Hibrid identitás active directoryval és Microsoft Entra-azonosítóval az Azure-beli célzónákban
Ez a cikk útmutatást nyújt a Microsoft Entra ID és a hibrid identitás azure-beli kezdőzónákhoz való tervezéséhez és implementálásához.
A felhőben működő szervezeteknek címtárszolgáltatásra van szükségük a felhasználói identitások kezeléséhez és az erőforrásokhoz való hozzáféréshez. A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás, amely robusztus képességeket biztosít a felhasználók és csoportok kezeléséhez. Használhatja önálló identitásmegoldásként, vagy integrálhatja egy Microsoft Entra Domain Services-infrastruktúrával vagy egy helyi Active Directory Domain Services-infrastruktúrával (AD DS).
A Microsoft Entra ID modern, biztonságos identitás- és hozzáférés-kezelést biztosít, amely számos szervezet és számítási feladat számára megfelelő, és az Azure és a Microsoft 365 szolgáltatásainak központi eleme. Ha a szervezet helyszíni AD DS-infrastruktúrával rendelkezik, a felhőalapú számítási feladatok címtár-szinkronizálást igényelhetnek a Microsoft Entra-azonosítóval a helyszíni és a felhőkörnyezetek közötti identitások, csoportok és szerepkörök konzisztens készletéhez. Vagy ha régebbi hitelesítési mechanizmusoktól függő alkalmazásokkal rendelkezik, előfordulhat, hogy felügyelt tartományi szolgáltatásokat kell üzembe helyeznie a felhőben.
A felhőalapú identitáskezelés egy iteratív folyamat. Első lépésként egy natív felhőbeli megoldással kezdheti a kezdeti üzembe helyezéshez szükséges kis számú felhasználóval és szerepkörrel, és a migrálás érleltével előfordulhat, hogy címtár-szinkronizálással kell integrálnia az identitásmegoldást, vagy felhőben üzemeltetett tartományi szolgáltatásokat kell hozzáadnia a felhőbeli üzemelő példányok részeként.
Idővel tekintse meg újra az identitásmegoldást a számítási feladatok hitelesítési követelményeitől és egyéb igényeitől függően, például a szervezeti identitásstratégiában és a biztonsági követelményekben bekövetkezett változásoktól, vagy más címtárszolgáltatásokhoz való integrációtól függően. Az Active Directory-megoldások értékelésekor ismerje meg a Microsoft Entra ID, a Domain Services és az AD DS közötti különbségeket a Windows Serveren.
Az identitásstratégiával kapcsolatos segítségért tekintse meg az identitáskezelési útmutatót.
Identitás- és hozzáférés-kezelési szolgáltatások az Azure-beli kezdőzónákban
A platformcsapat felelős az identitás- és hozzáférés-kezelés felügyeletéért. Az identitás- és hozzáférés-kezelési szolgáltatások alapvető fontosságúak a szervezeti biztonság szempontjából. A szervezetek a Microsoft Entra ID-t használhatják a platformerőforrások védelmére a felügyeleti hozzáférés szabályozásával. Ez a megközelítés megakadályozza, hogy a platformcsapaton kívüli felhasználók módosítják a konfigurációt vagy a Microsoft Entra-azonosítóban található biztonsági tagokat.
Az AD DS-t vagy Tartományi szolgáltatásokat használó szervezeteknek is védenie kell a tartományvezérlőket a jogosulatlan hozzáféréstől. A tartományvezérlők különösen vonzó célpontok a támadók számára, és szigorú biztonsági vezérlőkkel és az alkalmazás számítási feladataitól való elkülönítéssel kell rendelkezniük.
A tartományvezérlők és a társított összetevők, például a Microsoft Entra ID Csatlakozás-kiszolgálók a platformfelügyeleti csoportban található Identity-előfizetésben vannak üzembe helyezve. A tartományvezérlők nem delegálhatók az alkalmazáscsapatokhoz. Az elkülönítés biztosításával az alkalmazástulajdonosok anélkül használhatják az identitásszolgáltatásokat, hogy kezelniük kellene őket, és csökken az identitás- és hozzáférés-kezelési szolgáltatások veszélyeztetésének kockázata. Az Identitásplatform-előfizetés erőforrásai kritikus fontosságú biztonsági pontot jelentenek a felhőbeli és a helyszíni környezetek számára.
A kezdőzónákat úgy kell kiépíteni, hogy az alkalmazástulajdonosok a számítási feladataiknak megfelelően használhatják a Microsoft Entra-azonosítót, az AD DS-t és a tartományi szolgáltatásokat. Attól függően, hogy melyik identitásmegoldást használja, szükség esetén más szolgáltatásokat is konfigurálnia kell. Előfordulhat például, hogy engedélyeznie kell és biztonságossá kell tennie az identitás virtuális hálózatához való hálózati kapcsolatot. Ha előfizetés-feldolgozási folyamatot használ, adja meg ezt a konfigurációs információt az előfizetési kérelemben.
Azure- és helyszíni tartományok (hibrid identitás)
A kizárólag a Microsoft Entra-azonosítóban létrehozott felhasználói objektumokat csak felhőalapú fiókoknak nevezzük. Támogatják a modern hitelesítést és az Azure- és Microsoft 365-erőforrásokhoz való hozzáférést, valamint a Windows 10-et vagy Windows 11-et használó helyi eszközök elérését.
Számos szervezet azonban már rendelkezik olyan régóta meglévő AD DS-címtárakkal, amelyek integrálhatók más rendszerekkel, például üzletági vagy vállalati erőforrás-tervezéssel (ERP) az Lightweight Directory Access Protocol (LDAP) használatával. Ezek a tartományok számos tartományhoz csatlakoztatott számítógéppel és alkalmazásokkal rendelkezhetnek, amelyek Kerberos vagy régebbi NTLMv2 protokollokat használnak a hitelesítéshez. Ezekben a környezetekben szinkronizálhatja a felhasználói objektumokat a Microsoft Entra-azonosítóval, így a felhasználók egyetlen identitással jelentkezhetnek be a helyszíni rendszerekbe és a felhőbeli erőforrásokba is. A helyszíni és a felhőbeli címtárszolgáltatások egyesítését hibrid identitásnak nevezzük. A helyszíni tartományokat az Azure-beli célzónákra is kiterjesztheti:
Ha egyetlen felhasználói objektumot szeretne fenntartani felhőbeli és helyszíni környezetekben, szinkronizálhatja az AD DS-tartomány felhasználóit a Microsoft Entra-azonosítóval a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás Sync használatával. A környezethez javasolt konfiguráció meghatározásához tekintse meg a Microsoft Entra Csatlakozás topológiáit.
Windows rendszerű virtuális gépekhez és más szolgáltatásokhoz való tartományhoz való csatlakozáshoz az AD DS-tartományvezérlőket vagy a tartományi szolgáltatásokat üzembe helyezheti az Azure-ban. Ezzel a módszerrel az AD DS-felhasználók bejelentkezhetnek a Windows-kiszolgálókra, az Azure Files-megosztásokra és az Active Directoryt hitelesítési forrásként használó egyéb erőforrásokra. Más Active Directory-technológiákat is használhat, például a csoportházirendet. További információ: A Microsoft Entra Domain Services gyakori üzembe helyezési forgatókönyvei.
Hibrid identitással kapcsolatos javaslatok
A Tartományi szolgáltatásokat olyan alkalmazásokhoz használhatja, amelyek tartományi szolgáltatásokra támaszkodnak, és régebbi protokollokat használnak. Előfordulhat, hogy a meglévő AD DS-tartományok támogatják a visszamenőleges kompatibilitást, és engedélyezik az örökölt protokollokat, ami negatívan befolyásolhatja a biztonságot. Ahelyett, hogy kibővítené a helyszíni tartományt, fontolja meg, hogy a Domain Services használatával hozzon létre egy új tartományt, amely nem engedélyezi az örökölt protokollokat, és használja címtárszolgáltatásként a felhőalapú alkalmazásokhoz.
Értékelje ki az identitásmegoldás követelményeit az egyes alkalmazások által használt hitelesítési szolgáltató megismerésével és dokumentálásával. Tekintse át az értékeléseket, hogy könnyebben megtervezhesse a szervezet által használni kívánt szolgáltatás típusát. További információ: Az Active Directory összehasonlítása a Microsoft Entra azonosítójával és identitáskezelési útmutatójával.
Értékelje ki a külső felhasználók, ügyfelek vagy partnerek beállításával járó forgatókönyveket, hogy hozzáférhessenek az erőforrásokhoz. Állapítsa meg, hogy ezek a forgatókönyvek a Microsoft Entra B2B-t vagy Microsoft Entra Külső ID érintik-e az ügyfelek számára. További információ: Microsoft Entra Külső ID.
Ne használja a Microsoft Entra alkalmazásproxyt intranetes hozzáféréshez, mert késést ad a felhasználói élményhez. További információkért tekintse meg a Microsoft Entra alkalmazásproxy-tervezését és a Microsoft Entra alkalmazásproxy biztonsági szempontjait.
Fontolja meg a különböző módszereket, amelyekkel integrálhatja a helyi Active Directory az Azure-ral a szervezeti követelményeknek való megfelelés érdekében.
Ha Active Directory összevonási szolgáltatások (AD FS) (AD FS) összevonással rendelkezik a Microsoft Entra ID-val, biztonsági mentésként használhatja a jelszókivonat-szinkronizálást. Az AD FS nem támogatja a Microsoft Entra közvetlen egyszeri bejelentkezést (SSO).
Határozza meg a felhőbeli identitás megfelelő szinkronizálási eszközét .
Ha rendelkezik az AD FS használatára vonatkozó követelményekkel, tekintse meg az AD FS üzembe helyezését az Azure-ban.
Fontos
Erősen javasoljuk, hogy migráljon a Microsoft Entra-azonosítóba, hacsak nincs konkrét követelmény az AD FS használatához. További információ: Erőforrások az AD FS leszereléséhez és az AD FS-ről a Microsoft Entra-azonosítóra való migráláshoz.
Microsoft Entra ID, Domain Services és AD DS
Rendszergazda istratoroknak ismerniük kell a Microsoft címtárszolgáltatások implementálásának lehetőségeit:
Az AD DS-tartományvezérlőket olyan Windows rendszerű virtuális gépekként (VM-ekként) helyezheti üzembe az Azure-ban, amelyek felett a platform- vagy identitásadminisztrátorok teljes hozzáféréssel rendelkeznek. Ez a megközelítés egy szolgáltatásként nyújtott infrastruktúra (IaaS) megoldás. Csatlakoztathatja a tartományvezérlőket egy meglévő Active Directory-tartományhoz, vagy üzemeltethet egy új tartományt, amely opcionális megbízhatósági kapcsolatban áll a meglévő helyszíni tartományokkal. További információ: Azure Virtual Machines alaparchitektúra egy Azure-beli célzónában.
A Domain Services egy Azure által felügyelt szolgáltatás, amellyel létrehozhat egy új felügyelt Active Directory-tartományt, amely az Azure-ban üzemel. A tartomány megbízhatósági kapcsolatban állhat a meglévő tartományokkal, és szinkronizálhatja az identitásokat a Microsoft Entra-azonosítóból. Rendszergazda istratorok nem rendelkeznek közvetlen hozzáféréssel a tartományvezérlőkhöz, és nem felelősek a javításért és más karbantartási műveletekért.
Amikor tartományi szolgáltatásokat helyez üzembe, vagy helyszíni környezeteket integrál az Azure-ba, a helyek és a rendelkezésre állási zónák használatával növelheti a rendelkezésre állást.
Az AD DS vagy a Domain Services konfigurálása után a helyszíni számítógépekkel megegyező módszerrel csatlakozhat tartományhoz azure-beli virtuális gépekhez és fájlmegosztásokhoz. További információt a Microsoft címtáralapú szolgáltatásainak összehasonlítása című témakörben talál.
Microsoft Entra ID- és AD DS-javaslatok
A helyszíni hitelesítést távolról, Microsoft Entra-azonosítón keresztül használó alkalmazások eléréséhez használja a Microsoft Entra alkalmazásproxyt. Ez a funkció biztonságos távoli hozzáférést biztosít a helyszíni webalkalmazásokhoz. Nincs szükség VPN-re vagy a hálózati infrastruktúra bármilyen módosítására. Azonban egyetlen példányként van üzembe helyezve a Microsoft Entra ID-ben, így az alkalmazás tulajdonosainak és a platform- vagy identitáscsoportoknak együtt kell működniük annak biztosítása érdekében, hogy az alkalmazás megfelelően legyen konfigurálva.
Értékelje ki az AD DS számítási feladatainak kompatibilitását a Windows Serveren és a Domain Servicesben. További információ: Gyakori használati esetek és forgatókönyvek.
Tartományvezérlő virtuális gépek vagy tartományi szolgáltatások replikakészleteinek üzembe helyezése a platformfelügyeleti csoport identitásplatform-előfizetésében.
A tartományvezérlőket tartalmazó virtuális hálózat védelme. Az AD DS-kiszolgálók hálózati biztonsági csoporttal (NSG) rendelkező izolált alhálózaton való elhelyezésével megakadályozhatja a közvetlen internetkapcsolatot ezekhez a rendszerekhez, és tűzfalfunkciókat biztosít. A hitelesítéshez tartományvezérlőket használó erőforrásoknak hálózati útvonalsal kell rendelkezniük a tartományvezérlő alhálózatához. Csak olyan alkalmazások hálózati útvonalának engedélyezése, amelyek az Identitás-előfizetés szolgáltatásaihoz való hozzáférést igényelnek. További információ: AD DS üzembe helyezése Azure-beli virtuális hálózaton.
- Az Azure Virtual Network Manager használatával kényszerítheti ki a virtuális hálózatokra vonatkozó szabványos szabályokat. Az Azure Policy vagy a virtuális hálózati erőforráscímkék például a kezdőzóna virtuális hálózatainak hálózati csoporthoz való hozzáadásához használhatók, ha Active Directory-identitásszolgáltatásokat igényelnek. A hálózati csoport ezután használható, amely csak azokat az alkalmazásokat engedélyezi, amelyek megkövetelik a tartományvezérlő alhálózatát, és letiltják a hozzáférést más alkalmazásokból.
Biztonságossá teheti a tartományvezérlő virtuális gépeire és egyéb identitáserőforrásaira vonatkozó szerepköralapú hozzáférés-vezérlési (RBAC) engedélyeket. Rendszergazda az Azure-vezérlősíkon RBAC-szerepkör-hozzárendeléssel (például Közreműködő, Tulajdonos vagy Virtuálisgép-közreműködő) rendelkező résztvevők parancsokat futtathatnak a virtuális gépeken. Győződjön meg arról, hogy csak a jogosult rendszergazdák férhetnek hozzá a virtuális gépekhez az Identitás-előfizetésben, és hogy a túlzottan megengedő szerepkör-hozzárendelések nem öröklődnek a magasabb szintű felügyeleti csoportoktól.
Többrégiós szervezetben helyezze üzembe a Domain Servicest az alapvető platformösszetevőket üzemeltető régióban. A Domain Servicest csak egyetlen előfizetésben helyezheti üzembe. A Tartományi szolgáltatásokat további régiókra bonthatja, ha további négy replikakészletet ad hozzá az elsődleges virtuális hálózathoz társviszonyban lévő különálló virtuális hálózatokban. A késés minimalizálása érdekében tartsa az alapvető alkalmazásokat a replikakészletek virtuális hálózatához közel vagy ugyanabban a régióban.
Az AD DS-tartományvezérlők Azure-ban való üzembe helyezésekor a nagyobb rugalmasság érdekében helyezze üzembe őket a rendelkezésre állási zónák között. További információ: Virtuális gépek létrehozása rendelkezésre állási zónákban , virtuális gépek migrálása rendelkezésre állási zónákba.
A hitelesítés történhet a felhőben és a helyszínen, vagy csak a helyszínen. Az identitástervezés részeként ismerkedjen meg a Microsoft Entra ID hitelesítési módszereivel.
Ha egy Windows-felhasználó kerberost igényel az Azure Files-fájlmegosztásokhoz, fontolja meg a Microsoft Entra ID Kerberos-hitelesítésének használatát ahelyett, hogy tartományvezérlőket helyez üzembe a felhőben.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: