编辑

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

比较本地 Active Directory 与 Azure 网络的集成选项

Microsoft Entra ID

本文比较了将本地 Active Directory (AD) 环境与 Azure 网络集成的选项。 对于每个选项,提供了更详细的参考体系结构。

许多组织使用 Active Directory 域服务(AD DS)对与安全边界中包含的用户、计算机、应用程序或其他资源关联的标识进行身份验证。 目录和标识服务通常托管在本地,但如果应用程序部分托管在本地,部分托管在 Azure 中,则可能会延迟将身份验证请求从 Azure 发送回本地。 在 Azure 中实现目录和标识服务可以减少此延迟。

Azure 提供了两种在 Azure 中实现目录和标识服务的解决方案:

  • 使用 Microsoft Entra ID 在云中创建 Active Directory 域并将其连接到本地 Active Directory 域。 Microsoft Entra Connect 将本地目录与 Microsoft Entra ID 集成。

  • 通过将运行 AD DS 作为域控制器的 Azure 中的 VM,将现有的本地 Active Directory 基础结构扩展到 Azure。 当本地网络和 Azure 虚拟网络(VNet)通过 VPN 或 ExpressRoute 连接进行连接时,此体系结构更为常见。 此体系结构的几种变体是可能的:

    • 在 Azure 中创建域并将其加入本地 AD 林。
    • 在 Azure 中创建由本地林中的域信任的单独林。
    • 将 Active Directory 联合身份验证服务(AD FS)部署复制到 Azure。

后续部分更详细地介绍了其中每个选项。

将本地域与 Microsoft Entra ID 集成

使用 Microsoft Entra ID 在 Azure 中创建域并将其链接到本地 AD 域。

Microsoft Entra 目录不是本地目录的扩展。 而是包含相同对象和标识的副本。 本地对这些项所做的更改将复制到 Microsoft Entra ID,但Microsoft Entra ID 中所做的更改不会复制回本地域。

还可以在不使用本地目录的情况下使用 Microsoft Entra ID。 在这种情况下,Microsoft Entra ID 充当所有标识信息的主要源,而不是包含从本地目录复制的数据。

权益

  • 无需在云中维护 AD 基础结构。 Microsoft Entra ID 完全由Microsoft管理和维护。
  • Microsoft Entra ID 提供本地提供的相同标识信息。
  • 身份验证可能发生在 Azure 中,从而减少外部应用程序和用户联系本地域的需求。

挑战

  • 必须配置与本地域的连接,以使 Microsoft Entra 目录保持同步。
  • 可能需要重写应用程序才能通过 Microsoft Entra ID 启用身份验证。
  • 如果要对服务和计算机帐户进行身份验证,还必须 Microsoft Entra 域服务

参考体系结构

已加入本地林的 Azure 中的 AD DS

将 AD 域服务(AD DS)服务器部署到 Azure。 在 Azure 中创建域并将其加入本地 AD 林。

如果需要使用当前未由 Microsoft Entra ID 实现的 AD DS 功能,请考虑此选项。

权益

  • 提供对本地可用的相同标识信息的访问权限。
  • 可以在本地和 Azure 中对用户、服务和计算机帐户进行身份验证。
  • 无需管理单独的 AD 林。 Azure 中的域可以属于本地林。
  • 可以将本地组策略对象定义的组策略应用到 Azure 中的域。

挑战

  • 必须在云中部署和管理自己的 AD DS 服务器和域。
  • 云中的域服务器与在本地运行的服务器之间可能存在一些同步延迟。

参考体系结构

Azure 中具有单独林的 AD DS

将 AD 域服务(AD DS)服务器部署到 Azure,但创建独立于本地林的单独 Active Directory 。 此林由本地林中的域信任。

此体系结构的典型用途包括维护云中保存的对象和标识的安全分离,以及将单个域从本地迁移到云。

权益

  • 可以实现本地标识和单独的仅限 Azure 的标识。
  • 无需从本地 AD 林复制到 Azure。

挑战

  • Azure 中用于本地标识的身份验证需要向本地 AD 服务器提供额外的网络跃点。
  • 必须在云中部署自己的 AD DS 服务器和林,并在林之间建立适当的信任关系。

参考体系结构

  • 在 Azure 中创建 Active Directory 域服务(AD DS)资源林

将 AD FS 扩展到 Azure

将 Active Directory 联合身份验证服务(AD FS)部署复制到 Azure,为 Azure 中运行的组件执行联合身份验证和授权。

此体系结构的典型用途:

  • 对合作伙伴组织中的用户进行身份验证和授权。
  • 允许用户从组织防火墙外部运行的 Web 浏览器进行身份验证。
  • 允许用户从授权的外部设备(如移动设备)进行连接。

权益

  • 可以利用声明感知应用程序。
  • 提供信任外部合作伙伴进行身份验证的功能。
  • 与大量身份验证协议的兼容性。

挑战

  • 必须在 Azure 中部署自己的 AD DS、AD FS 和 AD FS Web 应用程序代理服务器。
  • 此体系结构可能非常复杂,可以对其进行配置。

参考体系结构