Een Microsoft Entra-integratiemodel selecteren
Microsoft Entra ID is een adreslijstservice die is ontworpen voor cloudtoepassingen en webtoepassingen, die enkele functies deelt met traditionele AD DS-implementaties. Het IT-team van Contoso kan Microsoft Entra ID implementeren en de on-premises identiteiten synchroniseren met de cloud. Met deze stappen kunnen Contoso-medewerkers eenmalige aanmelding gebruiken voor toegang tot zowel on-premises resources als gerelateerde resources in hun Azure-tenant.
Het IT-team kan Microsoft Entra ID gebruiken om de productiviteit van werknemers te verhogen, IT-processen te stroomlijnen en de beveiliging voor het gebruik van verschillende cloudservices te verbeteren. Contoso-werknemers hebben toegang tot onlinetoepassingen met één gebruikersaccount. Contoso kan ook centraal gebruikersbeheer uitvoeren met behulp van bekende Windows PowerShell-cmdlets. Het is ook de moeite waard om te vermelden dat omdat Microsoft Entra ID zeer schaalbaar en maximaal beschikbaar is per ontwerp, het IT-team geen gerelateerde infrastructuur hoeft te onderhouden of zich zorgen hoeft te maken over herstel na noodgevallen.
Als onderdeel van Azure kan Microsoft Entra ID ondersteuning bieden voor meervoudige verificatie als onderdeel van een algemene toegangsstrategie voor cloudservices, waardoor er een extra beveiligingslaag wordt geboden. Op rollen gebaseerd toegangsbeheer (RBAC), selfservicewachtwoord, groepsbeheer en apparaatregistratie bieden bedrijfsklare oplossingen voor identiteitsbeheer. Microsoft Entra ID biedt ook geavanceerde identiteitsbeveiliging, naast verbeterde rapportage en waarschuwingen waarmee u bedreigingen efficiënter kunt herkennen.
Overzicht van Microsoft Entra-id
Microsoft Entra ID maakt deel uit van het PaaS-aanbod (Platform as a Service) en werkt als een door Microsoft beheerde adreslijstservice in de cloud. Het maakt geen deel uit van de kerninfrastructuur die klanten bezitten en beheren, noch is het een IaaS-aanbieding. Hoewel dit impliceert dat u minder controle hebt over de implementatie, betekent dit ook dat u geen resources hoeft toe te kennen aan de implementatie of het onderhoud ervan.
Met Microsoft Entra ID hebt u ook toegang tot een set functies die niet standaard beschikbaar zijn in AD DS, zoals ondersteuning voor meervoudige verificatie, identiteitsbeveiliging en selfservice voor wachtwoordherstel. U kunt Microsoft Entra ID gebruiken om veiligere toegang te bieden tot cloudresources voor organisaties en personen door:
- Toegang tot toepassingen configureren.
- Eenmalige aanmelding configureren voor SaaS-toepassingen in de cloud.
- Gebruikers en groepen beheren.
- Gebruikers inrichten.
- Federatie tussen organisaties inschakelen.
- Een oplossing voor identiteitsbeheer bieden.
- Onregelmatige aanmeldingsactiviteit identificeren.
- Meervoudige verificatie configureren.
- Bestaande on-premises Active Directory-implementaties uitbreiden naar Microsoft Entra-id.
- Configureren van toepassingsproxy voor cloud- en lokale toepassingen.
- Voorwaardelijke toegang configureren voor gebruikers en apparaten.
Microsoft Entra-tenants
In tegenstelling tot on-premises AD DS is Microsoft Entra-id standaard multitenant en wordt deze specifiek geïmplementeerd om isolatie tussen afzonderlijke directory-exemplaren te garanderen. Het is de grootste multitenant-directory ter wereld, die meer dan een miljoen exemplaren van directoryservices host, met miljarden verificatieaanvragen per week. De term tenant in deze context vertegenwoordigt doorgaans een bedrijf of organisatie die zich heeft geregistreerd voor een abonnement op een Microsoft-cloudservice, zoals Microsoft 365, Microsoft Intune of Azure, die elk gebruikmaakt van Microsoft Entra ID.
Vanuit technisch oogpunt vertegenwoordigt de term tenant echter een afzonderlijk Microsoft Entra-exemplaar. Binnen een Azure-abonnement kunt u meerdere Microsoft Entra-tenants maken. Het kan handig zijn om meerdere Microsoft Entra-tenants te hebben als u microsoft Entra-functionaliteit in één tenant wilt testen zonder dat dit van invloed is op de andere tenants.
Notitie
Op elk gewenst moment moet een Azure-abonnement worden gekoppeld aan één en slechts één Microsoft Entra-tenant. U kunt echter dezelfde Microsoft Entra-tenant koppelen aan meerdere Azure-abonnementen.
Aan elke Microsoft Entra-tenant wordt de standaard-DNS-domeinnaam toegewezen die bestaat uit een uniek voorvoegsel. Het voorvoegsel wordt afgeleid van de naam van het Microsoft-account dat u gebruikt om een Azure-abonnement te maken, of expliciet opgegeven bij het maken van een Microsoft Entra-tenant en wordt gevolgd door het onmicrosoft.com achtervoegsel. Het toevoegen van ten minste één aangepaste domeinnaam aan dezelfde Microsoft Entra-tenant is mogelijk en gebruikelijk. Deze naam maakt gebruik van de DNS-domeinnaamruimte die het bijbehorende bedrijf of de bijbehorende organisatie bezit; bijvoorbeeld Contoso.com. De Microsoft Entra-tenant fungeert als de beveiligingsgrens en een container voor Microsoft Entra-objecten, zoals gebruikers, groepen en toepassingen.
Kenmerken van Microsoft Entra-id
Hoewel Microsoft Entra ID veel overeenkomsten heeft met AD DS, zijn er ook veel verschillen. Het is belangrijk te beseffen dat het gebruik van Microsoft Entra-id niet hetzelfde is als het implementeren van een AD DS-domeincontroller op een Azure-VM en het vervolgens toevoegt aan uw on-premises domein.
Wanneer u Microsoft Entra-id vergelijkt met AD DS, is het belangrijk om de Kenmerken van Microsoft Entra te noteren die verschillen van AD DS:
- Microsoft Entra ID is voornamelijk een identiteitsoplossing en is ontworpen voor internettoepassingen met behulp van HTTP-communicatie (poort 80) en HTTPS (poort 443).
- Microsoft Entra ID is een adreslijstservice met meerdere tenants.
- Microsoft Entra-gebruikers en -groepen worden gemaakt in een platte structuur en er zijn geen organisatie-eenheden (OE's) of Groepsbeleidsobjecten (GPO's).
- U kunt geen query's uitvoeren op Microsoft Entra-id met behulp van LDAP; In plaats daarvan gebruikt Microsoft Entra ID de REST API via HTTP en HTTPS.
- Microsoft Entra ID maakt geen gebruik van Kerberos-verificatie; In plaats daarvan worden HTTP- en HTTPS-protocollen gebruikt, zoals Security Assertion Markup Language (SAML), Web Services Federation (WS-Federation) en OpenID Connect voor verificatie. Het maakt ook gebruik van Open Authorization (OAuth) voor autorisatie.
- Microsoft Entra-id omvat federatieservices en veel services van derden worden gefedereerd met en vertrouwen op Microsoft Entra ID.
Integratieopties voor Microsoft Entra
Kleine organisaties die geen on-premises directory zoals AD DS hebben, kunnen volledig vertrouwen op Microsoft Entra-id als verificatie- en autorisatieservice. Het aantal van deze organisaties is echter nog steeds klein, dus de meeste bedrijven zoeken naar een manier om on-premises AD DS te integreren met Microsoft Entra ID. Microsoft biedt identiteits- en toegangsbeheer op cloudschaal via Microsoft Entra ID, dat verschillende opties biedt voor het integreren van AD DS met Azure. Deze opties worden beschreven in de volgende tabel.
| Opties | Beschrijving |
|---|---|
| On-premises AD DS uitbreiden naar Azure | Met deze optie host u VM's in Azure die u vervolgens promoveren tot domeincontrollers in uw on-premises AD DS. |
| On-premises AD DS synchroniseren met Microsoft Entra-id | Adreslijstsynchronisatie doorgeeft gebruikers-, groeps- en contactgegevens aan Microsoft Entra-id en bewaart die informatie gesynchroniseerd. In dit scenario gebruiken gebruikers verschillende wachtwoorden voor toegang tot cloud- en on-premises resources en zijn de verificatieprocessen gescheiden. |
| AD DS synchroniseren met Microsoft Entra-id met behulp van wachtwoord-hashsynchronisatie | In deze benadering synchroniseert on-premises AD DS objecten met Microsoft Entra-id, maar verzendt ook wachtwoordhashes voor gebruikersobjecten naar Microsoft Entra-id. Met deze optie hebben gebruikers toegang tot Microsoft Entra ID-compatibele toepassingen en resources door hetzelfde wachtwoord op te geven als hun huidige on-premises aanmelding. Voor eindgebruikers biedt deze benadering dezelfde aanmeldingservaring. |
| Eenmalige aanmelding implementeren tussen on-premises AD DS en Microsoft Entra-id | Deze optie ondersteunt het grootste aantal integratiefuncties en stelt een gebruiker in staat zich aan te melden bij Azure na verificatie via de on-premises AD DS. De technologie die deze functionaliteit biedt, wordt federatie genoemd, die u kunt implementeren met behulp van Active Directory Federation Services (AD FS). AD FS is afhankelijk van een set federatieservers en proxy's, die de vorm hebben van de web-toepassingsproxy serverfunctieservice. Als alternatief voor het implementeren van AD FS kunt u ook passthrough-verificatietechnologie gebruiken, die bijna dezelfde resultaten biedt als AD FS. Het maakt echter geen gebruik van een web-toepassingsproxy en vereist een minder complexe infrastructuur dan AD FS. |
De Microsoft Entra-map is geen uitbreiding van een on-premises map. Het is in plaats daarvan een kopie met dezelfde objecten en identiteiten. Wijzigingen die zijn aangebracht in deze items on-premises, worden gekopieerd naar de Microsoft Entra-id, maar wijzigingen die zijn aangebracht in Microsoft Entra-id worden niet teruggezet naar het on-premises domein.
Tip
U kunt ook Microsoft Entra-id gebruiken zonder een on-premises map te gebruiken. In dit geval fungeert Microsoft Entra-id als de primaire bron van alle identiteitsgegevens, in plaats van gegevens te bevatten die zijn gerepliceerd vanuit een on-premises directory.