Hybrididentitet

  • 10 minuter

Tailwind Traders har använt Active Directory Domain Services (AS DS) som lokal identitetsprovider i den lokala nätverksmiljön sedan migreringen från Windows NT 4.0 i början av 2000-talet. Många av Tailwind Traders befintliga program har beroenden till Active Directory. Vissa av dessa program har ett enkelt Active Directory-beroende som identitetsprovider. Andra har djupare beroenden, till exempel komplexa grupprincipkrav, anpassade domänsuffix och anpassade schematillägg.

När Tailwind Traders börjar flytta vissa resurser och utveckla nya program i Azure vill man undvika att behöva skapa en parallell identitetslösning med separata inloggningsuppgifter för lokala och molnbaserade resurser.

I den här lektionen får du lära dig om olika metoder för att implementera hybrididentiteter.

Distribuera domänkontrollanter till Azure

Det enklaste sättet att tillhandahålla samma AD DS-miljö i Azure som en organisation har lokalt är att:

  1. Distribuera två parkopplade AD DS-domänkontrollanter i ett undernät till ett virtuellt Azure-nätverk.

  2. Ansluta det virtuella nätverket till det lokala nätverket.

  3. Konfigurera undernätet som en ny AD DS-plats. Det här visas i följande bild.

    Diagram som visar replikering av en lokal identitet som finns i Active Directory-domän Services till Microsoft Entra-ID.

Ett annat alternativ är att konfigurera den molnbaserade AD DS-domänen som en underordnad domän till den lokala domänens skog. Ytterligare ett alternativ är att konfigurera AD DS-domänkontrollanter som körs i molnet som en separat skog som har en förtroenderelation med den lokala skogen. I följande bild ser du den här resursskogens topologi.

Diagram som visar lokal AD DS som konfigurerats i en förtroenderelation med en AD DS-distribution som finns i ett Azure-undernät.

När organisationer distribuerar domänkontrollanter på virtuella datorer i Azure kan de distribuera arbetsbelastningar som behöver kunna se en domänkontrollant i samma undernät till det virtuella Azure-nätverket där domänkontrollanternas virtuella datorer är distribuerade. Detta är en konceptuellt sett enkel modell av ett hybridmoln för många organisationer eftersom Azures datacenter behandlas som en fjärransluten Active Directory-plats.

Beroende på programkraven kan det räcka för Tailwind Traders att utöka den lokala Active Directory-domänen eller skogen till Azure. Nackdelen med det här distributionsalternativet är att virtuella datorer som körs hela tiden, vilket är fallet för domänkontrollanter, medför löpande kostnader.

Vad är Microsoft Entra Connect?

Med Microsoft Entra Connect (tidigare Azure AD Connect) kan organisationer synkronisera de identiteter som finns i deras lokal Active Directory-instans med Microsoft Entra-ID (tidigare Azure AD). Det betyder att du kan använda samma identitet för molnresurser och lokala resurser. Microsoft Entra Connect används oftast när organisationer använder Microsoft 365 för att tillåta att program som Microsoft SharePoint och Exchange som körs i molnet kan nås via lokala program.

Om Tailwind Traders planerar att använda Microsoft 365-tekniker som Exchange Online eller Microsoft Teams måste de konfigurera Microsoft Entra Connect för att replikera identiteter från den lokala AD DS-miljön till Azure. Om företaget också vill använda lokala identiteter med program i Azure, men inte vill distribuera AD DS-domänkontrollanter på virtuella datorer, måste det även distribuera Microsoft Entra Connect.

Vad är Microsoft Entra Domain Services?

Du kan använda Microsoft Entra Domain Services för att projicera en Microsoft Entra-domän på ett virtuellt Azure-undernät. Då blir tjänster som domänanslutning, grupprinciper, LDAP (Lightweight Directory Access Protocol) samt autentisering med Kerberos och NTLM tillgängliga för alla virtuella datorer som distribueras i undernätet.

Med Microsoft Entra Domain Services kan du ha en grundläggande hanterad Active Directory-miljö tillgänglig för virtuella datorer utan att behöva bekymra dig om att hantera, underhålla och betala för de virtuella datorer som körs som domänkontrollanter. Med Microsoft Entra Domain Services kan du också använda lokala identiteter via Microsoft Entra Connect för att interagera med virtuella datorer som körs på ett särskilt konfigurerat Azure Virtual Network-undernät.

En nackdel med Microsoft Entra Domain Services är att den grupprincip implementeringen är grundläggande. Den använder en fast uppsättning principer och du kan inte skapa grupprincipobjekt (GPO:er). Även om identiteter som används lokalt är tillgängliga i Azure så är inte de grupprinciper som konfigureras lokalt tillgängliga.

För Tailwind Traders tillhandahåller Microsoft Entra Domain Services en bra medelväg för hybridarbetsbelastningar. Det gör att företaget kan använda domänanslutna identiteter och konfigurera många grupprinciper. Det saknar dock stöd för program som behöver komplexa Active Directory-funktioner som anpassade domänpartitioner och schematillägg.

Kontrollera dina kunskaper

1.

På flera av de virtuella datorer som Tailwind Traders tänker migrera från datacentret i Auckland finns program som har AD DS-beroenden, bland annat gällande anpassade schematillägg och anpassade AD DS-partitioner. Vilken av följande hybrididentitetslösningar kan företaget använda som stöd för de här programmen, om de virtuella datorerna som kör programmen migreras till virtuella datorer i en IaaS-lösning i Azure (infrastruktur som en tjänst)?

2.

Ett dotterbolag till Tailwind Traders distribuerar virtuella IaaS-datorer i Windows Server 2022 till ett undernät i ett virtuellt Azure-nätverk. Det här virtuella nätverket är anslutet till en separat prenumeration och Microsoft Entra-innehavarorganisation. Av säkerhets- och identitetsskäl måste datorerna vara domänanslutna, men det behövs ingen komplex konfiguration av grupprinciper. De virtuella datorerna kräver inte att identiteter synkroniseras från en lokal AD DS-instans hos Tailwind Traders. Du vill minimera antalet virtuella datorer som du distribuerar för att uppnå det här målet. Vilken av följande lösningar väljer du?