A Microsoft Entra Domain Services üzembe helyezése és kezelése Azure-Felhőszolgáltató

  • Cikk

Az Azure Felhőszolgáltató s (CSP) a Microsoft-partnerek programja, és licenccsatornát biztosít a Különböző Microsoft-felhőszolgáltatásokhoz. Az Azure CSP lehetővé teszi a partnerek számára az értékesítések kezelését, a számlázási kapcsolat tulajdonjogát, technikai és számlázási támogatás biztosítását, valamint az ügyfél egyetlen kapcsolattartó pontját. Az Azure CSP emellett számos eszközt biztosít, beleértve az önkiszolgáló portált és a hozzá tartozó API-kat. Ezek az eszközök lehetővé teszik a CSP-partnerek számára az Azure-erőforrások egyszerű kiépítését és kezelését, valamint az ügyfelek és előfizetéseik számlázását.

A Partnerközpont portál az összes Azure CSP-partner belépési pontja, és gazdag ügyfélkezelési képességeket, automatizált feldolgozást és egyebeket biztosít. Az Azure CSP-partnerek webalapú felhasználói felülettel vagy PowerShell-lel és különböző API-hívásokkal használhatják a Partnerközpont képességeit.

Az alábbi ábra bemutatja, hogyan működik a CSP-modell magas szinten. Itt a Contoso rendelkezik Microsoft Entra-bérlővel. Partneri viszonyban állnak egy CSP-vel, aki az Azure CSP-előfizetésében helyezi üzembe és kezeli az erőforrásokat. A Contoso rendszeres (közvetlen) Azure-előfizetésekkel is rendelkezhet, amelyeket közvetlenül a Contoso-nak számlázunk ki.

Overview of the CSP model

A CSP-partner bérlőjének három speciális ügynökcsoportja van: Rendszergazda ügynökök, segélyszolgálati ügynökök és értékesítési ügynökök.

A Rendszergazda ügynökcsoport a Contoso Microsoft Entra-bérlőjének bérlői rendszergazdai szerepköréhez van rendelve. Ennek eredményeképpen a CSP-partner rendszergazdai ügynökcsoportjához tartozó felhasználó bérlői rendszergazdai jogosultságokkal rendelkezik a Contoso Microsoft Entra-bérlőjében.

Amikor a CSP-partner kiépít egy Azure CSP-előfizetést a Contoso számára, a rendszergazdai ügynökcsoport az adott előfizetés tulajdonosi szerepköréhez lesz rendelve. Ennek eredményeképpen a CSP-partner rendszergazdai ügynökei rendelkeznek a szükséges jogosultságokkal az Azure-erőforrások, például a virtuális gépek, a virtuális hálózatok és a Microsoft Entra Domain Services kiépítéséhez a Contoso nevében.

További információkért tekintse meg az Azure CSP áttekintését

A Domain Services azure CSP-előfizetésben való használatának előnyei

A Microsoft Entra Domain Services olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az LDAP, a Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directory tartományi szolgáltatások. Az évtizedek során számos alkalmazás készült az AD ellen ezeknek a képességeknek a használatára. Számos független szoftverszállító (ISV) készített és helyezett üzembe alkalmazásokat az ügyfeleik telephelyén. Ezeket az alkalmazásokat nehéz támogatni, mivel gyakran szükség van a különböző környezetekhez való hozzáférésre, ahol az alkalmazások üzembe vannak helyezve. Az Azure CSP-előfizetésekkel egyszerűbb alternatívát használhat az Azure méretével és rugalmasságával.

A Domain Services támogatja az Azure CSP-előfizetéseket. Az alkalmazást az ügyfél Microsoft Entra-bérlőjéhez tartozó Azure CSP-előfizetésben helyezheti üzembe. Ennek eredményeképpen az alkalmazottak (támogatási munkatársak) kezelhetik, felügyelhetik és kiszolgálhatják azokat a virtuális gépeket, amelyeken az alkalmazás telepítve van a szervezet vállalati hitelesítő adataival.

A Domain Services által felügyelt tartományt az ügyfél Microsoft Entra-bérlőjében is üzembe helyezheti. Az alkalmazás ezután csatlakozik az ügyfél felügyelt tartományához. A Kerberos/NTLM-et, LDAP-t vagy System.DirectoryServices API-t használó alkalmazáson belüli képességek zökkenőmentesen működnek az ügyfél tartományán. A végfelhasználók számára előnyös, ha az alkalmazást szolgáltatásként használják, anélkül, hogy aggódniuk kellene az alkalmazás üzembe helyezett infrastruktúrájának fenntartása miatt.

Az előfizetésben felhasznált Azure-erőforrások számlázása, beleértve a Tartományi szolgáltatásokat is, visszaszámlázzuk Önnek. Teljes körű ellenőrzést tart fenn az ügyféllel való kapcsolat felett az értékesítés, a számlázás, a technikai támogatás stb. Az Azure CSP-platform rugalmasságával a támogatási ügynökök egy kis csoportja számos olyan ügyfelet kiszolgálhat, akik üzembe helyezték az alkalmazás példányait.

CSP üzembehelyezési modellek a Domain Serviceshez

A Domain Services kétféleképpen használható Azure CSP-előfizetéssel. Válassza ki a megfelelőt az ügyfelek által megfontolt biztonsági és egyszerűséggel kapcsolatos szempontok alapján.

Közvetlen üzembehelyezési modell

Ebben az üzemi modellben a Domain Services engedélyezve van az Azure CSP-előfizetéshez tartozó virtuális hálózaton belül. A CSP-partner rendszergazdai ügynökei a következő jogosultságokkal rendelkeznek:

  • Globális rendszergazdai jogosultságok az ügyfél Microsoft Entra-bérlőjében.
  • Előfizetés-tulajdonosi jogosultságok az Azure CSP-előfizetésben.

Direct deployment model

Ebben az üzembehelyezési modellben a CSP-szolgáltató rendszergazdai ügynökei felügyelhetik az ügyfél identitását. Ezek a rendszergazdai ügynökök olyan feladatokat hajthatnak végre, mint az új felhasználók vagy csoportok kiépítése, vagy alkalmazások hozzáadása az ügyfél Microsoft Entra-bérlőjében.

Ez az üzembe helyezési modell alkalmas lehet olyan kisebb szervezetek számára, amelyek nem rendelkeznek dedikált identitásadminisztrátorsal, vagy inkább a CSP-partner számára szeretnék felügyelni az identitásokat a nevükben.

Társhálózati üzemi modell

Ebben az üzembehelyezési modellben a Domain Services engedélyezve van az ügyfélhez tartozó virtuális hálózaton – az ügyfél által fizetett közvetlen Azure-előfizetésen belül. A CSP-partner alkalmazásokat helyezhet üzembe az ügyfél CSP-előfizetéséhez tartozó virtuális hálózaton belül. A virtuális hálózatok ezután azure-beli virtuális hálózatok közötti társviszony-létesítéssel csatlakoztathatók.

Ezzel az üzembe helyezéssel a CSP-partner által az Azure CSP-előfizetésben üzembe helyezett számítási feladatok vagy alkalmazások csatlakozhatnak az ügyfél közvetlen Azure-előfizetésében kiépített felügyelt tartományhoz.

Peered deployment model

Ez az üzembe helyezési modell elkülöníti a jogosultságokat, és lehetővé teszi a CSP-partner ügyfélszolgálati ügynökeinek az Azure-előfizetés felügyeletét, valamint az erőforrások üzembe helyezését és kezelését. A CSP-partner ügyfélszolgálati ügynökeinek azonban nem kell globális rendszergazdai jogosultságokkal rendelkezniük az ügyfél Microsoft Entra-címtárában. Az ügyfél identitásadminisztrátorai továbbra is kezelhetik a szervezet identitásait.

Ez az üzembe helyezési modell alkalmas lehet olyan helyzetekre, amikor az ISV a helyszíni alkalmazás üzemeltetett verzióját biztosítja, amelyhez az ügyfél Microsoft Entra-azonosítójához is csatlakoznia kell.

Rendszergazda tartományi szolgáltatások regisztrálása CSP-előfizetésekben

A felügyelt tartományok Azure CSP-előfizetésben történő felügyeletekor az alábbi fontos szempontokat kell figyelembe venni:

  • A CSP-rendszergazdai ügynökök a hitelesítő adataikkal kiépíthetik a felügyelt tartományt: a Domain Services támogatja az Azure CSP-előfizetéseket. A CSP-partner rendszergazdai ügynökcsoportjához tartozó felhasználók új felügyelt tartományt építhetnek ki.

  • A CSP-k a PowerShell használatával szkriptekkel hozhatnak létre új felügyelt tartományokat ügyfeleik számára: A részletekért tekintse meg , hogyan engedélyezheti a tartományi szolgáltatásokat a PowerShell használatával .

  • A CSP-rendszergazdai ügynökök nem tudják elvégezni a felügyelt tartományon a hitelesítő adataikkal kapcsolatos folyamatos felügyeleti feladatokat: a CSP rendszergazdai felhasználói nem végezhetnek rutinszintű felügyeleti feladatokat a felügyelt tartományon belül a hitelesítő adataikkal. Ezek a felhasználók az ügyfél Microsoft Entra-bérlőjén kívül vannak, és a hitelesítő adataik nem érhetők el az ügyfél Microsoft Entra-bérlőjében. A Tartományi szolgáltatások nem férnek hozzá a Kerberos- és NTLM-jelszókivonatokhoz ezekhez a felhasználókhoz, így a felhasználók nem hitelesíthetők felügyelt tartományokon.

    Figyelmeztetés

    Létre kell hoznia egy felhasználói fiókot az ügyfél címtárában a felügyelt tartomány folyamatos adminisztrációs feladatainak elvégzéséhez.

    CsP-rendszergazdai felhasználó hitelesítő adataival nem tud bejelentkezni a felügyelt tartományba. Ehhez használja az ügyfél Microsoft Entra-bérlőhöz tartozó felhasználói fiók hitelesítő adatait. Ezekre a hitelesítő adatokra olyan feladatokhoz van szüksége, mint a virtuális gépek felügyelt tartományhoz való csatlakoztatása, a DNS felügyelete vagy a csoportházirend felügyelete.

  • A folyamatos felügyelethez létrehozott felhasználói fiókot hozzá kell adni az AAD tartományvezérlő Rendszergazda istratorok csoportjához: Az AAD tartományvezérlői Rendszergazda istratorok csoport jogosultságokkal rendelkezik bizonyos delegált felügyeleti feladatok végrehajtásához a felügyelt tartományon. Ezek a feladatok közé tartozik a DNS konfigurálása, a szervezeti egységek létrehozása és a csoportházirend felügyelete.

    Ahhoz, hogy egy CSP-partner elvégezhesse ezeket a feladatokat egy felügyelt tartományban, létre kell hoznia egy felhasználói fiókot az ügyfél Microsoft Entra-bérlőjében. A fiók hitelesítő adatait meg kell osztani a CSP-partner rendszergazdai ügynökeivel. Emellett ezt a felhasználói fiókot hozzá kell adni az AAD DC Rendszergazda istrators csoporthoz, hogy a felügyelt tartomány konfigurációs feladatait ezzel a felhasználói fiókkal lehessen elvégezni.

További lépések

Első lépésként regisztráljon az Azure CSP programba. Ezután engedélyezheti a Microsoft Entra Domain Services szolgáltatást a Microsoft Entra felügyeleti központban vagy az Azure PowerShellben.