什麼是 Microsoft Entra Domain Services?
Microsoft Entra Domain Services 可提供受控網域服務,例如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos/NTLM 驗證。 您可以使用這些網域服務,而不需要在雲端部署、管理及修補網域控制站 (DC)。
Domain Services 受控網域可讓您在無法使用新式驗證方法的雲端中,或在不希望目錄查閱一律回到內部部署的 AD DS 環境中執行舊版應用程式。 您可以將這些舊版應用程式從內部部署環境提起並轉移到受控網域,而不需要管理雲端中的 AD DS 環境。
Domain Services 會與您的現有 Microsoft Entra 租用戶整合。 這項整合可讓使用者使用現有的認證登入與受控網域連線的服務與應用程式。 您也可以使用現有的群組與使用者帳戶來保護對資源的存取。 這些功能提供了內部部署資源到 Azure 的順暢隨即轉移。
若要深入了解 Domain Services,請看我們的短片。
Domain Services 如何運作?
建立 Domain Services 受控網域時,您會定義唯一的命名空間。 這個命名空間即為網域名稱,例如 aaddscontoso.com。 接著,系統會將兩個 Windows Server (DC) 網域控制站部署到您選取的 Azure 區域。 這個 DC 的部署稱為複本集。
您不需要管理、設定或更新這些 DC。 Azure 平台會以受控網域的一部分來處理 DC,包括使用 Azure 磁碟加密的備份與待用加密。
受控網域會設定為從 Microsoft Entra ID 執行單向同步處理,以提供對一組中心使用者、群組和認證的存取權。 您可以直接在受控網域中建立資源,但資源不會同步回 Microsoft Entra ID。 連線到受控網域的 Azure 應用程式、服務和 VM 接著就可以使用常見的 AD DS 功能,例如網域加入、群組原則、LDAP 與 Kerberos/NTLM 驗證。
在具有內部部署 AD DS 環境的混合式環境中,Microsoft Entra ID Connect 會與 Microsoft Entra ID 同步身分識別資訊,接著將該資訊同步至受控網域。
Domain Services 會從 Microsoft Entra ID 複寫身分識別資訊,因此可搭配僅限雲端或與內部部署 AD DS 環境同步的 Microsoft Entra 租用戶使用。 這兩個環境都有相同的一組 Domain Services 功能。
- 如果您有現有的內部部署 AD DS 環境,您可以同步使用者帳戶資訊,為使用者提供一致的身分識別。 若要深入了解,請參閱如何在受控網域中同步處理物件和認證 \(部分機器翻譯\)。
- 針對僅限雲端環境,您不需要傳統內部部署 AD DS 環境,就能使用 Domain Services 的集中式識別服務。
您可以擴充受控網域,讓每個 Microsoft Entra 租用戶擁有一個以上的複本集。 您可以將複本集新增至任何支援 Domain Services 之 Azure 區域中的對等互連虛擬網路。 藉由在不同 Azure 區域中新增複本集,您可以在 Azure 區域離線時,為舊版應用程式提供地區性的災害復原。 如需詳細資訊,請參閱受控網域的複本集概念和功能。
請觀看這部影片,了解 Domain Services 如何與您的應用程式和工作負載整合,以便在雲端提供識別服務:
若要查看作用中 Domain Services 部署案例,您可以瀏覽下列範例:
Domain Services 功能和優點
為了為雲端中的應用程式與 VM 提供識別服務,Domain Services 完全相容於傳統 AD DS 環境的作業,例如,網域加入、安全 LDAP (LDAPS)、群組原則、DNS 管理,以及 LDAP 繫結和讀取支援。 LDAP 寫入支援可供在受控網域中建立的物件使用,但不可供從 Microsoft Entra ID 同步的資源使用。
若要深入了解您的身分識別選項,請比較 Domain Services 與 Microsoft Entra ID、Azure VM 上的 AD DS 和 AD DS 內部部署。
Domain Services 的下列功能簡化了部署與管理作業:
- 簡化的部署體驗:使用 Microsoft Entra 系統管理中心中的單一精靈,為您的Microsoft Entra 租用戶啟用 Domain Services。
- 與 Microsoft Entra ID 整合:使用者帳戶、群組成員資格和認證,可自動從您的 Microsoft Entra 租用戶取得。 新使用者、群組,或 Microsoft Entra 租用戶或內部部署 AD DS 環境中的屬性變更,都會自動同步到 Domain Services。
- 外部目錄中連結至您 Microsoft Entra ID 的帳戶無法在 Domain Services 中使用。 這些外部目錄無法使用認證,因此無法同步處理到受控網域。
- 使用您的公司認證/密碼:Domain Services 中使用者的密碼與您 Microsoft Entra 租用戶中的密碼相同。 使用者可以使用其公司認證來將機器加入網域,以互動方式或透過遠端桌面登入,以及對受控網域進行驗證。
- NTLM 和 Kerberos 驗證:由於支援 NTLM 和 Kerberos 驗證,您可以部署依賴 Windows 整合式驗證的應用程式。
- 高可用性:Domain Services 包含多個網域控制站,為您的受控網域提供高可用性。 此高可用性可保證服務執行時間,且可從失敗復原。
- 在支援 Azure 可用性區域的區域中,這些網域控制站也會分散到多個區域,以提高復原能力。
- 複本集 也可在 Azure 區域離線時,為舊版應用程式提供地區性的災害復原。
受控網域的一些關鍵層面包括下列項目:
- 受控網域是獨立網域。 其非內部部署網域的延伸。
- 如有需要,您可以建立從 Domain Services 到內部部署 AD DS 環境的單向輸出樹系信任。 如需詳細資訊,請參閱 Domain Services 的樹系概念和功能。
- 您的 IT 小組不需要針對此受控網域管理、修補或監視網域控制站。
針對執行 AD DS 內部部署的混合式環境,您不必管理受控網域的 AD 複寫。 來自內部部署目錄的使用者帳戶、群組成員資格和認證會透過 Microsoft Entra Connect 同步至 Microsoft Entra ID。 這些使用者帳戶、群組成員資格與認證會在受控網域內自動提供使用。
下一步
若要深入了解 Domain Services 與其身分識別解決方案的比較,以及同步的運作方式,請參閱下列文章:
- 比較 Domain Services 搭配 Microsoft Entra ID、Azure VM 上的 Active Directory Domain Services 以及 Active Directory Domain Services 內部部署
- 了解 Microsoft Entra Domain Services 如何與您的 Microsoft Entra 目錄同步
- 若要了解如何管理受控網域,請參閱 Domain Services 中的使用者帳戶、密碼和管理的管理概念。
若要開始使用,請使用 Microsoft Entra 系統管理中心建立受控網域。