Microsoft Entra Domain Services 的常見使用案例和案例
Microsoft Entra Domain Services 提供受控網域服務,例如加入網域、群組原則、輕量型目錄存取通訊協定(LDAP),以及 Kerberos / NTLM 驗證。 Microsoft Entra Domain Services 與現有的 Microsoft Entra 租用戶整合,讓使用者能夠使用現有的認證登入。 您不需要在雲端中部署、管理及修補網域控制站,即可使用這些網域服務,以更順暢地將內部部署資源隨即轉移至 Azure。
本文概述 Microsoft Entra Domain Services 提供價值並符合這些需求的一些常見商務案例。
在雲端中提供身分識別解決方案的常見方式
當您將現有的工作負載移轉至雲端時,目錄感知應用程式可能會使用 LDAP 來讀取或寫入內部部署 AD DS 目錄。 在 Windows Server 上執行的應用程式通常會部署在已加入網域的虛擬機器(VM)上,以便使用群組原則安全地管理它們。 若要驗證使用者,應用程式也可能依賴 Windows 整合式驗證,例如 Kerberos 或 NTLM 驗證。
IT 系統管理員通常會使用下列其中一個解決方案,為在 Azure 中執行的應用程式提供身分識別服務:
- 設定在 Azure 和內部部署 AD DS 環境中執行的工作負載之間的站對站 VPN 連線。
- 然後,內部部署網域控制站會透過 VPN 連線提供驗證。
- 使用 Azure 虛擬機器 (VM) 建立複本網域控制站,以從內部部署擴充 AD DS 網域/樹系。
- 在 Azure VM 上執行的網域控制站會提供驗證,並在內部部署 AD DS 環境之間複寫目錄資訊。
- 使用在 Azure VM 上執行的網域控制站,在 Azure 中部署獨立 AD DS 環境。
- 在 Azure VM 上執行的網域控制站提供驗證,但沒有從內部部署 AD DS 環境複寫的目錄資訊。
透過這些方法,內部部署目錄的 VPN 連線可讓應用程式容易受到暫時性網路故障或中斷的影響。 如果您在 Azure 中使用 VM 部署網域控制站,IT 小組必須管理 VM,然後保護、修補、監視、備份,並進行疑難排解。
Microsoft Entra Domain Services 提供建立 VPN 連線回內部部署 AD DS 環境或執行和管理 Azure 中 VM 以提供身分識別服務的需求替代方案。 Microsoft Entra Domain Services 是受控服務,可降低為混合式和僅限雲端環境建立整合式身分識別解決方案的複雜性。
混合式組織的 Microsoft Entra Domain Services
許多組織都會執行混合式基礎結構,其中包含雲端和內部部署應用程式工作負載。 移轉至 Azure 作為隨即轉移策略的繼承應用程式,可能會使用傳統的 LDAP 連線來提供身分識別資訊。 為了支援此混合式基礎結構,內部部署 AD DS 環境的身分識別資訊可以同步處理至 Microsoft Entra 租使用者。 Microsoft Entra Domain Services 接著會在 Azure 中提供這些繼承應用程式與身分識別來源,而不需要設定及管理應用程式連線回到內部部署目錄服務。
讓我們看看 Litware Corporation 的範例,這是同時執行內部部署和 Azure 資源的混合式組織:
- 需要網域服務的應用程式和伺服器工作負載會部署在 Azure 的虛擬網路中。
- 這可能包括移轉至 Azure 的繼承應用程式,作為隨即轉移策略的一部分。
- 若要將身分識別資訊從其內部部署目錄同步至其 Microsoft Entra 租使用者,Litware Corporation 會 部署 Microsoft Entra 連線 。
- 同步處理的身分識別資訊包括使用者帳戶和群組成員資格。
- Litware 的 IT 小組會為此租使用者或對等互連的虛擬網路,為其 Microsoft Entra 租使用者啟用 Microsoft Entra Domain Services。
- 接著,部署在 Azure 虛擬網路中的應用程式和 VM 可以使用 Microsoft Entra Domain Services 功能,例如加入網域、LDAP 讀取、LDAP 系結、NTLM 和 Kerberos 驗證,以及群組原則。
重要
Microsoft Entra 連線應該只安裝並設定為與內部部署 AD DS 環境同步處理。 不支援在受控網域中安裝 Microsoft Entra 連線,以將物件同步處理回 Microsoft Entra ID。
僅限雲端組織的 Microsoft Entra Domain Services
僅限雲端的 Microsoft Entra 租使用者沒有內部部署身分識別來源。 例如,使用者帳戶和群組成員資格會直接在 Microsoft Entra ID 中建立和管理。
現在讓我們看看 Contoso 的範例,這是使用 Microsoft Entra ID 進行身分識別的僅限雲端組織。 所有使用者身分識別、其認證和群組成員資格都會在 Microsoft Entra ID 中建立和管理。 Microsoft Entra 連線沒有額外的設定,可從內部部署目錄同步處理任何身分識別資訊。
- 需要網域服務的應用程式和伺服器工作負載會部署在 Azure 的虛擬網路中。
- Contoso 的 IT 小組會為此或對等互連的虛擬網路,為其 Microsoft Entra 租使用者啟用 Microsoft Entra Domain Services。
- 接著,部署在 Azure 虛擬網路中的應用程式和 VM 可以使用 Microsoft Entra Domain Services 功能,例如加入網域、LDAP 讀取、LDAP 系結、NTLM 和 Kerberos 驗證,以及群組原則。
保護 Azure 虛擬機器的管理
若要讓您使用一組 AD 認證,Azure 虛擬機器 (VM) 可以加入 Microsoft Entra Domain Services 受控網域。 此法可減少認證管理問題,例如維護每部 VM 上的本機系統管理員帳戶,或不同環境的個別帳戶與密碼。
加入受控網域的 VM 也可以使用群組原則來管理和保護。 必要的安全性基準可以套用至 VM,以根據公司安全性指導方針加以鎖定。 例如,您可以使用群組原則管理功能來限制可在 VM 上啟動的應用程式類型。
讓我們看看常見的範例案例。 當伺服器和其他基礎結構達到生命週期結束時,Contoso 想要將目前裝載于內部部署的應用程式移至雲端。 其目前的 IT 標準規定裝載公司應用程式的伺服器必須使用群組原則加入網域並加以管理。
Contoso 的 IT 系統管理員偏好將部署在 Azure 中的 VM 網域加入網域,讓使用者能夠更輕鬆地使用其公司認證登入。 加入網域時,VM 也可以設定為符合使用群組原則物件 (GPO) 的必要安全性基準。 Contoso 不想在 Azure 中部署、監視及管理自己的網域控制站。
Microsoft Entra Domain Services 非常適合此使用案例。 受控網域可讓您加入網域的 VM、使用一組認證,以及套用群組原則。 而且,因為它是受控網域,因此您不需要自行設定和維護網域控制站。
部署注意事項
下列部署考慮適用于此範例使用案例:
- 受控網域預設會使用單一、一般組織單位 (OU) 結構。 所有已加入網域的 VM,都在此 OU 中。 如有需要,您可以建立 自訂 OU 。
- Microsoft Entra Domain Services 會針對使用者和電腦容器使用內建 GPO。 如需其他控制項,您可以 建立自訂 GPO ,並將其目標設為自訂 OU。
- Microsoft Entra Domain Services 支援基底 AD 電腦物件架構。 您無法擴充電腦物件的架構。
使用 LDAP 系結驗證的隨即轉移內部部署應用程式
在範例案例中,Contoso 具有幾年前從 ISV 購買的內部部署應用程式。 ISV 目前應用程式處於維護模式,要求對應用程式的變更非常昂貴。 此應用程式具有 Web 型前端,會使用 Web 表單收集使用者認證,然後藉由執行 LDAP 系結至內部部署 AD DS 環境來驗證使用者。
Contoso 想要將此應用程式移轉至 Azure。 應用程式應該會依現態繼續運作,而不需要變更。 此外,使用者應該能夠使用現有的公司認證進行驗證,而不需要額外的訓練。 應用程式執行所在的使用者應該會透明。
在此案例中,Microsoft Entra Domain Services 可讓應用程式在驗證程式中執行 LDAP 系結。 舊版的內部部署應用程式可以原形移轉到 Azure,完全無須變更使用者設定或使用者體驗,就能繼續無縫驗證使用者。
部署注意事項
下列部署考慮適用于此範例使用案例:
- 請確定應用程式不需要修改/寫入目錄。 不支援對受控網域的 LDAP 寫入存取權。
- 您無法直接針對受控網域變更密碼。 終端使用者可以使用 Microsoft Entra 自助式密碼變更機制 或內部部署目錄來變更其密碼 。 這些變更接著會自動同步處理,並在受控網域中提供。
使用 LDAP 讀取來存取目錄的內部部署應用程式隨即轉移
如同先前的範例案例,假設 Contoso 有近十年前開發的內部部署企業營運 (LOB) 應用程式。 此應用程式是目錄感知,其設計目的是使用 LDAP 從 AD DS 讀取使用者的相關資訊/屬性。 應用程式不會修改屬性或寫入目錄。
Contoso 想要將此應用程式移轉至 Azure,並淘汰目前裝載此應用程式的過時內部部署硬體。 應用程式無法重寫為使用新式目錄 API,例如 REST 型 Microsoft Graph API。 需要隨即轉移選項,讓應用程式可在雲端中移轉以在雲端中執行,而不需要修改程式碼或重寫應用程式。
為了協助解決此案例,Microsoft Entra Domain Services 可讓應用程式針對受控網域執行 LDAP 讀取,以取得所需的屬性資訊。 應用程式無須重寫就能原形移轉至 Azure,而使用者不僅能繼續使用應用程式,也不會發現其執行位置已有變更。
部署注意事項
下列部署考慮適用于此範例使用案例:
- 請確定應用程式不需要修改/寫入目錄。 不支援對受控網域的 LDAP 寫入存取權。
- 請確定應用程式不需要自訂/擴充的 Active Directory 架構。 Microsoft Entra Domain Services 不支援結構描述擴充功能。
將內部部署服務或精靈應用程式移轉至 Azure
有一些應用程式包含多個層級,其中一個層級必須對後端層級 (例如資料庫) 執行經過驗證的呼叫。 這些案例中通常會使用 AD 服務帳戶。 當您將應用程式原形移轉至 Azure 時,Microsoft Entra Domain Services 可讓您以相同的方式,繼續使用服務帳戶。 您可以選擇使用從內部部署目錄同步處理至 Microsoft Entra ID 的相同服務帳戶,或建立自訂 OU,然後在該 OU 中建立個別的服務帳戶。 無論使用何種方法,應用程式都會繼續以相同的方式運作,以對其他層級與服務執行經過驗證的呼叫。
在此範例案例中,Contoso 具有自訂建置的軟體保存庫應用程式,其中包含 Web 前端、SQL 伺服器和後端 FTP 伺服器。 使用服務帳戶的 Windows 整合式驗證會向 FTP 伺服器驗證 Web 前端。 Web 前端會設定為以服務帳戶身分執行。 後端伺服器已設定為授權從 Web 前端的服務帳戶存取權。 Contoso 不想在雲端中部署及管理自己的網域控制站 VM,以將此應用程式移至 Azure。
在此案例中,裝載 Web 前端、SQL Server 和 FTP 伺服器的伺服器可以移轉至 Azure VM 並加入受控網域。 VM 接著可以使用其內部部署目錄中的相同服務帳戶來進行應用程式的驗證,而該應用程式會使用 Microsoft Entra 連線透過 Microsoft Entra 識別碼進行同步處理。
部署注意事項
下列部署考慮適用于此範例使用案例:
- 請確定應用程式使用使用者名稱和密碼進行驗證。 Microsoft Entra Domain Services 不支援憑證或智慧卡型驗證。
- 您無法直接針對受控網域變更密碼。 終端使用者可以使用 Microsoft Entra 自助式密碼變更機制 或內部部署目錄來變更其密碼 。 這些變更接著會自動同步處理,並在受控網域中提供。
Azure 中的 Windows Server 遠端桌面服務部署
您可以使用 Microsoft Entra Domain Services 將受控網域服務提供給部署在 Azure 中的遠端桌面伺服器。
如需此部署案例的詳細資訊,請參閱 如何整合 Microsoft Entra Domain Services 與 RDS 部署 。
已加入網域的 HDInsight 叢集
您可以設定已加入已啟用 Apache Ranger 的受控網域的 Azure HDInsight 叢集。 您可以透過 Apache Ranger 建立及套用 Hive 原則,並允許使用者,例如資料科學家,使用 Excel 或 Tableau 等 ODBC 型工具連線到 Hive。 我們繼續致力於將 HBase、Spark 和 Storm 等其他工作負載新增至已加入網域的 HDInsight。
如需此部署案例的詳細資訊,請參閱 如何設定已加入網域的 HDInsight 叢集