Az önállóan felügyelt Active Directory tartományi szolgáltatások, Azure Active Directory és felügyelt Azure Active Directory Domain Services összehasonlításaCompare self-managed Active Directory Domain Services, Azure Active Directory, and managed Azure Active Directory Domain Services

Az alkalmazások, szolgáltatások vagy eszközök központi identitáshoz való hozzáférésének három gyakori módja van az Azure-ban Active Directory-alapú szolgáltatások használatának.To provide applications, services, or devices access to a central identity, there are three common ways to use Active Directory-based services in Azure. Ez a választási lehetőség az Identity Solutions szolgáltatásban rugalmasságot biztosít a szervezet igényeinek legmegfelelőbb címtár használatához.This choice in identity solutions gives you the flexibility to use the most appropriate directory for your organization's needs. Ha például többnyire csak a csak felhőalapú felhasználókat felügyeli, akkor előfordulhat, hogy nem érdemes saját Active Directory tartományi szolgáltatások (AD DS) identitás-megoldást létrehoznia és futtatnia.For example, if you mostly manage cloud-only users that run mobile devices, it may not make sense to build and run your own Active Directory Domain Services (AD DS) identity solution. Ehelyett egyszerűen használhatja a Azure Active Directory.Instead, you could just use Azure Active Directory.

Habár a három Active Directory-alapú identitási megoldás közös nevet és technológiát használ, úgy tervezték, hogy olyan szolgáltatásokat nyújtsanak, amelyek megfelelnek a különböző felhasználói igényeknek.Although the three Active Directory-based identity solutions share a common name and technology, they're designed to provide services that meet different customer demands. Ezek az identitás-megoldások és-funkciók magas szinten a következők:At high level, these identity solutions and feature sets are:

  • Active Directory tartományi szolgáltatások (AD DS) – nagyvállalati használatra kész Lightweight Directory Access Protocol (LDAP) kiszolgáló, amely olyan kulcsfontosságú funkciókat biztosít, mint például az identitás és a hitelesítés, a számítógép-objektumok kezelése, a csoportházirend és a megbízhatósági kapcsolatok.Active Directory Domain Services (AD DS) - Enterprise-ready lightweight directory access protocol (LDAP) server that provides key features such as identity and authentication, computer object management, group policy, and trusts.
  • Azure Active Directory (Azure ad) – felhőalapú identitás-és mobileszköz-kezelés, amely felhasználói fiókokat és hitelesítési szolgáltatásokat biztosít olyan erőforrásokhoz, mint például a Microsoft 365, a Azure Portal vagy az SaaS-alkalmazás.Azure Active Directory (Azure AD) - Cloud-based identity and mobile device management that provides user account and authentication services for resources such as Microsoft 365, the Azure portal, or SaaS applications.
    • Az Azure AD szinkronizálható helyszíni AD DS környezettel, így egyetlen identitást biztosíthat a felhőben natív módon működő felhasználóknak.Azure AD can be synchronized with an on-premises AD DS environment to provide a single identity to users that works natively in the cloud.
    • További információ az Azure AD-ről: Mi az Azure Active Directory?For more information about Azure AD, see What is Azure Active Directory?
  • Azure Active Directory Domain Services (Azure AD DS) – felügyelt tartományi szolgáltatásokat biztosít a teljes mértékben kompatibilis, hagyományos AD DS-funkciók, például a tartományhoz való csatlakozás, a csoportházirend, az LDAP és a KERBEROS/NTLM hitelesítés részeként.Azure Active Directory Domain Services (Azure AD DS) - Provides managed domain services with a subset of fully-compatible traditional AD DS features such as domain join, group policy, LDAP, and Kerberos / NTLM authentication.
    • Az Azure AD DS integrálható az Azure AD-vel, amely képes szinkronizálni a helyszíni AD DS-környezettel.Azure AD DS integrates with Azure AD, which itself can synchronize with an on-premises AD DS environment. Ez a képesség kiterjeszti a központi identitás használati eseteit az Azure-ban futó hagyományos webalkalmazásokra egy lift-és eltolási stratégia részeként.This ability extends central identity use cases to traditional web applications that run in Azure as part of a lift-and-shift strategy.
    • Ha többet szeretne megtudni az Azure AD-vel és a helyszíni szolgáltatással való szinkronizálásról, tekintse meg a felügyelt tartományokban található objektumok és hitelesítő adatok szinkronizálásának módját.To learn more about synchronization with Azure AD and on-premises, see How objects and credentials are synchronized in a managed domain.

Ez az áttekintő cikk összehasonlítja, hogy ezek az identitás-megoldások hogyan működhetnek együtt, vagy a szervezet igényeitől függően függetlenül használhatók.This overview article compares and contrasts how these identity solutions can work together, or would be used independently, depending on the needs of your organization.

Azure AD DS és önállóan felügyelt AD DSAzure AD DS and self-managed AD DS

Ha olyan alkalmazásokkal és szolgáltatásokkal rendelkezik, amelyek olyan hagyományos hitelesítési mechanizmusokhoz férnek hozzá, mint például a Kerberos vagy az NTLM, kétféleképpen biztosíthat Active Directory tartományi szolgáltatások a felhőben:If you have applications and services that need access to traditional authentication mechanisms such as Kerberos or NTLM, there are two ways to provide Active Directory Domain Services in the cloud:

  • Azure Active Directory Domain Services (Azure AD DS) használatával létrehozott felügyelt tartomány .A managed domain that you create using Azure Active Directory Domain Services (Azure AD DS). A Microsoft létrehozza és kezeli a szükséges erőforrásokat.Microsoft creates and manages the required resources.
  • Olyan önállóan felügyelt tartomány, amelyet a hagyományos erőforrások, például a virtuális gépek (VM), a Windows Server vendég operációs rendszer és a Active Directory tartományi szolgáltatások (AD DS) használatával hozhat létre és konfigurálhat.A self-managed domain that you create and configure using traditional resources such as virtual machines (VMs), Windows Server guest OS, and Active Directory Domain Services (AD DS). Ezután továbbra is felügyelheti ezeket az erőforrásokat.You then continue to administer these resources.

Az Azure AD DS az alapvető szolgáltatási összetevőket a Microsoft felügyelt tartományi felhasználói felületként telepíti és tartja karban.With Azure AD DS, the core service components are deployed and maintained for you by Microsoft as a managed domain experience. Nem kell telepítenie, felügyelni, javítani és biztonságossá tenni a AD DS infrastruktúrát olyan összetevőkhöz, mint a virtuális gépek, a Windows Server operációs rendszer vagy a tartományvezérlők.You don't deploy, manage, patch, and secure the AD DS infrastructure for components like the VMs, Windows Server OS, or domain controllers (DCs).

Az Azure AD DS szolgáltatások kisebb részhalmazát kínálja a hagyományos, önfelügyelt AD DS-környezet számára, ami csökkenti a tervezési és a felügyeleti komplexitást.Azure AD DS provides a smaller subset of features to traditional self-managed AD DS environment, which reduces some of the design and management complexity. Például nincs olyan AD-erdő, tartomány, hely, és replikációs hivatkozás a tervezéshez és a karbantartáshoz.For example, there are no AD forests, domain, sites, and replication links to design and maintain. Az Azure AD DS és a helyszíni környezetek között továbbra is erdőszintű megbízhatósági kapcsolatok hozhatók létre.You can still create forest trusts between Azure AD DS and on-premises environments.

A felhőben futó alkalmazások és szolgáltatások esetében, valamint a hagyományos hitelesítési mechanizmusokhoz (például Kerberos vagy NTLM) való hozzáférésre van szükség, az Azure AD DS felügyelt tartományi élményt biztosít a minimális adminisztratív terhelésnek megfelelően.For applications and services that run in the cloud and need access to traditional authentication mechanisms such as Kerberos or NTLM, Azure AD DS provides a managed domain experience with the minimal amount of administrative overhead. További információ: felügyeleti fogalmak a felhasználói fiókokhoz, jelszavakhoz és felügyelethez az Azure ad DSban.For more information, see Management concepts for user accounts, passwords, and administration in Azure AD DS.

Ha önálló felügyelet alatt álló AD DS környezetet telepít és futtat, meg kell őriznie az összes kapcsolódó infrastruktúrát és címtár-összetevőt.When you deploy and run a self-managed AD DS environment, you have to maintain all of the associated infrastructure and directory components. Az önfelügyelt AD DS-környezetek További karbantartási terheléssel rendelkeznek, azonban további feladatokat is végrehajthat, például kiterjesztheti a sémát, vagy erdőszintű megbízhatósági kapcsolatot hozhat létre.There's additional maintenance overhead with a self-managed AD DS environment, but you're then able to do additional tasks such as extend the schema or create forest trusts.

Közös üzembe helyezési modellek olyan önfelügyelt AD DS környezetekhez, amelyek identitást biztosítanak a Felhőbeli alkalmazásokhoz és szolgáltatásokhoz, többek között a következők:Common deployment models for a self-managed AD DS environment that provides identity to applications and services in the cloud include the following:

  • Önálló, csak felhőalapú AD DS – az Azure-beli virtuális gépek tartományvezérlőként vannak konfigurálva, és egy különálló, csak felhőalapú AD DS környezet jön létre.Standalone cloud-only AD DS - Azure VMs are configured as domain controllers and a separate, cloud-only AD DS environment is created. Ez a AD DS környezet nem integrálható helyszíni AD DS környezettel.This AD DS environment doesn't integrate with an on-premises AD DS environment. A rendszer a virtuális gépek Felhőbeli beadásához és felügyeletéhez különböző hitelesítő adatokat használ.A different set of credentials is used to sign in and administer VMs in the cloud.
  • Erőforrás-erdő üzembe helyezése – az Azure-beli virtuális gépek tartományvezérlőként vannak konfigurálva, és egy AD DS tartomány jön létre, amely egy meglévő erdő részét képezi.Resource forest deployment - Azure VMs are configured as domain controllers and an AD DS domain that's part of an existing forest is created. Ezt követően a rendszer egy helyszíni AD DS-környezethez konfigurálja a megbízhatósági kapcsolatot.A trust relationship is then configured to an on-premises AD DS environment. Más Azure-beli virtuális gépek tartományhoz csatlakozhatnak a felhőben található erőforrás-erdőhöz.Other Azure VMs can domain-join to this resource forest in the cloud. A felhasználói hitelesítés VPN-/ExpressRoute-kapcsolaton keresztül történik a helyszíni AD DS környezettel.User authentication runs over a VPN / ExpressRoute connection to the on-premises AD DS environment.
  • Helyszíni tartomány kiterjesztése az Azure -ra – az Azure Virtual Network VPN-/ExpressRoute-kapcsolaton keresztül csatlakozik egy helyszíni hálózathoz.Extend on-premises domain to Azure - An Azure virtual network connects to an on-premises network using a VPN / ExpressRoute connection. Az Azure virtuális gépek csatlakoznak ehhez az Azure-beli virtuális hálózathoz, amely lehetővé teszi, hogy a tartományhoz csatlakozzanak a helyszíni AD DS környezethez.Azure VMs connect to this Azure virtual network, which lets them domain-join to the on-premises AD DS environment.
    • Alternatív megoldásként Azure-beli virtuális gépeket hozhat létre, és áttekintheti őket replika tartományvezérlőként a helyszíni AD DS tartományból.An alternative is to create Azure VMs and promote them as replica domain controllers from the on-premises AD DS domain. Ezek a tartományvezérlők egy VPN-/ExpressRoute-kapcsolaton keresztül replikálódnak a helyszíni AD DS környezetbe.These domain controllers replicate over a VPN / ExpressRoute connection to the on-premises AD DS environment. A helyszíni AD DS tartomány hatékonyan bővíthető az Azure-ba.The on-premises AD DS domain is effectively extended into Azure.

Az alábbi táblázat néhány olyan funkciót vázol fel, amelyek a szervezet számára szükségesek, valamint a felügyelt Azure AD DS tartomány vagy egy önállóan felügyelt AD DS tartomány közötti különbségek:The following table outlines some of the features you may need for your organization, and the differences between a managed Azure AD DS domain or a self-managed AD DS domain:

SzolgáltatásFeature Azure AD DSAzure AD DS Önállóan felügyelt AD DSSelf-managed AD DS
Felügyelt szolgáltatásManaged service
Biztonságos központi telepítésekSecure deployments A rendszergazda gondoskodik az üzemelő példányrólAdministrator secures the deployment
DNS-kiszolgálóDNS server (felügyelt szolgáltatás) (managed service)
Tartományi vagy vállalati rendszergazdai jogosultságokDomain or Enterprise administrator privileges
Csatlakozás tartományhozDomain join
Tartományi hitelesítés NTLM és Kerberos használatávalDomain authentication using NTLM and Kerberos
Kerberos által korlátozott delegálásKerberos constrained delegation Erőforrás-alapúResource-based Erőforrás-alapú & fiók alapúResource-based & account-based
Egyéni szervezeti egység szerkezeteCustom OU structure
CsoportházirendGroup Policy
SémakiterjesztésekSchema extensions
AD-tartomány/erdőszintű megbízhatósági kapcsolatokAD domain / forest trusts (egyirányú kimenő erdőszintű megbízhatósági kapcsolat) (one-way outbound forest trusts only)
Biztonságos LDAP (LDAPS)Secure LDAP (LDAPS)
LDAP-olvasásLDAP read
LDAP-írásLDAP write (a felügyelt tartományon belül) (within the managed domain)
Földrajzilag elosztott üzemelő példányokGeo-distributed deployments

Azure AD DS és Azure ADAzure AD DS and Azure AD

Az Azure AD segítségével kezelheti a szervezet által használt eszközök identitását, és szabályozhatja a vállalati erőforrásokhoz való hozzáférést ezekből az eszközökről.Azure AD lets you manage the identity of devices used by the organization and control access to corporate resources from those devices. A felhasználók az Azure AD-vel is regisztrálhatják személyes eszközeiket (saját (BYO) modell), amely identitást biztosít az eszköz számára.Users can also register their personal device (a bring-your-own (BYO) model) with Azure AD, which provides the device with an identity. Az Azure AD ezt követően hitelesíti az eszközt, amikor egy felhasználó bejelentkezik az Azure AD-be, és az eszköz használatával fér hozzá a biztonságos erőforrásokhoz.Azure AD then authenticates the device when a user signs in to Azure AD and uses the device to access secured resources. Az eszköz a mobileszköz-felügyeleti (MDM) szoftverek, például a Microsoft Intune használatával felügyelhető.The device can be managed using Mobile Device Management (MDM) software like Microsoft Intune. Ez a kezelési képesség lehetővé teszi a bizalmas erőforrásokhoz való hozzáférést a felügyelt és a szabályzatoknak megfelelő eszközökre.This management ability lets you restrict access to sensitive resources to managed and policy-compliant devices.

A hagyományos számítógépek és laptopok is csatlakozhatnak az Azure AD-hez.Traditional computers and laptops can also join to Azure AD. Ez a mechanizmus ugyanazokat az előnyöket nyújtja, mint a személyes eszközök Azure AD-vel való regisztrálásának, például a felhasználók számára, hogy a vállalati hitelesítő adataik használatával bejelentkezzenek az eszközre.This mechanism offers the same benefits of registering a personal device with Azure AD, such as to allow users to sign in to the device using their corporate credentials.

Az Azure AD-hez csatlakoztatott eszközök a következő előnyöket nyújtják:Azure AD joined devices give you the following benefits:

  • Egyszeri bejelentkezés (SSO) az Azure AD által védett alkalmazásokhoz.Single-sign-on (SSO) to applications secured by Azure AD.
  • Vállalati házirend-kompatibilis barangolás a felhasználói beállítások között az eszközökön.Enterprise policy-compliant roaming of user settings across devices.
  • Hozzáférés a vállalati Windows áruházhoz vállalati hitelesítő adatok használatával.Access to the Windows Store for Business using corporate credentials.
  • Vállalati Windows Hello.Windows Hello for Business.
  • Korlátozott hozzáférés az alkalmazásokhoz és erőforrásokhoz a vállalati házirendnek megfelelő eszközökről.Restricted access to apps and resources from devices compliant with corporate policy.

Az eszközök csatlakoztathatók az Azure AD-hez olyan hibrid üzembe helyezéssel vagy anélkül, amely helyszíni AD DS környezetet is tartalmaz.Devices can be joined to Azure AD with or without a hybrid deployment that includes an on-premises AD DS environment. Az alábbi táblázat ismerteti a közös eszközök tulajdonosi modelljeit, valamint azt, hogy ezek általában hogyan csatlakoznak egy tartományhoz:The following table outlines common device ownership models and how they would typically be joined to a domain:

Eszköz típusaType of device EszközplatformokDevice platforms MechanizmusMechanism
Személyes eszközökPersonal devices Windows 10, iOS, Android, macOSWindows 10, iOS, Android, macOS Az Azure AD-ban regisztrálvaAzure AD registered
A szervezet tulajdonában lévő eszköz nincs a helyszíni AD DShoz csatlakoztatvaOrganization-owned device not joined to on-premises AD DS Windows 10Windows 10 Azure AD-hez csatlakoztatvaAzure AD joined
A szervezet tulajdonában lévő eszköz egy helyszíni AD DShoz csatlakoztatvaOrganization-owned device joined to an on-premises AD DS Windows 10Windows 10 csatlakozik a Hibrid Azure AD-hezHybrid Azure AD joined

Egy Azure AD-hez csatlakoztatott vagy regisztrált eszközön a felhasználói hitelesítés a modern OAuth/OpenID Connect-alapú protokollok használatával történik.On an Azure AD-joined or registered device, user authentication happens using modern OAuth / OpenID Connect based protocols. Ezek a protokollok úgy lettek kialakítva, hogy az interneten keresztül működjenek, ezért kiválóan alkalmasak a mobil környezetekhez, ahol a felhasználók bárhonnan hozzáférhetnek a vállalati erőforrásokhozThese protocols are designed to work over the internet, so are great for mobile scenarios where users access corporate resources from anywhere.

Az Azure AD DS csatlakoztatott eszközeivel az alkalmazások a Kerberos és az NTLM protokollt használhatják a hitelesítéshez, így az Azure-beli virtuális gépeken való futtatásra áttelepített örökölt alkalmazások a lift és a SHIFT stratégia részeként is támogatottak.With Azure AD DS-joined devices, applications can use the Kerberos and NTLM protocols for authentication, so can support legacy applications migrated to run on Azure VMs as part of a lift-and-shift strategy. Az alábbi táblázat az eszközök megjelenítésének és hitelesítésének különbségeit vázolja fel a címtárban:The following table outlines differences in how the devices are represented and can authenticate themselves against the directory:

SzempontAspect Azure AD-hez csatlakoztatottAzure AD-joined Azure AD DS-csatlakozásAzure AD DS-joined
Eszköz által vezéreltDevice controlled by Azure ADAzure AD Azure AD DS felügyelt tartományAzure AD DS managed domain
Képviselet a címtárbanRepresentation in the directory Eszközök objektumai az Azure AD-címtárbanDevice objects in the Azure AD directory Számítógép-objektumok az Azure AD DS felügyelt tartománybanComputer objects in the Azure AD DS managed domain
HitelesítésAuthentication OAuth/OpenID Connect-alapú protokollokOAuth / OpenID Connect based protocols Kerberos és NTLM protokollokKerberos and NTLM protocols
KezelésManagement Mobileszköz-felügyeleti (MDM) szoftverek, például az IntuneMobile Device Management (MDM) software like Intune CsoportházirendGroup Policy
HálózatkezelésNetworking Az interneten működikWorks over the internet Csatlakoznia kell ahhoz a virtuális hálózathoz, amelyhez a felügyelt tartományt telepíteni kellMust be connected to, or peered with, the virtual network where the managed domain is deployed
Nagyszerű...Great for... Végfelhasználói mobil-vagy asztali eszközökEnd-user mobile or desktop devices Az Azure-ban üzembe helyezett kiszolgálói virtuális gépekServer VMs deployed in Azure

Következő lépésekNext steps

Az Azure AD DS használatának megkezdéséhez hozzon létre egy azure AD DS felügyelt tartományt a Azure Portal használatával.To get started with using Azure AD DS, create an Azure AD DS managed domain using the Azure portal.

További információt a felhasználói fiókokkal, jelszavakkal és az Azure-AD DS felügyeletével kapcsolatos fogalmakról , valamint az objektumok és a hitelesítő adatok felügyelt tartományon belüli szinkronizálásárólis olvashat.You can also learn more about management concepts for user accounts, passwords, and administration in Azure AD DS and how objects and credentials are synchronized in a managed domain.