Apa itu Microsoft Entra Domain Services?

Microsoft Entra Domain Services menyediakan layanan domain terkelola seperti gabungan domain, kebijakan grup, protokol akses direktori ringan (LDAP), dan autentikasi Kerberos/NTLM. Anda menggunakan layanan domain ini tanpa perlu menyebarkan, mengelola, dan mem-patch pengendali domain (DC) di cloud.

Domain terkelola Domain Services memungkinkan Anda menjalankan aplikasi warisan di cloud yang tidak dapat menggunakan metode autentikasi modern, atau di mana Anda tidak ingin pencarian direktori selalu kembali ke lingkungan AD DS lokal. Anda dapat mengangkat dan mengalihkan aplikasi warisan tersebut dari lingkungan lokal Anda ke domain terkelola, tanpa perlu mengelola lingkungan AD DS di cloud.

Layanan Domain terintegrasi dengan penyewa Microsoft Entra Anda yang sudah ada. Integrasi ini memungkinkan pengguna masuk ke layanan dan aplikasi yang terhubung ke domain terkelola menggunakan informasi masuk yang ada. Anda juga dapat menggunakan grup dan akun pengguna yang sudah ada untuk mengamankan akses ke sumber daya. Fitur-fitur ini menyediakan lift-and-shift sumber daya lokal yang lebih lancar ke Azure.

Untuk memulai, buat domain terkelola Layanan Domain menggunakan pusat admin Microsoft Entra

Lihat video singkat kami untuk mempelajari selengkapnya tentang Domain Services.

Bagaimana cara kerja Layanan Domain?

Saat membuat domain terkelola Domain Services, Anda menentukan namespace unik. Namespace ini adalah nama domain, seperti aaddscontoso.com. Dua pengendali domain (DC) Windows Server kemudian disebarkan ke wilayah Azure pilihan Anda. Penyebaran DC ini dikenal sebagai replica set.

Anda tidak perlu mengelola, mengonfigurasi, atau memperbarui DC ini. Platform Azure menangani DC sebagai bagian dari domain terkelola, termasuk pencadangan dan enkripsi tidak aktif menggunakan Azure Disk Encryption.

Domain terkelola dikonfigurasi untuk melakukan sinkronisasi satu arah dari ID Microsoft Entra untuk menyediakan akses ke sekumpulan pengguna, grup, dan kredensial pusat. Anda dapat membuat sumber daya langsung di domain terkelola, tetapi tidak disinkronkan kembali ke ID Microsoft Entra. Aplikasi, layanan, dan komputer virtual di Azure yang terhubung ke domain terkelola kemudian dapat menggunakan fitur AD DS umum seperti gabung domain, kebijakan grup, LDAP, dan autentikasi Kerberos/NTLM.

Di lingkungan hibrid dengan lingkungan AD DS lokal, Microsoft Entra Koneksi menyinkronkan informasi identitas dengan ID Microsoft Entra, yang kemudian disinkronkan ke domain terkelola.

Layanan Domain mereplikasi informasi identitas dari ID Microsoft Entra, sehingga berfungsi dengan penyewa Microsoft Entra yang hanya di cloud, atau disinkronkan dengan lingkungan AD DS lokal. Set fitur Domain Services yang sama ada untuk kedua lingkungan.

• Jika Anda memiliki lingkungan AD DS lokal yang sudah ada, Anda dapat menyinkronkan informasi akun pengguna untuk memberikan identitas yang konsisten bagi pengguna. Untuk mempelajari selengkapnya, lihat Bagaimana objek dan informasi masuk disinkronkan dalam domain terkelola.
• Untuk lingkungan khusus cloud, Anda tidak memerlukan lingkungan AD DS lokal tradisional untuk menggunakan layanan identitas terpusat dari Layanan Domain.

Anda dapat memperluas domain terkelola agar memiliki lebih dari satu set replika per penyewa Microsoft Entra. Set replika dapat ditambahkan ke jaringan virtual yang di-peering di wilayah Azure mana pun yang mendukung Layanan Domain. Dengan menambahkan set replika di wilayah Azure yang berbeda, Anda dapat menyediakan pemulihan bencana geografis untuk aplikasi warisan jika wilayah Azure offline. Untuk informasi selengkapnya, lihat Konsep dan fitur set replika untuk domain terkelola.

Lihat video ini tentang bagaimana Layanan Domain terintegrasi dengan aplikasi dan beban kerja Anda untuk menyediakan layanan identitas di cloud:

Untuk melihat skenario penyebaran Layanan Domain yang sedang berjalan, Anda dapat menjelajahi contoh berikut:

• Layanan Domain untuk organisasi hibrid
• Layanan Domain untuk organisasi khusus cloud

Fitur dan manfaat Layanan Domain

Untuk menyediakan layanan identitas ke aplikasi dan VM di cloud, Domain Services sepenuhnya kompatibel dengan lingkungan AD DS tradisional untuk operasi seperti gabungan domain, LDAP aman (LDAPS), Kebijakan Grup, manajemen DNS, dan LDAP mengikat dan membaca dukungan. Dukungan tulis LDAP tersedia untuk objek yang dibuat di domain terkelola, tetapi bukan sumber daya yang disinkronkan dari ID Microsoft Entra.

Untuk mempelajari selengkapnya tentang opsi identitas Anda, bandingkan Layanan Domain dengan ID Microsoft Entra, AD DS di Azure VM, dan AD DS lokal.

Fitur Domain Services berikut menyederhanakan operasi penyebaran dan manajemen:

• Pengalaman penyebaran yang disederhanakan: Layanan Domain diaktifkan untuk penyewa Microsoft Entra Anda menggunakan wizard tunggal di pusat admin Microsoft Entra.
• Terintegrasi dengan ID Microsoft Entra: Akun pengguna, keanggotaan grup, dan kredensial tersedia secara otomatis dari penyewa Microsoft Entra Anda. Pengguna, grup, atau perubahan baru pada atribut dari penyewa Microsoft Entra atau lingkungan AD DS lokal Anda secara otomatis disinkronkan ke Layanan Domain.
  • Akun di direktori eksternal yang ditautkan ke ID Microsoft Entra Anda tidak tersedia di Layanan Domain. Informasi masuk tidak tersedia untuk direktori eksternal tersebut, sehingga tidak dapat disinkronkan ke domain terkelola.
• Gunakan kredensial/kata sandi perusahaan Anda: Kata sandi untuk pengguna di Domain Services sama seperti di penyewa Microsoft Entra Anda. Pengguna dapat menggunakan informasi masuk perusahaan mereka ke komputer gabungan domain, masuk secara interaktif atau melalui desktop jarak jauh, dan autentikasi terhadap domain terkelola.
• Autentikasi NTLM dan Kerberos: Dengan dukungan untuk NTLM dan Kerberos, Anda dapat menyebarkan aplikasi yang bergantung pada autentikasi terintegrasi Windows.
• Ketersediaan tinggi: Layanan Domain mencakup beberapa pengendali domain, yang menyediakan ketersediaan tinggi untuk domain terkelola Anda. Ketersediaan tinggi ini menjamin waktu aktif layanan dan ketahanan terhadap kegagalan.
  • Di wilayah yang mendukung Zona Ketersediaan Azure, pengendali domain ini juga didistribusikan ke seluruh zona untuk ketahanan tambahan.
  • Set replika juga dapat digunakan untuk memberikan pemulihan bencana geografis untuk aplikasi warisan jika suatu wilayah Azure offline.

Beberapa aspek utama dari domain terkelola meliputi hal-hal berikut ini:

• Domain yang dikelola adalah domain yang berdiri sendiri. Domain ini bukan ekstensi dari domain lokal.
  • Jika diperlukan, Anda dapat membuat kepercayaan forest keluar satu arah dari Layanan Domain ke lingkungan AD DS lokal. Untuk informasi selengkapnya, lihat Konsep dan fitur Forest untuk Layanan Domain.
• Tim TI Anda tidak perlu mengelola, mem-patch, atau memantau pengendali domain untuk domain terkelola ini.

Untuk lingkungan hibrid yang menjalankan AD DS lokal, Anda tidak perlu mengelola replikasi AD ke domain terkelola. Akun pengguna, keanggotaan grup, dan kredensial dari direktori lokal Anda disinkronkan ke ID Microsoft Entra melalui Microsoft Entra Koneksi. Akun pengguna, keanggotaan grup, dan informasi masuk ini secara otomatis tersedia dalam domain terkelola.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang Layanan Domain dibandingkan dengan solusi identitas lain dan cara kerja sinkronisasi, lihat artikel berikut ini:

• Membandingkan Layanan Domain dengan ID Microsoft Entra, Active Directory Domain Services di Azure VM, dan Active Directory Domain Services lokal
• Pelajari bagaimana Microsoft Entra Domain Services disinkronkan dengan direktori Microsoft Entra Anda
• Untuk mempelajari cara mengelola domain terkelola, lihat konsep manajemen untuk akun pengguna, kata sandi, dan administrasi di Domain Services.

Untuk memulai, buat domain terkelola menggunakan pusat admin Microsoft Entra.