Porównanie zarządzanych samodzielnie usług domena usługi Active Directory Services, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services
Aby zapewnić aplikacjom, usługom lub urządzeniom dostęp do tożsamości centralnej, istnieją trzy typowe sposoby korzystania z usług opartych na usłudze Active Directory na platformie Azure. Ten wybór w rozwiązaniach do obsługi tożsamości zapewnia elastyczność korzystania z najbardziej odpowiedniego katalogu dla potrzeb organizacji. Jeśli na przykład w większości zarządzasz użytkownikami korzystającymi tylko z chmury z urządzeniami przenośnymi, tworzenie i uruchamianie własnego rozwiązania tożsamości usług domena usługi Active Directory Services (AD DS) może nie mieć sensu. Zamiast tego możesz po prostu użyć identyfikatora Microsoft Entra.
Mimo że trzy rozwiązania tożsamości oparte na usłudze Active Directory mają wspólną nazwę i technologię, są one przeznaczone do świadczenia usług spełniających różne wymagania klientów. Na wysokim poziomie te rozwiązania tożsamości i zestawy funkcji to:
- domena usługi Active Directory Services (AD DS) — serwer ldap (Lightweight Directory Access Protocol) gotowy do użycia w przedsiębiorstwie, który udostępnia kluczowe funkcje, takie jak tożsamość i uwierzytelnianie, zarządzanie obiektami komputerów, zasady grupy i relacje zaufania.
- Usługi AD DS to centralny składnik w wielu organizacjach z lokalnym środowiskiem IT i zapewnia podstawowe funkcje uwierzytelniania konta użytkownika i zarządzania komputerami.
- Aby uzyskać więcej informacji, zobacz omówienie usług domena usługi Active Directory w dokumentacji systemu Windows Server.
- Microsoft Entra ID — oparte na chmurze tożsamości i zarządzania urządzeniami przenośnymi, które udostępniają konta użytkownika i usługi uwierzytelniania dla zasobów, takich jak Microsoft 365, Centrum administracyjne firmy Microsoft lub aplikacje SaaS.
- Identyfikator Entra firmy Microsoft można zsynchronizować z lokalnym środowiskiem usług AD DS, aby zapewnić jedną tożsamość użytkownikom, którzy działają natywnie w chmurze.
- Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Co to jest identyfikator Entra firmy Microsoft?
- Microsoft Entra Domain Services — udostępnia zarządzane usługi domenowe z podzbiorem w pełni zgodnych tradycyjnych funkcji usług AD DS, takich jak przyłączanie do domeny, zasady grupy, ldap i uwierzytelnianie Kerberos / NTLM.
- Usługi Domain Services integrują się z identyfikatorem Entra firmy Microsoft, który może być synchronizowany z lokalnym środowiskiem usług AD DS. Ta możliwość rozszerza centralne przypadki użycia tożsamości na tradycyjne aplikacje internetowe działające na platformie Azure w ramach strategii "lift-and-shift".
- Aby dowiedzieć się więcej na temat synchronizacji z identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.
Ten artykuł z omówieniem porównuje i kontrastuje ze sposobem współdziałania tych rozwiązań tożsamości lub będzie używany niezależnie w zależności od potrzeb organizacji.
Usługi domenowe i samoobsługowe usługi AD DS
Jeśli masz aplikacje i usługi, które wymagają dostępu do tradycyjnych mechanizmów uwierzytelniania, takich jak Kerberos lub NTLM, istnieją dwa sposoby zapewniania usług domena usługi Active Directory w chmurze:
- Domena zarządzana tworzona przy użyciu usług Microsoft Entra Domain Services. Firma Microsoft tworzy wymagane zasoby i zarządza nimi.
- Domena zarządzana samodzielnie utworzona i skonfigurowana przy użyciu tradycyjnych zasobów, takich jak maszyny wirtualne, system operacyjny gościa systemu Windows Server i usługi domena usługi Active Directory (AD DS). Następnie będziesz nadal administrować tymi zasobami.
Dzięki usługom Domain Services podstawowe składniki usługi są wdrażane i obsługiwane przez firmę Microsoft jako środowisko domeny zarządzanej. Nie wdrażasz, nie wdrażasz, poprawiasz i zabezpieczasz infrastruktury usług AD DS dla składników, takich jak maszyny wirtualne, system operacyjny Windows Server lub kontrolery domeny (DCs).
Usługi Domain Services udostępniają mniejszy podzestaw funkcji tradycyjnemu własnemu środowisku usług AD DS, co zmniejsza część złożoności projektowania i zarządzania. Na przykład nie ma żadnych lasów usługi AD, domeny, lokacji i linków replikacji do projektowania i konserwacji. Nadal można tworzyć relacje zaufania lasu między usługami Domain Services i środowiskami lokalnymi.
W przypadku aplikacji i usług, które działają w chmurze i wymagają dostępu do tradycyjnych mechanizmów uwierzytelniania, takich jak Kerberos lub NTLM, usługi Domain Services zapewniają środowisko domeny zarządzanej z minimalnym obciążeniem administracyjnym. Aby uzyskać więcej informacji, zobacz Pojęcia dotyczące zarządzania kontami użytkowników, hasłami i administracją w usługach Domain Services.
Podczas wdrażania i uruchamiania własnego środowiska usług AD DS należy zachować wszystkie skojarzone składniki infrastruktury i katalogu. Istnieje dodatkowe obciążenie związane z konserwacją w środowisku usług AD DS zarządzanym samodzielnie, ale możesz wykonywać dodatkowe zadania, takie jak rozszerzanie schematu lub tworzenie relacji zaufania lasu.
Typowe modele wdrażania dla własnego środowiska usług AD DS, które zapewniają tożsamość aplikacjom i usługom w chmurze, obejmują następujące elementy:
- Autonomiczne usługi AD DS tylko w chmurze — maszyny wirtualne platformy Azure są konfigurowane jako kontrolery domeny i tworzone jest oddzielne środowisko usług AD DS tylko w chmurze. To środowisko usług AD DS nie integruje się z lokalnym środowiskiem usług AD DS. Inny zestaw poświadczeń służy do logowania się i administrowania maszynami wirtualnymi w chmurze.
- Rozszerzanie domeny lokalnej na platformę Azure — sieć wirtualna platformy Azure łączy się z siecią lokalną przy użyciu połączenia sieci VPN/usługi ExpressRoute. Maszyny wirtualne platformy Azure łączą się z tą siecią wirtualną platformy Azure, co umożliwia przyłączanie ich do lokalnego środowiska usług AD DS.
- Alternatywą jest utworzenie maszyn wirtualnych platformy Azure i podwyższenie ich poziomu jako kontrolerów domeny repliki z lokalnej domeny usług AD DS. Te kontrolery domeny replikują za pośrednictwem połączenia sieci VPN/usługi ExpressRoute z lokalnym środowiskiem usług AD DS. Lokalna domena usług AD DS jest skutecznie rozszerzana na platformę Azure.
W poniższej tabeli przedstawiono niektóre funkcje, które mogą być potrzebne w organizacji, oraz różnice między domeną zarządzaną lub własną domeną usług AD DS:
| Funkcja | Domena zarządzana | Samoobsługowe usługi AD DS |
|---|---|---|
| Usługa zarządzana | ✓ | ✕ |
| Bezpieczne wdrożenia | ✓ | Administracja istrator zabezpiecza wdrożenie |
| Serwer DNS | √ (usługa zarządzana) | ✓ |
| Uprawnienia administratora domeny lub przedsiębiorstwa | ✕ | ✓ |
| Przyłącz do domeny | ✓ | ✓ |
| Uwierzytelnianie domeny przy użyciu protokołu NTLM i Kerberos | ✓ | ✓ |
| Ograniczone delegowanie protokołu Kerberos | Oparte na zasobach | Oparte na zasobach i oparte na kontach |
| Niestandardowa struktura jednostki organizacyjnej | ✓ | ✓ |
| Zasady grupy | ✓ | ✓ |
| Rozszerzenia schematu | ✕ | ✓ |
| Relacje zaufania domeny/lasu usługi AD | • (tylko relacje zaufania lasu wychodzącego jednokierunkowego) | ✓ |
| Protokół Secure LDAP (LDAPS) | ✓ | ✓ |
| Odczyt LDAP | ✓ | ✓ |
| Zapis LDAP | √ (w domenie zarządzanej) | ✓ |
| Wdrożenia rozproszone geograficznie | ✓ | ✓ |
Domain Services i Microsoft Entra ID
Microsoft Entra ID umożliwia zarządzanie tożsamością urządzeń używanych przez organizację i kontrolowanie dostępu do zasobów firmy z tych urządzeń. Użytkownicy mogą również zarejestrować swoje urządzenie osobiste (model BYO) przy użyciu identyfikatora Entra firmy Microsoft, który udostępnia urządzeniu tożsamość. Identyfikator Entra firmy Microsoft następnie uwierzytelnia urządzenie, gdy użytkownik loguje się do identyfikatora Entra firmy Microsoft i używa urządzenia do uzyskiwania dostępu do zabezpieczonych zasobów. Urządzenie można zarządzać przy użyciu oprogramowania mobile Zarządzanie urządzeniami (MDM), takiego jak Microsoft Intune. Ta możliwość zarządzania umożliwia ograniczenie dostępu do poufnych zasobów do urządzeń zarządzanych i zgodnych z zasadami.
Tradycyjne komputery i laptopy mogą również dołączyć do identyfikatora Entra firmy Microsoft. Ten mechanizm oferuje te same korzyści wynikające z rejestrowania urządzenia osobistego przy użyciu identyfikatora Entra firmy Microsoft, na przykład w celu umożliwienia użytkownikom logowania się na urządzeniu przy użyciu poświadczeń firmowych.
Urządzenia dołączone do firmy Microsoft Entra zapewniają następujące korzyści:
- Logowanie jednokrotne (SSO) do aplikacji zabezpieczonych przez microsoft Entra ID.
- Roaming ustawień użytkownika zgodnych z zasadami przedsiębiorstwa na urządzeniach.
- Dostęp do Sklepu Windows dla Firm przy użyciu poświadczeń firmowych.
- Windows Hello dla firm.
- Ograniczony dostęp do aplikacji i zasobów z urządzeń zgodnych z zasadami firmy.
Urządzenia mogą być przyłączone do identyfikatora Entra firmy Microsoft z wdrożeniem hybrydowym lub bez nich, które obejmuje lokalne środowisko usług AD DS. W poniższej tabeli przedstawiono typowe modele własności urządzeń i sposób ich łączenia z domeną:
| Typ urządzenia | Platformy urządzeń | Mechanizm |
|---|---|---|
| Urządzenia osobiste | Windows 10, iOS, Android, macOS | Zarejestrowano usługę Microsoft Entra |
| Urządzenie należące do organizacji nie jest przyłączone do lokalnych usług AD DS | Windows 10 | Dołączono do usługi Microsoft Entra |
| Urządzenie należące do organizacji przyłączone do lokalnej usługi AD DS | Windows 10 | Przyłączono hybrydową usługę Microsoft Entra |
Na urządzeniu dołączonym lub zarejestrowanym przez firmę Microsoft uwierzytelnianie użytkowników odbywa się przy użyciu nowoczesnych protokołów opartych na protokole OAuth/OpenID Połączenie. Te protokoły są przeznaczone do pracy przez Internet, dlatego doskonale nadają się do scenariuszy mobilnych, w których użytkownicy uzyskują dostęp do zasobów firmy z dowolnego miejsca.
W przypadku urządzeń przyłączonych do usług domenowych aplikacje mogą używać protokołów Kerberos i NTLM do uwierzytelniania, dzięki czemu mogą obsługiwać starsze aplikacje migrowane do uruchamiania na maszynach wirtualnych platformy Azure w ramach strategii "lift-and-shift". W poniższej tabeli przedstawiono różnice w tym, jak urządzenia są reprezentowane i mogą uwierzytelniać się w katalogu:
| Aspekt | Dołączono do usługi Microsoft Entra | Przyłączone do usług domenowych |
|---|---|---|
| Urządzenie kontrolowane przez | Tożsamość Microsoft Entra | Domena zarządzana usług Domenowych |
| Reprezentacja w katalogu | Obiekty urządzeń w katalogu Microsoft Entra | Obiekty komputerów w domenie zarządzanej usług Domenowych |
| Uwierzytelnianie | Protokoły oparte na protokole OAuth/OpenID Połączenie | Protokoły Kerberos i NTLM |
| Zarządzanie | Oprogramowanie do Zarządzanie urządzeniami mobilnych (MDM), takie jak usługa Intune | Zasady grupy |
| Sieć | Działa przez Internet | Musi być połączony z siecią wirtualną, z której jest wdrożona domena zarządzana, lub za pomocą komunikacji równorzędnej |
| Świetnie się bawi... | Urządzenia przenośne lub stacjonarne użytkownika końcowego | Maszyny wirtualne serwera wdrożone na platformie Azure |
Jeśli lokalne usługi AD DS i Identyfikator entra firmy Microsoft są skonfigurowane do uwierzytelniania federacyjnego przy użyciu usług AD FS, nie ma skrótu hasła (bieżącego/prawidłowego) dostępnego w usłudze Azure DS. Konta użytkowników usługi Microsoft Entra utworzone przed zaimplementowanym uwierzytelnianiem fed mogą mieć stary skrót hasła, ale prawdopodobnie nie jest to zgodne ze skrótem hasła lokalnego. W związku z tym usługi Domain Services nie będą mogły zweryfikować poświadczeń użytkowników
Następne kroki
Aby rozpocząć korzystanie z usług Domain Services, utwórz domenę zarządzaną usług Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra.
Możesz również dowiedzieć się więcej na temat pojęć związanych z zarządzaniem kontami użytkowników, hasłami i administracją w usługach Domain Services oraz o tym, jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.