Поделиться через

Развертывание и управление доменными службами Microsoft Entra для поставщик облачных решений Azure

  • Статья

Azure поставщик облачных решений s (CSP) — это программа для партнеров Майкрософт и предоставляет канал лицензий для различных облачных служб Майкрософт. Azure CSP позволяет партнерам управлять продажами, владеть отношениями выставления счетов, предоставлять техническую и выставление счетов и быть единственной точкой контакта клиента. Кроме того, Azure CSP предоставляет полный набор средств, включая портал самообслуживания и сопровождающие API. Эти средства позволяют партнерам CSP легко подготавливать ресурсы Azure и управлять ими, а также предоставлять выставление счетов клиентам и их подпискам.

Портал Центра партнеров — это точка входа для всех партнеров Azure CSP и предоставляет широкие возможности управления клиентами, автоматизированную обработку и многое другое. Партнеры Azure CSP могут использовать возможности Центра партнеров с помощью веб-интерфейса или с помощью PowerShell и различных вызовов API.

На следующей схеме показано, как модель CSP работает на высоком уровне. Здесь компания Contoso имеет клиент Microsoft Entra. У них есть партнерство с поставщиком служб CSP, который развертывает ресурсы и управляет ими в подписке Azure CSP. У Contoso также могут быть обычные (прямые) подписки Azure, которые выставляются непосредственно в Contoso.

Обзор модели CSP

Клиент партнера CSP имеет три группы специальных агентов: агенты администрирования , агенты службы технической поддержки и агенты продаж .

Группа агентов администрирования назначается роли администратора клиента в клиенте Microsoft Entra Contoso. В результате пользователь, принадлежащий группе агентов администрирования партнера CSP, имеет права администратора клиента в клиенте Microsoft Entra Contoso.

Когда партнер CSP подготавливает подписку Azure CSP для Contoso, группа агентов администрирования назначается роли владельца для этой подписки. В результате агенты администратора партнера CSP имеют необходимые привилегии для подготовки ресурсов Azure, таких как виртуальные машины, виртуальные сети и доменные службы Microsoft Entra от имени Contoso.

Дополнительные сведения см. в обзоре Azure CSP

Преимущества использования доменных служб в подписке Azure CSP

Доменные службы Microsoft Entra предоставляют управляемые доменные службы, такие как присоединение к домену, групповая политика, LDAP, проверка подлинности Kerberos/NTLM, полностью совместимая со службами Windows Server домен Active Directory. На протяжении десятилетий многие приложения были созданы для работы с AD с помощью этих возможностей. Многие независимые поставщики программного обеспечения (ISV) создали и развернули приложения в локальной среде своих клиентов. Эти приложения трудно поддерживать, так как часто требуется доступ к различным средам, в которых развертываются приложения. При использовании подписок Azure CSP вы можете использовать более простую альтернативу масштабированию и гибкости Azure.

Доменные службы поддерживают подписки Azure CSP. Вы можете развернуть приложение в подписке Azure CSP, привязанной к клиенту Microsoft Entra клиента. В результате сотрудники (сотрудники службы поддержки) могут управлять, администрировать и обслуживать виртуальные машины, на которых развертывается ваше приложение, с помощью корпоративных учетных данных организации.

Вы также можете развернуть управляемый домен доменных служб в клиенте Microsoft Entra клиента. Затем приложение подключается к управляемому домену клиента. Возможности в приложении, использующие Kerberos или NTLM, LDAP или API System.DirectoryServices, работают без проблем с доменом клиента. Конечные клиенты получают выгоду от использования приложения в качестве службы, не беспокоясь о сохранении инфраструктуры, в ней развертывается приложение.

Все выставление счетов за ресурсы Azure, которые вы используете в этой подписке, включая доменные службы, взимается вам. Вы сохраняете полный контроль над отношениями с клиентом, когда речь идет о продажах, выставлении счетов, технической поддержке и т. д. Благодаря гибкости платформы Azure CSP небольшая группа агентов поддержки может обслуживать многих таких клиентов, у которых развернуты экземпляры вашего приложения.

Модели развертывания CSP для доменных служб

Существует два способа использования доменных служб с подпиской Azure CSP. Выберите правильный вариант на основе соображений безопасности и простоты, которые у ваших клиентов.

Модель прямого развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, которая принадлежит подписке Azure CSP. Агенты администрирования партнера CSP имеют следующие привилегии:

Для управления этой функцией требуется глобальный администратор .

Для этой функции требуются привилегии владельца подписки Azure CSP.

Модель прямого развертывания

В этой модели развертывания агенты администрирования поставщика CSP могут администрировать удостоверения для клиента. Эти агенты администрирования могут выполнять такие задачи, как подготовка новых пользователей или групп, или добавлять приложения в клиент Microsoft Entra клиента.

Эта модель развертывания может быть подходит для небольших организаций, у которых нет выделенного администратора удостоверений или предпочитать партнеру CSP администрировать удостоверения от их имени.

Модель однорангового развертывания

В этой модели развертывания доменные службы включены в виртуальной сети, принадлежащей клиенту, — прямая подписка Azure, оплачиваемая клиентом. Партнер CSP может развертывать приложения в виртуальной сети, принадлежащей подписке CSP клиента. Затем виртуальные сети можно подключить с помощью пиринга виртуальных сетей Azure.

С помощью этого развертывания рабочие нагрузки или приложения, развернутые партнером CSP в подписке Azure CSP, могут подключаться к управляемому домену клиента, подготовленному в прямой подписке Azure клиента.

Модель однорангового развертывания

Эта модель развертывания обеспечивает разделение привилегий и позволяет агентам службы технической поддержки CSP администрировать подписку Azure и развертывать ресурсы в нем и управлять ими. Однако агенты службы поддержки партнера CSP не нуждаются в высоко привилегированной роли в каталоге Microsoft Entra клиента. Администраторы удостоверений клиента могут продолжать управлять удостоверениями для своей организации.

Эта модель развертывания может быть подходит для сценариев, когда isV предоставляет размещенную версию локального приложения, которая также должна подключаться к идентификатору Microsoft Entra клиента.

Администрирование доменных служб в подписках CSP

Следующие важные рекомендации применяются при администрировании управляемого домена в подписке Azure CSP:

  • Агенты администрирования CSP могут подготавливать управляемый домен с помощью учетных данных: доменные службы поддерживают подписки Azure CSP. Пользователи, принадлежащие группе агентов администрирования партнера CSP, могут подготовить новый управляемый домен.

  • ПОСТАВЩИКИ услуг могут создавать новые управляемые домены для своих клиентов с помощью PowerShell: узнайте , как включить доменные службы с помощью PowerShell для получения дополнительных сведений.

  • Агенты администрирования CSP не могут выполнять текущие задачи управления в управляемом домене с помощью учетных данных: пользователи администратора CSP не могут выполнять стандартные задачи управления в управляемом домене с помощью учетных данных. Эти пользователи являются внешними для клиента Microsoft Entra клиента, и их учетные данные недоступны в клиенте Microsoft Entra клиента. Доменные службы не имеют доступа к хэшам паролей Kerberos и NTLM для этих пользователей, поэтому пользователи не могут проходить проверку подлинности в управляемых доменах.

    Предупреждение

    Для выполнения текущих задач администрирования в управляемом домене необходимо создать учетную запись пользователя в каталоге клиента.

    Вы не можете войти в управляемый домен с помощью учетных данных администратора CSP. Для этого используйте учетные данные учетной записи пользователя, принадлежащей клиенту Microsoft Entra клиента. Эти учетные данные требуются для таких задач, как присоединение виртуальных машин к управляемому домену, администрирование DNS или администрирование групповой политики.

  • Учетная запись пользователя, созданная для текущего администрирования, должна быть добавлена в группу администраторов контроллера домена AAD. Группа администраторов контроллера домена AAD имеет права на выполнение определенных делегированных задач администрирования в управляемом домене. Эти задачи включают настройку DNS, создание подразделений и администрирование групповой политики.

    Чтобы партнер CSP выполнял эти задачи в управляемом домене, учетная запись пользователя должна быть создана в клиенте Microsoft Entra клиента. Учетные данные для этой учетной записи должны быть общими для агентов администрирования партнера CSP. Кроме того, эта учетная запись пользователя должна быть добавлена в группу администраторов контроллера домена AAD, чтобы разрешить выполнение задач конфигурации в управляемом домене с помощью этой учетной записи пользователя.

Дальнейшие действия

Чтобы приступить к работе, зарегистрируйтесь в программе Azure CSP. Затем вы можете включить доменные службы Microsoft Entra с помощью Центра администрирования Microsoft Entra или Azure PowerShell.