編輯

整合內部部署 AD 與 Azure

Microsoft Entra ID

本文會比較將內部部署的 Active Directory (AD) 環境與 Azure 網路整合的選項。 針對每個選項,已提供更詳細的參考架構。

許多組織都會使用 Active Directory 網域服務 (AD DS) 來驗證與安全性界限中包含的使用者、電腦、應用程式或其他資源相關聯的身分識別。 目錄和身分識別服務通常裝載于內部部署,但如果您的應用程式部分裝載于內部部署,部分裝載在 Azure 中,則可能會延遲將驗證要求從 Azure 傳送回內部部署。 在 Azure 中實作目錄和身分識別服務可以降低此延遲。

Azure 提供兩個在 Azure 中實作目錄和身分識別服務的解決方案:

  • 使用 Microsoft Entra ID 在雲端中建立 Active Directory 網域,並將其連線到您的內部部署的 Active Directory網域。 Microsoft Entra 連線 整合內部部署目錄與 Microsoft Entra ID。

  • 將執行 AD DS 作為網域控制站的 Azure 中部署 VM,將現有的內部部署的 Active Directory基礎結構擴充至 Azure。 當內部部署網路和 Azure 虛擬網路 (VNet) 透過 VPN 或 ExpressRoute 連線連線時,此架構更為常見。 此架構的數種變化是可能的:

    • 在 Azure 中建立網域,並將其加入您的內部部署 AD 樹系。
    • 在 Azure 中建立由內部部署樹系中的網域信任的個別樹系。
    • 將Active Directory 同盟服務 (AD FS) 部署複寫至 Azure。

下一節會更詳細地描述這些選項。

整合內部部署網域與 Microsoft Entra ID

使用 Microsoft Entra ID 在 Azure 中建立網域,並將其連結至內部部署 AD 網域。

Microsoft Entra 目錄不是內部部署目錄的延伸模組。 而是包含相同物件和身分識別的複本。 對這些專案所做的變更會複製到 Microsoft Entra 識別碼,但 Microsoft Entra 識別碼所做的變更不會複寫回內部部署網域。

您也可以使用 Microsoft Entra 識別碼,而不需使用內部部署目錄。 在此情況下,Microsoft Entra ID 會作為所有身分識別資訊的主要來源,而不是包含從內部部署目錄複寫的資料。

福利

  • 您不需要在雲端中維護 AD 基礎結構。 Microsoft Entra 識別碼完全由 Microsoft 管理和維護。
  • Microsoft Entra ID 提供與內部部署相同的身分識別資訊。
  • 驗證可能發生在 Azure 中,減少外部應用程式和使用者連絡內部部署網域的需求。

挑戰

  • 您必須設定與內部部署網域的連線,讓 Microsoft Entra 目錄保持同步。
  • 應用程式可能需要重寫,才能透過 Microsoft Entra ID 啟用驗證。
  • 如果您想要驗證服務和電腦帳戶,您也必須部署 Microsoft Entra Domain Services

參考架構

Azure 中的 AD DS 已加入內部部署樹系

將 AD Domain Services (AD DS) 伺服器部署至 Azure。 在 Azure 中建立網域,並將其加入您的內部部署 AD 樹系。

如果您需要使用 Microsoft Entra ID 目前未實作的 AD DS 功能,請考慮此選項。

福利

  • 提供存取內部部署可用的相同身分識別資訊。
  • 您可以在內部部署和 Azure 中驗證使用者、服務和電腦帳戶。
  • 您不需要管理個別的 AD 樹系。 Azure 中的網域可以屬於內部部署樹系。
  • 您可以將內部部署群組原則物件所定義的群組原則套用至 Azure 中的網域。

挑戰

  • 您必須在雲端中部署和管理自己的 AD DS 伺服器和網域。
  • 雲端中的網域伺服器與執行內部部署的伺服器之間可能會有一些同步處理延遲。

參考架構

Azure 中具有個別樹系的 AD DS

將 AD Domain Services (AD DS) 伺服器部署至 Azure,但建立與內部部署樹系分開的個別 Active Directory 樹系。 內部部署樹系中的網域會信任此樹系。

此架構的典型用法包括維護雲端中保留的物件和身分識別的安全性區隔,以及將個別網域從內部部署移轉至雲端。

福利

  • 您可以實作內部部署身分識別和個別的僅限 Azure 身分識別。
  • 您不需要從內部部署 AD 樹系複寫至 Azure。

挑戰

  • Azure 內部部署身分識別的驗證需要內部部署 AD 伺服器的額外網路躍點。
  • 您必須在雲端中部署自己的 AD DS 伺服器和樹系,並建立樹系之間的適當信任關係。

參考架構

將 AD FS 擴充至 Azure

將Active Directory 同盟服務 (AD FS) 部署複寫至 Azure,以針對在 Azure 中執行的元件執行同盟驗證和授權。

此架構的典型用法:

  • 驗證和授權來自合作夥伴組織的使用者。
  • 允許使用者從組織防火牆外部執行的網頁瀏覽器進行驗證。
  • 允許使用者從授權的外部裝置連線,例如行動裝置。

福利

  • 您可以利用宣告感知應用程式。
  • 提供信任外部合作夥伴進行驗證的能力。
  • 與大量驗證通訊協定的相容性。

挑戰

  • 您必須在 Azure 中部署自己的 AD DS、AD FS 和 AD FS Web 應用程式 Proxy伺服器。
  • 此架構可能很難設定。

參考架構