Mi az a Microsoft Entra Domain Services?

A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat nyújt, mint a tartományhoz való csatlakozás, a csoportházirend, a Lightweight Directory Access Protocol (LDAP) és a Kerberos/NTLM-hitelesítés. You use these domain services without the need to deploy, manage, and patch domain controllers (DCs) in the cloud.

A Domain Services által felügyelt tartományokkal olyan régi alkalmazásokat futtathat a felhőben, amelyek nem tudnak modern hitelesítési módszereket használni, vagy ahol nem szeretné, hogy a címtárkeresések mindig egy helyszíni AD DS-környezetbe térjenek vissza. Ezeket az örökölt alkalmazásokat a helyszíni környezetből egy felügyelt tartományba helyezheti át anélkül, hogy a felhőben kellene kezelnie az AD DS-környezetet.

A Domain Services integrálható a meglévő Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók a meglévő hitelesítő adataikkal jelentkezzenek be a felügyelt tartományhoz csatlakoztatott szolgáltatásokba és alkalmazásokba. Meglévő csoportokat és felhasználói fiókokat is használhat az erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ezek a funkciók zökkenőmentesebben emelik át a helyszíni erőforrásokat az Azure-ba.

Első lépésként hozzon létre egy felügyelt Domain Services-tartományt a Microsoft Entra felügyeleti központ használatával

A Domain Services szolgáltatással kapcsolatos további információkért tekintse meg rövid videónkat.

Hogyan működik a Domain Services?

A Domain Services által felügyelt tartomány létrehozásakor egyedi névteret határoz meg. Ez a névtér a tartománynév, például aaddscontoso.com. Ezután két Windows Server-tartományvezérlő (DCs) lesz üzembe helyezve a kiválasztott Azure-régióban. A tartományvezérlők központi telepítését replikakészletnek nevezzük.

Ezeket a tartományvezérlőket nem kell kezelnie, konfigurálnia vagy frissítenie. Az Azure platform a felügyelt tartomány részeként kezeli a tartományvezérlőket, beleértve a biztonsági mentéseket és a inaktív állapotban lévő titkosítást az Azure Disk Encryption használatával.

A felügyelt tartomány úgy van konfigurálva, hogy egyirányú szinkronizálást hajtson végre a Microsoft Entra ID-ból, hogy hozzáférést biztosítson a felhasználók, csoportok és hitelesítő adatok központi készletéhez. Az erőforrásokat közvetlenül a felügyelt tartományban hozhatja létre, de a rendszer nem szinkronizálja őket a Microsoft Entra-azonosítóval. A felügyelt tartományhoz csatlakozó Azure-beli alkalmazások, szolgáltatások és virtuális gépek ezután használhatják az AD DS gyakori funkcióit, például a tartományhoz való csatlakozást, a csoportházirendet, az LDAP-t és a Kerberos/NTLM-hitelesítést.

A helyszíni AD DS-környezettel rendelkező hibrid környezetben a Microsoft Entra Csatlakozás szinkronizálja az identitásadatokat a Microsoft Entra-azonosítóval, amelyet aztán szinkronizál a felügyelt tartományba.

A Domain Services replikálja az identitásadatokat a Microsoft Entra-azonosítóból, így olyan Microsoft Entra-bérlőkkel működik együtt, amelyek csak felhőalapúak, vagy szinkronizálva vannak egy helyszíni AD DS-környezettel. Mindkét környezetben ugyanaz a Domain Services-szolgáltatáskészlet létezik.

• Ha már rendelkezik helyszíni AD DS-környezettel, szinkronizálhatja a felhasználói fiók adatait, hogy egységes identitást biztosítson a felhasználók számára. További információ: Az objektumok és a hitelesítő adatok szinkronizálása felügyelt tartományban.
• Csak felhőalapú környezetek esetén nincs szükség hagyományos helyszíni AD DS-környezetre a Domain Services központosított identitásszolgáltatásainak használatához.

A felügyelt tartományokat kibonthatja úgy, hogy a Microsoft Entra-bérlők több replikakészlettel rendelkezzenek. A replikakészletek bármely, a tartományi szolgáltatásokat támogató Azure-régióban hozzáadhatók a társviszonyban lévő virtuális hálózatokhoz. A különböző Azure-régiókban lévő replikakészletek hozzáadásával földrajzi vészhelyreállítást biztosíthat az örökölt alkalmazásokhoz, ha egy Azure-régió offline állapotba kerül. További információ: A replikakészletek fogalmai és funkciói felügyelt tartományokhoz.

Ebből a videóból megtudhatja, hogyan integrálható a Domain Services az alkalmazásokkal és számítási feladatokkal az identitásszolgáltatások felhőbeli biztosításához:

Ha működés közben szeretné megtekinteni a Domain Services üzembe helyezési forgatókönyveit, az alábbi példákat ismerheti meg:

• Domain Services hibrid szervezeteknek
• Domain Services csak felhőalapú szervezeteknek

A Domain Services szolgáltatásai és előnyei

Ha identitásszolgáltatásokat szeretne nyújtani a felhőbeli alkalmazások és virtuális gépek számára, a Domain Services teljes mértékben kompatibilis a hagyományos AD DS-környezettel olyan műveletekhez, mint a tartományhoz való csatlakozás, a biztonságos LDAP (LDAPS), a csoportházirend, a DNS-kezelés és az LDAP-kötés és olvasási támogatás. Az LDAP írási támogatása a felügyelt tartományban létrehozott objektumokhoz érhető el, a Microsoft Entra-azonosítóból szinkronizált erőforrások azonban nem.

Ha többet szeretne megtudni az identitásbeállításokról, hasonlítsa össze a Tartományi szolgáltatásokat a Microsoft Entra-azonosítóval, az Azure-beli virtuális gépeken futó AD DS-vel és a helyszíni AD DS-vel.

A Domain Services alábbi funkciói leegyszerűsítik az üzembe helyezési és felügyeleti műveleteket:

• Egyszerűsített üzembe helyezési élmény: A Domain Services egyetlen varázslóval engedélyezve van a Microsoft Entra-bérlő számára a Microsoft Entra felügyeleti központban.
• Integrálva a Microsoft Entra-azonosítóval: A felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a Microsoft Entra-bérlőből. A Rendszer automatikusan szinkronizálja az új felhasználókat, csoportokat vagy attribútumok módosításait a Microsoft Entra-bérlőből vagy a helyszíni AD DS-környezetből a Tartományi szolgáltatásokba.
  • A Microsoft Entra-azonosítóhoz társított külső címtárak fiókjai nem érhetők el a Domain Servicesben. A külső címtárakhoz nem érhetők el hitelesítő adatok, ezért nem szinkronizálhatók felügyelt tartományba.
• Használja a vállalati hitelesítő adatokat/jelszavakat: A Tartományi szolgáltatások felhasználóinak jelszavai megegyeznek a Microsoft Entra-bérlőhöz használt jelszóval. A felhasználók a vállalati hitelesítő adataikkal tartományhoz csatlakoztathatják a gépeket, interaktívan vagy távoli asztalon jelentkezhetnek be, és hitelesíthetik magukat a felügyelt tartományon.
• NTLM- és Kerberos-hitelesítés: Az NTLM és a Kerberos hitelesítés támogatásával windowsos integrált hitelesítésre támaszkodó alkalmazásokat helyezhet üzembe.
• Magas rendelkezésre állás: A Domain Services több tartományvezérlőt is tartalmaz, amelyek magas rendelkezésre állást biztosítanak a felügyelt tartomány számára. Ez a magas rendelkezésre állás garantálja a szolgáltatás üzemidejét és a hibákra való rugalmasságot.
  • Az Azure rendelkezésre állási zónákat támogató régiókban ezek a tartományvezérlők a zónák között is el vannak osztva a további rugalmasság érdekében.
  • A replikakészletek az örökölt alkalmazások földrajzi vészhelyreállítására is használhatók, ha egy Azure-régió offline állapotba kerül.

A felügyelt tartományok néhány fő aspektusa a következők:

• A felügyelt tartomány önálló tartomány. Ez nem egy helyszíni tartomány kiterjesztése.
  • Szükség esetén létrehozhat egyirányú kimenő erdőmegbízhatóságokat a Domain Servicesből egy helyszíni AD DS-környezetbe. További információkért tekintse meg a Tartományi szolgáltatások erdővel kapcsolatos fogalmait és funkcióit.
• Az informatikai csapatnak nem kell felügyelnie, javítania vagy figyelnie a felügyelt tartomány tartományvezérlőit.

A helyszíni AD DS-t futtató hibrid környezetek esetében nem kell kezelnie az AD-replikációt a felügyelt tartományba. A helyszíni címtár felhasználói fiókjai, csoporttagságai és hitelesítő adatai a Microsoft Entra-azonosítóval szinkronizálódnak a Microsoft Entra Csatlakozás keresztül. Ezek a felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a felügyelt tartományban.

További lépések

A Domain Services más identitáskezelési megoldásokkal való összehasonlításával és a szinkronizálás működésével kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Tartományi szolgáltatások összehasonlítása a Microsoft Entra-azonosítóval, az Azure-beli virtuális gépeken Active Directory tartományi szolgáltatások és a helyszíni Active Directory tartományi szolgáltatások
• Megtudhatja, hogyan szinkronizálja a Microsoft Entra Domain Services a Microsoft Entra-címtárat
• A felügyelt tartományok felügyeletének megismeréséhez tekintse meg a felhasználói fiókok, jelszavak és felügyelet felügyeleti fogalmait a Domain Servicesben.

Első lépésként hozzon létre egy felügyelt tartományt a Microsoft Entra felügyeleti központban.