Integrace místní služby AD s Azure

Tento článek porovnává možnosti integrace místního prostředí Active Directory (AD) se sítí Azure. Pro každou z možností je k dispozici podrobnější referenční architektura.

Řada organizací používá službu Active Directory Domain Services (AD DS) k ověřování identit přidružených k uživatelům, počítačům, aplikacím nebo jiným prostředkům, které jsou součástí hranice zabezpečení. Služby pro práci s adresáři a identitami jsou obvykle hostované místně, ale pokud je vaše aplikace hostovaná částečně místně a částečně v Azure, může při odesílání žádostí o ověření z Azure do místního umístění docházet k latenci. Implementace služeb pro práci s adresáři a identitami v Azure může tuto latenci zkrátit.

Azure nabízí pro implementaci služeb pro práci s adresáři a identitami v Azure dvě řešení:

• Pomocí MICROSOFT Entra ID vytvořte doménu služby Active Directory v cloudu a připojte ji k vaší místní Active Directory doméně. Microsoft Entra Připojení integruje vaše místní adresáře s ID Microsoft Entra.

• Nasazením virtuálního počítače v Azure, který bude spouštět AD DS jako řadič domény, můžete stávající místní infrastrukturu Active Directory rozšířit do Azure. Tato architektura se většinou používá, když jsou místní síť a služba Azure Virtual Network (VNet) propojené pomocí připojení VPN nebo ExpressRoute. Je možné používat několik variant této architektury:

  • Vytvoření domény v Azure a její připojení k místní doménové struktuře AD
  • Vytvoření samostatné doménové struktury v Azure, která bude důvěryhodná pro domény v místní doménové struktuře
  • Replikace nasazení služby AD FS (Active Directory Federation Services) v Azure

Další části popisují každou z těchto možností podrobněji.

Integrace místních domén s ID Microsoft Entra

Pomocí ID Microsoft Entra vytvořte doménu v Azure a propojte ji s místní doménou AD.

Adresář Microsoft Entra není rozšířením místního adresáře. Je spíše jeho kopií, která obsahuje stejné objekty a identity. Změny provedené v těchto položkách v místním prostředí se zkopírují do ID Microsoft Entra, ale změny provedené v ID Microsoft Entra se nereplikují zpět do místní domény.

Můžete také použít ID Microsoft Entra bez použití místního adresáře. V tomto případě microsoft Entra ID funguje jako primární zdroj všech informací o identitě, nikoli jako obsahující data replikovaná z místního adresáře.

Benefity

• Není nutné udržovat infrastrukturu AD v cloudu. Microsoft Entra ID je zcela spravován a spravován Microsoftem.
• ID Microsoft Entra poskytuje stejné informace o identitě, které jsou k dispozici místně.
• Ověřování se může provádět v Azure, takže se snižuje potřeba kontaktu externích aplikací a uživatelů s místní doménou.

Problémy

• Pokud chcete zachovat synchronizaci adresáře Microsoft Entra, musíte nakonfigurovat připojení k místní doméně.
• Aplikace může být potřeba přepsat, aby bylo možné povolit ověřování prostřednictvím ID Microsoft Entra.
• Pokud chcete ověřit účty služeb a počítačů, budete muset nasadit také službu Microsoft Entra Domain Services.

Referenční architektura

• Integrace místní Active Directory domén s ID Microsoft Entra

Připojení služby AD DS v Azure k místní doménové struktuře

Nasaďte servery služby AD DS (AD Domain Services) v Azure. Vytvoření domény v Azure a její připojení k místní doménové struktuře AD

Tuto možnost zvažte, pokud potřebujete používat funkce SLUŽBY AD DS, které nejsou aktuálně implementovány pomocí Microsoft Entra ID.

Benefity

• Poskytuje přístup ke stejným informacím o identitách, které jsou k dispozici místně.
• Je možné ověřovat účty uživatelů, služeb a počítačů místně a v Azure.
• Není nutné spravovat samostatnou doménovou strukturu AD. Doména v Azure může patřit do místní doménové struktury.
• U domény v Azure můžete používat zásady skupiny definované místními objekty zásad skupiny.

Problémy

• Je nutné nasadit a spravovat vlastní servery AD DS a doménu v cloudu.
• Mezi servery domény v cloudu a místními servery může docházet k určité latenci synchronizace.

Referenční architektura

• Rozšíření služby Active Directory Domain Services (AD DS) do Azure

AD DS v Azure se samostatnou doménovou strukturou

Nasaďte servery služby AD DS (AD Domain Services) v Azure, ale vytvořte samostatnou doménovou strukturu Active Directory, která je oddělená od místní doménové struktury. Tato doménová struktura bude důvěryhodná pro domény v místní doménové struktuře.

Mezi obvyklá použití této architektury patří údržba bezpečnostního oddělení objektů a identit uložených v cloudu a migrace jednotlivých domén z místního umístění do cloudu.

Benefity

• Je možné implementovat místní identity a samostatné identity jenom pro Azure.
• Není nutné provádět replikaci z místní doménové struktury AD do Azure.

Problémy

• Ověřování místních identit v rámci Azure vyžaduje další síťová směrování na místní servery AD.
• Je nutné nasadit vlastní servery a doménovou strukturu AD DS v cloudu a vytvořit odpovídající vztahy důvěryhodnosti mezi doménovými strukturami.

Referenční architektura

• Vytvoření doménové struktury prostředků Active Directory Domain Services (AD DS) v Azure

Rozšíření služby AD FS do Azure

Proveďte replikaci nasazení služby AD FS (Active Directory Federation Services) v Azure, aby se zajistilo federované ověření a autorizace součástí, které běží v Azure.

Obvyklá využití pro tuto architekturu:

• Ověřování a autorizace uživatelů z partnerských organizací
• Povolení ověřování uživatelů z webových prohlížečů spuštěných vně brány firewall organizace
• Povolení připojování uživatelů z autorizovaných externích zařízení, jako jsou například mobilní zařízení

Benefity

• Můžete využívat aplikace pracující s deklaracemi.
• Nabízí možnost důvěřovat ověřování externími partnery.
• Kompatibilita s rozsáhlou sadou ověřovacích protokolů

Problémy

• Je nutné nasadit vlastní servery AD DS, AD FS a proxy servery webových aplikací AD FS v Azure.
• Konfigurace této architektury může být složitá.

Referenční architektura

• Rozšíření služby Active Directory Federation Services (AD FS) do Azure