適用於 Microsoft Entra Domain Services 的常見使用案例和情節
Microsoft Entra Domain Services 提供受控網域服務,例如,網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos / NTLM 驗證。 Microsoft Entra Domain Services 與現有的 Microsoft Entra 租用戶整合,讓使用者能夠使用現有的認證登入。 您不需要在雲端中部署、管理及修補網域控制站,即可使用這些網域服務,其提供更順暢的隨即轉移,將內部部署資源移至 Azure。
本文概述一些常見的商務情節,其中提及 Microsoft Entra Domain Services 會提供價值並符合這些需求。
在雲端提供身分識別解決方案的常見方式
當您將現有的工作負載移轉至雲端時,目錄感知應用程式可能會將 LDAP 用於內部部署 AD DS 目錄的讀取或寫入存取權。 在 Windows Server 上執行的應用程式通常都會部署在已加入網域的虛擬機器 (VM) 上,因此只要使用群組原則就能安全地加以管理。 若要驗證終端使用者,應用程式也可以依賴 Windows 整合式驗證,例如 Kerberos 或 NTLM 驗證。
IT 系統管理員通常會使用下列其中一個解決方案,將識別服務提供給在 Azure 中執行的應用程式:
- 在於 Azure 中和內部部署 AD DS 環境中執行的工作負載之間設定站對站 VPN 連線。
- 然後內部部署網域控制站會透過 VPN 連線提供驗證。
- 使用 Azure 虛擬機器 (VM) 建立複本網域控制站,從內部部署環境延伸 AD DS 網域 / 樹系。
- 在 Azure VM 上執行的網域控制站會提供驗證,並複寫內部部署 AD DS 環境之間的目錄資訊。
- 使用在 Azure VM 上執行的網域控制站,在 Azure 中部署獨立 AD DS 環境。
- 在 Azure VM 上執行的網域控制站會提供驗證,但不會從內部部署 AD DS 環境複寫任何目錄資訊。
使用這些方法,連線到內部部署目錄的 VPN 連線,會讓應用程式容易受暫時性網路問題或中斷影響。 如果您在 Azure 中使用 VM 部署網域控制站,則 IT 小組必須管理 VM,然後保護、修補、監視及備份網域控制站,以及對其進行疑難排解。
Microsoft Entra Domain Services 提供的替代方案適用於建立連線回內部部署 AD DS 環境的 VPN 連線,或在 Azure 中執行及管理 VM 以提供識別服務的需求。 因為 Microsoft Entra Domain Services 是受控服務,所以可降低為混合式和僅限雲端環境建立整合式身分識別解決方案的複雜性。
比較 Azure VM 或內部部署上Microsoft Entra Domain Services 與 Microsoft Entra ID 和自我管理 AD DS
混合式組織的 Microsoft Entra Domain Services
許多組織都執行包含雲端與內部部署應用程式工作負載的混合式基礎結構。 隸屬於隨即轉移策略且移轉至 Azure 的繼承應用程式,可使用傳統 LDAP 連線來提供身分識別資訊。 為了支援此混合式基礎結構,來自內部部署 AD DS 環境的身分識別資訊可同步至 Microsoft Entra 租用戶。 Microsoft Entra Domain Services 接著可以使用身分識別來源在 Azure 中提供這些繼承應用程式,而不需要設定及管理對內部部署目錄服務的應用程式連線能力。
讓我們看看 Litware Corporation 的範例,此混合式組織執行內部部署與 Azure 資源:
- 需要網域服務的應用程式與伺服器工作負載會部署在 Azure 中的虛擬網路中。
- 這可能包含作為隨即轉移策略一部分移轉至 Azure 的繼承應用程式。
- 為了從其內部部署目錄同步身分識別資訊到其 Microsoft Entra 租用戶,Litware Corporation 部署了 Microsoft Entra Connect。
- 同步的身分識別資訊包括使用者帳戶與群組成員資格。
- Litware 的 IT 小組會為此租用戶或對等互連的虛擬網路,為其Microsoft Entra 租用戶啟用 Microsoft Entra Domain Services。
- 部署在 Azure 虛擬網路中的應用程式與 VM 之後可以使用網域加入、LDAP 讀取、LDAP 繫結、NTLM 與 Kerberos 驗證,以及群組原則等 Microsoft Entra Domain Services 功能。
重要
只應該針對與內部部署 AD DS 環境同步處理才安裝和設定 Microsoft Entra Connect。 不支援在受控網域中安裝 Microsoft Entra Connect,將物件同步回 Microsoft Entra ID。
僅限雲端的組織的 Microsoft Entra Domain Services
僅限雲端的 Microsoft Entra 租用戶沒有內部部署身分識別來源。 例如,使用者帳戶與群組成員資格都可直接在 Microsoft Entra ID 中建立和管理。
現在,讓我們看 Contoso 的範例,此僅限雲端的組織會使用 Microsoft Entra ID 來進行身分識別驗證。 所有使用者身分識別、其認證與群組成員資格都是在 Microsoft Entra ID 中建立及管理的。 不需要進行任何額外的 Microsoft Entra Connect 設定,就能從內部部署目錄同步任何身分識別資訊。
- 需要網域服務的應用程式與伺服器工作負載會部署在 Azure 中的虛擬網路中。
- Contoso 的 IT 小組會為此租用戶或對等互連的虛擬網路,為其Microsoft Entra 租用戶啟用 Microsoft Entra Domain Services。
- 部署在 Azure 虛擬網路中的應用程式與 VM 之後可以使用網域加入、LDAP 讀取、LDAP 繫結、NTLM 與 Kerberos 驗證,以及群組原則等 Microsoft Entra Domain Services 功能。
安全的管理 Azure 虛擬機器
為了讓您使用單一集合的 AD 認證,Azure 虛擬機器 (VM) 可以與Microsoft Entra Domain Services 受控網域聯結。 此法可減少認證管理問題,例如維護每部 VM 上的本機系統管理員帳戶,或不同環境的個別帳戶與密碼。
加入受控網域的 VM 也可以使用群組原則進行管理和保護。 您也可以遵循企業安全性指導方針,將必要的安全性基準套用在 VM 上以將其封鎖關閉。 例如,您可以使用群組原則管理功能,限制可以在 VM 上啟動的應用程式型別。
讓我們看一下常見的範例情節。 當伺服器和其他基礎結構到達生命週期結束時,Contoso 會將目前裝載於內部部署的應用程式移動至雲端。 其目前的 IT 標準會強制代管公司應用程式的伺服器必須加入網域,並使用群組原則進行管理。
Contoso 的 IT 管理員偏好將部署在 Azure 中的 VM 加入網域,讓使用者能夠使用其公司認證登入,更輕鬆地進行管理。 加入網域時,也可以將 VM 設定為符合使用群組原則物件 (GPO) 的必要安全性基準。 Contoso 不希望在 Azure 中自行部署、監視、及管理自己的網域控制站。
因此,Microsoft Entra Domain Services 十分適合這個使用案例。 受控網域讓您可將 VM 加入網域、使用單一認證集,以及套用群組原則。 由於其為受控網域,您不需要自行設定和維護網域控制站。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 受控網域會依照預設使用單一與一般組織單位 (OU) 結構。 所有已加入網域的 VM,都在此 OU 中。 如有需要,您可以建立自訂 OU。
- Microsoft Entra Domain Services 會針對使用者和電腦容器使用內建 GPO。 如需其他控制,您可以建立自訂 GPO,並將其指定為自訂 OU。
- Microsoft Entra Domain Services 支援基礎 AD 電腦物件結構描述。 您無法延伸電腦物件的結構描述。
隨即轉移使用 LDAP 繫結驗證的內部部署應用程式
以此範本情節為例,Contoso 有一個多年前購自 ISV 的內部部署應用程式。 ISV 將應用程式目前設為維修模式,而且要求對應用程式進行變更的價錢所費不貲。 此應用程式具有 Web 式前端,其使用 Web 表單收集使用者認證,然後向內部部署的 AD DS 環境執行 LDAP 繫結來驗證使用者。
Contoso 希望將此應用程式遷移至 Azure。 應用程式應該會依原樣繼續運作,不需要進行變更。 此外,使用者應該能夠使用其現有的公司認證進行驗證,也不需要額外的訓練。 對終端使用者而言,應用程式的執行位置應該是透明的。
在此情節中,Microsoft Entra Domain Services 允許應用程式在驗證流程中執行 LDAP 繫結。 舊版的內部部署應用程式可以原形移轉到 Azure,完全無須變更使用者設定或使用者體驗,就能繼續無縫驗證使用者。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式不需要對目錄進行修改/寫入。 未支援對受控網域的 LDAP 寫入存取權。
- 您無法直針對受控網域變更存取碼。 終端使用者可以使用 Microsoft Entra 的自助密碼變更機制或對內部部署目錄變更其密碼。 此類變更會自動同步處理,而且在受控網域中可用。
隨即轉移使用 LDAP 讀取來存取目錄的內部部署應用程式
如同先前的範例情節,讓我們假設 Contoso 有一個近十年前開發的內部部署企業線 (LOB) 應用程式。 此應用程式具有目錄感知特質,其設計目的是使用 LDAP 從 AD DS 讀取使用者的相關資訊/屬性。 該應用程式不會修改屬性,也不會寫入目錄。
Contoso 想要將此應用程式遷移至 Azure,並淘汰目前裝載此應用程式的過時內部部署硬體。 無法重新編寫應用程式以使用現代目錄 API (例如以 REST 為基礎的 Microsoft Graph API)。 在應用程式可遷移在雲端中執行,而不需要修改程式碼或重寫應用程式的情況下,隨即轉移選項是必須的。
為了幫助解決此情節,Microsoft Entra Domain Services 允許應用程式對受控網域執行 LDAP 讀取,以取得其所需的屬性資訊。 應用程式無須重寫就能原形移轉至 Azure,而使用者不僅能繼續使用應用程式,也不會發現其執行位置已有變更。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式不需要對目錄進行修改/寫入。 未支援對受控網域的 LDAP 寫入存取權。
- 請確定應用程式不需要自訂/延伸的 Active Directory 結構描述。 Microsoft Entra Domain Services 不支援結構描述擴充功能。
將內部部署服務或精靈應用程式遷移至 Azure
有一些應用程式包含多個層級,其中一個層級必須對後端層級 (例如資料庫) 執行經過驗證的呼叫。 此類情節中經常使用 AD 服務帳戶。 當您將應用程式原形移轉至 Azure 時,Microsoft Entra Domain Services 可讓您以相同的方式,繼續使用服務帳戶。 您可以選擇使用從內部部署目錄同步至 Microsoft Entra ID 的同一個服務帳戶,或是建立自訂 OU,然後在該 OU 中建立個別的服務帳戶。 無論使用何種方法,應用程式都會繼續以相同的方式運作,以對其他層級與服務執行經過驗證的呼叫。
在此相同情節中,Contoso 有自訂內建的軟體保存庫應用程式,其中包含 Web 前端、SQL 伺服器及後端 FTP 伺服器。 使用服務帳戶的 Windows 整合式驗證向 FTP 伺服器驗證 Web 前端。 並設定 Web 前端以服務帳戶的身分執行。 後端伺服器則設定為從服務帳戶授權對 Web 前端的存取權。 Contoso 不想為了將此應用程式移至 Azure,在雲端中自行部署和管理網域控制站 VM。
在此案例中,裝載 Web 前端、SQL 伺服器及 FTP 伺服器的伺服器可以遷移至 Azure VM,並加入受控網域。 VM 接下來可以使用其內部部署目錄中相同的服務帳戶來進行應用程式驗證,其會使用 Azure AD Connect,透過 Microsoft Entra ID 進行同步處理。
部署注意事項
下列部署考慮適用於此範例使用案例:
- 請確定應用程式會使用使用者名稱和密碼進行驗證。 Microsoft Entra Domain Services 未支援數位憑證或智慧卡式驗證。
- 您無法直針對受控網域變更存取碼。 終端使用者可以使用 Microsoft Entra 的自助密碼變更機制或對內部部署目錄變更其密碼。 此類變更會自動同步處理,而且在受控網域中可用。
Azure 中的視窗伺服器遠端桌面服務部署
您可以使用 Microsoft Entra Domain Services,將受控網域服務提供給 Azure 中部署的遠端桌面伺服器。
如需此部署情節的詳細資訊,請參閱如何整合 Microsoft Entra Domain Services 與 RDS 部署。
已加入網域的 HDInsight 叢集
您可以設定 Azure HDInsight 叢集,該叢集已加入受控網域並啟用 Apache Ranger。 您可以透過 Apache Ranger 建立和套用 Hive 原則,並允許使用者 (例如資料科學家) 使用 ODBC 型工具 (例如 Excel、Tableau 等) 連線到 Hive。 我們會繼續努力將其他工作負載,例如 HBase、Spark 及 Storm 新增至已加入網域的 HDInsight。
如需此部署情節的詳細資訊,請參閱如何設定已加入網域的 HDInsight 叢集