Saját kezelésű Active Directory tartományi szolgáltatások, Microsoft Entra-azonosító és felügyelt Microsoft Entra Domain Services összehasonlítása
Az alkalmazások, szolgáltatások vagy eszközök központi identitáshoz való hozzáférésének biztosításához az Active Directory-alapú szolgáltatások használatának három gyakori módja van az Azure-ban. Az identitáskezelési megoldásokban ez a választási lehetőség rugalmasságot biztosít a szervezet igényeinek leginkább megfelelő címtár használatára. Ha például többnyire csak felhőalapú, mobileszközöket futtató felhasználókat kezel, előfordulhat, hogy nem érdemes saját Active Directory tartományi szolgáltatások (AD DS) identitásmegoldást létrehozni és futtatni. Ehelyett csak a Microsoft Entra-azonosítót használhatja.
Bár a három Active Directory-alapú identitásmegoldás közös névvel és technológiával rendelkezik, különböző ügyféligényeknek megfelelő szolgáltatásokat nyújtanak. Magas szinten ezek az identitásmegoldások és szolgáltatáskészletek a következők:
- Active Directory tartományi szolgáltatások (AD DS) – Nagyvállalati használatra kész egyszerűsített címtárelérési protokoll (LDAP) kiszolgáló, amely olyan kulcsfontosságú funkciókat biztosít, mint az identitás és hitelesítés, a számítógépobjektum-kezelés, a csoportházirend és a megbízhatóság.
- Az AD DS számos, helyszíni informatikai környezettel rendelkező szervezet központi összetevője, és alapvető felhasználói fiókhitelesítési és számítógép-kezelési funkciókat biztosít.
- További információt a Windows Server dokumentációjában Active Directory tartományi szolgáltatások áttekintésében talál.
- Microsoft Entra ID – Felhőalapú identitás- és mobileszköz-kezelés, amely felhasználói fiókot és hitelesítési szolgáltatásokat biztosít olyan erőforrásokhoz, mint a Microsoft 365, a Microsoft Entra felügyeleti központ vagy az SaaS-alkalmazások.
- A Microsoft Entra ID szinkronizálható egy helyszíni AD DS-környezettel, hogy egyetlen identitást biztosítson a felhőben natív módon dolgozó felhasználók számára.
- További információ a Microsoft Entra-azonosítóról: Mi a Microsoft Entra ID?
- Microsoft Entra Domain Services – A felügyelt tartományi szolgáltatások olyan teljes mértékben kompatibilis hagyományos AD DS-funkciók részhalmazával rendelkeznek, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM-hitelesítés.
- A Domain Services integrálható a Microsoft Entra-azonosítóval, amely maga is szinkronizálható egy helyszíni AD DS-környezettel. Ez a képesség kiterjeszti a központi identitáshasználati eseteket az Azure-ban futó hagyományos webalkalmazásokra egy átemelési stratégia részeként.
- Ha többet szeretne megtudni a Microsoft Entra-azonosítóval és a helyszíni adatokkal való szinkronizálásról, olvassa el az objektumok és hitelesítő adatok felügyelt tartományban való szinkronizálását ismertető témakört.
Ez az áttekintési cikk összehasonlítja és összehasonlítja, hogyan működnek együtt ezek az identitásmegoldások, vagy hogyan használhatók egymástól függetlenül, a szervezet igényeitől függően.
Tartományi szolgáltatások és ön által felügyelt AD DS
Ha olyan alkalmazásokkal és szolgáltatásokkal rendelkezik, amelyek hozzáférést igényelnek a hagyományos hitelesítési mechanizmusokhoz, például a Kerberoshoz vagy az NTLM-hez, kétféleképpen biztosíthat Active Directory tartományi szolgáltatások a felhőben:
- A Microsoft Entra Domain Services használatával létrehozott felügyelt tartomány . A Microsoft létrehozza és kezeli a szükséges erőforrásokat.
- Ön által felügyelt tartomány, amelyet hagyományos erőforrások, például virtuális gépek ( virtuális gépek), Windows Server-vendég operációs rendszer és Active Directory tartományi szolgáltatások (AD DS) használatával hoz létre és konfigurál. Ezután továbbra is felügyelheti ezeket az erőforrásokat.
A Domain Services használatával az alapvető szolgáltatásösszetevőket a Microsoft felügyelt tartományként helyezi üzembe és tartja karban. Az AD DS-infrastruktúra nem telepíthető, kezelhető, nem javítható és nem biztonságos az olyan összetevők esetében, mint a virtuális gépek, a Windows Server operációs rendszer vagy a tartományvezérlők.
A Domain Services a funkciók kisebb részét biztosítja a hagyományos, ön által felügyelt AD DS-környezetnek, ami csökkenti a tervezés és a felügyelet összetettségének egy részét. A tervezéshez és karbantartáshoz például nincsenek AD-erdők, tartományok, helyek és replikációs hivatkozások. Továbbra is létrehozhat erdőmegbízhatóságokat a Domain Services és a helyszíni környezetek között.
A felhőben futó és hagyományos hitelesítési mechanizmusokhoz, például a Kerberoshoz vagy az NTLM-hez való hozzáférésre szoruló alkalmazások és szolgáltatások esetében a Domain Services minimális adminisztrációs többletterhelés mellett biztosít felügyelt tartományi élményt. További információ: A tartományi szolgáltatások felhasználói fiókok, jelszavak és felügyeletének kezelési fogalmai.
Ha ön által felügyelt AD DS-környezetet helyez üzembe és futtat, az összes társított infrastruktúrát és címtárösszetevőt fenn kell tartania. Egy ön által felügyelt AD DS-környezettel további karbantartási többletterhelések is járnak, de további feladatokat is elvégezhet, például kibővítheti a sémát, vagy erdőmegbízhatóságokat hozhat létre.
A felhőbeli alkalmazások és szolgáltatások identitását biztosító, ön által felügyelt AD DS-környezetek gyakori üzembehelyezési modelljei a következők:
- Önálló, csak felhőalapú AD DS – Az Azure-beli virtuális gépek tartományvezérlőként vannak konfigurálva, és külön, csak felhőalapú AD DS-környezet jön létre. Ez az AD DS-környezet nem integrálható helyszíni AD DS-környezettel. A rendszer más hitelesítő adatokkal jelentkezik be és felügyeli a felhőben lévő virtuális gépeket.
- Helyszíni tartomány kiterjesztése az Azure-ra – Egy Azure-beli virtuális hálózat VPN-/ExpressRoute-kapcsolattal csatlakozik egy helyszíni hálózathoz. Az Azure-beli virtuális gépek ehhez az Azure-beli virtuális hálózathoz csatlakoznak, amely lehetővé teszi számukra, hogy tartományhoz csatlakozzanak a helyszíni AD DS-környezethez.
- Másik lehetőségként azure-beli virtuális gépeket hozhat létre és előléptethet replika tartományvezérlőként a helyszíni AD DS-tartományból. Ezek a tartományvezérlők VPN/ExpressRoute-kapcsolaton keresztül replikálódnak a helyszíni AD DS-környezethez. A helyszíni AD DS-tartomány hatékonyan kiterjeszthető az Azure-ra.
Az alábbi táblázat néhány olyan funkciót mutat be, amelyekre szüksége lehet a szervezet számára, valamint a felügyelt vagy a saját kezelésű AD DS-tartomány közötti különbségeket:
| Vonás | Felügyelt tartomány | Ön által felügyelt AD DS |
|---|---|---|
| Felügyelt szolgáltatás | ✓ | ✕ |
| Biztonságos üzembe helyezés | ✓ | Rendszergazda istrator biztosítja az üzembe helyezést |
| DNS-kiszolgáló | ✓ (felügyelt szolgáltatás) | ✓ |
| Tartományi vagy vállalati rendszergazdai jogosultságok | ✕ | ✓ |
| Csatlakozás tartományhoz | ✓ | ✓ |
| Tartományhitelesítés NTLM és Kerberos használatával | ✓ | ✓ |
| Kerberos korlátozott delegálás | Erőforrás-alapú | Erőforrásalapú > fiókalapú |
| Egyéni szervezeti egység felépítése | ✓ | ✓ |
| Csoportházirend | ✓ | ✓ |
| Sémabővítmények | ✕ | ✓ |
| AD-tartomány/ erdő megbízhatósága | ✓ (csak egyirányú kimenő erdőmegbízhatóságok) | ✓ |
| Biztonságos LDAP (LDAPS) | ✓ | ✓ |
| LDAP olvasása | ✓ | ✓ |
| LDAP-írás | ✓ (a felügyelt tartományon belül) | ✓ |
| Földrajzilag elosztott üzemelő példányok | ✓ | ✓ |
Domain Services és Microsoft Entra ID
A Microsoft Entra ID segítségével kezelheti a szervezet által használt eszközök identitását, és szabályozhatja a vállalati erőforrásokhoz való hozzáférést ezekről az eszközökről. A felhasználók regisztrálhatják személyes eszközüket (saját (BYO) modelljüket is a Microsoft Entra-azonosítóval, amely identitást biztosít az eszköz számára. A Microsoft Entra ID ezután hitelesíti az eszközt, amikor egy felhasználó bejelentkezik a Microsoft Entra-azonosítóba, és az eszköz használatával hozzáfér a biztonságos erőforrásokhoz. Az eszköz kezelhető mobile Eszközkezelés (MDM) szoftverrel, például a Microsoft Intune-nal. Ez a felügyeleti lehetőség lehetővé teszi, hogy a bizalmas erőforrásokhoz való hozzáférést felügyelt és szabályzatnak megfelelő eszközökre korlátozza.
A hagyományos számítógépek és laptopok is csatlakozhatnak a Microsoft Entra-azonosítóhoz. Ez a mechanizmus ugyanazokat az előnyöket nyújtja, ha személyes eszközt regisztrál a Microsoft Entra-azonosítóval, például lehetővé teszi a felhasználók számára, hogy vállalati hitelesítő adataikkal jelentkezzenek be az eszközre.
A Microsoft Entra-hoz csatlakoztatott eszközök a következő előnyökkel járnak:
- Egyszeri bejelentkezés (SSO) a Microsoft Entra ID által védett alkalmazásokra.
- A felhasználói beállítások nagyvállalati szabályzatnak megfelelő barangolása az eszközökön.
- Hozzáférés a Vállalati Windows Áruházhoz vállalati hitelesítő adatokkal.
- Vállalati Windows Hello.
- Korlátozott hozzáférés az alkalmazásokhoz és erőforrásokhoz a vállalati szabályzatnak megfelelő eszközökről.
Az eszközök egy helyszíni AD DS-környezetet tartalmazó hibrid telepítéssel vagy anélkül csatlakoztathatók a Microsoft Entra-azonosítóhoz. Az alábbi táblázat a gyakori eszköztulajdon-modelleket és azok tartományhoz való csatlakoztatásának módját ismerteti:
| Eszköz típusa | Eszközplatformok | Mechanizmus |
|---|---|---|
| Személyes eszközök | Windows 10, iOS, Android, macOS | Regisztrált Microsoft Entra |
| A szervezet tulajdonában lévő eszköz nincs csatlakoztatva a helyszíni AD DS-hez | Windows 10 | Csatlakoztatott Microsoft Entra |
| Szervezeti tulajdonú eszköz csatlakozik egy helyszíni AD DS-hez | Windows 10 | Csatlakoztatott Microsoft Entra hibrid |
A Microsoft Entra-hoz csatlakoztatott vagy regisztrált eszközökön a felhasználói hitelesítés modern OAuth/OpenID Csatlakozás-alapú protokollokkal történik. Ezek a protokollok úgy vannak kialakítva, hogy az interneten keresztül működjenek, így olyan mobil helyzetekben, ahol a felhasználók bárhonnan hozzáférhetnek a vállalati erőforrásokhoz.
A Domain Serviceshez csatlakoztatott eszközökkel az alkalmazások a Kerberos- és NTLM-protokollokat használhatják a hitelesítéshez, így támogathatják az Azure-beli virtuális gépeken való futtatásra migrált régi alkalmazásokat a váltási stratégia részeként. Az alábbi táblázat az eszközök megjelenítésének és hitelesítésének különbségeit mutatja be a címtárban:
| Szempont | Csatlakoztatott Microsoft Entra | Tartományi szolgáltatásokhoz csatlakoztatott |
|---|---|---|
| Az eszköz vezérlése: | Microsoft Entra ID | Domain Services által felügyelt tartomány |
| Reprezentáció a címtárban | Eszközobjektumok a Microsoft Entra könyvtárban | Számítógép-objektumok a Domain Services által felügyelt tartományban |
| Hitelesítés | OAuth/OpenID Csatlakozás-alapú protokollok | Kerberos- és NTLM-protokollok |
| Kezelés | Mobil Eszközkezelés (MDM) szoftverek, például az Intune | Group Policy |
| Networking | Működik az interneten keresztül | A felügyelt tartományt üzembe helyező virtuális hálózathoz kell kapcsolódnia vagy társviszonyban kell lennie |
| Nagyszerű... | Végfelhasználói mobil- vagy asztali eszközök | Az Azure-ban üzembe helyezett kiszolgálói virtuális gépek |
Ha a helyszíni AD DS és a Microsoft Entra ID összevont hitelesítésre van konfigurálva az AD FS használatával, akkor az Azure DS-ben nincs elérhető (aktuális/érvényes) jelszókivonat. Előfordulhat, hogy a Fed-hitelesítés implementálása előtt létrehozott Microsoft Entra felhasználói fiókok régi jelszókivonattal rendelkeznek, de ez valószínűleg nem egyezik a helyszíni jelszó kivonatával. Ennek eredményeképpen a Domain Services nem fogja tudni ellenőrizni a felhasználók hitelesítő adatait
További lépések
A Domain Services használatának megkezdéséhez hozzon létre egy felügyelt tartományt a Microsoft Entra felügyeleti központ használatával.
A tartományi szolgáltatásokban a felhasználói fiókok, jelszavak és felügyelet kezelési fogalmaival, valamint az objektumok és hitelesítő adatok felügyelt tartományban való szinkronizálásának módjával is megismerkedhet.