Condividi tramite

Distribuzione e gestione di Microsoft Entra Domain Services per Azure Cloud Solution Provider

  • Articolo

Azure Cloud Solution Provider (CSP) è un programma per Microsoft Partner e offre un canale di licenza per vari servizi cloud di Microsoft. Azure CSP permette ai partner di gestire le vendite, avere il controllo sulla relazione di fatturazione, fornire supporto tecnico e per la fatturazione e rappresentare l'unico punto di contatto dei clienti. Inoltre, Azure CSP include un set completo di strumenti, tra cui un portale self-service e le API associate. Questi strumenti consentono ai partner CSP di effettuare agevolmente il provisioning, gestire le risorse di Azure e fornire la fatturazione dei clienti e delle relative sottoscrizioni.

Il portale del Partner Center è il punto di ingresso per tutti i partner Azure CSP e offre funzionalità avanzate di gestione clienti, elaborazione automatizzata e altro ancora. I partner Azure CSP possono usare le funzionalità del Centro per i partner tramite un'interfaccia utente basata sul Web o mediante PowerShell e varie chiamate API.

Il diagramma seguente illustra il funzionamento del modello CSP a livello generale. In questo caso, Contoso dispone di un tenant Microsoft Entra. Ha una partnership con un CSP, che distribuisce e gestisce le risorse nella propria sottoscrizione Azure CSP. Contoso può anche avere sottoscrizioni di Azure regolari (dirette), fatturate direttamente alla società stessa.

Panoramica del modello CSP

Il tenant del partner CSP ha tre gruppi di agenti speciali: agenti di amministrazione, agenti dell'help desk e agenti di vendita.

Il gruppo di agenti di amministrazione viene assegnato al ruolo di amministratore del tenant Microsoft Entra di Contoso. Di conseguenza, un utente appartenente al gruppo di agenti di amministrazione del partner CSP ha privilegi di amministratore del tenant nel tenant Microsoft Entra di Contoso.

Quando il partner CSP effettua il provisioning di una sottoscrizione di Azure CSP per Contoso, il gruppo di agenti di amministrazione viene assegnato al ruolo di proprietario della sottoscrizione. Gli agenti di amministrazione del partner CSP dispongono pertanto dei privilegi necessari per eseguire il provisioning delle risorse di Azure, quali macchine virtuali, reti virtuali e Microsoft Entra Domain Services per conto di Contoso.

Per altre informazioni, vedere la Panoramica di Azure CSP

Vantaggi dell'uso di Domain Services in una sottoscrizione di Azure CSP

Microsoft Entra Domain Services offre servizi di dominio gestiti, ad esempio aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM, completamente compatibili con Windows Server Active Directory Domain Services. Nel corso dei decenni, sono state create molte applicazioni per funzionare in Active Directory utilizzando tali funzionalità. Molti fornitori di software indipendenti hanno compilato e distribuito applicazioni presso la sede dei clienti. Queste applicazioni sono difficili da supportare poiché spesso si richiede l'accesso ai diversi ambienti dove vengono distribuite. Le sottoscrizioni di Azure CSP costituiscono un'alternativa più semplice con la scalabilità e la flessibilità di Azure.

Domain Services supporta le sottoscrizioni di Azure CSP. È possibile distribuire un'applicazione in una sottoscrizione di Azure CSP associata al tenant Microsoft Entra del cliente. Di conseguenza, il personale di supporto può gestire, amministrare e offrire assistenza per le VM (macchine virtuali) in cui è distribuita l'applicazione utilizzando le credenziali aziendali.

È inoltre possibile distribuire un dominio gestito di Domain Services nel tenant di Microsoft Entra del cliente. L'applicazione è quindi connessa al dominio gestito del cliente. Le funzionalità all'interno dell'applicazione basate su Kerberos/NTLM, LDAP o l'API System.DirectoryServices funzionano perfettamente con il dominio del cliente. I clienti finali traggono vantaggio dall'utilizzo dell'applicazione come servizio, senza doversi preoccupare della manutenzione dell'infrastruttura in cui è distribuita l'applicazione.

Tutta la fatturazione per le risorse di Azure utilizzate nella sottoscrizione, tra cui Domain Services, viene addebitata all'utente. L'utente ha il controllo completo della relazione con il cliente per quanto riguarda vendite, fatturazione, supporto tecnico e così via. Con la flessibilità della piattaforma Azure CSP, un piccolo team di agenti di supporto può dare assistenza a molti clienti con istanze dell'applicazione distribuita.

Modelli di distribuzione CSP per Domain Services

Esistono due modalità di utilizzo di Domain Services con una sottoscrizione di Azure CSP. Scegliere quella adeguata in base alle considerazioni sulla sicurezza e sulla semplicità dei clienti.

Modello di distribuzione diretta

In questo modello di distribuzione, Domain Services è abilitato in una rete virtuale che appartiene alla sottoscrizione di Azure CSP. Gli agenti di amministrazione del partner CSP dispongono dei privilegi seguenti:

Per gestire questa funzionalità è necessario un amministratore globale.

Per questa funzionalità sono necessari privilegi di proprietario della sottoscrizione per la sottoscrizione di Azure CSP.

Modello di distribuzione diretta

In questo modello di distribuzione, gli agenti di amministrazione del provider CSP possono amministrare le identità per il cliente. Questi agenti di amministrazione possono eseguire attività come effettuare il provisioning di nuovi utenti o gruppi o aggiungere applicazioni all'interno del tenant di Microsoft Entra del cliente.

Questo modello di distribuzione è adatto a organizzazioni di piccole dimensioni che non dispongono di un amministratore di identità dedicato o preferiscono che sia il partner CSP ad amministrare le identità per loro conto.

Modello di distribuzione con peering

In questo modello di distribuzione Domain Services è abilitato in una rete virtuale che appartiene al cliente, una sottoscrizione di Azure diretta pagata dal cliente. Il partner CSP può distribuire le applicazioni all'interno di una rete virtuale che appartiene alla sottoscrizione di CSP del cliente. Le reti virtuali possono essere connesse tramite il peering di rete virtuale di Azure.

Con questa distribuzione, i carichi di lavoro o le applicazioni distribuiti dal partner CSP nella sottoscrizione di Azure CSP possono connettersi al dominio gestito del cliente di cui viene effettuato il provisioning nella sottoscrizione di Azure diretta del cliente.

Modello di distribuzione con peering

Questo modello di distribuzione offre una separazione dei privilegi e permette agli agenti dell'help desk del partner CSP di amministrare la sottoscrizione di Azure e distribuire e gestire le risorse al suo interno. Tuttavia, gli agenti helpdesk del partner CSP non necessitano di un ruolo con privilegi elevati nella directory Microsoft Entra del cliente. Gli amministratori delle identità del cliente possono continuare a gestire le identità per la propria organizzazione.

Questo modello di distribuzione è adatto a scenari in cui un ISV (fornitore di software indipendente) offre una versione ospitata della propria applicazione locale, che deve anch'essa connettersi al Microsoft Entra ID del cliente.

Amministrare Domain Services nelle sottoscrizioni CSP

Le considerazioni importanti che seguono si applicano all'amministrazione di un dominio gestito in una sottoscrizione di Azure CSP:

  • Gli agenti di amministrazione CSP possono effettuare il provisioning di un dominio gestito usando le proprie credenziali: Domain Services supporta le sottoscrizioni di Azure CSP. Gli utenti appartenenti al gruppo di agenti di amministrazione di un partner CSP, possono effettuare il provisioning di un nuovo dominio gestito.

  • I CSP possono creare script per la creazione di nuovi domini gestiti per i clienti con PowerShell: vedere come abilitare Domain Services tramite PowerShell per informazioni dettagliate.

  • Gli agenti di amministrazione CSP non possono eseguire attività di gestione continuative nel dominio gestito usando le proprie credenziali: gli utenti amministratori CSP non possono eseguire attività di gestione di routine all'interno del dominio gestito usando le proprie credenziali. Questi utenti sono esterni al tenant Microsoft Entra del cliente e le relative credenziali non sono disponibili all'interno del tenant Microsoft Entra del cliente. Domain Services non ha accesso agli hash delle password Kerberos e NTLM per questi utenti, quindi gli utenti non possono essere autenticati nei domini gestiti.

    Avviso

    È necessario creare un account utente nella directory del cliente per eseguire attività di amministrazione continuative nel dominio gestito.

    Non è possibile accedere al dominio gestito utilizzando le credenziali di un utente amministratore CSP. A tale scopo, utilizzare le credenziali di un account utente appartenente al tenant di Microsoft Entra del cliente. Queste credenziali sono necessarie per attività quali l'aggiunta di VM al dominio gestito, l'amministrazione di DNS o l'amministrazione di criteri di gruppo.

  • L'account utente creato per l'amministrazione continuativa deve essere aggiunto al gruppo Amministratori di AAD DC: tale gruppo ha i privilegi necessari per eseguire alcune attività di amministrazione delegate per il dominio gestito. Tra le attività sono incluse la configurazione DNS, la creazione di unità organizzative e l'amministrazione dei criteri di gruppo.

    Affinché un partner CSP esegua queste attività in un dominio gestito, è necessario creare un account utente all'interno del tenant di Microsoft Entra del cliente. Le credenziali per questo account devono essere condivise con gli agenti di amministrazione del partner CSP. L'account utente, inoltre, deve essere aggiunto al gruppo Amministratori di AAD DC per abilitare l'esecuzione delle attività di configurazione nel dominio gestito con questo account utente.

Passaggi successivi

Per iniziare, iscriversi al programma Azure CSP. È quindi possibile abilitare Microsoft Entra Domain Services usando l'interfaccia di amministrazione di Microsoft Entra o Azure PowerShell.