Porównanie zarządzanych samodzielnie usług Active Directory Domain Services, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services
Aby zapewnić aplikacjom, usługom lub urządzeniom dostęp do tożsamości centralnej, istnieją trzy typowe sposoby korzystania z usług opartych na usłudze Active Directory na platformie Azure. Ten wybór w rozwiązaniach do obsługi tożsamości zapewnia elastyczność korzystania z najbardziej odpowiedniego katalogu dla potrzeb organizacji. Jeśli na przykład w większości zarządzasz użytkownikami korzystającymi tylko z chmury z urządzeniami przenośnymi, tworzenie i uruchamianie własnego rozwiązania tożsamości usług Active Directory Domain Services (AD DS) może nie mieć sensu. Zamiast tego możesz po prostu użyć identyfikatora Microsoft Entra.
Mimo że trzy rozwiązania tożsamości oparte na usłudze Active Directory mają wspólną nazwę i technologię, są one przeznaczone do świadczenia usług spełniających różne wymagania klientów. Na wysokim poziomie te rozwiązania tożsamości i zestawy funkcji to:
-
Usługi Active Directory Domain Services (AD DS) — gotowy do użytku w przedsiębiorstwie serwer LDAP (lekki protokół dostępu do katalogu), który zapewnia kluczowe funkcje, takie jak zarządzanie tożsamością i uwierzytelnianiem, zarządzanie obiektami komputerów, zasady grup i zaufania.
- Usługi AD DS to centralny składnik w wielu organizacjach z lokalnym środowiskiem IT i zapewnia podstawowe funkcje uwierzytelniania konta użytkownika i zarządzania komputerami.
- Aby uzyskać więcej informacji, zobacz Omówienie usług Active Directory Domain Services w dokumentacji systemu Windows Server.
-
Microsoft Entra ID — Usługa zarządzania tożsamością i urządzeniami mobilnymi oparta na chmurze, która zapewnia konta użytkowników i usługi uwierzytelniania dla zasobów, takich jak Microsoft 365, centrum administracyjne Microsoft Entra lub aplikacje SaaS.
- Identyfikator Entra firmy Microsoft można zsynchronizować z lokalnym środowiskiem usług AD DS, aby zapewnić jedną tożsamość użytkownikom, którzy działają natywnie w chmurze.
- Aby uzyskać więcej informacji na temat identyfikatora Entra firmy Microsoft, zobacz Co to jest identyfikator Entra firmy Microsoft?
-
Microsoft Entra Domain Services — udostępnia zarządzane usługi domenowe z podzbiorem w pełni zgodnych z tradycyjnymi funkcji usług AD DS, takich jak dołączenie do domeny, zasady grupowe, LDAP i uwierzytelnianie Kerberos / NTLM.
- Usługi Domain Services integrują się z identyfikatorem Entra firmy Microsoft, który może być synchronizowany z lokalnym środowiskiem usług AD DS. Ta funkcjonalność rozszerza zastosowanie centralnej tożsamości na tradycyjne aplikacje webowe działające w Azure jako element strategii „lift-and-shift”.
- Aby dowiedzieć się więcej na temat synchronizacji z identyfikatorem Entra firmy Microsoft i środowiskiem lokalnym, zobacz Jak obiekty i poświadczenia są synchronizowane w domenie zarządzanej.
Ten artykuł przeglądowy porównuje i kontrastuje sposoby, w jakie te rozwiązania tożsamości mogą współdziałać, lub być używane niezależnie, w zależności od potrzeb Twojej organizacji.
Usługi domenowe i samodzielnie zarządzane usługi AD DS
Jeśli masz aplikacje i usługi, które wymagają dostępu do tradycyjnych mechanizmów uwierzytelniania, takich jak Kerberos lub NTLM, istnieją dwa sposoby udostępniania usług Domenowych Active Directory w chmurze:
- domena zarządzana tworzona przy użyciu usług Microsoft Entra Domain Services. Firma Microsoft tworzy wymagane zasoby i zarządza nimi.
- Domena samodzielnie zarządzana, którą tworzysz i konfigurujesz przy użyciu tradycyjnych zasobów, takich jak maszyny wirtualne (VM), system operacyjny gościa Windows Server oraz usługi Active Directory Domain Services (AD DS). Następnie będziesz nadal administrować tymi zasobami.
Dzięki usługom Domain Services podstawowe składniki usługi są wdrażane i obsługiwane przez firmę Microsoft jako zarządzane środowisko domeny. Nie wdrażasz, zarządzasz, aktualizujesz ani nie zabezpieczasz infrastruktury AD DS dla takich składników, jak maszyny wirtualne, system operacyjny Windows Server czy kontrolery domeny (DC).
Usługi domenowe zapewniają mniejszy zestaw funkcji w porównaniu do własnoręcznie zarządzanego tradycyjnego środowiska AD DS, co redukuje złożoność projektowania i zarządzania. Na przykład nie ma żadnych lasów usługi Active Directory, domen, lokacji ani linków replikacji, które trzeba projektować i utrzymywać. Nadal można tworzyć relacje zaufania lasu między usługami Domain Services i środowiskami lokalnymi.
W przypadku aplikacji i usług, które działają w chmurze i wymagają dostępu do tradycyjnych mechanizmów uwierzytelniania, takich jak Kerberos lub NTLM, usługi Domain Services zapewniają środowisko domeny zarządzanej z minimalnym obciążeniem administracyjnym. Aby uzyskać więcej informacji, zobacz Koncepcje zarządzania kontami użytkowników, hasłami i administracją w usługach domenowych.
Podczas wdrażania i uruchamiania własnego środowiska usług AD DS należy zachować wszystkie skojarzone składniki infrastruktury i katalogu. Istnieje dodatkowe obciążenie związane z konserwacją w samodzielnie zarządzanym środowisku usług AD DS, ale możesz wykonywać dodatkowe zadania, takie jak rozszerzanie schematu lub tworzenie relacji zaufania między lasami.
Typowe modele wdrażania dla własnego środowiska usług AD DS, które zapewniają tożsamość aplikacjom i usługom w chmurze, obejmują następujące elementy:
- Samodzielne usługi AD DS tylko w chmurze — maszyny wirtualne Azure są konfigurowane jako kontrolery domeny i tworzone jest osobne środowisko usług AD DS, działające wyłącznie w chmurze. To środowisko usług AD DS nie integruje się z lokalnym środowiskiem usług AD DS. Inny zestaw poświadczeń służy do logowania się i administrowania maszynami wirtualnymi w chmurze.
-
rozszerzanie domeny lokalnej na platformę Azure — sieć wirtualna platformy Azure łączy się z siecią lokalną przy użyciu połączenia sieci VPN/usługi ExpressRoute. Maszyny wirtualne platformy Azure łączą się z tą siecią wirtualną platformy Azure, co umożliwia przyłączanie ich do lokalnego środowiska usług AD DS.
- Alternatywą jest utworzenie maszyn wirtualnych Azure i promowanie ich jako kontrolerów domeny-replik z lokalnej domeny usług AD DS. Te kontrolery domeny replikują za pośrednictwem połączenia sieci VPN/usługi ExpressRoute z lokalnym środowiskiem usług AD DS. Lokalna domena usług AD DS jest skutecznie rozszerzana na platformę Azure.
W poniższej tabeli przedstawiono niektóre funkcje, które mogą być potrzebne w organizacji, oraz różnice między domeną zarządzaną lub własną domeną usług AD DS:
| funkcja | zarządzana domena | Samodzielnie zarządzane usługi AD DS |
|---|---|---|
| usługi zarządzanej | • | ✕ |
| Bezpieczne wdrożenia | • | Administrator zabezpiecza wdrożenie |
| serwer DNS | • (usługa zarządzana) | • |
| uprawnienia administratora domeny lub przedsiębiorstwa | ✕ | • |
| dołączenie do domeny | • | • |
| Uwierzytelnianie domeny przy użyciu protokołów NTLM i Kerberos | • | • |
| Kerberos ograniczone delegowanie | Oparte na zasobach | Oparte na zasobach & oparte na kontach |
| niestandardowa struktura jednostki organizacyjnej | • | • |
| zasady grupy | • | • |
| rozszerzenia schematu | ✕ | • |
| domena Active Directory/zaufanie lasu Active Directory | ✓ (wersja zapoznawcza wymaga SKU Enterprise) | • |
| Secure LDAP (LDAPS) | • | • |
| odczytu LDAP | • | • |
| zapisywanie do LDAP | √ (w domenie zarządzanej) | • |
| wdrożenia rozproszone geograficznie | • | • |
Domain Services i Microsoft Entra ID
Microsoft Entra ID umożliwia zarządzanie tożsamością urządzeń używanych przez organizację i kontrolowanie dostępu do zasobów firmy z tych urządzeń. Użytkownicy mogą również zarejestrować swoje urządzenie osobiste (model BYO) przy użyciu identyfikatora Entra firmy Microsoft, który udostępnia urządzeniu tożsamość. Identyfikator Entra firmy Microsoft następnie uwierzytelnia urządzenie, gdy użytkownik loguje się do identyfikatora Entra firmy Microsoft i używa urządzenia do uzyskiwania dostępu do zabezpieczonych zasobów. Urządzenie można zarządzać przy użyciu oprogramowania do zarządzania urządzeniami przenośnymi (MDM), takiego jak Microsoft Intune. Ta możliwość zarządzania umożliwia ograniczenie dostępu do poufnych zasobów do urządzeń zarządzanych i zgodnych z zasadami.
Tradycyjne komputery i laptopy mogą również dołączyć do identyfikatora Entra firmy Microsoft. Ten mechanizm oferuje te same korzyści wynikające z rejestrowania urządzenia osobistego przy użyciu identyfikatora Entra firmy Microsoft, na przykład w celu umożliwienia użytkownikom logowania się na urządzeniu przy użyciu poświadczeń firmowych.
Urządzenia dołączone do firmy Microsoft Entra zapewniają następujące korzyści:
- Logowanie jednokrotne (SSO) do aplikacji zabezpieczonych przez microsoft Entra ID.
- Roaming ustawień użytkownika, który jest zgodny z zasadami przedsiębiorstwa, na różnych urządzeniach.
- Dostęp do Sklepu Windows dla Firm przy użyciu poświadczeń firmowych.
- Windows Hello dla firm.
- Ograniczony dostęp do aplikacji i zasobów z urządzeń zgodnych z zasadami firmy.
Urządzenia mogą być przyłączone do Microsoft Entra ID z wdrożeniem hybrydowym lub bez niego, które obejmuje lokalne środowisko AD DS. W poniższej tabeli przedstawiono typowe modele własności urządzeń i sposób ich łączenia z domeną:
| typ urządzenia | Platformy urządzeń | Mechanizm |
|---|---|---|
| Urządzenia osobiste | Windows 10, iOS, Android, macOS | Zarejestrowano Microsoft Entra |
| Urządzenie należące do organizacji nie jest przyłączone do lokalnych usług AD DS | Windows 10 | Microsoft Entra dołączył |
| Urządzenie należące do organizacji przyłączone do lokalnej usługi AD DS | Windows 10 | Hybrydowe dołączenie do Microsoft Entra |
Na urządzeniu dołączonym lub zarejestrowanym przez firmę Microsoft uwierzytelnianie użytkowników odbywa się przy użyciu nowoczesnych protokołów opartych na protokole OAuth/OpenID Connect. Te protokoły są przeznaczone do pracy przez Internet, dlatego doskonale nadają się do scenariuszy mobilnych, w których użytkownicy uzyskują dostęp do zasobów firmy z dowolnego miejsca.
W przypadku urządzeń przyłączonych do usług domenowych aplikacje mogą używać protokołów Kerberos i NTLM do uwierzytelniania, dzięki czemu mogą obsługiwać starsze aplikacje migrowane do uruchamiania na maszynach wirtualnych platformy Azure w ramach strategii "lift-and-shift". W poniższej tabeli przedstawiono różnice w tym, jak urządzenia są reprezentowane i mogą uwierzytelniać się w katalogu:
| aspekt | Microsoft Entra przyłączyło się do | przyłączone do usług |
|---|---|---|
| Urządzenie kontrolowane przez | Microsoft Entra ID | Domena zarządzana przez Usługi Domenowe |
| Reprezentacja w katalogu | Obiekty urządzeń w katalogu Microsoft Entra | Obiekty komputerowe w domenie zarządzanej przez usługi domenowe |
| Uwierzytelnianie | Protokoły oparte na protokole OAuth/OpenID Connect | Protokoły Kerberos i NTLM |
| Zarządzanie | Oprogramowanie do zarządzania urządzeniami przenośnymi (MDM), takie jak usługa Intune | Zasady grupy |
| Sieci komputerowe (or Budowanie sieci kontaktów) | Działa przez Internet | Musi być połączony z siecią wirtualną, w której jest wdrożona domena zarządzana, lub połączony za pomocą peeringu |
| Świetne do... | Urządzenia przenośne lub stacjonarne użytkownika końcowego | Wirtualne maszyny serwera wdrożone na platformie Azure |
Jeśli lokalne AD DS i Microsoft Entra ID są skonfigurowane do uwierzytelniania federacyjnego przy użyciu AD FS, to w usłudze Azure DS nie ma dostępnego aktualnego (ważnego) skrótu hasła. Konta użytkowników usługi Microsoft Entra utworzone przed zaimplementowanym uwierzytelnianiem fed mogą mieć stary skrót hasła, ale prawdopodobnie nie jest to zgodne ze skrótem hasła lokalnego. W związku z tym usługi Domain Services nie będą mogły zweryfikować poświadczeń użytkowników
Następne kroki
Aby rozpocząć korzystanie z usług Domain Services, utwórz domenę zarządzaną w usłudze Domain Services przy użyciu centrum administracyjnego firmy Microsoft Entra.
Możesz również dowiedzieć się więcej na temat pojęć związanych z zarządzaniem dla kont użytkowników, haseł i administracji w usługach Domain Services oraz , w jaki sposób obiekty i poświadczenia są synchronizowane w domenie zarządzanej.