Esaminare Microsoft Entra Domain Services

Completato

Nella maggior parte delle organizzazioni odierne, le applicazioni line-of-business (LOB) vengono distribuite su computer e dispositivi membri del dominio. Queste organizzazioni usano credenziali basate su Active Directory Domain Services per l'autenticazione e Criteri di gruppo li gestisce. Quando si valuta lo spostamento di queste app da eseguire in Azure, un problema fondamentale consiste nel fornire servizi di autenticazione a queste app. Per soddisfare questa necessità, è possibile scegliere di implementare una rete privata virtuale da sito a sito tra l'infrastruttura locale e azure IaaS oppure distribuire controller di dominio di replica da Active Directory Domain Services locale come macchine virtuali in Azure. Questi approcci possono comportare costi aggiuntivi e lavoro amministrativo. Ka differenza tra questi due approcci consiste anche, con la prima opzione, nel fatto che il traffico di autenticazione attraverserà la VPN, mentre con la seconda opzione il traffico di replica attraverserà la VPN e il traffico di autenticazione rimarrà nel cloud.

Microsoft offre Microsoft Entra Domain Services come alternativa a questi approcci. Questo servizio, che viene eseguito come parte del livello Microsoft Entra ID P1 o P2, fornisce servizi di dominio come la gestione dei Criteri di gruppo, l'aggiunta dei domini e l'autenticazione Kerberos al tenant di Microsoft Entra. Questi servizi sono completamente compatibili con AD DS distribuita in locale, pertanto è possibile usarli senza distribuire e gestire controller di dominio aggiuntivi nel cloud.

Diagramma che mostra una panoramica di Microsoft Entra Domain Services.

Dato che Microsoft Entra ID può essere integrato con Active Directory Domain Services locale, quando si implementa Microsoft Entra Connect, gli utenti possono usare le credenziali aziendali sia in Active Directory Domain Services locale che in Microsoft Entra Domain Services. Anche se Active Directory Domain Services non è stato distribuito localmente, è possibile scegliere di usare Microsoft Entra Domain Services come servizio solo cloud. In questo modo si ottengono funzionalità simili ad AD DS distribuito localmente senza dover distribuire un singolo controller di dominio in locale o nel cloud. Ad esempio, un'organizzazione può scegliere di creare un tenant Microsoft Entra e abilitare Microsoft Entra Domain Services, per poi distribuire una rete virtuale tra le risorse locali e il tenant di Microsoft Entra. È possibile abilitare Microsoft Entra Domain Services per questa rete virtuale, in modo che tutti gli utenti e i servizi locali possano usare i servizi di dominio di Microsoft Entra ID.

Microsoft Entra Domain Services offre diversi vantaggi per le organizzazioni, ad esempio:

  • Gli amministratori non devono gestire, aggiornare e monitorare i controller di dominio.
  • Gli amministratori non devono distribuire e gestire la replica di Active Directory.
  • Non è necessario disporre di gruppi Domain Admins o Enterprise Admins per i domini gestiti da Microsoft Entra ID.

Se si sceglie di implementare Microsoft Entra Domain Services, è necessario tenere conto delle limitazioni correnti del servizio. tra cui:

  • È supportato solo l'oggetto Active Directory del computer di base.
  • Non è possibile estendere lo schema per il dominio Microsoft Entra Domain Services.
  • La struttura dell'unità organizzativa è flat; le unità organizzative nidificate non sono attualmente supportate.
  • Esiste un oggetto Criteri di gruppo predefinito per account utente e computer.
  • Non è possibile fare riferimento a unità organizzative con oggetti Criteri di gruppo predefiniti. Non è inoltre possibile usare i filtri Strumentazione gestione Windows (WMI) o il filtro dei gruppi di sicurezza.

Tramite Microsoft Entra Domain Services, è possibile eseguire liberamente la migrazione delle applicazioni che usano LDAP, NTLM o i protocolli Kerberos dall'infrastruttura locale al cloud. È anche possibile usare applicazioni come Microsoft SQL Server o Microsoft SharePoint Server nelle macchine virtuali o distribuirle in Azure IaaS, senza bisogno di controller di dominio nel cloud o di una VPN all'infrastruttura locale.

È possibile abilitare Microsoft Entra Domain Services usando il portale di Azure. Questo servizio viene addebitato all'ora in base alle dimensioni della directory.