Azure 登陸區域中具有 Active Directory 和 Microsoft Entra ID 的混合式身分識別

本文提供如何針對 Azure 登陸區域設計和實作 Microsoft Entra ID 和混合式身分識別的指引。

在雲端中運作的組織需要目錄服務來管理使用者身分識別及存取資源。 Microsoft Entra ID 是雲端式身分識別和存取管理服務，可提供強大的功能來管理使用者和群組。 您可以使用它作為獨立身分識別解決方案，或將其與 Microsoft Entra Domain Services 基礎結構或 內部部署的 Active Directory Domain Services （AD DS） 基礎結構整合。

Microsoft Entra ID 提供適用於許多組織和工作負載的新式、安全身分識別和存取管理，且是 Azure 和 Microsoft 365 服務的核心。 如果您的組織具有內部部署 AD DS 基礎結構，您的雲端式工作負載可能需要與 Microsoft Entra ID 進行目錄同步處理，才能在內部部署和雲端環境之間取得一組一致的身分識別、群組和角色。 或者，如果您有相依於舊版驗證機制的應用程式，您可能需要在雲端中部署受控網域服務。

雲端式身分識別管理是反覆的程式。 您可以從雲端原生解決方案開始，其中包含一小組使用者和初始部署的對應角色，當您的移轉成熟時，您可能需要使用目錄同步處理或新增雲端裝載的網域服務作為雲端部署的一部分來整合身分識別解決方案。

經過一段時間后，根據您的工作負載驗證需求和其他需求重新流覽您的身分識別解決方案，例如組織身分識別策略和安全性需求的變更，或與其他目錄服務整合。 當您評估 Active Directory 解決方案時，瞭解 Windows Server 上的 Microsoft Entra ID、Domain Services 和 AD DS 之間的差異。

如需身分識別策略的說明，請參閱 身分識別決策指南。

Azure 登陸區域中的身分識別和存取管理服務

平臺小組負責管理身分識別和存取管理。 身分識別和存取管理服務是組織安全性的基礎。 組織可以使用 Microsoft Entra ID 來控制系統管理存取權來保護平台資源。 此方法可防止平臺小組外部的使用者對設定或 Microsoft Entra 識別符內含的安全性主體進行變更。

使用 AD DS 或 Domain Services 的組織也必須保護域控制器免於未經授權的存取。 域控制器對於攻擊者來說特別有吸引力，而且應該具有嚴格的安全性控制和隔離與應用程式工作負載。

域控制器和相關聯的元件，例如 Microsoft Entra ID 連線 伺服器，會部署在平臺管理群組中的身分識別訂用帳戶中。 域控制器不會委派給應用程式小組。 藉由提供此隔離，應用程式擁有者不需要管理身分識別服務即可取用身分識別服務，並降低身分識別和存取管理服務遭到入侵的風險。 身分識別平臺訂用帳戶中的資源是雲端和內部部署環境的重要安全性點。

應布建登陸區域，讓應用程式擁有者可以根據其工作負載的要求，使用 Microsoft Entra ID 或 AD DS 和 Domain Services。 視您使用的身分識別解決方案而定，您可能需要視需要設定其他服務。 例如，您可能需要啟用及保護身分識別虛擬網路的網路連線。 如果您使用訂用帳戶自動銷售程式，請在您的訂用帳戶要求中包含此設定資訊。

Azure 和內部部署網域 （混合式身分識別）

完全在 Microsoft Entra ID 中建立的用戶對象稱為 僅限雲端帳戶。 它們支援新式驗證和 Azure 和 Microsoft 365 資源的存取，以及針對使用 Windows 10 或 Windows 11 的本機裝置進行存取。

不過，許多組織已經有長期 AD DS 目錄，這些目錄可能與其他系統整合，例如企業營運或企業資源規劃（ERP），透過輕量型目錄存取通訊協定（LDAP）。 這些網域可能會有許多已加入網域的計算機和應用程式，這些計算機和應用程式會使用 Kerberos 或較舊的 NTLMv2 通訊協定進行驗證。 在這些環境中，您可以將用戶物件同步處理至 Microsoft Entra ID，讓使用者可以使用單一身分識別登入內部部署系統和雲端資源。 整合內部部署和雲端目錄服務稱為 混合式身分識別。 您可以將內部部署網域延伸至 Azure 登陸區域：

• 若要在雲端和內部部署環境中維護單一用戶物件，您可以透過 Microsoft Entra 連線 或 Microsoft Entra 連線 Sync 同步處理 AD DS 網域使用者與 Microsoft Entra 識別符。若要判斷您環境的建議組態，請參閱 Microsoft Entra 的拓撲 連線。

• 若要將 Windows VM 和其他服務加入網域，您可以在 Azure 中部署 AD DS 域控制器或 Domain Services。 使用這種方法，AD DS 用戶可以登入 Windows 伺服器、Azure 檔案儲存體 共用，以及其他使用 Active Directory 作為驗證來源的資源。 您也可以使用其他 Active Directory 技術，例如組策略。 如需詳細資訊，請參閱 Microsoft Entra Domain Services 的常見部署案例。

混合式身分識別建議

• 對於依賴網域服務並使用舊版通訊協定的應用程式，您可以使用 Domain Services 。 有時候，現有的 AD DS 網域支援回溯相容性並允許舊版通訊協定，這可能會對安全性造成負面影響。 與其擴充內部部署網域，請考慮使用網域服務來建立不允許舊版通訊協定的新網域，並將其作為雲端裝載應用程式的目錄服務。

• 瞭解並記錄每個應用程式所使用的驗證提供者，以評估您的身分識別解決方案需求。 請考慮檢閱，以協助規劃組織應該使用的服務類型。 如需詳細資訊，請參閱 比較 Active Directory 與 Microsoft Entra ID 和 身分識別決策指南。

• 評估涉及設定外部使用者、客戶或合作夥伴的案例，讓他們可以存取資源。 判斷這些案例是否涉及 Microsoft Entra B2B 或客戶 Microsoft Entra 外部 ID。 如需詳細資訊，請參閱 Microsoft Entra 外部 ID。

• 請勿使用 Microsoft Entra 應用程式 Proxy 進行內部網路存取，因為它會增加用戶體驗的延遲。 如需詳細資訊，請參閱 Microsoft Entra 應用程式 Proxy 規劃和Microsoft Entra 應用程式 Proxy 安全性考慮。

• 請考慮可用來整合 內部部署的 Active Directory 與 Azure 的各種方法，以符合您的組織需求。

• 如果您有 Active Directory 同盟服務 （AD FS） 同盟與 Microsoft Entra ID，您可以使用密碼哈希同步處理作為備份。 AD FS 不支援 Microsoft Entra 無縫單一登錄 （SSO）。

• 判斷雲端身分識別的正確 同步處理工具 。

• 如果您有使用 AD FS 的需求，請參閱 在 Azure 中部署 AD FS。

重要

強烈建議移轉至 Microsoft Entra ID，除非有使用 AD FS 的特定需求。 如需詳細資訊，請參閱解除委任AD FS和從AD FS移轉至 Microsoft Entra ID 的資源。

Microsoft Entra ID、Domain Services 和 AD DS

管理員 istrators 應該熟悉實作 Microsoft 目錄服務的選項：

• 您可以將 AD DS 域控制器部署至 Azure，作為平臺或身分識別系統管理員擁有完全控制權的 Windows 虛擬機（VM ）。 這種方法是基礎結構即服務 （IaaS） 解決方案。 您可以將域控制器加入現有的 Active Directory 網域，也可以裝載與現有內部部署網域有選擇性信任關係的新網域。 如需詳細資訊，請參閱 Azure 登陸區域中的 Azure 虛擬機器 基準架構。

• Domain Services 是 Azure 受控服務，可用來建立 Azure 中裝載的新受控 Active Directory 網域。 網域可以與現有網域建立信任關係，而且可以從 Microsoft Entra ID 同步處理身分識別。 管理員 istrators 沒有域控制器的直接存取權，且不負責修補和其他維護作業。

• 當您將 Domain Services 部署或將內部部署環境整合到 Azure 時，請使用具有可用性區域的位置，以提高可用性。

設定 AD DS 或網域服務之後，您可以使用與內部部署電腦相同的方法來加入 Azure VM 和檔案共用。 如需詳細資訊，請參閱 比較 Microsoft 目錄型服務。

Microsoft Entra ID 和 AD DS 建議

• 若要透過 Microsoft Entra 識別碼從遠端存取使用內部部署驗證的應用程式，請使用 Microsoft Entra 應用程式 Proxy。 此功能提供對內部部署 Web 應用程式的安全遠端存取。 它不需要 VPN 或任何網路基礎結構的變更。 不過，它會部署為單一實例至 Microsoft Entra ID，因此應用程式擁有者和平臺或身分識別小組必須共同作業，以確保應用程式已正確設定。

• 評估 Windows Server 和網域服務上 AD DS 的工作負載相容性。 如需詳細資訊，請參閱 常見使用案例和案例。

• 將域控制器 VM 或 Domain Services 複本集部署到平臺管理群組內的身分識別平臺訂用帳戶。

• 保護包含域控制器的虛擬網路。 藉由將AD DS 伺服器放在具有網路安全組 （NSG） 的隔離子網中，以防止這些系統的直接因特網連線，以提供防火牆功能。 使用域控制器進行驗證的資源必須具有域控制器子網的網路路由。 僅針對需要存取身分識別訂用帳戶中服務的應用程式啟用網路路由。 如需詳細資訊，請參閱 在 Azure 虛擬網路中部署 AD DS。

  • 使用 Azure 虛擬網絡 Manager 來強制執行套用至虛擬網路的標準規則。 例如，如果需要 Active Directory 身分識別服務，可以使用 Azure 原則 或虛擬網路資源標籤，將登陸區域虛擬網路新增至網路群組。 接著可以使用網路群組，只允許從需要域控制器子網的應用程式存取，並封鎖來自其他應用程式的存取。

• 保護適用於域控制器虛擬機和其他身分識別資源的角色型 存取控制 （RBAC） 許可權。 在 Azure 控制平面上具有 RBAC 角色指派的 管理員 istrators，例如參與者、擁有者或虛擬機參與者，可以在虛擬機上執行命令。 請確定只有已授權的系統管理員可以存取身分識別訂用帳戶中的虛擬機，且過度寬鬆的角色指派不會繼承自較高的管理群組。

• 在多區域組織中，將 Domain Services 部署到裝載核心平臺元件的區域。 您只能將 Domain Services 部署到單一訂用帳戶。 您可以在與主要虛擬網路對等互連的個別虛擬網路中，新增最多四個 復本集 ，以擴充網域服務至進一步的區域。 若要將延遲降到最低，請將核心應用程式與複本集的虛擬網路保持接近或位於相同區域中。

• 當您在 Azure 中部署 AD DS 域控制器時，請跨 可用性區域 部署它們，以提高復原能力。 如需詳細資訊，請參閱 在可用性區域中 建立 VM 和 將 VM 遷移至可用性區域。

• 驗證可能發生在雲端和內部部署，或僅限內部部署。 在身分識別規劃中，探索 Microsoft Entra ID 的驗證方法。

• 如果 Windows 使用者需要 Kerberos 進行 Azure 檔案儲存體 檔案共用，請考慮針對 Microsoft Entra ID 使用 Kerberos 驗證，而不是在雲端中部署域控制器。

下一步

登陸區域身分識別和存取管理