描述 Azure 目录服务

  • 6 分钟

Microsoft Entra ID 是一种目录服务,可用于登录并访问 Microsoft 云应用程序和你开发的云应用程序。 Microsoft Entra ID 还可帮助你维护本地 Active Directory 部署。

对于本地环境,Windows Server 上运行的 Active Directory 提供由组织托管的标识和访问管理服务。 Microsoft Entra ID 是 Microsoft 基于云的标识和访问管理服务。 使用 Microsoft Entra ID 可以控制标识帐户,但 Microsoft 会确保该服务在全球可用。 如果你使用过 Active Directory,则也会对 Microsoft Entra ID 感到熟悉。

使用 Active Directory 保护本地标识时,Microsoft 不会监视登录操作。 将 Active Directory 与 Microsoft Entra ID 连接时,Microsoft 可以通过检测可疑登录尝试来帮助保护你,且无需额外费用。 例如,Microsoft Entra ID 可以检测来自意外位置或未知设备的登录尝试。

谁使用 Microsoft Entra ID?

Microsoft Entra ID 的用途:

  • IT 管理员。 管理员可以根据其业务要求,使用 Microsoft Entra ID 来控制对应用程序和资源的访问。
  • 应用开发人员。 开发人员可以使用 Microsoft Entra ID 提供基于标准的方法,以向其构建的应用程序添加功能,例如向应用添加 SSO 功能或使应用能够使用用户的现有凭据。
  • “用户”。 用户可管理其标识并采取维护操作,例如自助式密码重置。
  • 联机服务订阅者。 Microsoft 365、Microsoft Office 365、Azure 和 Microsoft Dynamics CRM Online 订阅者已在使用 Microsoft Entra ID 进行其帐户的身份验证。

Microsoft Entra ID 有哪些作用?

Microsoft Entra ID 提供如下服务:

  • 身份验证:这包括验证用于访问应用程序和资源的标识。 它还提供自助式密码重置、多重身份验证、禁用密码自定义列表和智能锁定服务等功能。
  • 单一登录:借助单一登录 (SSO),只需记住一个用户名和一个密码即可访问多个应用程序。 单个标识与用户关联,这简化了安全模型。 当用户更改角色或离开组织时,访问权限修改仅与该标识关联,这大大减少了更改或禁用帐户所需的工作量。
  • 应用程序管理:可以使用 Microsoft Entra ID 管理云应用和本地应用。 应用程序代理、SaaS 应用程序、“我的应用”门户和单一登录等功能可提供更好的用户体验。
  • 设备管理:除了个人帐户外,Microsoft Entra ID 还支持设备注册。 注册使得设备可通过 Microsoft Intune 等工具进行管理。 它还允许基于设备的条件访问策略将访问尝试限制为仅来自已知设备,而不考虑发出请求的用户帐户。

是否可以将本地 AD 与 Microsoft Entra ID 相连接?

如果你有一个运行 Active Directory 的本地环境和一个使用 Microsoft Entra ID 的云部署,则需要维护两个标识集。 但是,可以将 Active Directory 与 Microsoft Entra ID 相连接,从而在云和本地之间实现一致的标识体验。

将 Microsoft Entra ID 连接到本地 AD 的一种方法是使用 Microsoft Entra Connect。 Microsoft Entra Connect 在本地 Active Directory 和 Microsoft Entra ID 之间同步用户标识。 Microsoft Entra Connect 在两个标识系统之间同步更改,这使你可以在两个系统下使用 SSO、多重身份验证和自助式密码重置等功能。

什么是 Microsoft Entra 域服务?

Microsoft Entra 域服务是一项服务,它提供域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证等托管域服务。 就像 Microsoft Entra ID 让你可以使用目录服务而无需维护支持它的基础结构,借助 Microsoft Entra 域服务,你也无需在云中部署、管理和修补域控制器 (DC) 即可获得域服务的优势。

通过 Microsoft Entra 域服务托管域,你可在云中运行无法使用新式身份验证方法的旧版应用程序,或者在你不希望目录查找始终返回到本地 AD DS 环境的位置运行这类应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。

Microsoft Entra 域服务与现有的 Microsoft Entra 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。

Microsoft Entra 域服务的工作原理是什么?

创建 Microsoft Entra 域服务托管域时,需要定义唯一的命名空间。 该命名空间为域名。 两个 Windows Server 域控制器随即部署到选定的 Azure 区域中。 DC 的这种部署称为副本集。

你不需要管理、配置或更新这些 DC。 Azure 平台将这些 DC 作为托管域的一部分进行处理,包括使用 Azure 磁盘加密的静态备份和静态加密。

信息是否同步?

托管域配置为执行从 Microsoft Entra ID 到 Microsoft Entra 域服务的单向同步。 你可以直接在托管域中创建资源,但它们不会同步回 Microsoft Entra ID。 在具有本地 AD DS 环境的混合环境中,Microsoft Entra Connect 会将标识信息与 Microsoft Entra ID 同步,后者随后将同步到托管域。

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

然后,Azure 中连接到该托管域的应用程序、服务和 VM 便可以使用常见的 Microsoft Entra 域服务功能,如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。