Wdrażanie i zarządzanie usługą Azure Active Directory Domain Services dla dostawców rozwiązań w chmurze platformy Azure

  • Artykuł

Dostawcy rozwiązań w chmurze platformy Azure (CSP) to program dla partnerów firmy Microsoft i udostępniają kanał licencji dla różnych usług w chmurze firmy Microsoft. Dostawca CSP platformy Azure umożliwia partnerom zarządzanie sprzedażą, posiadaniem relacji rozliczeniowych, zapewnieniem pomocy technicznej i rozliczeń oraz pojedynczym punktem kontaktu klienta. Ponadto dostawca CSP platformy Azure udostępnia pełny zestaw narzędzi, w tym portal samoobsługowy i towarzyszące interfejsy API. Te narzędzia umożliwiają partnerom programu CSP łatwe aprowizowanie zasobów platformy Azure i zarządzanie nimi oraz zapewnianie rozliczeń dla klientów i ich subskrypcji.

Portal Centrum partnerskiego to punkt wejścia dla wszystkich partnerów programu Azure CSP i oferuje zaawansowane możliwości zarządzania klientami, zautomatyzowane przetwarzanie i nie tylko. Partnerzy programu Azure CSP mogą korzystać z funkcji Centrum partnerskiego przy użyciu internetowego interfejsu użytkownika lub programu PowerShell i różnych wywołań interfejsu API.

Na poniższym diagramie przedstawiono sposób działania modelu CSP na wysokim poziomie. W tym miejscu firma Contoso ma dzierżawę usługi Azure Active Directory (Azure AD). Mają one partnerstwo z dostawcą CSP, który wdraża zasoby i zarządza nimi w ramach subskrypcji programu Azure CSP. Firma Contoso może również mieć regularne (bezpośrednie) subskrypcje platformy Azure, które są rozliczane bezpośrednio w firmie Contoso.

Omówienie modelu CSP

Dzierżawa partnera CSP ma trzy specjalne grupy agentów — Administracja agentów, agentów pomocy technicznej i agentów sprzedaży.

Grupa agentów Administracja jest przypisana do roli administratora dzierżawy w dzierżawie Azure AD firmy Contoso. W związku z tym użytkownik należący do grupy agentów administracyjnych partnera CSP ma uprawnienia administratora dzierżawy w dzierżawie Azure AD firmy Contoso.

Gdy partner CSP aprowizuje subskrypcję dostawcy CSP platformy Azure dla firmy Contoso, ich grupa agentów administracyjnych zostanie przypisana do roli właściciela dla tej subskrypcji. W związku z tym agenci administracyjni partnera CSP mają wymagane uprawnienia do aprowizacji zasobów platformy Azure, takich jak maszyny wirtualne, sieci wirtualne i Azure AD usługi Domain Services w imieniu firmy Contoso.

Aby uzyskać więcej informacji, zobacz Omówienie programu Azure CSP

Korzyści wynikające z korzystania z usług Azure AD DS w ramach subskrypcji programu Azure CSP

Usługa Azure Active Directory Domain Services (Azure AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługami Windows Server Active Directory Domain Services. W ciągu dziesięcioleci wiele aplikacji zostało utworzonych w celu współdziałania z usługą AD przy użyciu tych możliwości. Wielu niezależnych dostawców oprogramowania (ISV) tworzy i wdraża aplikacje w siedzibie swoich klientów. Te aplikacje są trudne do obsługi, ponieważ często wymagasz dostępu do różnych środowisk, w których aplikacje są wdrażane. W przypadku subskrypcji programu Azure CSP masz prostszą alternatywę dla skalowania i elastyczności platformy Azure.

Azure AD DS obsługuje subskrypcje dostawcy CSP platformy Azure. Aplikację można wdrożyć w subskrypcji programu Azure CSP powiązanej z dzierżawą Azure AD klienta. W związku z tym pracownicy (pracownicy pomocy technicznej) mogą zarządzać maszynami wirtualnymi, na których aplikacja jest wdrażana, oraz zarządzać nimi przy użyciu poświadczeń firmowych organizacji.

Można również wdrożyć domenę zarządzaną Azure AD DS w dzierżawie Azure AD klienta. Aplikacja jest następnie połączona z domeną zarządzaną klienta. Możliwości w aplikacji, które korzystają z protokołu Kerberos/ NTLM, LDAP lub interfejsu API System.DirectoryServices , działają bezproblemowo w domenie klienta. Klienci końcowi korzystają z korzystania z aplikacji jako usługi bez konieczności martwienia się o utrzymanie infrastruktury wdrażanej przez aplikację.

Wszystkie rozliczenia dotyczące zasobów platformy Azure używanych w ramach tej subskrypcji, w tym Azure AD DS, są naliczane z powrotem. Utrzymujesz pełną kontrolę nad relacjami z klientem, jeśli chodzi o sprzedaż, rozliczenia, pomoc techniczną itp. Dzięki elastyczności platformy Azure CSP mały zespół agentów pomocy technicznej może obsługiwać wielu takich klientów, którzy mają wdrożone wystąpienia aplikacji.

Modele wdrażania CSP dla usług Azure AD DS

Istnieją dwa sposoby używania Azure AD DS z subskrypcją programu Azure CSP. Wybierz odpowiednie zależnie od kwestii dotyczących zabezpieczeń i prostoty, które mają twoi klienci.

Model wdrażania bezpośredniego

W tym modelu wdrażania Azure AD DS jest włączona w sieci wirtualnej należącej do subskrypcji programu Azure CSP. Agenci administracyjni partnera CSP mają następujące uprawnienia:

  • administrator globalny uprawnienia w dzierżawie Azure AD klienta.
  • Uprawnienia właściciela subskrypcji w subskrypcji programu Azure CSP.

Model wdrażania bezpośredniego

W tym modelu wdrażania agenci administracyjni dostawcy CSP mogą administrować tożsamościami klienta. Ci agenci administracyjni mogą wykonywać zadania, takie jak aprowizowania nowych użytkowników lub grup, lub dodawania aplikacji w dzierżawie Azure AD klienta.

Ten model wdrażania może być odpowiedni dla mniejszych organizacji, które nie mają dedykowanego administratora tożsamości lub preferują partnera CSP do administrowania tożsamościami w ich imieniu.

Model wdrażania równorzędnego

W tym modelu wdrażania Azure AD DS jest włączona w sieci wirtualnej należącej do klienta — bezpośredniej subskrypcji platformy Azure płatnej przez klienta. Partner CSP może wdrażać aplikacje w sieci wirtualnej należącej do subskrypcji dostawcy CSP klienta. Sieci wirtualne można następnie połączyć przy użyciu komunikacji równorzędnej sieci wirtualnych platformy Azure.

Dzięki temu wdrożeniu obciążenia lub aplikacje wdrożone przez partnera CSP w subskrypcji programu Azure CSP mogą łączyć się z domeną zarządzaną klienta aprowizowaną w bezpośredniej subskrypcji platformy Azure klienta.

Model wdrażania równorzędnego

Ten model wdrażania zapewnia rozdzielenie uprawnień i umożliwia agentom pomocy technicznej partnera CSP administrowanie subskrypcją platformy Azure oraz wdrażanie w niej zasobów i zarządzanie nimi. Jednak agenci pomocy technicznej partnera CSP nie muszą mieć uprawnień administratora globalnego w katalogu Azure AD klienta. Administratorzy tożsamości klienta mogą nadal zarządzać tożsamościami w swojej organizacji.

Ten model wdrażania może być dostosowany do scenariuszy, w których niezależnego dostawcy oprogramowania udostępnia hostowaną wersję aplikacji lokalnej, która również musi łączyć się z Azure AD klienta.

Administrowanie Azure AD DS w subskrypcjach CSP

Podczas administrowania domeną zarządzaną w subskrypcji programu Azure CSP należy wziąć pod uwagę następujące ważne kwestie:

  • Agenci administracyjni programu CSP mogą aprowizować domenę zarządzaną przy użyciu poświadczeń: Azure AD DS obsługuje subskrypcje dostawcy CSP platformy Azure. Użytkownicy należący do grupy agentów administracyjnych partnera CSP mogą aprowizować nową domenę zarządzaną.

  • Dostawcy CSP mogą tworzyć skrypty nowych domen zarządzanych dla swoich klientów przy użyciu programu PowerShell: Aby uzyskać szczegółowe informacje, zobacz, jak włączyć usługę Azure AD DS przy użyciu programu PowerShell.

  • Agenci administracyjni programu CSP nie mogą wykonywać bieżących zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń: Użytkownicy administracyjni programu CSP nie mogą wykonywać rutynowych zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń. Ci użytkownicy są zewnętrzni od dzierżawy Azure AD klienta, a ich poświadczenia nie są dostępne w dzierżawie Azure AD klienta. Azure AD DS nie ma dostępu do skrótów haseł Protokołu Kerberos i NTLM dla tych użytkowników, dzięki czemu użytkownicy nie mogą być uwierzytelniani w domenach zarządzanych.

    Ostrzeżenie

    Aby wykonywać bieżące zadania administracyjne w domenie zarządzanej, należy utworzyć konto użytkownika w katalogu klienta.

    Nie można zalogować się do domeny zarządzanej przy użyciu poświadczeń użytkownika administratora programu CSP. W tym celu użyj poświadczeń konta użytkownika należącego do dzierżawy Azure AD klienta. Te poświadczenia są potrzebne do zadań, takich jak dołączanie maszyn wirtualnych do domeny zarządzanej, administrowanie systemem DNS lub administrowanie zasady grupy.

  • Konto użytkownika utworzone do bieżącej administracji musi zostać dodane do grupy Administratorzy kontrolera domeny usługi AAD: grupa Administratorzy kontrolera domeny usługi AAD ma uprawnienia do wykonywania określonych delegowanych zadań administracyjnych w domenie zarządzanej. Te zadania obejmują konfigurowanie systemu DNS, tworzenie jednostek organizacyjnych i administrowanie zasadami grupy.

    Aby partner CSP wykonywał te zadania w domenie zarządzanej, należy utworzyć konto użytkownika w ramach dzierżawy Azure AD klienta. Poświadczenia dla tego konta muszą być udostępniane agentom administracyjnym partnera CSP. Ponadto to konto użytkownika należy dodać do grupy Administratorzy kontrolera domeny usługi AAD , aby umożliwić wykonywanie zadań konfiguracyjnych w domenie zarządzanej przy użyciu tego konta użytkownika.

Następne kroki

Aby rozpocząć pracę, zarejestruj się w programie Azure CSP. Następnie można włączyć usługi Azure AD Domain Services przy użyciu Azure Portal lub Azure PowerShell.