Azure Bulut Çözümü Sağlayıcısı s için Microsoft Entra Domain Services dağıtımı ve yönetimi

Azure Bulut Çözümü Sağlayıcısı s (CSP), Microsoft İş Ortakları için bir programdır ve çeşitli Microsoft bulut hizmetleri için bir lisans kanalı sağlar. Azure CSP, iş ortaklarının satışları yönetmesine, faturalama ilişkisine sahip olmasını, teknik destek ve faturalama desteği sağlamasına ve müşterinin tek iletişim noktası olmasını sağlar. Ayrıca Azure CSP, self servis portalı ve beraberindeki API'ler de dahil olmak üzere eksiksiz bir araç kümesi sağlar. Bu araçlar CSP iş ortaklarının Azure kaynaklarını kolayca sağlamasına ve yönetmesine ve müşteriler ile abonelikleri için faturalama sağlamasına olanak tanır.

İş Ortağı Merkezi portalı , tüm Azure CSP iş ortakları için giriş noktasıdır ve zengin müşteri yönetimi özellikleri, otomatik işleme ve daha fazlasını sağlar. Azure CSP iş ortakları, web tabanlı bir kullanıcı arabirimi veya PowerShell ve çeşitli API çağrıları kullanarak İş Ortağı Merkezi özelliklerini kullanabilir.

Aşağıdaki diyagramda CSP modelinin yüksek düzeyde nasıl çalıştığı gösterilmektedir. Burada Contoso'nun bir Microsoft Entra kiracısı vardır. Azure CSP aboneliklerindeki kaynakları dağıtan ve yöneten bir CSP ile ortaklıkları vardır. Contoso'nun doğrudan Contoso'ya faturalandırılan normal (doğrudan) Azure abonelikleri de olabilir.

Overview of the CSP model

CSP iş ortağının kiracısı üç özel aracı grubuna sahiptir: Yönetici aracılar, Yardım masası aracıları ve Satış aracıları.

Yönetici aracıları grubu Contoso'nun Microsoft Entra kiracısında kiracı yöneticisi rolüne atanır. Sonuç olarak, CSP iş ortağının yönetici aracıları grubuna ait bir kullanıcının Contoso'nun Microsoft Entra kiracısında kiracı yöneticisi ayrıcalıkları vardır.

CSP iş ortağı Contoso için bir Azure CSP aboneliği sağladığında, yönetici aracıları grubu bu aboneliğin sahip rolüne atanır. Sonuç olarak, CSP iş ortağının yönetici aracıları Contoso adına sanal makineler, sanal ağlar ve Microsoft Entra Domain Services gibi Azure kaynaklarını sağlamak için gerekli ayrıcalıklara sahiptir.

Daha fazla bilgi için bkz. Azure CSP'ye genel bakış

Azure CSP aboneliğinde Domain Services kullanmanın avantajları

Microsoft Entra Domain Services, Windows Server Active Directory Etki Alanı Services ile tam uyumlu etki alanına katılma, grup ilkesi, LDAP, Kerberos/NTLM kimlik doğrulaması gibi yönetilen etki alanı hizmetleri sağlar. Onlarca yıl boyunca, bu özellikler kullanılarak AD'ye karşı çalışmak için birçok uygulama derlenmiştir. Birçok bağımsız yazılım satıcısı (ISV), müşterilerinin şirket içinde uygulama oluşturup dağıttı. Genellikle uygulamaların dağıtıldığı farklı ortamlara erişmeniz gerektiğinden bu uygulamaları desteklemek zordur. Azure CSP abonelikleri ile Azure'ın ölçeği ve esnekliğiyle daha basit bir alternatife sahipsiniz.

Domain Services, Azure CSP aboneliklerini destekler. Uygulamanızı, müşterinizin Microsoft Entra kiracısına bağlı bir Azure CSP aboneliğinde dağıtabilirsiniz. Sonuç olarak, çalışanlarınız (destek personeli) kuruluşunuzun kurumsal kimlik bilgilerini kullanarak uygulamanızın dağıtıldığı VM'leri yönetebilir, yönetebilir ve hizmet verebilir.

Ayrıca, müşterinizin Microsoft Entra kiracısında Etki Alanı Hizmetleri tarafından yönetilen bir etki alanı dağıtabilirsiniz. Uygulamanız daha sonra müşterinizin yönetilen etki alanına bağlanır. Uygulamanızda Kerberos / NTLM, LDAP veya System.DirectoryServices API'sini kullanan özellikler, müşterinizin etki alanında sorunsuz bir şekilde çalışır. Son müşteriler, uygulamanın dağıtılacağı altyapıyı koruma konusunda endişelenmeye gerek kalmadan uygulamanızı hizmet olarak kullanma avantajından yararlanıyor.

Etki Alanı Hizmetleri dahil olmak üzere söz konusu abonelikte kullandığınız Azure kaynaklarının tüm faturalaması sizden ücretlendirilir. Satış, faturalama, teknik destek vb. söz konusu olduğunda müşteriyle ilişki üzerinde tam denetim sahibi olursunuz. Azure CSP platformunun esnekliği sayesinde, küçük bir destek aracıları ekibi uygulamanızın örneklerini dağıtmış olan bu tür birçok müşteriye hizmet verebilir.

Domain Services için CSP dağıtım modelleri

Etki Alanı Hizmetleri'ni bir Azure CSP aboneliğiyle kullanmanın iki yolu vardır. Müşterilerinizin sahip olduğu güvenlik ve basitlik konularına göre doğru olanı seçin.

Doğrudan dağıtım modeli

Bu dağıtım modelinde, Etki Alanı Hizmetleri Azure CSP aboneliğine ait bir sanal ağ içinde etkinleştirilir. CSP iş ortağının yönetici aracıları aşağıdaki ayrıcalıklara sahiptir:

  • Müşterinin Microsoft Entra kiracısında genel yönetici ayrıcalıkları.
  • Azure CSP aboneliğinde abonelik sahibi ayrıcalıkları.

Direct deployment model

Bu dağıtım modelinde, CSP sağlayıcısının yönetici aracıları müşteri için kimlikleri yönetebilir. Bu yönetici aracıları yeni kullanıcılar veya gruplar sağlama gibi görevleri gerçekleştirebilir veya müşterinin Microsoft Entra kiracısı içine uygulama ekleyebilir.

Bu dağıtım modeli, ayrılmış kimlik yöneticisi olmayan veya CSP iş ortağının kimlikleri kendi adına yönetmesini tercih eden daha küçük kuruluşlar için uygun olabilir.

Eşlenmiş dağıtım modeli

Bu dağıtım modelinde, Etki Alanı Hizmetleri müşteriye ait bir sanal ağ içinde etkinleştirilir. Bu, müşteri tarafından ödenen doğrudan Azure aboneliğidir. CSP iş ortağı, müşterinin CSP aboneliğine ait bir sanal ağ içinde uygulama dağıtabilir. Daha sonra sanal ağlar Azure sanal ağ eşlemesi kullanılarak bağlanabilir.

Bu dağıtımla, Azure CSP aboneliğinde CSP iş ortağı tarafından dağıtılan iş yükleri veya uygulamalar, müşterinin doğrudan Azure aboneliğinde sağlanan yönetilen etki alanına bağlanabilir.

Peered deployment model

Bu dağıtım modeli ayrıcalıkların ayrılmasını sağlar ve CSP iş ortağının yardım masası aracılarının Azure aboneliğini yönetmesine ve içindeki kaynakları dağıtıp yönetmesine olanak tanır. Ancak CSP iş ortağının yardım masası aracılarının müşterinin Microsoft Entra dizininde genel yönetici ayrıcalıklarına sahip olması gerekmez. Müşterinin kimlik yöneticileri, kuruluş kimliklerini yönetmeye devam edebilir.

Bu dağıtım modeli, ISV'nin şirket içi uygulamasının barındırılan bir sürümünü sağladığı ve müşterinin Microsoft Entra Kimliği'ne de bağlanması gereken senaryolara uygun olabilir.

CSP aboneliklerinde Domain Services'ı Yönetici

Azure CSP aboneliğinde yönetilen bir etki alanını yönetirken aşağıdaki önemli noktalar geçerlidir:

  • CSP yönetici aracıları kimlik bilgilerini kullanarak yönetilen bir etki alanı sağlayabilir: Domain Services, Azure CSP aboneliklerini destekler. CSP iş ortağının yönetici aracıları grubuna ait kullanıcılar yeni bir yönetilen etki alanı sağlayabilir.

  • CSP'ler PowerShell kullanarak müşterileri için yeni yönetilen etki alanlarının oluşturulması için betik oluşturabilir: Ayrıntılar için Bkz . PowerShell kullanarak Etki Alanı Hizmetleri'ni etkinleştirme.

  • CSP yönetici aracıları, kimlik bilgilerini kullanarak yönetilen etki alanında devam eden yönetim görevlerini gerçekleştiremez: CSP yönetici kullanıcıları, kimlik bilgilerini kullanarak yönetilen etki alanı içinde rutin yönetim görevlerini gerçekleştiremez. Bu kullanıcılar müşterinin Microsoft Entra kiracısının dışındadır ve kimlik bilgileri müşterinin Microsoft Entra kiracısı içinde kullanılamaz. Etki Alanı Hizmetleri'nin bu kullanıcılar için Kerberos ve NTLM parola karmalarına erişimi yoktur, bu nedenle yönetilen etki alanlarında kullanıcıların kimliği doğrulanamaz.

    Uyarı

    Yönetilen etki alanında devam eden yönetim görevlerini gerçekleştirmek için müşterinin dizininde bir kullanıcı hesabı oluşturmanız gerekir.

    CSP yönetici kullanıcısının kimlik bilgilerini kullanarak yönetilen etki alanında oturum alamazsınız. Bunu yapmak için müşterinin Microsoft Entra kiracısına ait bir kullanıcı hesabının kimlik bilgilerini kullanın. VM'leri yönetilen etki alanına ekleme, DNS'yi yönetme veya Grup İlkesi'ni yönetme gibi görevler için bu kimlik bilgilerine ihtiyacınız vardır.

  • Devam eden yönetim için oluşturulan kullanıcı hesabının AAD DC Yönetici istrators grubuna eklenmesi gerekir: AAD DC Yönetici istrators grubunun yönetilen etki alanında belirli temsilci yönetim görevlerini gerçekleştirme ayrıcalıkları vardır. Bu görevler DNS'yi yapılandırmayı, kuruluş birimleri oluşturmayı ve grup ilkesini yönetmeyi içerir.

    CSP iş ortağının bu görevleri yönetilen bir etki alanında gerçekleştirmesi için müşterinin Microsoft Entra kiracısı içinde bir kullanıcı hesabı oluşturulması gerekir. Bu hesabın kimlik bilgileri CSP iş ortağının yönetici aracılarıyla paylaşılmalıdır. Ayrıca, yönetilen etki alanındaki yapılandırma görevlerinin bu kullanıcı hesabı kullanılarak gerçekleştirilebilmesi için bu kullanıcı hesabının AAD DC Yönetici istrators grubuna eklenmesi gerekir.

Sonraki adımlar

Başlamak için Azure CSP programına kaydolın. Ardından, Microsoft Entra yönetim merkezini veya Azure PowerShell'i kullanarak Microsoft Entra Domain Services'i etkinleştirebilirsiniz.