События
9 апр., 15 - 10 апр., 12
Закодируете будущее с помощью ИИ и подключитесь к одноранговым узлам и экспертам Java в JDConf 2025.
ЗарегистрироватьсяРазвертывание и управление доменными службами Microsoft Entra для поставщиков облачных решений Azure
Azure Cloud Solution Providers CSP — это программа для партнеров корпорации Майкрософт, которая предоставляет канал лицензий для различных облачных служб Майкрософт. Azure CSP дает партнерам возможность управлять продажами и выставлением счетов, обеспечивать поддержку по выставлению счетов и техническую поддержку и быть единственным непосредственным контактом клиентов. Кроме того, Azure CSP предоставляет полный набор инструментов, включая портал самообслуживания и сопутствующие интерфейсы API. Эти инструменты позволяют партнерам CSP легко подготавливать ресурсы Azure и управлять ими, а также выставлять счета для клиентов и их подписок.
Портал центра партнеров является точкой входа для всех партнеров Azure CSP и предоставляет широкие возможности управления клиентами, автоматическую обработку данных и многое другое. Партнеры Azure CSP могут использовать возможности Центра партнеров с помощью пользовательского веб-интерфейса или с помощью PowerShell и различных вызовов API.
На приведенной ниже схеме показан общий принцип работы модели CSP. Здесь у компании Contoso есть арендатор Microsoft Entra. Они имеют партнерские отношения с CSP, который разворачивает и управляет ресурсами в их подписке на Azure CSP. У компании Contoso также могут быть обычные (прямые) подписки Azure, счета за которые выставляются непосредственно этой компании.
У клиента партнера CSP имеется три специальные группы агентов: агенты администрирования, агенты службы технической поддержки и агенты продаж.
Группа агентов Admin назначена на роль администратора арендатора в арендаторе Microsoft Entra Contoso. В результате пользователь, принадлежащий группе агентов администрирования партнера CSP, имеет права администратора клиента в клиенте Microsoft Entra Contoso.
Когда партнер CSP подготавливает подписку Azure CSP для компании Contoso, их группе агентов администрирования назначается роль владельца для этой подписки. В результате агенты администратора партнера CSP имеют необходимые привилегии для подготовки ресурсов Azure, таких как виртуальные машины, виртуальные сети и доменные службы Microsoft Entra от имени Contoso.
Дополнительные сведения см. в обзоре Azure CSP.
Службы домена Microsoft Entra предоставляют управляемые доменные услуги, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимые со службами Active Directory домена Windows Server. На протяжении десятилетий было создано множество приложений для работы с AD и использования этих возможностей. Многие независимые поставщики программного обеспечения создавали и развертывали приложения в локальной среде клиентов. Поддержка таких приложений может быть обременительной, так как часто требуется доступ к различным средам, в которых развернуты эти приложения. Благодаря подпискам Azure CSP вы получаете более простую альтернативу с возможностями масштабирования и гибкости Azure.
Доменные службы поддерживают подписки Azure CSP. Вы можете развернуть приложение в подписке Azure CSP, привязанной к клиентскому тенанту Microsoft Entra. В результате ваши сотрудники (персонал службы поддержки) смогут администрировать и обслуживать виртуальные машины, на которых развернуто приложение, а также управлять этими виртуальными машинами, используя корпоративные учетные данные вашей организации.
Вы также можете развернуть управляемый домен доменных служб в клиенте Microsoft Entra. Затем ваше приложение подключается к управляемому домену клиента. Возможности приложения, зависящие от Kerberos или NTLM, LDAP или API System.DirectoryServices, без проблем работают на домене вашего клиента. Клиенты получают много преимуществ, используя ваше приложение как службу и не беспокоясь об обслуживании инфраструктуры, в которой это приложение развернуто.
Все счета за потребляемые вами в этой подписке ресурсы Azure, включая доменные службы, выставляются на ваш счет. Вы сохраняете полный контроль над отношениями с клиентом, когда речь идет о продажах, выставлении счетов, технической поддержке и т. д. Используя гибкие возможности платформы Azure CSP, небольшая команда агентов поддержки может обслуживать много таких клиентов, использующих экземпляры вашего развернутого приложения.
Существует два способа использования доменных служб с подпиской Azure CSP. Выберите правильный вариант, основываясь на соображениях безопасности и простоты ваших клиентов.
В этой модели развертывания доменные службы включены в виртуальной сети, которая принадлежит подписке Azure CSP. Агенты администрирования партнера CSP имеют следующие привилегии:
Для управления этой функцией требуется глобальный администратор .
Для этой функции требуются привилегии владельца подписки Azure CSP.
В этой модели развертывания администраторы поставщика CSP могут управлять идентификацией клиента. Эти агенты администрирования могут выполнять такие задачи, как подготовка новых пользователей или групп, или добавлять приложения в клиент Microsoft Entra клиента.
Такая модель развертывания может подойти для небольших организаций, в которых нет специального администратора удостоверений или которые предпочитают использовать партнера CSP для управления удостоверениями от их имени.
В этой модели развертывания доменные службы включены в виртуальной сети, принадлежащей клиенту, — прямая подписка Azure, оплачиваемая клиентом. Партнер CSP затем может развертывать приложения в виртуальной сети, принадлежащей подписке CSP клиента. Эти виртуальные сети можно подключить с помощью пиринга виртуальных сетей Azure.
В результате рабочие нагрузки и приложения, развернутые партнером CSP в подписке Azure CSP, смогут подключаться к управляемому домену клиента, подготовленному в прямой подписке Azure клиента.
Такая модель развертывания обеспечивает разделение привилегий и позволяет агентам службы технической поддержки партнера CSP администрировать подписку Azure, а также развертывать в ней ресурсы и управлять ими. Однако агенты службы поддержки партнера CSP не нуждаются в высоко привилегированной роли в каталоге Microsoft Entra клиента. Администраторы идентичностей заказчика могут по-прежнему управлять идентичностями в своей организации.
Эта модель развертывания может подойти для сценариев, когда ISV предоставляет размещенную версию локального приложения, которая также должна подключаться к Microsoft Entra ID клиента.
Ниже приведены важные рекомендации по администрированию управляемого домена в подписке Azure CSP.
Агенты администрирования CSP могут подготавливать управляемый домен с помощью учетных данных: доменные службы поддерживают подписки Azure CSP. Пользователи, принадлежащие к группе агентов администрирования партнера CSP, могут создать новый управляемый домен.
ПОСТАВЩИКИ услуг могут создавать новые управляемые домены для своих клиентов с помощью PowerShell: узнайте , как включить доменные службы с помощью PowerShell для получения дополнительных сведений.
Агенты администрирования CSP не могут выполнять повседневные задачи управления в управляемом домене, используя свои учетные данные: администраторы CSP не могут выполнять типовые задачи управления в управляемом домене, используя свои учетные данные. Эти пользователи являются внешними для клиента Microsoft Entra, и их учетные данные недоступны в этой клиентской системе Microsoft Entra. Доменные службы не имеют доступа к хэшам паролей Kerberos и NTLM для этих пользователей, поэтому пользователи не могут проходить проверку подлинности в управляемых доменах.
Предупреждение
Необходимо создать учетную запись пользователя в каталоге клиента для выполнения повседневных задач администрирования в управляемом домене.
Невозможно войти в управляемый домен с помощью учетных данных администратора CSP. Для этого используйте учетные данные учетной записи пользователя, принадлежащей клиенту в Microsoft Entra. Эти учетные данные требуются для выполнения таких задач, как присоединение виртуальных машин к управляемому домену, администрирование DNS или администрирование групповой политики и т. д.
Учетная запись пользователя, созданная для повседневного администрирования, должна быть добавлена в группу Администраторы AAD DC: у группы администраторы AAD DC есть привилегии для выполнения некоторых делегированных задач администрирования в управляемом домене. Эти задачи включают в себя настройку DNS, создание подразделений и администрирование групповой политики.
Чтобы партнер CSP выполнял эти задачи в управляемом домене, учетная запись пользователя должна быть создана в клиенте Microsoft Entra заказчика. Учетные данные для этой учетной записи должны быть переданы административным агентам партнера CSP. Кроме того, эта учетная запись пользователя должна быть добавлена в группу Администраторы AAD DC для выполнения задач настройки в управляемом домене.
Чтобы приступить к работе, Зарегистрируйтесь в программе Azure CSP. Затем вы можете включить доменные службы Microsoft Entra с помощью Центра администрирования Microsoft Entra или Azure PowerShell.