Развертывание и управление доменными службами Microsoft Entra для поставщик облачных решений Azure

  • Статья

Azure Cloud Solution Providers CSP — это программа для партнеров корпорации Майкрософт, которая предоставляет канал лицензий для различных облачных служб Майкрософт. Azure CSP дает партнерам возможность управлять продажами и выставлением счетов, обеспечивать поддержку по выставлению счетов и техническую поддержку и быть единственным непосредственным контактом клиентов. Кроме того, Azure CSP предоставляет полный набор инструментов, включая портал самообслуживания и сопутствующие интерфейсы API. Эти инструменты позволяют партнерам CSP легко подготавливать ресурсы Azure и управлять ими, а также выставлять счета для клиентов и их подписок.

Портал центра партнеров является точкой входа для всех партнеров Azure CSP и предоставляет широкие возможности управления клиентами, автоматическую обработку данных и многое другое. Партнеры Azure CSP могут использовать возможности Центра партнеров с помощью пользовательского веб-интерфейса или с помощью PowerShell и различных вызовов API.

На приведенной ниже схеме показан общий принцип работы модели CSP. Здесь компания Contoso имеет клиент Microsoft Entra. Она является партнером CSP, и служба Azure CSP развертывает ресурсы в ее подписке Azure CSP и управляет ими. У компании Contoso также могут быть обычные (прямые) подписки Azure, счета за которые выставляются непосредственно этой компании.

Overview of the CSP model

У клиента партнера CSP имеется три специальные группы агентов: агенты администрирования, агенты службы технической поддержки и агенты продаж.

Группа агентов Администратор назначается роли администратора клиента в клиенте Microsoft Entra Contoso. В результате пользователь, принадлежащий группе агентов администрирования партнера CSP, имеет права администратора клиента в клиенте Microsoft Entra Contoso.

Когда партнер CSP подготавливает подписку Azure CSP для компании Contoso, их группе агентов администрирования назначается роль владельца для этой подписки. В результате агенты администратора партнера CSP имеют необходимые привилегии для подготовки ресурсов Azure, таких как виртуальные машины, виртуальные сети и доменные службы Microsoft Entra от имени Contoso.

Дополнительные сведения см. в обзоре Azure CSP.

Преимущества использования доменных служб в подписке Azure CSP

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая со службами Windows Server домен Active Directory. На протяжении десятилетий было создано множество приложений для работы с AD и использования этих возможностей. Многие независимые поставщики программного обеспечения создавали и развертывали приложения в локальной среде клиентов. Поддержка таких приложений может быть обременительной, так как часто требуется доступ к различным средам, в которых развернуты эти приложения. Благодаря подпискам Azure CSP вы получаете более простую альтернативу с возможностями масштабирования и гибкости Azure.

Доменные службы поддерживают подписки Azure CSP. Вы можете развернуть приложение в подписке Azure CSP, привязанной к клиенту Microsoft Entra клиента. В результате ваши сотрудники (персонал службы поддержки) смогут администрировать и обслуживать виртуальные машины, на которых развернуто приложение, а также управлять этими виртуальными машинами, используя корпоративные учетные данные вашей организации.

Вы также можете развернуть управляемый домен доменных служб в клиенте Microsoft Entra клиента. Затем ваше приложение подключается к управляемому домену клиента. Возможности приложения, зависящие от Kerberos или NTLM, LDAP или API System.DirectoryServices, без проблем работают на домене вашего клиента. Клиенты получают много преимуществ, используя ваше приложение как службу и не беспокоясь об обслуживании инфраструктуры, в которой это приложение развернуто.

Все выставление счетов за ресурсы Azure, которые вы используете в этой подписке, включая доменные службы, взимается вам. Вы сохраняете полный контроль над связью с клиентом в отношении продаж, выставления счетов, технической поддержки и т. д. Благодаря гибкости платформы Azure CSP небольшая группа агентов поддержки может обслуживать множество клиентов, которые развернули экземпляры вашего приложения.

Модели развертывания CSP для доменных служб

Существует два способа использования доменных служб с подпиской Azure CSP. Выберите соответствующий способ, приняв во внимание требования к безопасности и простоте клиентов.

Модель прямого развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, которая принадлежит подписке Azure CSP. Агенты администрирования партнера CSP имеют следующие привилегии:

  • Права глобального администратора в клиенте Microsoft Entra клиента.
  • привилегии владельца подписки Azure CSP.

Direct deployment model

В этой модели развертывания агенты администрирования поставщика CSP могут администрировать удостоверения клиента. Эти агенты администрирования могут выполнять такие задачи, как подготовка новых пользователей или групп, или добавлять приложения в клиент Microsoft Entra клиента.

Такая модель развертывания может подойти для небольших организаций, в которых нет специального администратора удостоверений или которые предпочитают использовать партнера CSP для управления удостоверениями от их имени.

Пиринговая модель развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, принадлежащей клиенту, — прямая подписка Azure, оплачиваемая клиентом. Партнер CSP затем может развертывать приложения в виртуальной сети, принадлежащей подписке CSP клиента. Эти виртуальные сети можно подключить с помощью пиринга виртуальных сетей Azure.

В результате рабочие нагрузки и приложения, развернутые партнером CSP в подписке Azure CSP, смогут подключаться к управляемому домену клиента, подготовленному в прямой подписке Azure клиента.

Peered deployment model

Такая модель развертывания обеспечивает разделение привилегий и позволяет агентам службы технической поддержки партнера CSP администрировать подписку Azure, а также развертывать в ней ресурсы и управлять ими. Однако агенты технической поддержки партнера CSP не должны иметь права глобального администратора в каталоге Microsoft Entra клиента. Администраторы удостоверений клиента могут по-прежнему управлять удостоверениями в своей организации.

Эта модель развертывания может быть подходит для сценариев, когда isV предоставляет размещенную версию локального приложения, которая также должна подключаться к идентификатору Microsoft Entra клиента.

Администратор стер доменных служб в подписках CSP

Ниже приведены важные рекомендации по администрированию управляемого домена в подписке Azure CSP.

  • Агенты администрирования CSP могут подготавливать управляемый домен с помощью учетных данных: доменные службы поддерживают подписки Azure CSP. Пользователи, принадлежащие к группе агентов администрирования партнера CSP, могут создать новый управляемый домен.

  • ПОСТАВЩИКИ услуг могут создавать новые управляемые домены для своих клиентов с помощью PowerShell: узнайте , как включить доменные службы с помощью PowerShell для получения дополнительных сведений.

  • Агенты администрирования CSP не могут выполнять повседневные задачи управления в управляемом домене, используя свои учетные данные: администраторы CSP не могут выполнять типовые задачи управления в управляемом домене, используя свои учетные данные. Эти пользователи являются внешними для клиента Microsoft Entra клиента, и их учетные данные недоступны в клиенте Microsoft Entra клиента. Доменные службы не имеют доступа к хэшам паролей Kerberos и NTLM для этих пользователей, поэтому пользователи не могут проходить проверку подлинности в управляемых доменах.

    Предупреждение

    Необходимо создать учетную запись пользователя в каталоге клиента для выполнения повседневных задач администрирования в управляемом домене.

    Невозможно войти в управляемый домен с помощью учетных данных администратора CSP. Для этого используйте учетные данные учетной записи пользователя, принадлежащей клиенту Microsoft Entra клиента. Эти учетные данные требуются для выполнения таких задач, как присоединение виртуальных машин к управляемому домену, администрирование DNS или администрирование групповой политики и т. д.

  • Учетная запись пользователя, созданная для повседневного администрирования, должна быть добавлена в группу Администраторы AAD DC: у группы администраторы AAD DC есть привилегии для выполнения некоторых делегированных задач администрирования в управляемом домене. Эти задачи включают в себя настройку DNS, создание подразделений и администрирование групповой политики.

    Чтобы партнер CSP выполнял эти задачи в управляемом домене, учетная запись пользователя должна быть создана в клиенте Microsoft Entra клиента. Учетные данные для этой учетной записи должны совместно использоваться агентами администрирования партнера CSP. Кроме того, эта учетная запись пользователя должна быть добавлена в группу Администраторы AAD DC для выполнения задач настройки в управляемом домене.

Следующие шаги

Чтобы приступить к работе, Зарегистрируйтесь в программе Azure CSP. Затем вы можете включить доменные службы Microsoft Entra с помощью Центра администрирования Microsoft Entra или Azure PowerShell.