Сравнение самоуправляемых служб домен Active Directory, идентификатора Microsoft Entra и управляемых доменных служб Microsoft Entra

В Azure есть три популярных метода применить службы на основе Active Directory, чтобы предоставить приложениям, службам и (или) устройствам доступ к централизованной службе удостоверений. Такой выбор решений для идентификации позволяет гибко выбрать наиболее подходящий вариант каталога для конкретных потребностей организации. Например, если вы управляете в основном облачными пользователями на мобильных устройствах, нет смысла создавать и запускать собственное решение идентификации в доменных службах Active Directory (AD DS). Вместо этого можно просто использовать идентификатор Microsoft Entra.

Все три решения идентификации на основе Active Directory имеют одинаковые названия и основаны на одной технологии, но предоставляемые ими службы нацелены на разные потребности клиентов. Мы начнем с обобщенного описания решений и предоставляемых ими функций.

  • Доменные службы Active Directory (AD DS) — это сервер корпоративного уровня с поддержкой протокола LDAP, который предоставляет такие функции, как идентификация и проверка подлинности, управление объектами компьютеров, групповая политика и доверие.
    • AD DS является центральным компонентом во многих организациях с локальной ИТ-средой, обеспечивая основные функции для проверки подлинности учетных записей пользователей и управления компьютерами.
    • Дополнительные сведения см. в статье Обзор доменных служб Active Directory в документации по Windows Server.
  • Идентификатор Microsoft Entra — облачное управление удостоверениями и мобильными устройствами, предоставляющее учетные записи пользователей и службы проверки подлинности для таких ресурсов, как Microsoft 365, Центр администрирования Microsoft Entra или приложения SaaS.
    • Идентификатор Microsoft Entra можно синхронизировать с локальной средой AD DS для предоставления единого удостоверения пользователям, работающим в облаке в собственном коде.
    • Дополнительные сведения об идентификаторе Microsoft Entra см. в разделе "Что такое идентификатор Microsoft Entra?
  • Доменные службы Microsoft Entra — предоставляет управляемые доменные службы с подмножеством полностью совместимых традиционных функций AD DS, таких как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos или NTLM.
    • Доменные службы интегрируются с идентификатором Microsoft Entra, который сам может синхронизироваться с локальной средой AD DS. Эта возможность расширяет случаи использования центрального удостоверения для традиционных веб-приложений, которые работают в Azure в рамках стратегии "lift-and-shift".
    • Дополнительные сведения о синхронизации с идентификатором Microsoft Entra и локальной средой см. в статье о синхронизации объектов и учетных данных в управляемом домене.

В этой статье собраны сравнительные сведения о том, как эти решения идентификации могут работать вместе или порознь в зависимости от потребностей конкретной организации.

Доменные службы и самоуправляемые доменные службы AD DS

Если у вас есть приложения и службы, использующие традиционные механизмы проверки подлинности, например Kerberos или NTLM, у вас есть два способа перенести в облако доменную службу Active Directory.

  • Управляемый домен, создаваемый с помощью доменных служб Microsoft Entra. В этом случае корпорация Майкрософт создает все необходимые ресурсы и управляет ими.
  • Самостоятельно управляемый домен, который вы создаете и настраиваете на основе традиционных ресурсов, таких как виртуальные машины, гостевая ОС Windows Server и доменные службы Active Directory (AD DS). Вы также самостоятельно администрируете эти ресурсы.

При использовании доменных служб основные компоненты служб развертываются и поддерживаются корпорацией Майкрософт в качестве управляемого домена. Вам не придется развертывать, администрировать, обновлять и защищать инфраструктуру AD DS для таких компонентов, как виртуальные машины, ОС Windows Server или контроллеры домена.

Доменные службы предоставляют меньшее подмножество функций для традиционной управляемой среды AD DS, что снижает сложность проектирования и управления. Например, вам не нужно проектировать и поддерживать леса AD, домены, сайты и связи репликации. Вы по-прежнему можете создавать отношения доверия леса между доменными службами и локальными средами.

Для приложений и служб, которые работают в облаке и нуждаются в доступе к традиционным механизмам проверки подлинности, таким как Kerberos или NTLM, доменные службы обеспечивают управляемый домен с минимальным объемом административных накладных расходов. Дополнительные сведения см. в разделе "Основные понятия управления" для учетных записей пользователей, паролей и администрирования в доменных службах.

При развертывании и выполнении самостоятельно управляемой среды AD DS вам придется поддерживать все связанные с ней компоненты инфраструктуры и каталога. Самостоятельно управляемая среда AD DS означает дополнительные затраты на обслуживание, но зато предоставляет дополнительные возможности, например расширение схемы или создание доверий лесов.

Ниже перечислены распространенные модели развертывания для самостоятельно управляемой среды AD DS, которая поддерживает идентификацию для приложений и служб, размещенных в облаке.

  • Изолированные, предназначенные только для облака AD DS, в которых виртуальные машины Azure выполняют роль контроллеров домена и создается отдельная облачная среда AD DS. Такая среда AD DS не интегрируется с локальной средой AD DS. Для входа на виртуальные машины в облаке и управления ими потребуется отдельный набор учетных данных.
  • Расширение локального домена в Azure подключает виртуальную сеть Azure к локальной сети с помощью VPN-подключения или канала ExpressRoute. Виртуальные машины Azure подключаются к этой виртуальной сети Azure, что позволяет им присоединяться к локальной среде AD DS.
    • В качестве альтернативного решения можно создать виртуальные машины Azure и повысить их роль до реплик контроллеров домена из локального домена AD DS. Эти контроллеры домена реплицируются через VPN-подключение или канал ExpressRoute, связанные с локальной средой AD DS. По сути это означает расширение локального домена AD DS в Azure.

В следующей таблице описаны некоторые функции, которые могут потребоваться для вашей организации, и различия между управляемым доменом или самоуправляемой доменом AD DS:

Компонент Управляемый домен Самостоятельно управляемая AD DS
Управляемая служба
Защищенные развертывания Администратор защищает развертывание
DNS-сервер (управляемая служба)
Права администратора домена или предприятия
Присоединение к домену
Аутентификация в домене с помощью NTLM и Kerberos
Ограниченное делегирование Kerberos На основе ресурсов На основе ресурсов и на основе учетных записей
Структура пользовательских подразделений
Групповая политика
Расширения схемы
Отношения доверия между доменом AD и лесом (только односторонние трасты лесов)
Защищенный протокол LDAP (LDAPS)
Чтение с помощью протокола LDAP
Запись с помощью протокола LDAP (в пределах управляемого домена)
Географически распределенные развертывания

Доменные службы и идентификатор Microsoft Entra

Идентификатор Microsoft Entra позволяет управлять удостоверениями устройств, используемых организацией, и управлять доступом к корпоративным ресурсам с этих устройств. Пользователи также могут зарегистрировать свое личное устройство (модель byO) с помощью идентификатора Microsoft Entra, который предоставляет устройство с удостоверением. Затем идентификатор Microsoft Entra проверяет подлинность устройства при входе пользователя в идентификатор Microsoft Entra и использует устройство для доступа к защищенным ресурсам. Устройством можно управлять с помощью программного обеспечения для управления мобильными устройствами, например Microsoft Intune. Возможность управления позволяет разрешать доступ к конфиденциальным ресурсам только с управляемых устройств и устройств, соответствующих требованиям политик.

Традиционные компьютеры и ноутбуки также могут присоединяться к идентификатору Microsoft Entra. Этот механизм предоставляет те же преимущества регистрации личного устройства с помощью идентификатора Microsoft Entra, например, чтобы разрешить пользователям входить на устройство с помощью корпоративных учетных данных.

Устройства, присоединенные к Microsoft Entra, предоставляют следующие преимущества:

  • Единый вход в приложения, защищенные идентификатором Microsoft Entra.
  • Перенос пользовательских параметров между устройствами с соблюдением требований корпоративной политики.
  • Доступ к Магазину Windows для бизнеса с использованием корпоративных учетных данных.
  • Windows Hello для бизнеса.
  • Ограниченный доступ к приложениям и ресурсам с устройств, соответствующих корпоративной политике.

Устройства можно присоединить к идентификатору Microsoft Entra с гибридным развертыванием или без нее, включающее локальную среду AD DS. В следующей таблице описаны распространенные модели владения устройствами и типичные способы их присоединения к домену.

Тип устройства Платформы устройств Механизм
Личные устройства Windows 10, iOS, Android, macOS зарегистрированы в Microsoft Entra.
Устройство, принадлежащее организации, не присоединенное к локальной AD DS Windows 10 присоединены к Microsoft Entra;
Устройство, принадлежащее организации, присоединенное к локальной AD DS Windows 10 имеют гибридное присоединение к Microsoft Entra;

На присоединенном или зарегистрированном устройстве Microsoft Entra проверка подлинности пользователей выполняется с помощью современных протоколов OAuth или OpenID Подключение. Эти протоколы предназначены для работы в Интернете. Они прекрасно подходят для пользователей, которым нужно обращаться к корпоративным ресурсам, используя мобильные устройства в разных расположениях.

С устройствами, присоединенными к доменным службам, приложения могут использовать протоколы Kerberos и NTLM для проверки подлинности, поэтому могут поддерживать устаревшие приложения, перенесенные для запуска на виртуальных машинах Azure в рамках стратегии лифта и смены. В следующей таблице описаны различия в том, как выполняется представление устройств и проверка подлинности в каталоге.

Аспект присоединены к Microsoft Entra; Присоединенные к доменным службам
Устройство управляется Microsoft Entra ID Управляемый домен доменных служб
Представление в каталоге Объекты устройств в каталоге Microsoft Entra Объекты компьютера в управляемом домене доменных служб
Проверка подлинности Протоколы на основе OAuth и OpenID Connect Протоколы Kerberos и NTLM
Управление Программное обеспечение для управления мобильными устройствами (MDM), например Intune Групповая политика
Сеть Работает через Интернет Требуется подключение к виртуальной сети, в которой развернут управляемый домен, или пиринг с ней
Отлично подойдет для: мобильных или настольных устройств пользователей серверных виртуальных машин, развернутых в Azure

Если локальные доменные службы AD DS и идентификатор Microsoft Entra настроены для федеративной проверки подлинности с помощью AD FS, в Azure DS нет хэша пароля (текущего или допустимого). Учетные записи пользователей Microsoft Entra, созданные перед реализацией проверки подлинности, могут иметь старый хэш паролей, но это, скорее всего, не соответствует хэшу локального пароля. В результате доменные службы не смогут проверить учетные данные пользователей.

Следующие шаги

Чтобы приступить к работе с доменными службами, создайте управляемый домен доменных служб с помощью Центра администрирования Microsoft Entra.

Дополнительные сведения об управлении учетными записями пользователей, паролями и администрированием в доменных службах, а также о синхронизации объектов и учетных данных в управляемом домене.