適用于 Azure 雲端解決方案提供者 的 Microsoft Entra Domain Services 部署和管理

  • 發行項

Azure 雲端解決方案提供者s (CSP) 是 Microsoft 合作夥伴的計畫,並提供各種 Microsoft 雲端服務的授權通道。 Azure CSP 可讓合作夥伴管理銷售、擁有計費關係、提供技術和計費支援,以及成為客戶單一連絡點。 此外,Azure CSP 還提供一組完整的工具,包括自助入口網站和隨附的 API。 這些工具可讓 CSP 合作夥伴輕鬆地布建和管理 Azure 資源,並為客戶及其訂用帳戶提供帳單。

合作夥伴中心入口網站 是所有 Azure CSP 合作夥伴的進入點,並提供豐富的客戶管理功能、自動化處理等等。 Azure CSP 合作夥伴可以使用 Web 型 UI 或使用 PowerShell 和各種 API 呼叫來使用合作夥伴中心功能。

下圖說明 CSP 模型在高層級的運作方式。 在這裡,Contoso 有 Microsoft Entra 租使用者。 他們與 CSP 建立合作關係,該 CSP 會在其 Azure CSP 訂用帳戶中部署和管理資源。 Contoso 也可能有一般(直接)Azure 訂用帳戶,這些訂用帳戶會直接計費給 Contoso。

Overview of the CSP model

CSP 合作夥伴的租使用者有三個特殊代理程式群組- 管理員 代理程式、 技術服務 人員及 銷售 代理程式。

管理員 代理程式群組會指派給 Contoso Microsoft Entra 租使用者中的租使用者系統管理員角色。 因此,屬於 CSP 合作夥伴系統管理員代理程式群組的使用者在 Contoso 的 Microsoft Entra 租使用者中具有租使用者系統管理員許可權。

當 CSP 合作夥伴布建 Contoso 的 Azure CSP 訂用帳戶時,其系統管理員代理程式群組會指派給該訂用帳戶的擁有者角色。 因此,CSP 合作夥伴的系統管理代理程式具有必要許可權,可代表 Contoso 布建 Azure 資源,例如虛擬機器、虛擬網路和 Microsoft Entra Domain Services。

如需詳細資訊,請參閱 Azure CSP 概觀

在 Azure CSP 訂用帳戶中使用 Domain Services 的優點

Microsoft Entra Domain Services 提供受控網域服務,例如網域加入、群組原則、LDAP、Kerberos/NTLM 驗證,與 Windows Server Active Directory 網域服務完全相容。 幾十年來,許多應用程式都建置為使用這些功能來對抗 AD。 許多獨立軟體廠商(ISV)已在其客戶內部部署建置和部署應用程式。 這些應用程式很難支援,因為您通常需要存取部署應用程式的不同環境。 使用 Azure CSP 訂用帳戶時,您可以使用 Azure 的規模和彈性,以更簡單的替代方案。

Domain Services 支援 Azure CSP 訂用帳戶。 您可以將應用程式部署在系結至客戶 Microsoft Entra 租使用者的 Azure CSP 訂用帳戶中。 因此,您的員工(支援人員)可以使用組織的公司認證來管理、管理及服務應用程式部署所在的 VM。

您也可以在客戶的 Microsoft Entra 租使用者中部署 Domain Services 受控網域。 您的應用程式接著會連線到客戶的受控網域。 應用程式內依賴 Kerberos/NTLM、LDAP 或 System.DirectoryServices API 的功能,可順暢地針對客戶的網域運作。 終端客戶受益于取用應用程式即服務,而不需要擔心維護應用程式所部署的基礎結構。

您在該訂用帳戶中取用的所有 Azure 資源計費,包括 Domain Services,都會向您收取費用。 在銷售、計費、技術支援等方面,您可以完全控制與客戶的關係。有了 Azure CSP 平臺的彈性,小型支援專員小組可以服務許多已部署應用程式實例的客戶。

Domain Services 的 CSP 部署模型

有兩種方式可讓您搭配 Azure CSP 訂用帳戶使用 Domain Services。 根據客戶所擁有的安全性和簡單性考慮,挑選正確的考慮。

直接部署模型

在此部署模型中,Domain Services 會在屬於 Azure CSP 訂用帳戶的虛擬網路內啟用。 CSP 合作夥伴的系統管理員代理程式具有下列許可權:

  • 客戶 Microsoft Entra 租使用者中的全域系統管理員 許可權。
  • Azure CSP 訂用帳戶的訂用帳戶擁有者 許可權。

Direct deployment model

在此部署模型中,CSP 提供者的系統管理員代理程式可以管理客戶的身分識別。 這些系統管理員代理程式可以執行布建新使用者或群組等工作,或在客戶的 Microsoft Entra 租使用者中新增應用程式。

此部署模型可能適用于沒有專用身分識別系統管理員或偏好 CSP 合作夥伴代表其管理身分識別的較小組織。

對等互連部署模型

在此部署模型中,Domain Services 會在屬於客戶的虛擬網路內啟用 ,這是由客戶付費的直接 Azure 訂用帳戶。 CSP 合作夥伴可以在屬於客戶的 CSP 訂用帳戶的虛擬網路內部署應用程式。 然後可以使用 Azure 虛擬網路對等互連來連線虛擬網路。

透過此部署,Azure CSP 訂用帳戶中 CSP 合作夥伴所部署的工作負載或應用程式可以連線到客戶直接 Azure 訂用帳戶中布建的客戶受控網域。

Peered deployment model

此部署模型提供許可權的區隔,並讓 CSP 合作夥伴的技術支援中心代理程式管理 Azure 訂用帳戶,以及部署和管理其中的資源。 不過,CSP 合作夥伴的技術支援人員不需要擁有客戶 Microsoft Entra 目錄的全域系統管理員許可權。 客戶的身分識別系統管理員可以繼續管理其組織的身分識別。

此部署模型可能適合 ISV 提供其內部部署應用程式的託管版本,而內部部署應用程式也需要連線到客戶的 Microsoft Entra ID。

管理員在 CSP 訂用帳戶中註冊網域服務

在 Azure CSP 訂用帳戶中管理受控網域時,適用下列重要考慮:

  • CSP 系統管理員代理程式可以使用其認證布建受控網域: Domain Services 支援 Azure CSP 訂用帳戶。 屬於 CSP 合作夥伴系統管理員代理程式群組的使用者可以布建新的受控網域。

  • CSP 可以使用 PowerShell 為客戶編寫建立新受控網域的腳本: 如需詳細資訊,請參閱 如何使用 PowerShell 啟用網域服務。

  • CSP 系統管理員代理程式無法使用其認證在受控網域上執行進行中的管理工作: CSP 系統管理員使用者無法使用其認證在受控網域內執行例行管理工作。 這些使用者位於客戶的 Microsoft Entra 租使用者外部,且其認證無法在客戶的 Microsoft Entra 租使用者內取得。 Domain Services 無法存取這些使用者的 Kerberos 和 NTLM 密碼雜湊,因此無法在受控網域上驗證使用者。

    警告

    您必須在客戶的目錄中建立使用者帳戶,才能在受控網域上執行進行中的系統管理工作。

    您無法使用 CSP 系統管理員使用者的認證登入受控網域。 使用屬於客戶 Microsoft Entra 租使用者的使用者帳號憑證來執行此動作。 您需要這些認證,才能將 VM 加入受控網域、管理 DNS 或管理群組原則等工作。

  • 為進行中管理建立的 使用者帳戶必須新增至 AAD DC 管理員istrators 群組: AAD DC 管理員istrators 群組具有在受控網域上執行特定委派管理工作的許可權。 這些工作包括設定 DNS、建立組織單位及管理群組原則。

    若要讓 CSP 合作夥伴在受控網域上執行這些工作,必須在客戶的 Microsoft Entra 租使用者內建立使用者帳戶。 此帳戶的認證必須與 CSP 合作夥伴的系統管理代理程式共用。 此外,此使用者帳戶必須新增至 AAD DC 管理員istrators 群組,才能使用此使用者帳戶在受控網域上執行設定工作。

下一步

若要開始使用, 請在 Azure CSP 計畫中 註冊。 然後,您可以使用 Microsoft Entra 系統管理中心 Azure PowerShell 來啟用 Microsoft Entra Domain Services 。