Hybridní identita
Společnost Tailwind Traders používala služby Active Directory Domain Services (AD DS) jako místního zprostředkovatele identit ve svém místním síťovém prostředí od doby, kdy po roce 2000 migrovala z Windows NT 4.0. Mnoho stávajících aplikací společnosti Tailwind Traders má závislost na službě Active Directory. Některé z těchto aplikací mají jednoduchou závislost na službě Active Directory coby zprostředkovateli identit. Ostatní mají hlubší závislosti, jako jsou například komplexní požadavky Zásad skupiny, vlastní doménové oddíly a vlastní rozšíření schémat.
Společnost Tailwind Traders začíná přesunovat některé prostředky do Azure a vyvíjí zde nové aplikace, ale nechce vytvářet paralelní řešení pro identity, které by vyžadovalo oddělené přihlašovací údaje pro místní a cloudové prostředky.
V této lekci se dozvíte o různých způsobech implementace hybridní identity.
Nasazení řadičů domény do Azure
Tady je nejjednodušší způsob, jak v Azure zajistit stejné prostředí AD DS, jaké má organizace místně:
Nasadíte dvojici řadičů domény služby AD DS do podsítě ve virtuální síti Azure.
Připojíte virtuální síť k místní síti.
Nakonfigurujete podsíť jako novou lokalitu služby AD DS. Je to vidět na následujícím obrázku.
Jinou možností je nakonfigurovat doménu AD DS hostovanou v cloudu jako podřízenou doménu místní doménové struktury. Další možností je nakonfigurovat řadiče domény AD DS běžící v cloudu jako samostatnou doménovou strukturu, která má vztah důvěryhodnosti s místní doménovou strukturou. Na následujícím obrázku je topologie tohoto lesa prostředků.
Když organizace nasadí na virtuální počítače v Azure řadiče domény, můžou nasazovat úlohy, které vyžadují přímé připojení k řadiči domény do stejné podsítě virtuální sítě Azure, kam organizace nasadily virtuální počítače řadičů domén. Toto je koncepčně jednoduchý model hybridního cloudu pro mnoho organizací, protože datacentra Azure se v něm považují za vzdálenou lokalitu služby Active Directory.
Rozšíření místní domény nebo doménové struktury Active Directory do Azure může být pro společnost Tailwind Traders dostačující, ale záleží na požadavcích aplikací. Nevýhodou této nasazené možnosti je, že nepřetržitě spuštěné virtuální počítače, což je očekáváný způsob spuštění řadičů domény, znamenají také nepřetržité náklady.
Co je Microsoft Entra Připojení?
Microsoft Entra Připojení (dříve Azure AD Připojení) umožňuje organizacím synchronizovat identity, které jsou přítomné ve své instanci místní Active Directory, do Microsoft Entra ID (dříve Azure AD). To vám umožní používat stejnou identitu pro cloudové prostředky a místní prostředky. Microsoft Entra Připojení se nejčastěji používá, když organizace přijmou Microsoft 365, aby bylo možné přistupovat k aplikacím, jako je Microsoft SharePoint a Exchange spuštěný v cloudu přes místní aplikace.
Pokud společnost Tailwind Traders plánuje přijmout technologie Microsoftu 365, jako je Exchange Online nebo Microsoft Teams, bude muset nakonfigurovat Microsoft Entra Připojení pro replikaci identit z místního prostředí AD DS do Azure. Pokud chce společnost také používat místní identity s aplikacemi v Azure, ale nechce nasazovat řadiče domény AD DS na virtuální počítače, bude také muset nasadit Microsoft Entra Připojení.
Co je Microsoft Entra Domain Services?
Službu Microsoft Entra Domain Services můžete použít k promítání domény Microsoft Entra do virtuální podsítě Azure. Když to uděláte, budu služby, jako je připojení k doméně, Zásady skupiny, protokol LDAP (Lightweight Access Protocol) a ověřování protokoly Kerberos a NTLM, dostupné pro všechny virtuální počítače, které jsou v podsíti nasazené.
Služba Microsoft Entra Domain Services umožňuje mít k dispozici základní spravované prostředí Active Directory pro virtuální počítače, aniž byste se museli starat o správu, údržbu a placení virtuálních počítačů, které běží jako řadiče domény. Služba Microsoft Entra Domain Services také umožňuje používat místní identity prostřednictvím služby Microsoft Entra Připojení pro interakci s virtuálními počítači spuštěnými v speciálně nakonfigurované podsíti virtuální sítě Azure.
Jednou z nevýhod služby Microsoft Entra Domain Services je, že implementace zásad skupiny je základní. Zahrnuje pevnou sadu zásad, ale nenabízí možnost vytvářet objekty Zásad skupiny (GPO). I když budou identity používané místně k dispozici v Azure, nebudou k dispozici žádné místně nakonfigurované zásady.
Pro společnost Tailwind Traders poskytuje služba Microsoft Entra Domain Services dobrou střední úroveň pro hybridní úlohy. Umožňuje používat identity připojené k doméně a nabízí podstatnou část konfigurace Zásad skupiny. Ale nepodporuje aplikace, které vyžadují složitější funkce Active Directory, jako jsou vlastní oddíly domény nebo rozšíření schémat.