Identitas hibrid dengan Direktori Aktif dan ID Microsoft Entra di zona pendaratan Azure
Artikel ini menyediakan panduan tentang cara merancang dan menerapkan ID Microsoft Entra dan identitas hibrid untuk zona pendaratan Azure.
Organisasi yang beroperasi di cloud memerlukan layanan direktori untuk mengelola identitas pengguna dan akses ke sumber daya. MICROSOFT Entra ID adalah layanan manajemen identitas dan akses berbasis cloud yang menyediakan kemampuan yang kuat untuk mengelola pengguna dan grup. Anda dapat menggunakannya sebagai solusi identitas mandiri, atau mengintegrasikannya dengan infrastruktur Microsoft Entra Domain Services atau infrastruktur Active Directory lokal Domain Services (AD DS).
MICROSOFT Entra ID menyediakan manajemen identitas dan akses modern yang aman yang cocok untuk banyak organisasi dan beban kerja, dan merupakan inti dari layanan Azure dan Microsoft 365. Jika organisasi Anda memiliki infrastruktur AD DS lokal, beban kerja berbasis cloud Anda mungkin memerlukan sinkronisasi direktori dengan ID Microsoft Entra untuk sekumpulan identitas, grup, dan peran yang konsisten antara lingkungan lokal dan cloud Anda. Atau jika Anda memiliki aplikasi yang bergantung pada mekanisme autentikasi warisan, Anda mungkin harus menyebarkan Layanan Domain terkelola di cloud.
Manajemen identitas berbasis cloud adalah proses berulang. Anda dapat memulai dengan solusi cloud-native dengan sekumpulan kecil pengguna dan peran terkait untuk penyebaran awal, dan saat migrasi Anda matang, Anda mungkin perlu mengintegrasikan solusi identitas Anda dengan menggunakan sinkronisasi direktori atau menambahkan layanan domain yang dihosting cloud sebagai bagian dari penyebaran cloud Anda.
Seiring waktu, kunjungi kembali solusi identitas Anda tergantung pada persyaratan autentikasi beban kerja Anda dan kebutuhan lain, seperti perubahan pada strategi identitas organisasi dan persyaratan keamanan Anda, atau integrasi dengan layanan direktori lainnya. Saat Anda mengevaluasi solusi Direktori Aktif, pahami perbedaan antara ID Microsoft Entra, Layanan Domain, dan AD DS di Windows Server.
Untuk bantuan terkait strategi identitas Anda, lihat Panduan keputusan identitas.
Layanan manajemen identitas dan akses di zona pendaratan Azure
Tim platform bertanggung jawab atas administrasi manajemen identitas dan akses. Layanan manajemen identitas dan akses sangat mendasar untuk keamanan organisasi. Organisasi dapat menggunakan ID Microsoft Entra untuk melindungi sumber daya platform dengan mengontrol akses administratif. Pendekatan ini mencegah pengguna di luar tim platform membuat perubahan pada konfigurasi atau ke prinsip keamanan yang terkandung dalam ID Microsoft Entra.
Organisasi yang menggunakan AD DS atau Domain Services juga harus melindungi pengendali domain dari akses yang tidak sah. Pengendali domain adalah target yang sangat menarik bagi penyerang dan harus memiliki kontrol dan pemisahan keamanan yang ketat dari beban kerja aplikasi.
Pengontrol domain dan komponen terkait, seperti MICROSOFT Entra ID Koneksi server, disebarkan dalam langganan Identitas, yang ada di grup manajemen platform. Pengendali domain tidak didelegasikan ke tim aplikasi. Dengan menyediakan isolasi ini, pemilik aplikasi dapat menggunakan layanan identitas tanpa harus mengelolanya, dan risiko layanan manajemen identitas dan akses yang disusupi berkurang. Sumber daya dalam langganan platform Identitas adalah titik keamanan penting untuk lingkungan cloud dan lokal Anda.
Zona pendaratan harus disediakan sehingga pemilik aplikasi dapat menggunakan ID Microsoft Entra atau AD DS dan Layanan Domain, seperti yang diperlukan oleh beban kerja mereka. Bergantung pada solusi identitas mana yang Anda gunakan, Anda mungkin perlu mengonfigurasi layanan lain seperlunya. Misalnya, Anda mungkin perlu mengaktifkan dan mengamankan konektivitas jaringan ke jaringan virtual Identitas. Jika Anda menggunakan proses penjual langganan, sertakan informasi konfigurasi ini dalam permintaan langganan Anda.
Domain Azure dan lokal (identitas hibrid)
Objek pengguna yang dibuat sepenuhnya di ID Microsoft Entra dikenal sebagai akun khusus cloud. Mereka mendukung autentikasi modern dan akses ke sumber daya Azure dan Microsoft 365, dan akses untuk perangkat lokal yang menggunakan Windows 10 atau Windows 11.
Namun, banyak organisasi sudah memiliki direktori AD DS lama yang mungkin terintegrasi dengan sistem lain, seperti perencanaan sumber daya lini bisnis atau perusahaan (ERP) melalui Lightweight Directory Access Protocol (LDAP). Domain ini mungkin memiliki banyak komputer dan aplikasi yang bergabung dengan domain yang menggunakan Kerberos atau protokol NTLMv2 yang lebih lama untuk autentikasi. Di lingkungan ini, Anda dapat menyinkronkan objek pengguna ke ID Microsoft Entra sehingga pengguna dapat masuk ke sistem lokal dan sumber daya cloud dengan satu identitas. Menyatukan layanan direktori lokal dan cloud dikenal sebagai identitas hibrid. Anda dapat memperluas domain lokal ke zona pendaratan Azure:
Untuk mempertahankan satu objek pengguna di lingkungan cloud dan lokal, Anda dapat menyinkronkan pengguna domain AD DS dengan MICROSOFT Entra ID melalui Microsoft Entra Koneksi atau Microsoft Entra Koneksi Sync. Untuk menentukan konfigurasi yang direkomendasikan untuk lingkungan Anda, lihat Topologi untuk Microsoft Entra Koneksi.
Untuk bergabung dengan domain Windows VM dan layanan lainnya, Anda dapat menyebarkan pengendali domain AD DS atau Layanan Domain di Azure. Dengan pendekatan ini, pengguna AD DS dapat masuk ke server Windows, berbagi Azure Files, dan sumber daya lain yang menggunakan Direktori Aktif sebagai sumber autentikasi. Anda juga dapat menggunakan teknologi Direktori Aktif lainnya, seperti kebijakan grup. Untuk informasi selengkapnya, lihat Skenario penyebaran umum untuk Microsoft Entra Domain Services.
Rekomendasi identitas hibrid
Anda dapat menggunakan Layanan Domain untuk aplikasi yang mengandalkan layanan domain dan menggunakan protokol yang lebih lama. Terkadang, domain AD DS yang ada mendukung kompatibilitas mundur dan memungkinkan protokol warisan, yang dapat berdampak negatif pada keamanan. Daripada memperluas domain lokal, pertimbangkan untuk menggunakan Layanan Domain untuk membuat domain baru yang tidak mengizinkan protokol warisan, dan menggunakannya sebagai layanan direktori untuk aplikasi yang dihosting cloud.
Evaluasi persyaratan solusi identitas Anda dengan memahami dan mendokumen penyedia autentikasi yang digunakan setiap aplikasi. Pertimbangkan ulasan untuk membantu merencanakan jenis layanan yang harus digunakan organisasi Anda. Untuk informasi selengkapnya, lihat Membandingkan Direktori Aktif dengan ID Microsoft Entra dan Panduan keputusan Identitas.
Evaluasi skenario yang melibatkan penyiapan pengguna eksternal, pelanggan, atau mitra sehingga mereka dapat mengakses sumber daya. Tentukan apakah skenario ini melibatkan Microsoft Entra B2B atau ID Eksternal Microsoft Entra untuk pelanggan. Untuk informasi selengkapnya, lihat ID Eksternal Microsoft Entra.
Jangan gunakan proksi aplikasi Microsoft Entra untuk akses intranet karena menambahkan latensi ke pengalaman pengguna. Untuk informasi selengkapnya, lihat Perencanaan proksi aplikasi Microsoft Entra dan pertimbangan keamanan proksi aplikasi Microsoft Entra.
Pertimbangkan berbagai metode yang dapat Anda gunakan untuk mengintegrasikan Active Directory lokal dengan Azure untuk memenuhi persyaratan organisasi Anda.
Jika Anda memiliki federasi Layanan Federasi Direktori Aktif (AD FS) dengan ID Microsoft Entra, Anda dapat menggunakan sinkronisasi hash kata sandi sebagai cadangan. Layanan Federasi Direktori Aktif tidak mendukung akses menyeluruh (SSO) tanpa hambatan Microsoft Entra.
Tentukan alat sinkronisasi yang tepat untuk identitas cloud Anda.
Jika Anda memiliki persyaratan untuk menggunakan Layanan Federasi Direktori Aktif, lihat Menyebarkan Layanan Federasi Direktori Aktif di Azure.
Penting
Kami sangat menyarankan untuk bermigrasi ke ID Microsoft Entra kecuali ada persyaratan khusus untuk menggunakan Layanan Federasi Direktori Aktif. Untuk informasi selengkapnya, lihat Sumber Daya untuk menonaktifkan LAYANAN Federasi Direktori Aktif dan Migrasi dari LAYANAN Federasi Direktori Aktif ke ID Microsoft Entra.
ID Microsoft Entra, Layanan Domain, dan AD DS
Administrator harus membiasakan diri dengan opsi untuk menerapkan layanan direktori Microsoft:
Anda dapat menyebarkan pengontrol domain AD DS ke Azure sebagai komputer virtual (VM) Windows yang dapat dikendalikan oleh administrator platform atau identitas. Pendekatan ini adalah solusi infrastruktur sebagai layanan (IaaS). Anda dapat menggabungkan pengontrol domain ke domain Direktori Aktif yang sudah ada, atau Anda dapat menghosting domain baru yang memiliki hubungan kepercayaan opsional dengan domain lokal yang sudah ada. Untuk informasi selengkapnya, lihat Arsitektur garis besar Azure Virtual Machines di zona pendaratan Azure.
Domain Services adalah layanan terkelola Azure yang dapat Anda gunakan untuk membuat domain Active Directory terkelola baru yang dihosting di Azure. Domain dapat memiliki hubungan kepercayaan dengan domain yang ada dan dapat menyinkronkan identitas dari ID Microsoft Entra. Administrator tidak memiliki akses langsung ke pengendali domain dan tidak bertanggung jawab untuk patching dan operasi pemeliharaan lainnya.
Saat Anda menyebarkan Layanan Domain atau mengintegrasikan lingkungan lokal ke Azure, gunakan lokasi dengan zona ketersediaan untuk peningkatan ketersediaan.
Setelah AD DS atau Layanan Domain dikonfigurasi, Anda dapat bergabung dengan domain Azure VM dan berbagi file dengan menggunakan metode yang sama dengan komputer lokal. Untuk informasi selengkapnya, lihat Membandingkan layanan berbasis direktori Microsoft.
Rekomendasi MICROSOFT Entra ID dan AD DS
Untuk mengakses aplikasi yang menggunakan autentikasi lokal dari jarak jauh melalui ID Microsoft Entra, gunakan proksi aplikasi Microsoft Entra. Fitur ini menyediakan akses jarak jauh yang aman ke aplikasi web lokal. Ini tidak memerlukan VPN atau perubahan apa pun pada infrastruktur jaringan. Namun, ini disebarkan sebagai satu instans ke dalam ID Microsoft Entra, sehingga pemilik aplikasi dan platform atau tim identitas harus berkolaborasi untuk memastikan bahwa aplikasi dikonfigurasi dengan benar.
Mengevaluasi kompatibilitas beban kerja untuk AD DS di Windows Server dan Domain Services. Untuk informasi selengkapnya, lihat Kasus dan skenario penggunaan umum.
Sebarkan VM pengendali domain atau set replika Layanan Domain ke dalam langganan platform Identitas dalam grup manajemen platform.
Amankan jaringan virtual yang berisi pengendali domain. Cegah konektivitas internet langsung ke dan dari sistem tersebut dengan menempatkan server AD DS di subnet terisolasi dengan kelompok keamanan jaringan (NSG), menyediakan fungsionalitas firewall. Sumber daya yang menggunakan pengendali domain untuk autentikasi harus memiliki rute jaringan ke subnet pengendali domain. Hanya aktifkan rute jaringan untuk aplikasi yang memerlukan akses ke layanan dalam langganan Identitas. Untuk informasi selengkapnya, lihat Menyebarkan AD DS di jaringan virtual Azure.
- Gunakan Azure Virtual Network Manager untuk menerapkan aturan standar yang berlaku untuk jaringan virtual. Misalnya, Azure Policy atau tag sumber daya jaringan virtual dapat digunakan untuk menambahkan jaringan virtual zona pendaratan ke grup jaringan jika memerlukan layanan identitas Direktori Aktif. Grup jaringan kemudian dapat digunakan yang memungkinkan akses ke subnet pengendali domain hanya dari aplikasi yang memerlukannya dan memblokir akses dari aplikasi lain.
Amankan izin Kontrol Akses Berbasis Peran (RBAC) yang berlaku untuk komputer virtual pengendali domain dan sumber daya identitas lainnya. Administrator dengan penetapan peran RBAC di sarana kontrol Azure, seperti Kontributor, Pemilik, atau Kontributor Komputer Virtual, dapat menjalankan perintah pada komputer virtual. Pastikan bahwa hanya administrator yang berwenang yang dapat mengakses komputer virtual dalam langganan Identitas, dan bahwa penetapan peran yang terlalu permisif tidak diwarisi dari grup manajemen yang lebih tinggi.
Dalam organisasi multiregional, sebarkan Layanan Domain ke wilayah yang menghosting komponen platform inti. Anda hanya dapat menyebarkan Layanan Domain ke dalam satu langganan. Anda dapat memperluas Layanan Domain ke wilayah lebih lanjut dengan menambahkan hingga empat set replika lagi di jaringan virtual terpisah yang di-peering ke jaringan virtual utama. Untuk meminimalkan latensi, dekatkan aplikasi inti Anda, atau di wilayah yang sama dengan, jaringan virtual untuk set replika Anda.
Saat Anda menyebarkan pengontrol domain AD DS di Azure, sebarkan di seluruh zona ketersediaan untuk meningkatkan ketahanan. Untuk informasi selengkapnya, lihat Membuat VM di zona ketersediaan dan Memigrasikan VM ke zona ketersediaan.
Autentikasi dapat terjadi di cloud dan lokal, atau lokal saja. Sebagai bagian dari perencanaan identitas Anda, jelajahi metode autentikasi untuk ID Microsoft Entra.
Jika pengguna Windows memerlukan Kerberos untuk berbagi file Azure Files, pertimbangkan untuk menggunakan autentikasi Kerberos untuk ID Microsoft Entra daripada menyebarkan pengontrol domain di cloud.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk