources in het identity platform-abonnement zijn een essentieel beveiligingspunt voor uw cloud- en on-premises omgevingen.
Landingszones moeten worden ingericht, zodat toepassingseigenaren Microsoft Entra ID of AD DS en Domain Services kunnen gebruiken, zoals vereist voor hun workloads. Afhankelijk van de identiteitsoplossing die u gebruikt, moet u mogelijk andere services zo nodig configureren. U moet bijvoorbeeld mogelijk netwerkconnectiviteit met het virtuele identiteitsnetwerk inschakelen en beveiligen. Als u een abonnementsverkoopproces gebruikt, neemt u deze configuratiegegevens op in uw abonnementsaanvraag.
Azure- en on-premises domeinen (hybride identiteit)
Gebruikersobjecten die volledig in Microsoft Entra ID worden gemaakt, worden alleen-cloudaccounts genoemd. Ze ondersteunen moderne verificatie en toegang tot Azure- en Microsoft 365-resources en toegang voor lokale apparaten die gebruikmaken van Windows 10 of Windows 11.
Veel organisaties hebben echter al lang bestaande AD DS-directory's die kunnen worden geïntegreerd met andere systemen, zoals LINE-Of-Business- of Enterprise Resource Planning (ERP) via Lightweight Directory Access Protocol (LDAP). Deze domeinen hebben mogelijk veel computers en toepassingen die lid zijn van een domein en die gebruikmaken van Kerberos- of oudere NTLMv2-protocollen voor verificatie. In deze omgevingen kunt u gebruikersobjecten synchroniseren met Microsoft Entra ID, zodat gebruikers zich met één identiteit kunnen aanmelden bij zowel on-premises systemen als cloudresources. On-premises en clouddirectoryservices worden hybride identiteit genoemd. U kunt on-premises domeinen uitbreiden naar Azure-landingszones:
Als u één gebruikersobject in zowel cloud- als on-premises omgevingen wilt onderhouden, kunt u AD DS-domeingebruikers synchroniseren met Microsoft Entra-id via Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken Sync. Zie Topologieën voor Microsoft Entra Verbinding maken om de aanbevolen configuratie voor uw omgeving te bepalen.
Als u lid wilt worden van Windows-VM's en andere services, kunt u AD DS-domeincontrollers of Domain Services implementeren in Azure. Met deze methode kunnen AD DS-gebruikers zich aanmelden bij Windows-servers, Azure Files-shares en andere resources die Gebruikmaken van Active Directory als verificatiebron. U kunt ook andere Active Directory-technologieën gebruiken, zoals groepsbeleid. Zie Algemene implementatiescenario's voor Microsoft Entra Domain Services voor meer informatie.
Aanbevelingen voor hybride identiteit
U kunt Domain Services gebruiken voor toepassingen die afhankelijk zijn van domeinservices en oudere protocollen gebruiken. Soms ondersteunen bestaande AD DS-domeinen compatibiliteit met eerdere versies en maken verouderde protocollen mogelijk, wat een negatieve invloed kan hebben op de beveiliging. In plaats van een on-premises domein uit te breiden, kunt u Overwegen om Domain Services te gebruiken om een nieuw domein te maken dat geen verouderde protocollen toestaat en deze als adreslijstservice te gebruiken voor toepassingen die in de cloud worden gehost.
Evalueer de vereisten voor uw identiteitsoplossing door de verificatieprovider te begrijpen en te documenteren die door elke toepassing wordt gebruikt. Overweeg de beoordelingen om te helpen bij het plannen van het type service dat uw organisatie moet gebruiken. Zie de handleiding Active Directory vergelijken met Microsoft Entra ID en Identiteitsbeslissing voor meer informatie.
Evalueer scenario's waarbij externe gebruikers, klanten of partners moeten worden ingesteld, zodat ze toegang hebben tot resources. Bepaal of deze scenario's betrekking hebben op Microsoft Entra B2B of Microsoft Entra Externe ID voor klanten. Zie Microsoft Entra Externe ID voor meer informatie.
Gebruik geen Microsoft Entra-toepassingsproxy voor intranettoegang omdat hiermee latentie wordt toegevoegd aan de gebruikerservaring. Zie De planning van microsoft Entra-toepassingsproxy's en beveiligingsoverwegingen voor Microsoft Entra-toepassingsproxy's voor meer informatie.
Overweeg verschillende methoden die u kunt gebruiken om on-premises Active Directory te integreren met Azure om te voldoen aan de vereisten van uw organisatie.
Als u Active Directory Federation Services (AD FS) federatie met Microsoft Entra ID hebt, kunt u wachtwoord-hashsynchronisatie gebruiken als back-up. AD FS biedt geen ondersteuning voor naadloze eenmalige aanmelding van Microsoft Entra.
Bepaal het juiste synchronisatieprogramma voor uw cloudidentiteit.
Zie AD FS implementeren in Azure als u vereisten hebt voor het gebruik van AD FS.
Belangrijk
We raden u ten zeerste aan om te migreren naar Microsoft Entra-id, tenzij er een specifieke vereiste is voor het gebruik van AD FS. Zie Bronnen voor het buiten gebruik stellen van AD FS en migreren van AD FS naar Microsoft Entra-id voor meer informatie.
Microsoft Entra ID, Domain Services en AD DS
Beheer istrators moeten vertrouwd raken met de opties voor het implementeren van Microsoft-adreslijstservices:
U kunt AD DS-domeincontrollers implementeren in Azure als virtuele Windows-machines (VM's) waarvan platform- of identiteitsbeheerders volledig beheer hebben. Deze benadering is een IaaS-oplossing (Infrastructure as a Service). U kunt de domeincontrollers toevoegen aan een bestaand Active Directory-domein of u kunt een nieuw domein hosten dat een optionele vertrouwensrelatie heeft met bestaande on-premises domeinen. Zie de basislijnarchitectuur van Azure Virtual Machines in een Azure-landingszone voor meer informatie.
Domain Services is een door Azure beheerde service die u kunt gebruiken om een nieuw beheerd Active Directory-domein te maken dat wordt gehost in Azure. Het domein kan een vertrouwensrelatie hebben met bestaande domeinen en kan identiteiten synchroniseren vanuit Microsoft Entra-id. Beheer istrators hebben geen directe toegang tot de domeincontrollers en zijn niet verantwoordelijk voor patching en andere onderhoudsbewerkingen.
Wanneer u Domain Services implementeert of on-premises omgevingen integreert in Azure, gebruikt u locaties met beschikbaarheidszones voor een hogere beschikbaarheid.
Nadat AD DS of Domain Services is geconfigureerd, kunt u azure-VM's en bestandsshares toevoegen met dezelfde methode als on-premises computers. Zie Microsoft-services op basis van mappen vergelijken voor meer informatie.
Aanbevelingen voor Microsoft Entra ID en AD DS
Gebruik de Microsoft Entra-toepassingsproxy om toegang te krijgen tot toepassingen die gebruikmaken van on-premises verificatie op afstand via Microsoft Entra-id. Deze functie biedt veilige externe toegang tot on-premises webtoepassingen. Hiervoor is geen VPN of wijzigingen in de netwerkinfrastructuur vereist. Het wordt echter geïmplementeerd als één exemplaar in Microsoft Entra ID, dus moeten toepassingseigenaren en het platform- of identiteitsteams samenwerken om ervoor te zorgen dat de toepassing correct is geconfigureerd.
Evalueer de compatibiliteit van workloads voor AD DS op Windows Server en Domain Services. Zie Veelvoorkomende use cases en scenario's voor meer informatie.
Implementeer VM's van domeincontrollers of Domain Services-replicasets in het identiteitsplatformabonnement binnen de platformbeheergroep.
Beveilig het virtuele netwerk dat de domeincontrollers bevat. Voorkom directe internetverbinding met en van deze systemen door de AD DS-servers in een geïsoleerd subnet met een netwerkbeveiligingsgroep (NSG) te plaatsen en firewallfunctionaliteit te bieden. Resources die gebruikmaken van domeincontrollers voor verificatie moeten een netwerkroute hebben naar het subnet van de domeincontroller. Schakel alleen een netwerkroute in voor toepassingen waarvoor toegang tot services in het identiteitsabonnement is vereist. Zie AD DS implementeren in een virtueel Azure-netwerk voor meer informatie.
- Gebruik Azure Virtual Network Manager om standaardregels af te dwingen die van toepassing zijn op virtuele netwerken. Azure Policy- of virtuele-netwerkresourcetags kunnen bijvoorbeeld worden gebruikt om virtuele netwerken voor landingszones toe te voegen aan een netwerkgroep als ze Active Directory-identiteitsservices vereisen. De netwerkgroep kan vervolgens worden gebruikt die toegang tot het subnet van de domeincontroller alleen toestaat vanuit toepassingen die dit vereisen en de toegang van andere toepassingen blokkeren.
Beveilig de RBAC-machtigingen (Role-Based Access Control) die van toepassing zijn op de virtuele machines van de domeincontroller en andere identiteitsbronnen. Beheer istrators met RBAC-roltoewijzingen op het Azure-besturingsvlak, zoals Inzender, Eigenaar of Inzender voor virtuele machines, kunnen opdrachten uitvoeren op de virtuele machines. Zorg ervoor dat alleen geautoriseerde beheerders toegang hebben tot de virtuele machines in het identiteitsabonnement en dat te veel machtigingen voor roltoewijzingen niet worden overgenomen van hogere beheergroepen.
In een multiregionale organisatie implementeert u Domain Services in de regio die als host fungeert voor de kernplatformonderdelen. U kunt Domain Services alleen implementeren in één abonnement. U kunt Domain Services uitbreiden naar andere regio's door maximaal vier replicasets toe te voegen in afzonderlijke virtuele netwerken die zijn gekoppeld aan het primaire virtuele netwerk. Als u de latentie wilt minimaliseren, houdt u uw kerntoepassingen dicht bij of in dezelfde regio als het virtuele netwerk voor uw replicasets.
Wanneer u AD DS-domeincontrollers in Azure implementeert, implementeert u deze in beschikbaarheidszones voor meer tolerantie. Zie VM's maken in beschikbaarheidszones en VM's migreren naar beschikbaarheidszones voor meer informatie.
Verificatie kan plaatsvinden in de cloud en on-premises of alleen on-premises. Verken de verificatiemethoden voor Microsoft Entra ID als onderdeel van uw identiteitsplanning.
Als een Windows-gebruiker Kerberos voor Azure Files-bestandsshares vereist, kunt u kerberos-verificatie gebruiken voor Microsoft Entra-id in plaats van domeincontrollers in de cloud te implementeren.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor