什麼是 Microsoft Entra Domain Services?

  • 發行項

Microsoft Entra Domain Services 可提供受控網域服務,例如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos/NTLM 驗證。 您可以使用這些網域服務,而不需要在雲端部署、管理及修補網域控制站 (DC)。

Domain Services 受控網域可讓您在雲端中執行無法使用新式驗證方法的繼承應用程式,或不想讓目錄查閱一律回到內部部署 AD DS 環境的位置。 您可以將這些舊版應用程式從內部部署環境提起並轉移到受控網域,而不需要管理雲端中的 AD DS 環境。

Domain Services 會與您的現有 Microsoft Entra 租使用者整合。 這項整合可讓使用者使用現有的認證登入與受控網域連線的服務與應用程式。 您也可以使用現有的群組與使用者帳戶來保護對資源的存取。 這些功能提供了內部部署資源到 Azure 的順暢隨即轉移。

若要開始使用,請使用 Microsoft Entra 系統管理中心建立 Domain Services 受控網域

請看一下我們的短片,以深入瞭解 Domain Services。

Domain Services 如何運作?

當您建立 Domain Services 受控網域時,您會定義唯一的命名空間。 這個命名空間即為網域名稱,例如 aaddscontoso.com。 接著,系統會將兩個 Windows Server (DC) 網域控制站部署到您選取的 Azure 區域。 這個 DC 的部署稱為複本集。

您不需要管理、設定或更新這些 DC。 Azure 平台會以受控網域的一部分來處理 DC,包括使用 Azure 磁碟加密的備份與待用加密。

受控網域會設定為從 Microsoft Entra ID 執行單向同步處理,以提供對一組中心使用者、群組和認證的存取權。 您可以直接在受控網域中建立資源,但資源不會同步回 Microsoft Entra ID。 連線到受控網域的 Azure 應用程式、服務和 VM 接著就可以使用常見的 AD DS 功能,例如網域加入、群組原則、LDAP 與 Kerberos/NTLM 驗證。

在具有內部部署 AD DS 環境的混合式環境中, Microsoft Entra 連線 會同步處理身分識別資訊與 Microsoft Entra ID,然後同步處理至受控網域。

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services 會從 Microsoft Entra ID 複寫身分識別資訊,因此它適用于僅限雲端的 Microsoft Entra 租使用者,或與內部部署 AD DS 環境同步處理。 這兩個環境都有相同的一組 Domain Services 功能。

  • 如果您有現有的內部部署 AD DS 環境,您可以同步使用者帳戶資訊,為使用者提供一致的身分識別。 若要深入瞭解,請參閱 如何在受控網域 中同步處理物件和認證。
  • 針對僅限雲端的環境,您不需要傳統的內部部署 AD DS 環境,即可使用 Domain Services 的集中式身分識別服務。

您可以擴充受控網域,讓每個 Microsoft Entra 租用戶擁有一個以上的複本集。 複本集可以新增至任何支援 Domain Services 之 Azure 區域中的任何對等互連虛擬網路。 藉由在不同的 Azure 區域中新增複本集,您可以在 Azure 區域離線時,為繼承應用程式提供地理災害復原。 如需詳細資訊,請參閱 受控網域 的複本集概念和功能。

觀看這段影片,瞭解 Domain Services 如何與您的應用程式和工作負載整合,以提供雲端中的身分識別服務:


若要查看作用中的 Domain Services 部署案例,您可以探索下列範例:

Domain Services 功能和優點

為了為雲端中的應用程式和 VM 提供身分識別服務,Domain Services 與傳統 AD DS 環境完全相容,適用于加入網域、安全 LDAP(LDAPS)、群組原則、DNS 管理和 LDAP 系結和讀取支援等作業。 LDAP 寫入支援適用于在受控網域中建立的物件,但不適用於從 Microsoft Entra ID 同步處理的資源。

若要深入瞭解您的身分識別選項, 請比較 Domain Services 與 Microsoft Entra ID、Azure VM 上的 AD DS 和內部部署 AD DS。

Domain Services 的下列功能可簡化部署和管理作業:

  • 簡化的部署體驗: 在 Microsoft Entra 系統管理中心使用單一精靈為您的 Microsoft Entra 租使用者啟用網域服務。
  • 與 Microsoft Entra 識別碼整合: 使用者帳戶、群組成員資格和認證會自動從您的 Microsoft Entra 租使用者取得。 新的使用者、群組或變更來自 Microsoft Entra 租使用者或內部部署 AD DS 環境的屬性,會自動同步處理至 Domain Services。
    • 在網域服務中無法使用連結至 Microsoft Entra 識別碼的外部目錄中的帳戶。 這些外部目錄無法使用認證,因此無法同步處理至受控網域。
  • 使用您的公司認證/密碼: 網域服務中使用者的密碼與 Microsoft Entra 租使用者中的密碼相同。 使用者可以使用其公司認證來加入網域的電腦、以互動方式登入或透過遠端桌面登入,以及針對受控網域進行驗證。
  • NTLM 和 Kerberos 驗證:由於支援 NTLM 和 Kerberos 驗證,您可以部署依賴 Windows 整合式驗證的應用程式。
  • 高可用性: 網域服務包含多個網域控制站,可為受控網域提供高可用性。 此高可用性可保證服務執行時間,且可從失敗復原。

受控網域的一些關鍵層面包括下列項目:

  • 受控網域是獨立網域。 其非內部部署網域的延伸。
    • 如有需要,您可以建立從 Domain Services 到內部部署 AD DS 環境的單向輸出樹系信任。 如需詳細資訊,請參閱 網域服務的 樹系概念和功能。
  • 您的 IT 小組不需要針對此受控網域管理、修補或監視網域控制站。

針對執行 AD DS 內部部署的混合式環境,您不必管理受控網域的 AD 複寫。 來自內部部署目錄的使用者帳戶、群組成員資格和認證會透過 Microsoft Entra 連線 同步處理至 Microsoft Entra ID。 這些使用者帳戶、群組成員資格與認證會在受控網域內自動提供使用。

下一步

若要深入瞭解 Domain Services 與其他身分識別解決方案的比較,以及同步處理的運作方式,請參閱下列文章:

若要開始使用, 請使用 Microsoft Entra 系統管理中心 建立受控網域。