Popis služby Microsoft Entra Domain Services
Tým IT společnosti Contoso nasadí řadu obchodních aplikací na počítače a zařízení, která jsou členy domény. Společnost Contoso k ověřování používá přihlašovací údaje založené na službě AD DS a objekty zásad skupiny ke správě těchto zařízení a aplikací. Teď uvažují o přesunu těchto aplikací, aby běžely v Azure. Klíčovým problémem pro vás je poskytování ověřovacích služeb těmto aplikacím.
Pro splnění této potřeby může IT tým Společnosti Contoso zvolit tyto možnosti:
- Implementujte virtuální privátní síť typu site-to-site (VPN) mezi vaší místní infrastrukturou a Azure IaaS.
- Nasaďte řadiče domény repliky z místní služby AD DS jako virtuální počítače v Azure.
Tyto přístupy však mohou zahrnovat další náklady a administrativní úsilí. Rozdíl mezi těmito dvěma přístupy spočívá v tom, že při první možnosti se provoz ověřování přes síť VPN; v druhé možnosti se provoz replikace přes síť VPN a ověřovací provoz zůstane v cloudu. Microsoft poskytuje microsoft Entra Domain Services jako alternativu k těmto přístupům.
Co je Microsoft Entra Domain Services?
Služba Microsoft Entra Domain Services, která běží jako součást vrstvy Microsoft Entra ID P1 nebo P2, poskytuje doménové služby, jako je správa zásad skupiny, připojení k doméně a ověřování kerberos pro vašeho tenanta Microsoft Entra. Tyto služby jsou plně kompatibilní s místní službou AD DS, takže je můžete používat bez nasazení a správy dalších řadičů domény v cloudu.
Vzhledem k tomu, že microsoft Entra ID může integrovat s místní službou AD DS, můžou uživatelé při implementaci služby Microsoft Entra Připojení využívat přihlašovací údaje organizace v místní službě AD DS i ve službě Microsoft Entra Domain Services. I když nemáte službu AD DS nasazenou místně, můžete použít službu Microsoft Entra Domain Services jako cloudovou službu. To vám umožní mít podobné funkce místně nasazené služby AD DS, aniž byste museli nasazovat jeden řadič domény místně nebo v cloudu.
Pracovníci IT společnosti Contoso se například můžou rozhodnout vytvořit tenanta Microsoft Entra a povolit službu Microsoft Entra Domain Services a pak nasadit virtuální síť mezi místními prostředky a tenantem Microsoft Entra. Pracovníci IT společnosti Contoso můžou pro tuto virtuální síť povolit službu Microsoft Entra Domain Services, aby všichni místní uživatelé a služby mohli používat doménové služby z ID Microsoft Entra.
Microsoft Entra Domain Services poskytuje organizacím několik výhod, například:
- Správa istrátory nemusí spravovat, aktualizovat a monitorovat řadiče domény.
- Správa istrátory nemusí nasazovat a spravovat replikaci služby Active Directory.
- Pro domény, které spravuje služba Microsoft Entra Domain Services, není potřeba mít skupiny Domain Správa s ani Enterprise Správa s.
Pokud se rozhodnete implementovat službu Microsoft Entra Domain Services, musíte porozumět aktuálním omezením služby. Tady jsou některé z nich:
- Podporuje se pouze objekt služby Active Directory základního počítače.
- Schéma pro doménu služby Microsoft Entra Domain Services není možné rozšířit.
- Struktura organizační jednotky je plochá a vnořené organizační jednotky se v současné době nepodporují.
- Existuje integrovaný objekt zásad skupiny, který existuje pro účty počítačů a uživatelů.
- Není možné cílit na organizační jednotky s integrovanými objekty zásad skupiny. Kromě toho nemůžete použít filtry WMI (Windows Management Instrumentation) ani filtrování skupin zabezpečení.
Pomocí služby Microsoft Entra Domain Services můžete volně migrovat aplikace, které používají LDAP, NT LAN Manager (NTLM) nebo protokoly Kerberos z místní infrastruktury do cloudu. Můžete také použít aplikace, jako je Microsoft SQL Server nebo SharePoint Server na virtuálních počítačích, nebo je nasadit v Azure IaaS. To vše bez nutnosti řadičů domény v cloudu nebo VPN k místní infrastruktuře. Následující tabulka uvádí některé běžné scénáře, které využívají službu Microsoft Entra Domain Services.
| Výhoda | Popis |
|---|---|
| Zabezpečená správa virtuálních počítačů Azure | Virtuální počítače Azure můžete připojit k doméně spravované službou Microsoft Entra Domain Services, která umožňuje použít jednu sadu přihlašovacích údajů služby Active Directory. Tento přístup snižuje problémy se správou přihlašovacích údajů, jako je údržba účtů místního správce na každém virtuálním počítači nebo samostatné účty a hesla mezi prostředími. Můžete spravovat a zabezpečit virtuální počítače, které se připojíte k doméně spravované službou Microsoft Entra Domain Services. Na virtuální počítače můžete také použít požadované standardní hodnoty zabezpečení, které je uzamknou v souladu s podnikovými pokyny zabezpečení. Pomocí možností správy zásad skupiny můžete například omezit typy aplikací, které se dají na virtuálním počítači spustit. |
| Místní aplikace, které používají ověřování vazby protokolu LDAP | V tomto scénáři microsoft Entra Domain Services umožňuje aplikacím provádět vazby LDAP v rámci procesu ověřování. Starší místní aplikace můžou metodou "lift and shift" přejít do Azure a pokračovat v bezproblémovém ověřování uživatelů bez jakýchkoli změn v konfiguraci nebo uživatelském prostředí. |
| Místní aplikace, které pro přístup k adresáři používají čtení PROTOKOLU LDAP | V tomto scénáři služba Microsoft Entra Domain Services umožňuje aplikacím provádět čtení PROTOKOLU LDAP se spravovanou doménou, aby načetly informace o atributech, které potřebuje. Aplikace se nemusí přepsat, takže metodou "lift and shift" do Azure umožní uživatelům pokračovat v používání aplikace, aniž by si uvědomili, že tam, kde běží, došlo ke změně. |
| Místní služba nebo aplikace démona | Některé aplikace zahrnují více vrstev, kdy jedna z úrovní musí provádět ověřená volání back-endové vrstvy, například databáze. Účty služby Active Directory se v těchto scénářích běžně používají. Když aplikace metodou lift and shift přesunete do Azure, microsoft Entra Domain Services vám umožní dál používat účty služeb stejným způsobem. Můžete použít stejný účet služby, který je synchronizovaný z místního adresáře do Microsoft Entra ID, nebo vytvořit vlastní organizační jednotce a pak v této organizační jednotce vytvořit samostatný účet služby. V obou přístupech budou aplikace dál fungovat stejným způsobem, jak provádět ověřená volání do jiných vrstev a služeb. |
| Služby vzdálené plochy v Azure | Službu Microsoft Entra Domain Services můžete použít také k poskytování spravovaných doménových služeb serverům vzdálené plochy nasazené v Azure. |
Důležité informace
Při implementaci předchozích scénářů platí následující aspekty nasazení:
- Domény spravované službou Microsoft Entra Domain Services ve výchozím nastavení používají jednu plochou strukturu organizační jednotky. Všechny virtuální počítače připojené k doméně jsou v jedné organizační jednotce. V případě potřeby můžete vytvořit vlastní organizační jednotky.
- Služba Microsoft Entra Domain Services používá pro uživatele a kontejnery počítačů integrovaný objekt zásad skupiny. Pro další ovládací prvek můžete vytvořit vlastní objekty zásad skupiny a cílit je na vlastní organizační jednotky.
- Služba Microsoft Entra Domain Services podporuje základní schéma objektů počítače služby Active Directory. Schéma počítačového objektu však nelze rozšířit.
- Hesla nemůžete změnit přímo v doméně spravované službou Microsoft Entra Domain Services. Koncoví uživatelé můžou změnit heslo buď pomocí samoobslužného mechanismu změny hesla Microsoft Entra ID, nebo v místním adresáři. Tyto změny se pak automaticky synchronizují a zpřístupní v doméně spravované službou Microsoft Entra Domain Services.
Také se ujistěte, že:
- Žádné aplikace nemusí upravovat ani zapisovat do adresáře LDAP. Přístup k zápisu protokolu LDAP do domény spravované službou Microsoft Entra Domain Services se nepodporuje.
- Aplikace nepotřebuje vlastní nebo rozšířené schéma služby Active Directory. Rozšíření schématu nejsou podporována ve službě Microsoft Entra Domain Services.
- Aplikace k ověřování používají uživatelské jméno a heslo. Služba Microsoft Entra Domain Services nepodporuje ověřování pomocí certifikátů nebo čipových karet.