Granska Microsoft Entra Domain Services
I de flesta organisationer idag distribueras verksamhetsspecifika program (LOB) på datorer och enheter som är domänmedlemmar. Dessa organisationer använder AD DS-baserade autentiseringsuppgifter för autentisering, och grupprincipen hanterar dem. När du överväger att flytta dessa appar så att de körs i Azure är ett viktigt problem hur du tillhandahåller autentiseringstjänster till dessa appar. För att uppfylla detta behov kan du välja att implementera ett virtuellt privat nätverk (VPN) från plats till plats mellan din lokala infrastruktur och Azure IaaS, eller så kan du distribuera replikdomänkontrollanter från din lokala AD DS som virtuella datorer i Azure. Dessa metoder kan medföra ytterligare kostnader och administrativa insatser. Dessutom är skillnaden mellan dessa två metoder att med det första alternativet kommer autentiseringstrafik att korsa VPN, medan replikeringstrafiken i det andra alternativet korsar VPN-trafiken och autentiseringstrafiken stannar i molnet.
Microsoft tillhandahåller Microsoft Entra Domain Services som ett alternativ till dessa metoder. Den här tjänsten, som körs som en del av Microsoft Entra ID P1- eller P2-nivån, tillhandahåller domäntjänster som grupprinciphantering, domänanslutning och Kerberos-autentisering till din Microsoft Entra-klientorganisation. Dessa tjänster är helt kompatibla med lokalt distribuerad AD DS, så du kan använda dem utan att distribuera och hantera ytterligare domänkontrollanter i molnet.
Eftersom Microsoft Entra-ID kan integreras med din lokala AD DS kan användarna använda organisationsautentiseringsuppgifter i både lokala AD DS och Microsoft Entra Domain Services när du implementerar Microsoft Entra-Anslut. Även om du inte har AD DS distribuerat lokalt kan du välja att använda Microsoft Entra Domain Services som en molnbaserad tjänst. På så sätt kan du ha liknande funktioner för lokalt distribuerad AD DS utan att behöva distribuera en enda domänkontrollant lokalt eller i molnet. En organisation kan till exempel välja att skapa en Microsoft Entra-klientorganisation och aktivera Microsoft Entra Domain Services och sedan distribuera ett virtuellt nätverk mellan sina lokala resurser och Microsoft Entra-klientorganisationen. Du kan aktivera Microsoft Entra Domain Services för det här virtuella nätverket så att alla lokala användare och tjänster kan använda domäntjänster från Microsoft Entra-ID.
Microsoft Entra Domain Services ger flera fördelar för organisationer, till exempel:
- Administratörer behöver inte hantera, uppdatera och övervaka domänkontrollanter.
- Administratörer behöver inte distribuera och hantera Active Directory-replikering.
- Du behöver inte ha domänadministratörer eller företagsadministratörsgrupper för domäner som hanteras av Microsoft Entra ID.
Om du väljer att implementera Microsoft Entra Domain Services måste du vara medveten om tjänstens aktuella begränsningar. Dessa kan vara:
- Endast basdatorns Active Directory-objekt stöds.
- Det går inte att utöka schemat för domänen Microsoft Entra Domain Services.
- Organisationsenhetens struktur (OU) är platt och kapslade organisationsenheter stöds inte för närvarande.
- Det finns ett inbyggt grupprincipobjekt (GPO) och det finns för dator- och användarkonton.
- Det går inte att rikta in sig på organisationsenheter med inbyggda grupprincipobjekt. Dessutom kan du inte använda Windows Management Instrumentation-filter eller filtrering av säkerhetsgrupper.
Genom att använda Microsoft Entra Domain Services kan du fritt migrera program som använder LDAP, NTLM eller Kerberos-protokollen från din lokala infrastruktur till molnet. Du kan också använda program som Microsoft SQL Server eller Microsoft SharePoint Server på virtuella datorer eller distribuera dem i Azure IaaS, utan att behöva domänkontrollanter i molnet eller ett VPN till lokal infrastruktur.
Du kan aktivera Microsoft Entra Domain Services med hjälp av Azure-portalen. Den här tjänsten debiteras per timme baserat på katalogens storlek.