培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
Microsoft Entra 域服务提供托管域服务,例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
通过域服务托管域,可在云中或者在你不希望目录查找始终返回到本地 AD DS 环境时,运行无法使用新式身份验证方法的旧版应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。
域服务可与你现有的 Microsoft Entra 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
请查看我们的短视频,详细了解域服务。
创建域服务托管域时,需定义唯一的命名空间。 该命名空间为域名,例如“aaddscontoso.com”。 两个 Windows Server 域控制器 (DC) 随即部署到选定的 Azure 区域中。 DC 的这种部署称为副本集。
你不需要管理、配置或更新这些 DC。 Azure 平台将这些 DC 作为托管域的一部分进行处理,包括使用 Azure 磁盘加密的静态备份和静态加密。
托管域配置为从 Microsoft Entra ID 执行单向同步,以提供对一组集中用户、组和凭据的访问。 你可以直接在托管域中创建资源,但它们不会同步回 Microsoft Entra ID。 然后,Azure 中连接到该托管域的应用程序、服务和 VM 便可使用常见 AD DS 功能,如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。
在具有本地 AD DS 环境的混合环境中,Microsoft Entra Connect 会将标识信息与 Microsoft Entra ID 同步,后者随后将同步到托管域。
域服务会从 Microsoft Entra ID 复制标识信息,因此它适用于仅限云或与本地 AD DS 环境同步的 Microsoft Entra 租户。 对于这两种环境,存在相同的一组域服务功能。
可以扩展托管域,使每个 Microsoft Entra 租户具有多个副本集。 副本集现在可以添加到支持域服务的任何 Azure 区域中的任何对等网络。 通过在不同 Azure 区域中添加副本集,可在某个 Azure 区域离线时为旧应用程序提供地理灾难恢复。 有关详细信息,请参阅托管域的副本集概念和功能。
观看此视频,了解域服务如何与应用程序和工作负载集成以在云中提供标识服务:
若要了解域服务部署方案的实际应用,你可以探索以下示例:
为了向云中的应用程序和 VM 提供标识服务,域服务与域加入、安全 LDAP (LDAPS)、组策略、DNS 管理以及 LDAP 绑定和读取支持等操作的传统 AD DS 环境完全兼容。 LDAP 写入支持适用于在托管域中创建的对象,但不适用于从 Microsoft Entra ID 同步的资源。
若要了解关于你的标识选项的详细信息,请将域服务与 Microsoft Entra ID、Azure VM 上的 AD DS 以及本地 AD DS 进行比较。
域服务的以下功能简化了部署和管理操作:
托管域的一些关键方面包括:
对于运行本地 AD DS 的混合环境,无需管理到托管域的 AD 复制。 本地目录中的用户帐户、组成员身份和凭据通过 Microsoft Entra Connect 同步到 Azure AD。 这些用户帐户、组成员身份和凭据在托管域中自动可用。
若要详细了解域服务与其他标识解决方案的比较,以及同步的工作原理,请参阅以下文章:
要开始操作,请通过 Microsoft Entra 管理中心创建一个托管域。
培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
文档
比较基于 Microsoft 基于目录的服务 - Microsoft Entra ID
本概述文章对 Active Directory 域服务、Microsoft Entra ID 和 Microsoft Entra 域服务的标识产品/服务做了比较。
有关 Microsoft Entra 域服务的常见问题 - Microsoft Entra ID
阅读并了解有关 Microsoft Entra 域服务的配置、管理和可用性方面的一些常见问题
Microsoft Entra 域服务文档 - Microsoft Entra ID
了解如何使用 Microsoft Entra 域服务向应用程序提供 Kerberos 或 NTLM 身份验证,或者将 Azure VM 加入托管域。