部署與管理 Azure 雲端方案提供者的 Azure Active Directory Domain Services。

Azure 雲端方案提供者 (CSP) 是 Microsoft 合作夥伴專用的方案,可為各種 Microsoft 雲端服務提供授權通路。 Azure CSP 使得合作夥伴能夠管理銷售、擁有計費關係、提供技術及計費支援,並成為客戶的單一連絡窗口。 此外,Azure CSP 會提供一組完整的工具,包括自助服務入口網站和隨附的 API。 這些工具使得 CSP 合作夥伴能夠輕鬆地佈建及管理 Azure 資源,以及提供客戶和其訂用帳戶的帳單。

合作夥伴中心入口網站是所有 Azure CSP 合作夥伴的進入點,可提供豐富的客戶管理功能、自動化處理等多種功能。 Azure CSP 合作夥伴可以使用網頁型 UI 或使用 PowerShell 與各種 API 呼叫來使用合作夥伴中心的功能。

下圖說明 CSP 模型高層的運作方式。 在此例中,Contoso 具有 Azure Active Directory (Azure AD) 租用戶。 它們與某個 CSP 有合作關係,該 CSP 會在其 Azure CSP 訂用帳戶中部署和管理資源。 Contoso 可能也有定期 (直接) 的 Azure 訂用帳戶,這部分是直接向 Contoso 計費。

Overview of the CSP model

CSP 合作夥伴的租用戶有三個特殊的專員群組 - 管理專員、技術服務專員和銷售專員。

管理專員群組會指派給 Contoso 的 Azure AD 租用戶管理員角色。 如此一來,屬於 CSP 合作夥伴管理專員群組的使用者就會具備 Contoso 的 Azure AD 租用戶管理員權限。

當 CSP 合作夥伴為 Contoso 佈建 Azure CSP 訂用帳戶時,其管理專員群組即獲指派該訂用帳戶的擁有者角色。 如此一來,CSP 合作夥伴的管理專員具有代表 Contoso 佈建 Azure 資源 (例如:虛擬機器、虛擬網路以及 Azure AD Domain Services) 的必要權限。

如需詳細資訊,請參閱 Azure CSP 概觀

在 Azure CSP 訂用帳戶中使用 Azure AD DS 的優點

Azure Active Directory Domain Services (Azure AD DS) 提供受控網域服務,例如網域加入、群組原則、LDAP、Kerberos/NTLM 驗證,可與 Windows Server Active Directory Domain Services 完全相容。 十多年來,已經建置許多應用程式以對使用這些功能的 AD 運作。 許多獨立軟體廠商 (ISV) 已在其客戶的內部部署建置和部署應用程式。 由於您經常需要存取各種部署了這些應用程式的不同環境,這些應用程式並不容易支援。 有了 Azure CSP 訂用帳戶,您便擁有 Azure 調整與彈性較簡單的替代方案。

Azure AD DS 支援 Azure CSP 訂用帳戶。 您可以在繫結至客戶的 Azure AD 租用戶的 Azure CSP 訂用帳戶中部署應用程式。 如此一來,您的員工 (支援人員) 就可以使用組織的公司認證來管理、管控和服務您用於部署應用程式的 VM。

您也可以在客戶的 Azure AD 租用戶中部署 Azure AD DS 受控網域。 您的應用程式會因此連線到客戶的受控網域。 應用程式內的功能如果需要 Kerberos/NTLM、LDAP 或 System.DirectoryServices API,就可在客戶的網域運作順暢。 客戶可因為將您的應用程式當作服務來使用而獲益,不需為了維護應用程式部署所在位置的基礎結構而操心。

您在該訂用帳戶中使用 Azure 資源的所有帳單費用 (包括 Azure AD DS) 都會退回給您。 在銷售、帳單、技術支援等方面,您與客戶的關係會維持完整的控制權。由於具備 Azure CSP 平台的彈性,小型的支援專員小組可以服務許多這類已部署您應用程式執行個體的客戶。

Azure AD DS 的 CSP 部署模型

搭配 Azure CSP 訂用帳戶使用 Azure AD DS 的方式有兩種。 根據客戶的安全性和簡單性考量挑選適合的一個。

直接部署模型

在此部署模型中,Azure AD DS 會在屬於 Azure CSP 訂用帳戶的虛擬網路中啟用。 CSP 合作夥伴的管理專員擁有下列權限:

  • 客戶的 Azure AD 租用戶的全域管理員權限。
  • Azure CSP 訂用帳戶的訂用帳戶擁有者權限。

Direct deployment model

在此部署模型中,CSP 提供者的管理專員可以管理客戶的身分識別。 這些管理專員可以執行佈建新使用者或群組等工作,或在客戶的 Azure AD 租用戶中新增應用程式。

這種部署模型可能適合沒有專屬身分識別管理員或偏好由 CSP 合作夥伴代為管理身分識別的小型組織。

對等部署模型

在此部署模型中,Azure AD DS 會在屬於客戶的虛擬網路 (由客戶付費的直接 Azure 訂用帳戶) 中啟用。 CSP 合作夥伴可在屬於客戶 CSP 訂用帳戶的虛擬網路中部署應用程式。 之後可以使用 Azure 虛擬網路對等互連來連接虛擬網路。

在這種部署方式中,CSP 合作夥伴在 Azure CSP 訂用帳戶中部署的工作負載或應用程式可以連接到在客戶的直接 Azure 訂用帳戶中佈建的客戶受控網域。

Peered deployment model

此部署模型提供權限的區隔,讓 CSP 合作夥伴的技術服務人員專員管理 Azure 訂用帳戶,以及在其內部署和管理資源。 不過,CSP 合作夥伴的技術服務專員不需具備客戶的 Azure AD 目錄全域管理員權限。 客戶的身分識別系統管理員可以繼續為其組織管理身分識別。

如果在 ISV 提供內部部署應用程式的託管版本 (也需要連線到客戶的 Azure AD),可能就適合此部署模型。

在 CSP 訂用帳戶中管理 Azure AD DS

在 Azure CSP 訂用帳戶中管理受控網域時,適用下列重要事項:

  • CSP 管理專員可以使用自己的認證來佈建受控網域:Azure AD DS 支援 Azure CSP 訂用帳戶。 使用者若屬於 CSP 合作夥伴管理專員群組,就可以佈建新的受控網域。

  •    CSP 可以使用 PowerShell 為客戶編寫建立新受控網域的指令碼:如需詳細資訊,請參閱如何使用 PowerShell 啟用 Azure AD DS

  •    CSP 管理專員無法使用自己的認證在受控網域執行進行中的管理工作:CSP 管理使用者無法使用自己的認證在受控網域內執行例行管理工作。 這些使用者對客戶的 Azure AD 租用戶而言屬於外部,因此他們的認證在客戶的 Azure AD 租用戶內無法使用。 Azure AD DS 無法存取這些使用者的 Kerberos 和 NTLM 密碼雜湊,因此無法在受控網域上驗證使用者。

    警告

    您必須在客戶的目錄內建立使用者帳戶,才能在受控網域上執行進行中的管理工作。

    您無法使用 CSP 管理使用者的認證來登入受控網域。 請使用屬於客戶 Azure AD 租用戶的使用者帳戶認證來執行此動作。 您需要這些認證,才能執行將 VM 加入受控網域、管理 DNS、管理群組原則等工作。

  • 針對進行中的管理工作而建立的使用者帳戶必須新增至「AAD DC Administrators」群組:「AAD DC Administrators」群組有權限在受控網域上執行特定的委派管理工作。 這些工作包括設定 DNS、建立組織單位和管理群組原則。

    若要讓 CSP 合作夥伴在受控網域上執行這類工作,您必須在客戶的 Azure AD 租用戶中建立使用者帳戶。 您必須將此帳戶的認證與 CSP 合作夥伴的管理專員分享。 此外,這個使用者帳戶也必須新增至「AAD DC Administrators」群組,以便讓受控網域上的設定工作可透過此使用者帳戶來執行。

後續步驟

若要開始使用, 請註冊 Azure CSP 方案。 之後,您就可以使用 Azure 入口網站Azure PowerShell 來啟用 Azure AD Domain Services。