Az Azure Active Directory (AD) Domain ServicesbenAzure Active Directory (AD) Domain Services

ÁttekintésOverview

Az Azure infrastruktúra-szolgáltatások lehetővé teszik számos különféle számítástechnikai megoldást helyezhetnek üzembe.Azure Infrastructure Services enable you to deploy a wide range of computing solutions in an agile manner. Az Azure Virtual Machines, gyors telepíthet, és Ön csak használatalapú díjfizetés.With Azure Virtual Machines, you can deploy nearly instantaneously and you pay only by the minute. Támogatás Windows, Linux, SQL Server, Oracle, IBM, SAP és a BizTalk használja, telepítheti bármely számítási feladat programnyelvtől függetlenül, szinte bármely operációs rendszerben.Using support for Windows, Linux, SQL Server, Oracle, IBM, SAP, and BizTalk, you can deploy any workload, any language, on nearly any operating system. Ezeket az előnyöket lehetővé teszi helyszíni üzembe helyezett örökölt alkalmazások áttelepítése az Azure-bA menteni az üzemeltetési költségek.These benefits enable you to migrate legacy applications deployed on-premises to Azure, to save on operational expenses.

Kulcsfontosságú az Azure-bA áttelepíteni a helyszíni alkalmazások kezeli ezeket az alkalmazásokat identitás igényeit.A key aspect of migrating on-premises applications to Azure is handling the identity needs of these applications. Címtáralapú alkalmazásokat előfordulhat, hogy LDAP támaszkodnak az olvasási vagy írási hozzáférés a vállalati címtárban, vagy támaszkodhat a Windows beépített hitelesítés (Kerberos vagy NTLM-hitelesítés) hitelesíti a végfelhasználókat.Directory-aware applications may rely on LDAP for read or write access to the corporate directory or rely on Windows Integrated Authentication (Kerberos or NTLM authentication) to authenticate end users. Windows Server rendszeren futó – üzletági (LOB) alkalmazások tartományhoz csatlakozó gépek, általában telepítve vannak, így biztonságosan a csoportházirend használatával kezelhetők.Line-of-business (LOB) applications running on Windows Server are typically deployed on domain joined machines, so they can be managed securely using Group Policy. "Lift-and-shift" a helyszíni alkalmazások a felhőbe a vállalati identitás-infrastruktúrát a függőségeket kell feloldani.To 'lift-and-shift' on-premises applications to the cloud, these dependencies on the corporate identity infrastructure need to be resolved.

A rendszergazdák gyakran kapcsolja a számukra az Azure-ban üzembe helyezett alkalmazás identitás igényeinek kielégítéséhez a következő megoldások valamelyikét:Administrators often turn to one of the following solutions to satisfy the identity needs of their applications deployed in Azure:

  • Helyezze üzembe a site-to-site VPN-kapcsolatot az Azure infrastruktúra-szolgáltatások és a vállalati címtár a helyszínen futó számítási feladatok között.Deploy a site-to-site VPN connection between workloads running in Azure Infrastructure Services and the corporate directory on-premises.
  • A vállalati AD-tartomány vagy az erdő infrastruktúra kiterjesztése az Azure virtual machines replika tartományvezérlők beállításával.Extend the corporate AD domain/forest infrastructure by setting up replica domain controllers using Azure virtual machines.
  • Helyezze üzembe az Azure-ban az Azure virtuális gépként üzembe helyezett tartományvezérlőkhöz önálló tartományhoz.Deploy a stand-alone domain in Azure using domain controllers deployed as Azure virtual machines.

Ezek a módszerek dochází ke magas költségeket és az adminisztratív terhelést.All these approaches suffer from high cost and administrative overhead. A rendszergazdák az Azure virtual machines használatával tartományvezérlők üzembe helyezése szükségesek.Administrators are required to deploy domain controllers using virtual machines in Azure. Emellett szükségük kezelése, biztonságos, patch, figyelése, biztonsági mentés és ezek a virtuális gépek hibaelhárítása.Additionally, they need to manage, secure, patch, monitor, backup, and troubleshoot these virtual machines. A VPN-kapcsolatok a helyszíni címtár támaszkodás sebezhetők átmeneti hálózati problémák vagy valamilyen okból kimaradás lép az Azure-ban üzembe helyezett számítási feladatok okoz.The reliance on VPN connections to the on-premises directory causes workloads deployed in Azure to be vulnerable to transient network glitches or outages. A hálózati kimaradások viszont alacsonyabb rendelkezésre állását és a korlátozott megbízhatóság ezekhez az alkalmazásokhoz eredményez.These network outages in turn result in lower uptime and reduced reliability for these applications.

Azure AD tartományi szolgáltatásokat biztosít egyszerűbb alternatív alakítottuk ki.We designed Azure AD Domain Services to provide an easier alternative.

Bevezető videóWatch an introductory video

Az Azure AD Domain Services bemutatásaIntroducing Azure AD Domain Services

Az Azure AD tartományi szolgáltatások például a tartományhoz való csatlakozás, csoport házirend vagy az LDAP, Kerberos/NTLM-hitelesítés, amely teljes mértékben kompatibilis a Windows Server Active Directoryval felügyelt tartományi szolgáltatásokat biztosít.Azure AD Domain Services provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that are fully compatible with Windows Server Active Directory. A tartományi szolgáltatások anélkül, hogy telepíthet, kezelhet és javítani a tartományvezérlők a felhőben is használhatók.You can consume these domain services without the need for you to deploy, manage, and patch domain controllers in the cloud. Az Azure AD tartományi szolgáltatásokkal integrálható a meglévő Azure AD-bérlőjében, így lehetővé téve a felhasználók számára a vállalati hitelesítői adataikkal jelentkezhetnek.Azure AD Domain Services integrates with your existing Azure AD tenant, thus making it possible for users to log in using their corporate credentials. Emellett használhatja meglévő csoportok és felhasználói fiókok való biztonságos hozzáférés a erőforrásokhoz, ezáltal biztosítható a egyenletesebb "lift-and-shift" az Azure Infrastruktúraszolgáltatások a helyszíni erőforrásokkal.Additionally, you can use existing groups and user accounts to secure access to resources, thus ensuring a smoother 'lift-and-shift' of on-premises resources to Azure Infrastructure Services.

Függetlenül attól, hogy az Azure AD-bérlő csak felhőalapú, vagy a helyszíni Active Directoryval szinkronizált Azure AD tartományi szolgáltatások funkcióit problémamentesen működik.Azure AD Domain Services functionality works seamlessly regardless of whether your Azure AD tenant is cloud-only or synced with your on-premises Active Directory.

A szervezet kizárólag felhőalapú Azure AD tartományi szolgáltatásokAzure AD Domain Services for cloud-only organizations

Kizárólag felhőalapú Azure AD-bérlő (gyakran nevezik "felügyelt bérlők") nem rendelkezik bármilyen helyszíni identitás erőforrásigényét.A cloud-only Azure AD tenant (often referred to as 'managed tenants') does not have any on-premises identity footprint. Más szóval felhasználói fiókok, a jelszavakat és a csoporttagságok az összes natív módon felhőalapú -, létrehozása és felügyelete az Azure ad-ben.In other words, user accounts, their passwords, and group memberships are all native to the cloud - that is, created and managed in Azure AD. Érdemes lehet egy pillanatra, hogy Contoso kizárólag felhőalapú Azure AD-bérlővel.Consider for a moment that Contoso is a cloud-only Azure AD tenant. Amint az alábbi ábrán látható, a Contoso rendszergazda konfigurált egy virtuális hálózatot az Azure infrastruktúra-szolgáltatásokban.As shown in the following illustration, Contoso's administrator has configured a virtual network in Azure Infrastructure Services. Alkalmazások és a server számítási feladatainak Azure-beli virtuális gépeken a virtuális hálózatban lévő vannak telepítve.Applications and server workloads are deployed in this virtual network in Azure virtual machines. Mivel a Contoso egy kizárólag felhőalapú bérlők, az összes felhasználói identitások, a hitelesítő adatok és a csoporttagságok létrehozása és felügyelete az Azure ad-ben.Since Contoso is a cloud-only tenant, all user identities, their credentials, and group memberships are created and managed in Azure AD.

Az Azure AD Domain Services áttekintése

A Contoso rendszergazda engedélyezheti az Azure AD tartományi szolgáltatásokat az Azure AD-bérlő, és tegye elérhetővé a tartományi szolgáltatások, a virtuális hálózatban lévő.Contoso's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make domain services available in this virtual network. Azt követően az Azure AD Domain Services felügyelt tartomány kiépítését, és elérhetővé teszi azokat a virtuális hálózatban.Thereafter, Azure AD Domain Services provisions a managed domain and makes it available in the virtual network. Minden felhasználói fiókok, csoporttagságok és felhasználói hitelesítő adatokat a Contoso Azure AD-bérlő elérhető is elérhetők az újonnan létrehozott tartományban.All user accounts, group memberships, and user credentials available in Contoso's Azure AD tenant are also available in this newly created domain. Ez a funkció lehetővé teszi, hogy a tartományi hitelesítő adataik használatával vállalati – például, amikor távolról csatlakozik a tartományhoz csatlakoztatott gépeket távoli asztalon keresztül bejelentkezni a munkahelyi felhasználók.This feature enables users in the organization to sign in to the domain using their corporate credentials - for example, when connecting remotely to domain-joined machines via Remote Desktop. A rendszergazdák helyezhet üzembe a meglévő csoporttagságok használatával tartományban lévő erőforrásokhoz való hozzáférést.Administrators can provision access to resources in the domain using existing group memberships. A virtuális hálózaton lévő virtuális gépekre telepített alkalmazások használhatják a szolgáltatások, mint például a tartományhoz való csatlakozás, az LDAP olvasási, LDAP kötés, NTLM és Kerberos-hitelesítéshez és a csoportházirend.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

A felügyelt tartományhoz az Azure AD tartományi szolgáltatások által üzembe helyezett néhány következő aspektusait a következők:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • A Contoso informatikai rendszergazda nem kell kezelése, javítása vagy figyelheti ezt a tartományt vagy a felügyelt tartomány minden tartományvezérlője.Contoso's IT administrator does not need to manage, patch, or monitor this domain or any domain controllers for this managed domain.
  • Hiba esetén nem kell a tartomány Active Directory-replikáció kezelésére.There is no need to manage AD replication for this domain. Felhasználói fiókok, csoporttagság és hitelesítő adatait a Contoso Azure AD-bérlő automatikusan elérhetők a felügyelt tartományon belül.User accounts, group memberships, and credentials from Contoso's Azure AD tenant are automatically available within this managed domain.
  • Mert a tartomány kezeli az Azure AD tartományi szolgáltatások, Contoso a rendszergazda nem rendelkezik tartományi rendszergazdaként vagy vállalati rendszergazdai jogosultságokkal ezen a tartományon.Since the domain is managed by Azure AD Domain Services, Contoso's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

Az Azure AD tartományi szolgáltatások hibrid cégekhez és vállalkozásokhozAzure AD Domain Services for hybrid organizations

A hibrid informatikai infrastruktúrával rendelkező szervezeteknek felhőbeli erőforrásokat és a helyszíni erőforrások felhasználását.Organizations with a hybrid IT infrastructure consume a mix of cloud resources and on-premises resources. Az ilyen szervezeteknek szinkronizálja a azonosító adatok a helyszíni címtárból az Azure AD-bérlővel.Such organizations synchronize identity information from their on-premises directory to their Azure AD tenant. Hibrid szervezetek hely több áttelepíteni, a felhőbe, különösen a régi címtáralapú alkalmazások, a helyszíni alkalmazásaikat az Azure AD tartományi szolgáltatások őket hasznos lehet.As hybrid organizations look to migrate more of their on-premises applications to the cloud, especially legacy directory-aware applications, Azure AD Domain Services can be useful to them.

Telepítve van az litware Corporation az Azure AD Connect, hogy szinkronizálja a azonosító adatok a helyszíni címtárból az Azure AD-bérlővel.Litware Corporation has deployed Azure AD Connect, to synchronize identity information from their on-premises directory to their Azure AD tenant. Az azonosító adatokat szinkronizált felhasználói fiókok, a hitelesítési adatok kivonatait, a hitelesítéshez (Jelszókivonat-szinkronizálás) és a csoporttagságok tartalmazza.The identity information that is synchronized includes user accounts, their credential hashes for authentication (password hash sync) and group memberships.

Megjegyzés

A Jelszókivonat-szinkronizálás használata kötelező a hibrid Azure AD tartományi szolgáltatásokat használó szervezetek.Password hash synchronization is mandatory for hybrid organizations to use Azure AD Domain Services. Ez a követelmény oka, hogy a felhasználói hitelesítő adatok szükségesek a felügyelt tartomány Azure AD tartományi szolgáltatások által biztosított NTLM vagy Kerberos-hitelesítési módszerek a felhasználók hitelesítéséhez.This requirement is because users' credentials are needed in the managed domain provided by Azure AD Domain Services, to authenticate these users via NTLM or Kerberos authentication methods.

Az Azure AD Domain Services for Litware Corporation

A fenti ábrán látható, hogyan teszi a szervezetek számára a hibrid informatikai infrastruktúrát, például Litware Corporation, az Azure AD tartományi szolgáltatásokat.The preceding illustration shows how organizations with a hybrid IT infrastructure, such as Litware Corporation, can use Azure AD Domain Services. Litware's tartományszolgáltatások igényel server számítási feladatok és alkalmazások helyezik üzembe egy virtuális hálózatot az Azure infrastruktúra-szolgáltatásokban.Litware's applications and server workloads that require domain services are deployed in a virtual network in Azure Infrastructure Services. Litware's rendszergazda engedélyezése az Azure AD tartományi szolgáltatásokat az Azure AD-bérlővel, és válassza ki a virtuális hálózatban lévő elérhetővé egy felügyelt tartományon.Litware's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make a managed domain available in this virtual network. Mivel Litware egy szervezet a hibrid informatikai infrastruktúrát, felhasználói fiókok, csoportok és hitelesítő adatokat az Azure AD-bérlő a helyszíni címtárból szinkronizált meg.Since Litware is an organization with a hybrid IT infrastructure, user accounts, groups, and credentials are synchronized to their Azure AD tenant from their on-premises directory. Ez a funkció lehetővé teszi, hogy a felhasználók számára a tartományi hitelesítő adataik használatával vállalati – például, ha távolról csatlakozik a gépek a tartományhoz csatlakoztatott távoli asztalon keresztül bejelentkezni.This feature enables users to sign in to the domain using their corporate credentials - for example, when connecting remotely to machines joined to the domain via Remote Desktop. A rendszergazdák helyezhet üzembe a meglévő csoporttagságok használatával tartományban lévő erőforrásokhoz való hozzáférést.Administrators can provision access to resources in the domain using existing group memberships. A virtuális hálózaton lévő virtuális gépekre telepített alkalmazások használhatják a szolgáltatások, mint például a tartományhoz való csatlakozás, az LDAP olvasási, LDAP kötés, NTLM és Kerberos-hitelesítéshez és a csoportházirend.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

A felügyelt tartományhoz az Azure AD tartományi szolgáltatások által üzembe helyezett néhány következő aspektusait a következők:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • A felügyelt tartomány egy különálló tartományban.The managed domain is a stand-alone domain. Akkor sem bővítményeként Litware's helyszíni tartománnyal.It is not an extension of Litware's on-premises domain.
  • Litware's rendszergazdának nem kell kezelni, patch, vagy figyelheti a felügyelt tartományhoz tartozó tartományvezérlőket.Litware's IT administrator does not need to manage, patch, or monitor domain controllers for this managed domain.
  • Hiba esetén nem kell, ez a tartomány Active Directory-replikáció kezelésére.There is no need to manage AD replication to this domain. Felhasználói fiókok, csoporttagság és hitelesítő adatok Litware's a helyszíni címtárból vannak szinkronizálva az Azure AD az Azure AD Connect használatával.User accounts, group memberships, and credentials from Litware's on-premises directory are synchronized to Azure AD via Azure AD Connect. Ezen felhasználói fiókok, csoporttagság és hitelesítő adatok automatikusan elérhetők a felügyelt tartományban.These user accounts, group memberships, and credentials are automatically available within the managed domain.
  • Mert az Azure AD tartományi szolgáltatások, Litware's kezeli a tartományi rendszergazda nem rendelkezik tartományi rendszergazdaként vagy vállalati rendszergazdai jogosultságokkal ezen a tartományon.Since the domain is managed by Azure AD Domain Services, Litware's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

ElőnyökBenefits

Az Azure AD tartományi szolgáltatásokkal a következő előnyöket élvezheti:With Azure AD Domain Services, you can enjoy the following benefits:

  • Egyszerű – az Azure infrastruktúraszolgáltatások néhány egyszerű kattintással üzembe helyezett virtuális gépek identitás igényeit is teljesíti.Simple – You can satisfy the identity needs of virtual machines deployed to Azure Infrastructure services with a few simple clicks. Nem kell üzembe helyezése és kezelése a személyazonosság-infrastruktúra az Azure-ban vagy a beállítás kapcsolattal a helyszíni identitás-infrastruktúrát.You do not need to deploy and manage identity infrastructure in Azure or setup connectivity back to your on-premises identity infrastructure.
  • Integrált – Azure AD tartományi szolgáltatások szorosan integrálódik az Azure AD-bérlőben.Integrated – Azure AD Domain Services is deeply integrated with your Azure AD tenant. Mostantól használhatja az Azure AD a modern alkalmazások és a hagyományos címtáralapú alkalmazásokat igényeihez caters integrált, felhőalapú és nagyvállalati könyvtárként.You can now use Azure AD as an integrated cloud-based enterprise directory that caters to the needs of both your modern applications and traditional directory-aware applications.
  • Kompatibilis – Azure AD tartományi szolgáltatások a Windows Server Active Directory bevált vállalati szintű infrastruktúrája épül.Compatible – Azure AD Domain Services is built on the proven enterprise grade infrastructure of Windows Server Active Directory. Ezért az alkalmazások a kompatibilitás a Windows Server Active Directory szolgáltatásokkal nagyobb mértékű is támaszkodik.Therefore, your applications can rely on a greater degree of compatibility with Windows Server Active Directory features. Nem minden funkciója elérhető a Windows Server AD el jelenleg az Azure AD tartományi szolgáltatásokat.Not all features available in Windows Server AD are currently available in Azure AD Domain Services. Elérhető funkciók azonban a megfelelő Windows Server AD funkciókat, amelyeket összeköthet a helyszíni-infrastruktúrájában kompatibilisek lesznek.However, available features are compatible with the corresponding Windows Server AD features you rely on in your on-premises infrastructure. Az LDAP, Kerberos, NTLM, a csoportházirend és tartományi csatlakozás képességeket egy érett ajánlat, amely a tesztelt és a Windows Server különböző kiadásai keresztül is jelent.The LDAP, Kerberos, NTLM, Group Policy, and domain join capabilities constitute a mature offering that has been tested and refined over various Windows Server releases.
  • Költséghatékony – az Azure AD tartományi szolgáltatások, elkerülheti a társított kezelése a személyazonosság-infrastruktúra támogatja a hagyományos címtáralapú alkalmazásokat infrastruktúra és a felügyeleti terheket.Cost-effective – With Azure AD Domain Services, you can avoid the infrastructure and management burden that is associated with managing identity infrastructure to support traditional directory-aware applications. Helyezze át ezeket az alkalmazásokat az Azure infrastruktúra-szolgáltatásokat, és kihasználhatják a jelentősebb megtakarítást tesznek, a üzemeltetési költségek.You can move these applications to Azure Infrastructure Services and benefit from greater savings on operational expenses.

További lépésekNext steps

További információ az Azure AD tartományi szolgáltatásokLearn more about Azure AD Domain Services

Ismerkedés az Azure AD tartományi szolgáltatásokkalGet started with Azure AD Domain Services