共用方式為


比較自我管理 Active Directory Domain Services、Microsoft Entra ID 和受控 Microsoft Entra Domain Services

為了讓應用程式、服務或裝置能夠存取中央識別身分,有三種常見的方式可以使用 Azure 中 Active Directory 型啟用的服務。 身分識別解決方案中的這個選擇可讓您彈性地使用最適合組織需求的目錄。 例如,如果您大部分管理執行行動裝置的僅限雲端使用者,則建立和執行自己的 Active Directory Domain Services (AD DS) 身分識別解決方案可能沒有意義。 可以只使用 Microsoft Entra ID。

雖然「三個 Active Directory 型的身分識別解決方案」共用一般名稱和技術,但其設計訴求是提供符合不同客戶需求的服務。 概括地說,這些身分識別解決方案和功能集為:

  • Active Directory Domain Services (AD DS) - 符合企業需求的輕量型目錄存取通訊協定 (LDAP) 伺服器,可提供身分識別及驗證、電腦物件管理、群組原則和信任等主要功能。
  • Microsoft Entra ID - 以雲端為基礎的身分識別和行動裝置管理,可為 Microsoft 365、Microsoft Entra 系統管理中心或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。
    • Microsoft Entra ID 可以與內部部署 AD DS 環境同步,以提供單一身分識別原生在雲端中作業的使用者。
    • 如需 Microsoft Entra ID 的詳細資訊,請參閱什麼是 Microsoft Entra ID?
  • Microsoft Entra Domain Services - 提供受控網域服務,其中有一小部分能與傳統 AD DS 功能完全相容,例如,網域加入、群組原則、LDAP 和 Kerberos / NTLM 驗證等功能。
    • Domain Services 與 Microsoft Entra ID 整合,其本身可與內部部署 AD DS 環境進行同步處理。 此能力會將中央身分識別使用案例延伸至在 Azure 中隨著隨即轉移策略執行的傳統 Web 應用程式。
    • 若要深入了解 Microsoft Entra ID 與內部部署的同步處理,請參閱受控網域中的物件和認證如何同步

此概觀文章會比較和對比這些身分識別解決方案搭配使用或個別使用的方式 (視組織的需求而定)。

Domain Services 和自我管理 AD DS

如果您有需要存取傳統驗證機制 (例如 Kerberos 或 NTLM) 的應用程式和服務,有兩種方式可以在雲端中提供 Active Directory Domain Services:

  • 使用 Microsoft Entra Domain Services 建立的「受控網域」。 Microsoft 會建立和管理必要的資源。
  • 使用傳統資源 (例如虛擬機器 (VM)、Windows Server 客體 OS 和 Active Directory Domain Services (AD DS)) 建立和設定的自我管理網域。 然後您可以繼續管理這些資源。

有了 Domain Services,Microsoft 就會為您部署及維護核心服務元件,如同「受控網域」體驗。 您不會部署、管理、修補和保護 VM、Windows Server OS 或網域控制站 (DC) 等元件的 AD DS 基礎結構。

Domain Services 為傳統的自我管理 AD DS 環境提供較小的功能子集,可減少部分設計和管理的複雜度。 例如,沒有任何 AD 樹系、網域、站台與複寫連結需要設計及維護。 您仍然可以在 Domain Services 與內部部署環境之間建立樹系信任

對於在雲端中執行並需要存取傳統驗證機制 (例如 Kerberos 或 NTLM) 的應用程式和服務,Domain Services 會以最少的系統管理負荷來提供受控網域體驗。 如需詳細資訊,請參閱 Domain Services 中使用者帳戶、密碼與系統管理的管理概念

當您部署和執行自我管理 AD DS 環境時,您必須維護所有相關聯的基礎結構和目錄元件。 自我管理 AD DS 環境會有額外的維護負荷,但是您之後可以執行其他工作,例如延伸架構或建立樹系信任。

可為雲端中的應用程式和服務提供身分識別的自我管理 AD DS 環境的常見部署模型,包括下列:

  • 獨立的僅限雲端 AD DS - Azure VM 會設定為網域控制站,並建立獨立的僅限雲端 AD DS 環境。 此 AD DS 環境不會與內部部署 AD DS 環境整合。 使用另一組認證來登入和管理雲端中的 VM。
  • 將內部部署網域延伸至 Azure - Azure 虛擬網路會使用 VPN/ExpressRoute 連線來連線至內部部署網路。 Azure VM 會連線到此 Azure 虛擬網路,讓它們能夠透過網路加入內部部署 AD DS 環境。
    • 替代方法是建立 Azure VM,並將其升級為來自內部部署 AD DS 網域的複本網域控制站。 這些網域控制站會透過對內部部署 AD DS 環境的 VPN/ExpressRoute 連線複寫。 內部部署 AD DS 網域可有效地延伸至 Azure。

下表概述您組織可能需要的一些功能,以及受控網域或自我管理 AD DS 網域之間的差異:

功能 受控網域 自我管理 AD DS
受管理的服務
安全的部署 系統管理員保護部署的安全
DNS 伺服器 (受控服務)
網域或企業系統管理員權限
加入網域
使用 NTLM 和 Kerberos 的網域驗證
Kerberos 限制委派 以資源為基礎 資源型與帳戶型
自訂 OU 結構
群組原則
結構描述延伸模組
AD 網域/樹系信任 (僅限單向輸出樹系信任)
安全 LDAP (LDAPS)
LDAP 讀取
LDAP 寫入 (在受控網域中)
地理位置分散部署

Domain Services 和 Microsoft Entra ID

Microsoft Entra ID 可讓您管理組織所使用的裝置身分識別,並控制從這些裝置對公司資源的存取權。 使用者也可以使用 Microsoft Entra ID 註冊其個人裝置 (自備 (BYO) 模型),以提供裝置身分識別。 然後,當使用者登入 Microsoft Entra ID 並使用裝置存取受保護的資源時,Microsoft Entra ID 會驗證該裝置。 您可以使用行動裝置管理 (MDM) 軟體來管理裝置,例如 Microsoft Intune。 此管理能力可讓您將敏感性資源的存取權限制為受控和符合原則規範的裝置。

傳統電腦和膝上型電腦也可以加入 Microsoft Entra ID。 這項機制提供的優勢如同向 Microsoft Entra ID 註冊個人裝置,例如允許使用者使用其公司認證來登入裝置。

已加入 Microsoft Entra 的裝置提供下列優點:

  • 單一登入 (SSO) 至 Microsoft Entra ID 所保護的應用程式。
  • 在跨裝置之間進行使用者設定的企業符合原則規範的漫遊。
  • 使用企業認證存取商務用 Microsoft Windows 市集。
  • Windows Hello 企業版。
  • 限制從符合公司原則之裝置的應用程式和資源存取權限。

裝置可以加入 Microsoft Entra ID,但不一定需要包含內部部署 AD DS 環境的混合式部署。 下表概述常見的裝置所有權模型,以及它們通常如何加入網域:

裝置類型 裝置平台 機制
個人裝置 Windows 10、iOS、Android、macOS 已註冊 Microsoft Entra
組織擁有的裝置並未加入內部部署 AD DS Windows 10 已加入 Microsoft Entra
組織擁有的裝置已加入內部部署 AD DS Windows 10 已加入 Microsoft Entra 混合式

在已加入 Microsoft Entra 或已註冊的裝置上,使用者驗證會使用以最新 OAuth/OpenID Connect 為基礎的通訊協定。 這些通訊協定的設計是透過網際網路運作,因此非常適合使用者從任何地方存取公司資源的行動情節。

裝置加入 Domain Services 後,應用程式就可以使用 Kerberos 和 NTLM 通訊協定進行驗證,因此可支援遷移至 Azure VM 的繼承應用程式,作為隨即轉移策略的一部分。 下表概述裝置的表示方式的差異,並可針對目錄進行自我驗證:

層面 已加入 Microsoft Entra 已加入 Domain Services
裝置控制者 Microsoft Entra ID Domain Services 的受控網域
目錄中的表示法 Microsoft Entra 目錄中的裝置物件 Domain Services 受控網域中的電腦物件
驗證 以 OAuth / OpenID Connect 為基礎的通訊協定 Kerberos 和 NTLM 通訊協定
管理 如 Intune 的行動裝置管理 (MDM) 軟體 群組原則
網路 透過網際網路運作 必須連線至或與受控網域部署所在的虛擬網路對等連線
非常適合…… 終端使用者行動裝置或電腦裝置 部署在 Azure 中的伺服器 VM

如果內部部署 AD DS 和 Microsoft Entra ID 已設定為使用 ADFS 的同盟驗證,則 Azure DS 中沒有可用的 (目前/有效) 密碼雜湊。 在送出驗證之前所建立 Microsoft Entra 使用者帳戶可能會有舊密碼雜湊,但這可能不符合其內部內部部署密碼的雜湊。 因此,Domain Services 將無法驗證使用者的認證

下一步

若要開始使用 Domain Services,請使用 Microsoft Entra 系統管理中心建立 Domain Services 受控網域

您也可以深入了解 Domain Services 中使用者帳戶、密碼與系統管理的管理概念受控網域中的物件和認證如何同步