Hybride identiteit

  • 10 minuten

Tailwind Traders heeft Active Directory Domain Services (AD DS) als on-premises identiteitsprovider gebruikt op zijn on-premises netwerkomgeving sinds het bedrijf aan het begin van het millennium is gemigreerd van Windows NT 4.0. Veel bestaande Tailwind Traders-toepassingen bevatten een afhankelijkheid op Active Directory. Een aantal van deze toepassingen heeft een eenvoudige afhankelijkheid op Active Directory als een identiteitsprovider. Andere toepassingen hebben uitgebreidere afhankelijkheden, zoals complexe groepsbeleidsvereisten, aangepaste domeinpartities en aangepaste schema-extensies.

Nu Tailwind Traders op het punt staat een aantal resources te verplaatsen en nieuwe toepassingen in Azure te ontwikkelen, wil het bedrijf voorkomen dat ze een parallelle identiteitsoplossing maken waardoor afzonderlijke aanmeldgegevens zouden worden vereist voor on-premises resources en cloudresources.

In deze les leert u meer over de verschillende manieren waarop een hybride identiteit kan worden geïmplementeerd.

Domeincontrollers implementeren naar Azure

De eenvoudigste manier om dezelfde AD DS-omgeving in Azure te bieden als die een organisatie on-premises heeft, is:

  1. Een paar AD DS-domeincontrollers implementeren in een subnet van een virtueel Azure-netwerk.

  2. Dat virtuele netwerk verbinden met het on-premises netwerk.

  3. Dat subnet configureren als een nieuwe AD DS-site, zoals wordt weergegeven in de volgende afbeelding.

    Diagram that shows replication of an on-premises identity hosted in Active Directory Domain Services to Microsoft Entra ID.

Een andere optie is om het in de cloud gehoste AD DS-domein te configureren als een onderliggend domein van de forest van het on-premises domein. Een aanvullende optie is om de AD DS-domeincontrollers die worden uitgevoerd in de cloud te configureren als een afzonderlijke forest die een vertrouwensrelatie heeft met de on-premises forest. De volgende afbeelding toont-de topologie van deze resourceforest.

Diagram that shows on-premises AD DS configured in a trust relationship with an AD DS deployment hosted on an Azure subnet.

Wanneer organisaties domeincontrollers op virtuele machines (VM's) in Azure implementeren, kunnen die organisaties vervolgens workloads implementeren waarvoor een directe lijn is vereist naar een domeincontroller op hetzelfde virtuele Azure-netwerksubnet waarop ze de VM's voor de domeincontroller hebben geïmplementeerd. Dit is qua concept voor veel organisaties een eenvoudig model van een hybride cloud omdat Azure-datacentra worden behandeld als een externe Active Directory-site.

Voor Tailwind Traders kan het uitbreiden van zijn on-premises Active Directory-domein of forest naar Azure wellicht voldoende zijn, afhankelijk van toepassingsvereisten. Het nadeel van het implementeren van deze optie is dat er doorlopende kosten zijn gekoppeld aan VM's die continu worden uitgevoerd, zoals dat is vereist voor domeincontrollers.

Wat is Microsoft Entra Verbinding maken?

Met Microsoft Entra Verbinding maken (voorheen Azure AD Verbinding maken) kunnen organisaties de identiteiten die aanwezig zijn in hun on-premises Active Directory-exemplaar synchroniseren met Microsoft Entra ID (voorheen Azure AD). Hierdoor kunt dezelfde identiteit voor cloudresources en on-premises resources gebruiken. Microsoft Entra Verbinding maken wordt het vaakst gebruikt wanneer organisaties Microsoft 365 gebruiken om toepassingen zoals Microsoft SharePoint en Exchange die in de cloud worden uitgevoerd, toegang te geven via on-premises toepassingen.

Als Tailwind Traders microsoft 365-technologieën zoals Exchange Online of Microsoft Teams gaat gebruiken, moet Microsoft Entra-Verbinding maken configureren om identiteiten te repliceren vanuit de on-premises AD DS-omgeving naar Azure. Als het bedrijf ook on-premises identiteiten wil gebruiken met toepassingen in Azure, maar geen AD DS-domeincontrollers op VM's wil implementeren, moet het ook Microsoft Entra-Verbinding maken implementeren.

Wat is Microsoft Entra Domain Services?

U kunt Microsoft Entra Domain Services gebruiken om een Microsoft Entra-domein te projecteren op een virtueel Azure-subnet. Wanneer u dit doet, worden services zoals domeindeelname, groepsbeleid, LDAP (Lightweight Directory Access Protocol) en Kerberos- en NTLM-verificatie beschikbaar op elke VM die op het subnet is geïmplementeerd.

Met Microsoft Entra Domain Services kunt u beschikken over een eenvoudige beheerde Active Directory-omgeving die beschikbaar is voor VM's zonder dat u zich zorgen hoeft te maken over het beheren, onderhouden en betalen van de VM's die als domeincontrollers worden uitgevoerd. Met Microsoft Entra Domain Services kunt u ook on-premises identiteiten gebruiken via Microsoft Entra Verbinding maken om te communiceren met VM's die worden uitgevoerd op een speciaal geconfigureerd Azure Virtual Network-subnet.

Een nadeel van Microsoft Entra Domain Services is dat de implementatie van groepsbeleid basis is. Het bevat een vaste set beleidsregels en biedt geen mogelijkheid om GPO's (Group Policy Objects, groepsbeleidobjecten) te maken. Hoewel de identiteiten die on-premises worden gebruikt beschikbaar zullen zijn in Azure, zijn beleidsregels die on-premises zijn geconfigureerd niet beschikbaar.

Voor Tailwind Traders biedt Microsoft Entra Domain Services een goede middelste basis voor hybride workloads. Hiermee kunnen aan het domein toegevoegde identiteiten worden gebruikt en een aanzienlijke hoeveelheid groepsbeleidsregels worden geconfigureerd. Maar het biedt geen ondersteuning voor toepassingen waarvoor een complexe Active Directory functionaliteit is vereist, zoals aangepaste domeinpartities en schema-extensies.

Test uw kennis

1.

Sommige virtuele machines die Tailwind Traders wil migreren vanuit het datacentrum in Auckland, bevatten een aantal hosttoepassingen die afhankelijkheden hebben op AD DS met aangepaste schema-extensies en aangepaste AD DS-partities. Welke van de volgende hybride identiteitsoplossingen kan het bedrijf gebruiken ter ondersteuning van deze toepassingen als de virtuele machines waarop de toepassingen worden gehost, worden gemigreerd om als virtuele Azure-machines volgens het IaaS-principe (Infrastructure as a Service, infrastructuur als een dienst) te worden uitgevoerd?

2.

Een dochteronderneming van Tailwind Traders implementeert Windows Server 2022 IaaS-VM's op een subnet in een virtueel Azure-netwerk. Dit virtuele netwerk is verbonden met een afzonderlijk abonnement en Microsoft Entra-tenancy. Deze computers moeten deelnemen aan een domein voor beveiligings- en identiteitsdoeleinden, maar hiervoor is geen complexe groepsbeleidsconfiguratie vereist. De identiteiten van deze virtuele machines hoeven niet vanuit een on-premises AD DS-instantie van Tailwind Traders te worden gesynchroniseerd. U wilt zo min mogelijk virtuele machines implementeren om dit doel te bereiken. Welke van de volgende oplossingen is hier geschikt voor?