Etki Alanı Hizmetleri'Active Directory Domain Services, Azure Active Directory ve yönetilen Azure Active Directory karşılaştırma

Uygulamalara, hizmetlere veya cihazlara merkezi bir kimliğe erişim sağlamak için, Azure'da Active Directory tabanlı hizmetleri kullanmanın üç yaygın yolu vardır. Kimlik çözümlerinden bu seçenek, size, kuruluş ihtiyaçlarına en uygun dizini kullanma esnekliği sağlar. Örneğin, çoğunlukla mobil cihaz kullanan yalnızca bulut kullanıcılarını yönetecek olursanız, kendi Active Directory Domain Services (AD DS) kimlik çözümlerinizi derlemeniz ve çalıştırmanız mantıklı olabilir. Bunun yerine, yalnızca bir Azure Active Directory.

Active Directory tabanlı üç kimlik çözümü ortak bir ad ve teknolojiye sahip olsa da farklı müşteri taleplerini karşılayacak hizmetler sunmak için tasarlanmıştır. Bu kimlik çözümleri ve özellik kümeleri üst düzeyde şöyledir:

  • Active Directory Domain Services (AD DS) - Enterprise kimlik ve kimlik doğrulaması, bilgisayar nesne yönetimi, grup ilkesi ve güvenler gibi temel özellikler sağlayan, hazır bir basit dizin erişim protokolü (LDAP) sunucusudur.
    • AD DS şirket içi BIR IT ortamına sahip birçok kuruluşta merkezi bir bileşendir ve temel kullanıcı hesabı kimlik doğrulaması ve bilgisayar yönetimi özellikleri sağlar.
    • Daha fazla bilgi için Active Directory Domain Services Server belgelerinde Windows genel bakış bilgilerine bakın.
  • Azure Active Directory (Azure AD) - Microsoft 365, Azure portal veya SaaS uygulamaları gibi kaynaklar için kullanıcı hesabı ve kimlik doğrulama hizmetleri sağlayan bulut tabanlı kimlik ve mobil cihaz yönetimi.
    • Bulutta yerel olarak çalışan kullanıcılara tek bir kimlik sağlamak AD DS Azure AD şirket içi ortamla eşitlenebilirsiniz.
    • Azure AD hakkında daha fazla bilgi için bkz. Azure Active Directory?
  • Azure Active Directory Etki Alanı Hizmetleri (Azure AD DS) - Etki alanına katılma, grup ilkesi, LDAP ve Kerberos /NTLM kimlik doğrulaması gibi tam uyumlu geleneksel AD DS özelliklerinin bir alt kümesiyle yönetilen etki alanı hizmetleri sağlar.
    • Azure AD DS azure AD ile tümleştirildi. Bu ortam, şirket içi ortamla AD DS olabilir. Bu özellik, merkezi kimlik kullanım durumlarını, lift-and-shift stratejisi kapsamında Azure'da çalıştırilen geleneksel web uygulamalarına genişletmektedir.
    • Azure AD ve şirket içi eşitleme hakkında daha fazla bilgi edinmek için bkz. Yönetilen bir etki alanında nesnelerin ve kimlik bilgilerinin eşitlenmesi.

Bu genel bakış makalesinde, bu kimlik çözümlerinin birlikte nasıl çalışacağı veya kuruluş gereksinimlerine bağlı olarak bağımsız olarak nasıl kullanacağı karşılaştırılabilir ve karşılaştırılabilir.

Azure AD DS ve kendi kendine yönetilen AD DS

Kerberos veya NTLM gibi geleneksel kimlik doğrulama mekanizmalarına erişmesi gereken uygulama ve hizmetleri varsa, bulutta erişim sağlamanın iki Active Directory Domain Services vardır:

  • Etki Alanı Hizmetleri'ne (Azure Active Directory) kullanarak Azure AD DS. Microsoft gerekli kaynakları oluşturur ve yönetir.
  • Sanal makineler (VM), Windows Server konuk işletim sistemi ve sanal makine (vm) gibi geleneksel kaynakları kullanarak kendi kendine Active Directory Domain Services etki AD DS. Ardından bu kaynakları yönetmeye devam edersiniz.

Bu Azure AD DS, temel hizmet bileşenleri sizin için Microsoft tarafından yönetilen bir etki alanı deneyimi olarak dağıtılır ve korunur. VM'ler, Windows Server işletim sistemi veya etki alanı denetleyicileri (DCs) gibi bileşenler için AD DS altyapısını dağıtmaz, yönetmez, düzeltme eki uygulamaz ve güvenliğini sağlamazsınız.

Azure AD DS, geleneksel kendi kendine yönetilen AD DS daha küçük bir özellik alt kümesi sağlar ve bu da tasarım ve yönetim karmaşıklığının bir ölçüde azalmasını sağlar. Örneğin, tasarım ve bakım için hiçbir AD ormanı, etki alanı, site ve çoğaltma bağlantısı yoktur. Ortamlar ve şirket içi ortamlar Azure AD DS orman güvenleri oluşturabilirsiniz.

Azure AD DS, bulutta çalıştırılacak ve Kerberos veya NTLM gibi geleneksel kimlik doğrulama mekanizmalarına erişmesi gereken uygulamalar ve hizmetler için, en az yönetim yüküyle yönetilen bir etki alanı deneyimi sağlar. Daha fazla bilgi için bkz . Kullanıcı hesapları, parolalar ve yönetim için yönetim kavramları Azure AD DS.

Kendi kendine yönetilen bir ortam dağıtarak AD DS, ilişkili tüm altyapı ve dizin bileşenlerini korumalısınız. Kendi kendine yönetilen bir AD DS ek bakım yükü vardır, ancak daha sonra şemayı genişletme veya orman güvenleri oluşturma gibi ek görevler gerçekleştirebilirsiniz.

Buluttaki uygulamalara ve hizmetlere kimlik sağlayan AD DS yönetilen bir ortam için yaygın dağıtım modelleri şunlardır:

  • Tek başına yalnızca bulut AD DS - Azure VM'leri etki alanı denetleyicileri olarak yapılandırılır ve ayrı, yalnızca bulutta AD DS ortamı oluşturulur. Bu AD DS ortamı şirket içi ortamla AD DS. Buluttaki VM'lerde oturum açma ve yönetme için farklı bir kimlik bilgileri kümesi kullanılır.
  • Kaynak ormanı dağıtımı - Azure VM'leri etki alanı denetleyicileri olarak yapılandırılır ve AD DS bir ormanın parçası olan bir etki alanı oluşturulur. Daha sonra bir güven ilişkisi, şirket içi ortamda AD DS yapılandırılır. Diğer Azure VM'leri bulutta bu kaynak ormanına etki alanına katılabilir. Kullanıcı kimlik doğrulaması, şirket içi ortamla vpn/ ExpressRoute bağlantısı üzerinden AD DS çalışır.
  • Şirket içi etki alanını Azure'a genişletme - Azure sanal ağı VPN / ExpressRoute bağlantısı kullanarak şirket içi ağa bağlanır. Azure VM'leri bu Azure sanal ağına bağlanarak bu sanal makinelerin şirket içi ortamlarına etki alanına katılmalarını AD DS sağlar.
    • Alternatif olarak Azure VM'leri oluşturabilir ve bunları şirket içi etki alanında çoğaltma etki alanı denetleyicileri olarak AD DS yükseltebilirsiniz. Bu etki alanı denetleyicileri, bir VPN / ExpressRoute bağlantısı üzerinden şirket içi AD DS çoğaltılır. Şirket içi AD DS etki alanı azure'a genişletildi.

Aşağıdaki tabloda, kuruluş için ihtiyacınız olan özelliklerden bazıları ve yönetilen bir etki alanı veya otomatik olarak yönetilen Azure AD DS etki alanı arasındaki farklar AD DS özetler:

Özellik Azure AD DS Kendi kendine yönetilen AD DS
Yönetilen hizmet
Güvenli dağıtımlar Yönetici dağıtımın güvenliğini sağlar
DNS sunucusu (yönetilen hizmet)
Etki alanı Enterprise yönetici ayrıcalıkları
Etki alanına katılım
NTLM ve Kerberos kullanarak etki alanı kimlik doğrulaması
Kerberos kısıtlanmış temsilci Kaynak tabanlı Kaynak tabanlı & hesap tabanlı
Özel OU yapısı
Grup İlkesi
Şema uzantıları
AD etki alanı /orman güvenleri (yalnızca tek yol giden orman güvenleri)
Güvenli LDAP (LDAPS)
LDAP okuma
LDAP yazma (yönetilen etki alanı içinde)
Coğrafi olarak dağıtılmış dağıtımlar

Azure AD DS ve Azure AD

Azure AD, kuruluş tarafından kullanılan cihazların kimliğini yönetmenize ve bu cihazlardan şirket kaynaklarına erişimi denetlemenizi sağlar. Kullanıcılar ayrıca kendi kişisel aygıtlarını (kendi getir (BYO) modelini Azure AD'ye kaydederek cihaza bir kimlik sağlar. Ardından, kullanıcı Azure AD'de oturum açınca ve güvenli kaynaklara erişmek için cihazı kullandığında Azure AD cihazın kimliğini doğrular. Cihaz, cihaz gibi Mobil Cihaz Yönetimi (MDM) Microsoft Intune. Bu yönetim özelliği, hassas kaynaklara erişimi yönetilen ve ilkeyle uyumlu cihazlarla kısıtlamanıza olanak tanır.

Geleneksel bilgisayarlar ve dizüstü bilgisayarlar da Azure AD'ye katılabilir. Bu mekanizma, kullanıcıların şirket kimlik bilgilerini kullanarak cihazda oturum açmasına izin vermek gibi kişisel bir cihazı Azure AD'ye kaydetmenin aynı avantajlarını sunar.

Azure AD'ye katılmış cihazlar aşağıdaki avantajları sağlar:

  • Azure AD tarafından güvenliği sağlanacak uygulamalarda çoklu oturum açma (SSO).
  • Enterprise arasında kullanıcı ayarlarının ilkeyle uyumlu dolaşımını destekler.
  • Kurumsal kimlik bilgilerini kullanarak Windows mağazasına erişim.
  • İş İçin Windows Hello.
  • Şirket ilkesiyle uyumlu cihazlardan uygulama ve kaynaklara kısıtlı erişim.

Cihazlar, şirket içi ortam ortamı içeren karma bir dağıtımla veya bu ortam olmadan Azure AD'ye AD DS olabilir. Aşağıdaki tabloda, ortak cihaz sahipliği modelleri ve bunların genellikle bir etki alanına nasıl birleştirildiklerinin ana hatları ve açık bir şekilde ve açık bir şekilde yer almaktadır:

Cihaz türü Cihaz platformları Mechanism
Kişisel cihazlar Windows 10, iOS, Android, macOS Azure AD kayıtlı
Kuruluşa ait cihaz şirket içi cihaza katılmadı AD DS Windows 10 Azure AD'ye katılmış
Bir şirket içi cihaza katılan kuruluşa ait AD DS Windows 10 Hibrit Azure AD'ye katılmış

Azure AD'ye katılmış veya kayıtlı bir cihazda, kullanıcı kimlik doğrulaması modern OAuth / OpenID Bağlan protokoller kullanılarak gerçekleşir. Bu protokoller internet üzerinden çalışacak şekilde tasarlanmıştır, bu nedenle kullanıcıların şirket kaynaklarına her yerden erişen mobil senaryolar için harikadır.

Daha Azure AD DS cihazlarla, uygulamalar kimlik doğrulaması için Kerberos ve NTLM protokollerini kullanabilir, bu nedenle bir lift-and-shift stratejisi kapsamında Azure VM'leri üzerinde çalıştıracak şekilde geçirilen eski uygulamaları destekleyebilir. Aşağıdaki tabloda cihazların nasıl temsil edildiklerine ve dizine karşı kimliklerini doğrulayamalarına yönelik farklar özetlemektedir:

Görünüş Azure AD'ye katılmış Azure AD DS katılmış
Cihaz tarafından denetlendi Azure AD Azure AD DS etki alanı
Dizinde gösterim Azure AD dizinindeki cihaz nesneleri Yönetilen etki alanındaki Azure AD DS nesneleri
Kimlik Doğrulaması OAuth / OpenID Bağlan protokoller Kerberos ve NTLM protokolleri
Yönetim Cihaz Yönetimi gibi mobil cihaz (MDM) Intune Grup İlkesi
İnternet üzerinden çalışır Yönetilen etki alanının dağıtılacağı sanal ağa bağlı veya eşli olmalıdır
Harika bir iş... Son kullanıcı mobil veya masaüstü cihazları Azure'da dağıtılan sunucu VM'leri

AdFS kullanarak AD DS ve Azure AD, federasyon kimlik doğrulaması için yapılandırılmışsa Azure DS'de kullanılabilir (geçerli/geçerli) parola karması yoktur. Fed kimlik doğrulaması uygulanmadan önce oluşturulan Azure AD kullanıcı hesapları eski bir parola karmasına sahip olabilir ancak bu büyük olasılıkla kendi parolalarının karma değeriyle eşleşmez. Bu Azure AD DS kullanıcıların kimlik bilgilerini doğrulayamayabilirsiniz

Sonraki adımlar

Etki alanını kullanmaya Azure AD DS için, Azure AD DS kullanarak Azure AD DS etki alanı Azure portal.

Ayrıca kullanıcı hesapları, parolalar ve yönetim için yönetim kavramları hakkında daha fazla bilgi edinmek Azure AD DS yönetilen etki alanında nesnelerin ve kimlik bilgilerinin nasıl eşitlenmiş olduğunu da öğrenebilirsiniz.