Dela via

Distribution och hantering av Microsoft Entra Domain Services för Azure Molnlösningsleverantör s

  • Artikel

Azure Molnlösningsleverantör s (CSP) är ett program för Microsoft-partner och tillhandahåller en licenskanal för olika Microsoft-molntjänster. Med Azure CSP kan partner hantera försäljning, äga faktureringsrelationen, tillhandahålla teknisk support och faktureringssupport och vara kundens enda kontaktpunkt. Dessutom tillhandahåller Azure CSP en fullständig uppsättning verktyg, inklusive en självbetjäningsportal och tillhörande API:er. Med de här verktygen kan CSP-partner enkelt etablera och hantera Azure-resurser och tillhandahålla fakturering för kunder och deras prenumerationer.

Partnercenter-portalen är startpunkten för alla Azure CSP-partner och innehåller omfattande kundhanteringsfunktioner, automatiserad bearbetning med mera. Azure CSP-partner kan använda partnercenterfunktioner med hjälp av ett webbaserat användargränssnitt eller med hjälp av PowerShell och olika API-anrop.

Följande diagram visar hur CSP-modellen fungerar på hög nivå. Här har Contoso en Microsoft Entra-klientorganisation. De har ett partnerskap med en CSP som distribuerar och hanterar resurser i sin Azure CSP-prenumeration. Contoso kan också ha regelbundna (direkta) Azure-prenumerationer som faktureras direkt till Contoso.

Översikt över CSP-modellen

CSP-partnerns klientorganisation har tre specialagentgrupper – administratörsagenter , supportagenter och försäljningsagenter .

Gruppen Administratörsagenter tilldelas rollen klientadministratör i Contosos Microsoft Entra-klientorganisation. Därför har en användare som tillhör CSP-partnerns administratörsagentgrupp klientadministratörsbehörigheter i Contosos Microsoft Entra-klientorganisation.

När CSP-partnern etablerar en Azure CSP-prenumeration för Contoso tilldelas deras administratörsagentgrupp till ägarrollen för den prenumerationen. Därför har CSP-partnerns administratörsagenter de behörigheter som krävs för att etablera Azure-resurser som virtuella datorer, virtuella nätverk och Microsoft Entra Domain Services för Contosos räkning.

Mer information finns i Översikt över Azure CSP

Fördelar med att använda Domain Services i en Azure CSP-prenumeration

Microsoft Entra Domain Services tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip, LDAP, Kerberos/NTLM-autentisering som är helt kompatibel med Windows Server Active Directory-domän Services. Under årtiondena har många program skapats för att fungera mot AD med hjälp av dessa funktioner. Många oberoende programvaruleverantörer har skapat och distribuerat program lokalt. Dessa program är svåra att stödja eftersom du ofta behöver åtkomst till de olika miljöer där programmen distribueras. Med Azure CSP-prenumerationer har du ett enklare alternativ med Azures skala och flexibilitet.

Domain Services stöder Azure CSP-prenumerationer. Du kan distribuera ditt program i en Azure CSP-prenumeration som är kopplad till kundens Microsoft Entra-klientorganisation. Det innebär att dina anställda (supportpersonal) kan hantera, administrera och betjäna de virtuella datorer som programmet distribueras på med organisationens autentiseringsuppgifter.

Du kan också distribuera en domän som hanteras av Domain Services i kundens Microsoft Entra-klientorganisation. Ditt program är sedan anslutet till kundens hanterade domän. Funktioner i ditt program som förlitar sig på Kerberos/NTLM, LDAP eller Api:et System.DirectoryServices fungerar sömlöst mot kundens domän. Slutanvändarna drar nytta av att använda ditt program som en tjänst, utan att behöva oroa sig för att underhålla infrastrukturen som programmet distribueras på.

All fakturering för Azure-resurser som du använder i den prenumerationen, inklusive Domain Services, debiteras tillbaka till dig. Du har fullständig kontroll över relationen med kunden när det gäller försäljning, fakturering, teknisk support och så vidare. Med flexibiliteten hos Azure CSP-plattformen kan ett litet team med supportagenter betjäna många sådana kunder som har instanser av ditt program distribuerade.

CSP-distributionsmodeller för Domain Services

Det finns två sätt på vilka du kan använda Domain Services med en Azure CSP-prenumeration. Välj rätt utifrån de säkerhets- och enkelhetsöverväganden som dina kunder har.

Direktdistributionsmodell

I den här distributionsmodellen är Domain Services aktiverat i ett virtuellt nätverk som tillhör Azure CSP-prenumerationen. CSP-partnerns administratörsagenter har följande behörigheter:

  • Globala administratörsbehörigheter i kundens Microsoft Entra-klientorganisation.
  • Prenumerationens ägarbehörigheter för Azure CSP-prenumerationen.

Direktdistributionsmodell

I den här distributionsmodellen kan CSP-providerns administratörsagenter administrera identiteter för kunden. Dessa administratörsagenter kan utföra uppgifter som att etablera nya användare eller grupper eller lägga till program i kundens Microsoft Entra-klientorganisation.

Den här distributionsmodellen kan vara lämplig för mindre organisationer som inte har en dedikerad identitetsadministratör eller föredrar att CSP-partnern administrerar identiteter åt dem.

Peer-distribuerad distributionsmodell

I den här distributionsmodellen aktiveras Domain Services i ett virtuellt nätverk som tillhör kunden – en direkt Azure-prenumeration som kunden betalar för. CSP-partnern kan distribuera program i ett virtuellt nätverk som tillhör kundens CSP-prenumeration. De virtuella nätverken kan sedan anslutas med azure-peering för virtuella nätverk.

Med den här distributionen kan de arbetsbelastningar eller program som distribueras av CSP-partnern i Azure CSP-prenumerationen ansluta till kundens hanterade domän som etablerats i kundens direkta Azure-prenumeration.

Peer-distribuerad distributionsmodell

Den här distributionsmodellen ger en uppdelning av behörigheter och gör det möjligt för CSP-partnerns supportagenter att administrera Azure-prenumerationen och distribuera och hantera resurser i den. CSP-partnerns supportagenter behöver dock inte ha globala administratörsbehörigheter för kundens Microsoft Entra-katalog. Kundens identitetsadministratörer kan fortsätta att hantera identiteter för organisationen.

Den här distributionsmodellen kan passa för scenarier där en ISV tillhandahåller en värdbaserad version av sitt lokala program, som också måste ansluta till kundens Microsoft Entra-ID.

Administrera Domain Services i CSP-prenumerationer

Följande viktiga överväganden gäller när du administrerar en hanterad domän i en Azure CSP-prenumeration:

  • CSP-administratörsagenter kan etablera en hanterad domän med sina autentiseringsuppgifter: Domain Services stöder Azure CSP-prenumerationer. Användare som tillhör en CSP-partners administratörsagentgrupp kan etablera en ny hanterad domän.

  • CSP:er kan skapa nya hanterade domäner för sina kunder med hjälp av PowerShell: Mer information finns i hur du aktiverar Domäntjänster med PowerShell .

  • CSP-administratörsagenter kan inte utföra pågående hanteringsuppgifter på den hanterade domänen med sina autentiseringsuppgifter: CSP-administratörsanvändare kan inte utföra rutinmässiga hanteringsuppgifter inom den hanterade domänen med sina autentiseringsuppgifter. Dessa användare är externa till kundens Microsoft Entra-klientorganisation och deras autentiseringsuppgifter är inte tillgängliga i kundens Microsoft Entra-klientorganisation. Domain Services har inte åtkomst till Kerberos- och NTLM-lösenordshasharna för dessa användare, så användarna kan inte autentiseras på hanterade domäner.

    Varning

    Du måste skapa ett användarkonto i kundens katalog för att utföra pågående administrationsuppgifter på den hanterade domänen.

    Du kan inte logga in på den hanterade domänen med en CSP-administratörsanvändares autentiseringsuppgifter. Använd autentiseringsuppgifterna för ett användarkonto som tillhör kundens Microsoft Entra-klientorganisation för att göra det. Du behöver dessa autentiseringsuppgifter för uppgifter som att ansluta virtuella datorer till den hanterade domänen, administrera DNS eller administrera grupprincip.

  • Användarkontot som skapats för pågående administration måste läggas till i gruppen AAD DC-administratörer: Gruppen AAD DC-administratörer har behörighet att utföra vissa delegerade administrationsuppgifter på den hanterade domänen. Dessa uppgifter omfattar att konfigurera DNS, skapa organisationsenheter och administrera grupprincip.

    För att en CSP-partner ska kunna utföra dessa uppgifter på en hanterad domän måste ett användarkonto skapas i kundens Microsoft Entra-klientorganisation. Autentiseringsuppgifterna för det här kontot måste delas med CSP-partnerns administratörsagenter. Det här användarkontot måste också läggas till i gruppen AAD DC-administratörer för att konfigurationsuppgifter på den hanterade domänen ska kunna utföras med det här användarkontot.

Nästa steg

Kom igång genom att registrera dig i Azure CSP-programmet. Du kan sedan aktivera Microsoft Entra Domain Services med hjälp av administrationscentret för Microsoft Entra eller Azure PowerShell.