Hybridní identita se službou Active Directory a ID Microsoft Entra v cílových zónách Azure
Tento článek obsahuje pokyny k návrhu a implementaci ID Microsoft Entra a hybridní identity pro cílové zóny Azure.
Organizace, které pracují v cloudu, vyžadují adresářovou službu pro správu identit uživatelů a přístup k prostředkům. Microsoft Entra ID je cloudová služba pro správu identit a přístupu, která poskytuje robustní možnosti pro správu uživatelů a skupin. Můžete ho použít jako samostatné řešení identit nebo ho integrovat s infrastrukturou služby Microsoft Entra Domain Services nebo infrastrukturou služby místní Active Directory Domain Services (AD DS).
Microsoft Entra ID poskytuje moderní, zabezpečenou správu identit a přístupu, která je vhodná pro mnoho organizací a úloh a je jádrem služeb Azure a Microsoft 365. Pokud má vaše organizace místní infrastrukturu SLUŽBY AD DS, můžou cloudové úlohy vyžadovat synchronizaci adresářů s ID Microsoft Entra pro konzistentní sadu identit, skupin a rolí mezi místními a cloudovými prostředími. Nebo pokud máte aplikace, které závisí na starších mechanismech ověřování, možná budete muset nasadit spravované služby Domain Services v cloudu.
Správa cloudových identit je iterativní proces. Můžete začít s nativním cloudovým řešením s malou sadou uživatelů a odpovídajícími rolemi pro počáteční nasazení a s tím, jak vaše migrace zralá, možná budete muset integrovat řešení identity pomocí synchronizace adresářů nebo přidat doménové služby hostované v cloudu jako součást nasazení cloudu.
V průběhu času se znovu obraťte na řešení identit v závislosti na požadavcích na ověřování úloh a dalších potřebách, jako jsou změny strategie identit organizace a požadavky na zabezpečení nebo integrace s jinými adresářovými službami. Když vyhodnotíte řešení služby Active Directory, seznamte se s rozdíly mezi ID Microsoft Entra, Domain Services a AD DS na Windows Serveru.
Nápovědu ke strategii identit najdete v průvodci rozhodováním o identitě.
Služby správy identit a přístupu v cílových zónách Azure
Tým platformy zodpovídá za správu identit a přístupu. Služby správy identit a přístupu jsou zásadní pro zabezpečení organizace. Organizace můžou pomocí Microsoft Entra ID chránit prostředky platformy tím, že řídí přístup pro správu. Tento přístup brání uživatelům mimo tým platformy v provádění změn konfigurace nebo objektů zabezpečení obsažených v rámci MICROSOFT Entra ID.
Organizace, které používají službu AD DS nebo Domain Services, musí také chránit řadiče domény před neoprávněným přístupem. Řadiče domény jsou zvláště atraktivní cíle pro útočníky a měly by mít přísné kontrolní mechanismy zabezpečení a oddělení od úloh aplikací.
Řadiče domény a přidružené komponenty, jako jsou například servery Microsoft Entra ID Připojení, se nasazují v předplatném Identity, které je ve skupině pro správu platformy. Řadiče domény nejsou delegovány do aplikačních týmů. Díky zajištění této izolace můžou vlastníci aplikací využívat služby identit, aniž by je museli spravovat, a riziko ohrožení služeb správy identit a přístupu se snižuje. Prostředky v předplatném Identity Platform představují kritický bod zabezpečení pro vaše cloudová a místní prostředí.
Cílové zóny by měly být zřízeny, aby vlastníci aplikací mohli používat buď ID Microsoft Entra, nebo AD DS a Domain Services, jak to vyžadují jejich úlohy. V závislosti na tom, které řešení identit používáte, možná budete muset podle potřeby nakonfigurovat další služby. Může být například potřeba povolit a zabezpečit síťové připojení k virtuální síti Identity. Pokud používáte prodejní proces předplatného, uveďte tyto konfigurační informace do žádosti o předplatné.
Azure a místní domény (hybridní identita)
Uživatelské objekty vytvořené výhradně v Microsoft Entra ID se označují jako účty pouze v cloudu. Podporují moderní ověřování a přístup k prostředkům Azure a Microsoft 365 a přístup k místním zařízením, která používají Windows 10 nebo Windows 11.
Řada organizací už ale má dlouhodobé adresáře služby AD DS, které mohou být integrované s jinými systémy, jako je plánování podnikových nebo podnikových zdrojů (ERP) prostřednictvím protokolu LDAP (Lightweight Directory Access Protocol). Tyto domény můžou mít mnoho počítačů a aplikací připojených k doméně, které k ověřování používají protokoly Kerberos nebo starší protokoly NTLMv2. V těchto prostředích můžete synchronizovat objekty uživatelů s ID Microsoft Entra, aby se uživatelé mohli přihlásit k místním systémům i cloudovým prostředkům s jedinou identitou. Sjednocení místních a cloudových adresářových služeb se označuje jako hybridní identita. Místní domény můžete rozšířit do cílových zón Azure:
Pokud chcete udržovat jeden uživatelský objekt v cloudových i místních prostředích, můžete synchronizovat uživatele domény služby AD DS pomocí Microsoft Entra ID prostřednictvím Microsoft Entra Připojení nebo Microsoft Entra Připojení Sync. Pokud chcete určit doporučenou konfiguraci pro vaše prostředí, přečtěte si téma Topologie pro Microsoft Entra Připojení.
Pokud chcete připojit virtuální počítače s Windows a další služby k doméně, můžete nasadit řadiče domény služby AD DS nebo domain Services v Azure. Díky tomuto přístupu se uživatelé služby AD DS můžou přihlásit k serverům s Windows, sdíleným složkám Azure Files a dalším prostředkům, které používají Active Directory jako zdroj ověřování. Můžete také použít jiné technologie Active Directory, jako jsou například zásady skupiny. Další informace naleznete v tématu Běžné scénáře nasazení služby Microsoft Entra Domain Services.
Doporučení hybridní identity
Službu Domain Services můžete použít pro aplikace, které spoléhají na doménové služby a používají starší protokoly. Stávající domény služby AD DS někdy podporují zpětnou kompatibilitu a umožňují starší protokoly, které můžou negativně ovlivnit zabezpečení. Místo rozšíření místní domény zvažte použití služby Domain Services k vytvoření nové domény, která neumožňuje starší protokoly, a použijte ji jako adresářovou službu pro aplikace hostované v cloudu.
Vyhodnoťte požadavky vašeho řešení identit tím, že pochopíte a zdokumentujeme zprostředkovatele ověřování, kterého každá aplikace používá. Zvažte kontroly, které vám pomůžou naplánovat typ služby, kterou by měla vaše organizace používat. Další informace naleznete v tématu Porovnání služby Active Directory s Microsoft Entra ID a průvodce rozhodováním o identitě.
Vyhodnoťte scénáře, které zahrnují nastavení externích uživatelů, zákazníků nebo partnerů, aby měli přístup k prostředkům. Určete, jestli tyto scénáře zahrnují Microsoft Entra B2B nebo Microsoft Entra Externí ID pro zákazníky. Další informace najdete v tématu Microsoft Entra Externí ID.
Nepoužívejte proxy aplikace Microsoft Entra pro přístup k intranetu, protože přidává latenci uživatelského prostředí. Další informace naleznete v tématu Plánování proxy aplikací Microsoft Entra a Aspekty zabezpečení proxy aplikací Microsoft Entra.
Zvažte různé metody, které můžete použít k integraci místní Active Directory s Azure, aby splňovaly požadavky vaší organizace.
Pokud máte federaci Active Directory Federation Services (AD FS) (AD FS) s ID Microsoft Entra, můžete jako zálohu použít synchronizaci hodnot hash hesel. Služba AD FS nepodporuje bezproblémové jednotné přihlašování (SSO) od Microsoftu Entra.
Určete správný synchronizační nástroj pro vaši cloudovou identitu.
Pokud máte požadavky na používání služby AD FS, přečtěte si téma Nasazení služby AD FS v Azure.
Důležité
Důrazně doporučujeme migrovat na MICROSOFT Entra ID, pokud neexistuje konkrétní požadavek na používání služby AD FS. Další informace naleznete v tématu Prostředky pro vyřazení služby AD FS z provozu a migraci ze služby AD FS na Microsoft Entra ID.
Microsoft Entra ID, Domain Services a AD DS
Správa istrátory by se měly seznámit s možnostmi implementace adresářových služeb Microsoftu:
Řadiče domény SLUŽBY AD DS můžete nasadit do Azure jako virtuální počítače s Windows, které mají správci platforem nebo identit plnou kontrolu. Tento přístup je řešení typu infrastruktura jako služba (IaaS). Řadiče domény můžete připojit k existující doméně služby Active Directory nebo můžete hostovat novou doménu, která má volitelný vztah důvěryhodnosti se stávajícími místními doménami. Další informace najdete v tématu Základní architektura virtuálních počítačů Azure v cílové zóně Azure.
Domain Services je služba spravovaná v Azure, kterou můžete použít k vytvoření nové spravované domény Active Directory hostované v Azure. Doména může mít vztah důvěryhodnosti s existujícími doménami a může synchronizovat identity z ID Microsoft Entra. Správa istrátory nemají přímý přístup k řadičům domény a nejsou zodpovědné za opravy a další operace údržby.
Když nasadíte službu Domain Services nebo integrujete místní prostředí do Azure, využijte umístění se zónami dostupnosti, abyste zvýšili dostupnost.
Po nakonfigurování služby AD DS nebo Domain Services můžete připojit virtuální počítače Azure a sdílené složky k doméně pomocí stejné metody jako místní počítače. Další informace naleznete v tématu Porovnání adresářových služeb Microsoftu.
Doporučení pro Microsoft Entra ID a AD DS
Pokud chcete získat přístup k aplikacím, které používají místní ověřování vzdáleně prostřednictvím ID Microsoft Entra, použijte proxy aplikace Microsoft Entra. Tato funkce poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. Nevyžaduje síť VPN ani žádné změny síťové infrastruktury. Je ale nasazená jako jedna instance do Microsoft Entra ID, takže vlastníci aplikací a týmy identit nebo platformy musí spolupracovat, aby se zajistilo, že je aplikace správně nakonfigurovaná.
Vyhodnoťte kompatibilitu úloh pro službu AD DS ve Windows Serveru a službě Domain Services. Další informace najdete v tématu Běžné případy použití a scénáře.
Nasaďte virtuální počítače řadiče domény nebo sady replik služby Domain Services do předplatného platformy Identity Platform v rámci skupiny pro správu platformy.
Zabezpečte virtuální síť, která obsahuje řadiče domény. Zabraňte přímému připojení k internetu k těmto systémům tak, že servery AD DS umístíte do izolované podsítě se skupinou zabezpečení sítě (NSG), která poskytuje funkce brány firewall. Prostředky, které k ověřování používají řadiče domény, musí mít síťovou trasu do podsítě řadiče domény. Povolte pouze síťovou trasu pro aplikace, které vyžadují přístup ke službám v předplatném Identity. Další informace najdete v tématu Nasazení služby AD DS ve virtuální síti Azure.
Ve víceregionální organizaci nasaďte službu Domain Services do oblasti, která hostuje základní komponenty platformy. Službu Domain Services můžete nasadit pouze do jednoho předplatného. Službu Domain Services můžete rozšířit do dalších oblastí přidáním až čtyř dalších sad replik v samostatných virtuálních sítích, které jsou v partnerském vztahu k primární virtuální síti. Pokud chcete minimalizovat latenci, zachovejte základní aplikace blízko nebo ve stejné oblasti jako virtuální síť pro sady replik.
Když nasadíte řadiče domény SLUŽBY AD DS v Azure, nasaďte je napříč zónami dostupnosti, abyste zvýšili odolnost. Další informace najdete v tématu Vytváření virtuálních počítačů v zónách dostupnosti a migrace virtuálních počítačů do zón dostupnosti.
Ověřování může probíhat pouze v cloudu a v místním prostředí nebo pouze v místním prostředí. V rámci plánování identit prozkoumejte metody ověřování pro ID Microsoft Entra.
Pokud uživatel Windows vyžaduje protokol Kerberos pro sdílené složky Azure Files, zvažte místo nasazení řadičů domény v cloudu ověřování protokolem Kerberos pro Microsoft Entra ID .