Come decidere Servizi di dominio Azure AD è adatto alle esigenze del caso di utilizzoHow to decide if Azure AD Domain Services is right for your use-case

Con Azure Active Directory Domain Services è possibile distribuire i carichi di lavoro nei servizi di infrastruttura di Azure senza preoccuparsi di mantenere l'infrastruttura di identità in Azure.With Azure AD Domain Services you can deploy your workloads in Azure Infrastructure Services, without having to worry about maintaining identity infrastructure in Azure. Questo servizio gestito è diverso da una tipica distribuzione di Windows Server Active Directory che viene distribuita e amministrata in modo autonomo.This managed service is different from a typical Windows Server Active Directory deployment that you deploy and administer on your own. Il servizio è facile da distribuire e offre il monitoraggio e la correzione dell'integrità automatizzati.The service is easy to deploy and delivers automated health monitoring and remediation. Il servizio è in continua evoluzione per l'aggiunta del supporto di scenari di distribuzione comuni.We are constantly evolving the service to add support for common deployment scenarios.

Per decidere se usare Azure AD Domain Services, si consiglia la lettura della seguente documentazione:To decide whether to use Azure AD Domain Services we recommend the following reading material:

Confrontare Servizi di dominio Azure AD con un dominio AD fai da te in AzureCompare Azure AD Domain Services to DIY AD domain in Azure

La tabella seguente riporta informazioni utili per scegliere se usare Servizi di dominio Azure AD o gestire una propria infrastruttura di AD in Azure.The following table helps you decide between using Azure AD Domain Services and managing your own AD infrastructure in Azure.

FunzionalitàFeature Servizi di dominio Azure Active DirectoryAzure AD Domain Services AD "fai da te" in VM di Azure'Do-it-yourself' AD in Azure VMs
Servizi gestitiManaged service ✓ ✕
Distribuzioni sicureSecure deployments ✓ L'amministratore deve proteggere la distribuzione.Administrator needs to secure the deployment.
Server DNSDNS server (servizio gestito) (managed service) ✓
Domain or Enterprise administrator privilegesDomain or Enterprise administrator privileges ✕
Aggiunta a un dominioDomain join ✓
Autenticazione di dominio tramite NTLM e KerberosDomain authentication using NTLM and Kerberos ✓ ✓
Delega vincolata KerberosKerberos constrained delegation basata sulle risorseresource-based basata sulle risorse e basata su accountresource-based & account-based
Struttura personalizzata per le unità organizzativeCustom OU structure ✓ ✓
Estensioni dello schemaSchema extensions ✕ ✓
Relazioni di trust di dominio/foresta di ADAD domain/forest trusts ✓
LDAP readLDAP read ✓ ✓
LDAP sicuro (LDAPS)Secure LDAP (LDAPS) ✓ ✓
LDAP writeLDAP write ✕ ✓
Group PolicyGroup Policy ✓ ✓
Distribuzione in diverse aree geograficheGeo-distributed deployments ✕ ✓

Servizi gestitiManaged service

Servizi di dominio Azure AD è gestito da Microsoft.Azure AD Domain Services domains are managed by Microsoft. Non è necessario preoccuparsi di patch, aggiornamenti, monitoraggio, backup e di garantire la disponibilità del dominio.You do not have to worry about patching, updates, monitoring, backups, and ensuring availability of your domain. Queste attività di gestione sono disponibili come servizio di Microsoft Azure per i domini gestiti.These management tasks are offered as a service by Microsoft Azure for your managed domains.

Distribuzioni sicureSecure deployments

Il dominio gestito è bloccato in modo sicuro in base alle raccomandazioni sulla sicurezza di Microsoft per le distribuzioni di AD.The managed domain is securely locked down as per Microsoft’s security recommendations for AD deployments. Queste raccomandazioni derivano dell'esperienza nella progettazione e nel supporto delle distribuzioni di Active Directory maturata in vari decenni dal team del prodotto AD.These recommendations stem from the AD product team's decades of experience engineering and supporting AD deployments. Per le distribuzioni fai da te è necessario eseguire passaggi di distribuzione specifici per bloccare/proteggere la distribuzione.For do-it-yourself deployments, you need to take specific deployment steps to lock down/secure your deployment.

Server DNSDNS server

Un dominio gestito da Servizi di dominio Azure AD include servizi DNS gestiti.An Azure AD Domain Services managed domain includes managed DNS services. I membri del gruppo "AAD DC Administrators" possono gestire il DNS sul dominio gestito.Members of the 'AAD DC Administrators' group can manage DNS on the managed domain. Ai membri di questo gruppo sono concessi privilegi di amministrazione DNS completi per il dominio gestito.Members of this group are given full DNS Administration privileges for the managed domain. La gestione del DNS può essere eseguita mediante la console di amministrazione DNS inclusa nel pacchetto degli Strumenti di amministrazione remota del server.DNS management can be performed using the 'DNS Administration console' included in the Remote Server Administration Tools (RSAT) package. Altre informazioniMore information

Privilegi amministrativi per il dominio o per l'organizzazioneDomain or Enterprise Administrator privileges

Questi privilegi elevati non sono disponibili in un dominio gestito di Servizi di dominio Azure AD.These elevated privileges are not offered on an AAD-DS managed domain. Le applicazioni che richiedono questi privilegi elevati non possono essere distribuite nei domini gestiti di AAD-DS.Applications that require these elevated privileges cannot be deployed against AAD-DS managed domains. Un sottoinsieme più piccolo di privilegi amministrativi è disponibile per i membri del gruppo di amministrazione delegato chiamato "AAD DC Administrators".A smaller subset of administrative privileges is available to members of the delegated administration group called ‘AAD DC Administrators’. Tali privilegi comprendono privilegi per configurare il server DNS, configurare i criteri di gruppo, ottenere privilegi amministrativi sui computer appartenenti a un dominio e così via.These privileges include privileges to configure DNS, configure group policy, gain administrator privileges on domain-joined machines etc.

Aggiunta a un dominioDomain join

È possibile aggiungere macchine virtuali al dominio gestito analogamente a come si aggiungono computer a un dominio AD.You can join virtual machines to the managed domain similar to how you join computers to an AD domain.

Autenticazione di dominio tramite NTLM e KerberosDomain authentication using NTLM and Kerberos

Con Servizi di dominio Azure AD è possibile usare le credenziali aziendali per l'autenticazione con il dominio gestito.With Azure AD Domain Services, you can use your corporate credentials to authenticate with the managed domain. Le credenziali vengono mantenute sincronizzate con il tenant di Azure AD.Credentials are kept in sync with your Azure AD tenant. Per i tenant sincronizzati, Azure AD Connect garantisce che le modifiche apportate alle credenziali in locale siano sincronizzate con Azure AD.For synced tenants, Azure AD Connect ensures that changes to credentials made on-premises are synchronized to Azure AD. Con una configurazione di dominio fai da te, potrebbe essere necessario impostare un trust di dominio AD con l'AD locale per l'autenticazione degli utenti con le proprie credenziali aziendali.With a do-it-yourself domain setup, you may need to set up an AD domain trust with your on-premises AD for users to authenticate with their corporate credentials. In alternativa potrebbe essere necessario impostare la replica di AD per assicurarsi che le password utente siano sincronizzate con le macchine virtuali controller di dominio di Azure.Alternately, you may need to set up AD replication to ensure that user passwords synchronize to your Azure domain controller virtual machines.

Delega vincolata KerberosKerberos constrained delegation

Non si dispone dei privilegi di "Domain Admin" in un dominio gestito Active Directory Domain Services.You do not have 'Domain Administrator' privileges on an Active Directory Domain Services managed domain. Pertanto non è possibile configurare la delega vincolata Kerberos basata su account (tradizionale).Therefore, you cannot configure account-based (traditional) Kerberos constrained delegation. Si può comunque configurare la più sicura delega vincolata basata sulle risorse.However, you can configure the more secure resource-based constrained delegation. Altre informazioniMore information

Struttura personalizzata per le unità organizzativeCustom OU structure

I membri del gruppo "AAD DC Administrators" possono creare unità organizzative nel dominio gestito.Members of the 'AAD DC Administrators' group can create custom OUs within the managed domain. Agli utenti che creano unità organizzative personalizzate vengono concessi privilegi amministrativi completi per l'unità organizzativa.Users who create custom OUs are granted full administrative privileges over the OU. Altre informazioniMore information

Estensioni dello schemaSchema extensions

Non è possibile estendere lo schema di base di un dominio gestito di Servizi di dominio Azure AD.You cannot extend the base schema of an Azure AD Domain Services managed domain. Di conseguenza le applicazioni che fanno affidamento sulle estensioni allo schema di AD (ad esempio nuovi attributi nell'oggetto utente) non possono essere elevate e spostate su domini di Servizi di dominio Azure AD.Therefore, applications that rely on extensions to AD schema (for example, new attributes under the user object) cannot be lifted and shifted to AAD-DS domains.

Relazioni di trust di dominio o foresta di ADAD Domain or Forest Trusts

Non è possibile configurare i domini gestiti per impostare relazioni di trust (in ingresso/in uscita) con altri domini.Managed domains cannot be configured to set up trust relationships (inbound/outbound) with other domains. Pertanto, gli scenari di distribuzione della foresta di risorse non possono usare Azure AD Domain Services.Therefore, resource forest deployment scenarios cannot use Azure AD Domain Services. Analogamente, le distribuzioni in cui non si desidera sincronizzare le password in Azure AD non possono usare Azure AD Domain Services.Similarly, deployments where you prefer not to synchronize passwords to Azure AD cannot use Azure AD Domain Services.

Lettura LDAPLDAP Read

Il dominio gestito supporta i carichi di lavoro di lettura LDAP.The managed domain supports LDAP read workloads. Pertanto è possibile distribuire applicazioni che eseguono operazioni di lettura LDAP nel dominio gestito.Therefore you can deploy applications that perform LDAP read operations against the managed domain.

LDAP sicuroSecure LDAP

È possibile configurare Servizi di dominio Azure AD in modo da fornire l'accesso LDAP sicuro al dominio gestito anche su Internet.You can configure Azure AD Domain Services to provide secure LDAP access to your managed domain, including over the internet. Altre informazioniMore information

Scrittura LDAPLDAP Write

Il dominio gestito è di sola lettura per gli oggetti utente.The managed domain is read-only for user objects. Di conseguenza, le applicazioni che eseguono operazioni di scrittura LDAP su attributi dell'oggetto utente non funzionano in un dominio gestito.Therefore, applications that perform LDAP write operations against attributes of the user object do not work in a managed domain. Inoltre, le password utente non possono essere modificate dall'interno del dominio gestito.Additionally, user passwords cannot be changed from within the managed domain. Un altro esempio sarebbe la modifica dell'appartenenza ai gruppi o degli attributi di gruppo all'interno del dominio gestito, che non è consentita.Another example would be modification of group memberships or group attributes within the managed domain, which is not permitted. Tuttavia, le modifiche agli attributi o alle password utente apportate in Azure AD (tramite PowerShell o il portale di Azure) o in AD locale vengono sincronizzate con il dominio gestito di Servizi di dominio Azure AD.However, any changes to user attributes or passwords made in Azure AD (via PowerShell/Azure portal) or on-premises AD are synchronized to the AAD-DS managed domain.

Criteri di gruppoGroup policy

Esiste un oggetto Criteri di gruppo integrato per il contenitore "AADDC Computers" e uno per il contenitore "AADDC Users".There is a built-in GPO each for the "AADDC Computers" and "AADDC Users" containers. È possibile personalizzare questi oggetti Criteri di gruppo predefiniti per configurare Criteri di gruppo.You can customize these built-in GPOs to configure group policy. I membri del gruppo "AAD DC Administrators" possono anche creare oggetti criterio di gruppo personalizzati e collegarli a unità organizzative esistenti (incluse le unità organizzative personalizzate).Members of the 'AAD DC Administrators' group can also create custom GPOs and link them to existing OUs (including custom OUs). Altre informazioniMore information

Distribuzioni geograficamente sparseGeo-dispersed deployments

I domini gestiti di Servizi di dominio Azure AD sono disponibili in una singola rete virtuale in Azure.Azure AD Domain Services managed domains are available in a single virtual network in Azure. Per scenari che richiedono controller di dominio disponibili in più aree di Azure in tutto il mondo, l'impostazione di controller di dominio in VM IaaS di Azure potrebbe essere l'alternativa migliore.For scenarios that require domain controllers to be available in multiple Azure regions across the world, setting up domain controllers in Azure IaaS VMs might be the better alternative.

Opzioni di distribuzione AD "fai da te"'Do-it-yourself' (DIY) AD deployment options

Possono esistere situazioni di distribuzione in cui sono necessarie alcune delle funzionalità offerte da un'installazione Active Directory di Windows Server.You may have deployment use-cases where you need some of the capabilities offered by a Windows Server AD installation. In questi casi è possibile prendere in considerazione una delle seguenti opzioni fai da te:In these cases, consider one of the following do-it-yourself (DIY) options:

  • Dominio cloud autonomo: è possibile configurare un "dominio cloud" autonomo usando macchine virtuali Azure che sono state configurate come controller di dominio.Standalone cloud domain: You can set up a standalone ‘cloud domain’ using Azure virtual machines that have been configured as domain controllers. Questa infrastruttura non si integra con l'ambiente Active Directory locale.This infrastructure does not integrate with your on-premises AD environment. Questa opzione richiede un insieme diverso di "credenziali del cloud" per l'accesso e l'amministrazione delle VM nel cloud.This option would require a different set of ‘cloud credentials’ to login/administer VMs in the cloud.
  • Distribuzione di foreste di risorse: è possibile configurare un dominio nella topologia delle foreste di risorse usando macchine virtuali Azure configurate come controller di dominio.Resource forest deployment: You can set up a domain in the resource forest topology, using Azure virtual machines configured as domain controllers. Quindi si può impostare una relazione di trust di Active Directory con l'ambiente Active Directory locale.Next, you can configure an AD trust relationship with your on-premises AD environment. È possibile aggiungere computer (VM Azure) al dominio in questa foresta di risorse nel cloud.You can domain-join computers (Azure VMs) to this resource forest in the cloud. L'autenticazione utente avviene tramite una connessione VPN o ExpressRoute alla directory locale.User authentication happens over either a VPN/ExpressRoute connection to your on-premises directory.
  • Estendere il dominio locale in Azure: è possibile connettere una rete virtuale di Azure alla rete locale tramite una connessione VPN o ExpressRoute.Extend your on-premises domain to Azure: You can connect an Azure virtual network to your on-premises network using a VPN/ExpressRoute connection. Questa impostazione consente di aggiungere le macchine virtuali di Azure all'AD locale.This setup enables Azure VMs to be joined to your on-premises AD. Un'alternativa è alzare di livello dei controller di dominio di replica del dominio locale in Azure portandoli al livello di VM.Another alternative is to promote replica domain controllers of your on-premises domain in Azure as a VM. È possibile configurare il sistema in modo che la replica sia eseguita tramite una connessione VPN o ExpressRoute alla directory locale.You can then set it up to replicate over a VPN/ExpressRoute connection to your on-premises directory. Questa modalità di distribuzione estende efficacemente il dominio locale in Azure.This deployment mode effectively extends your on-premises domain to Azure.

Nota

Un'opzione fai da te potrebbe essere più adatta per determinate situazioni di distribuzione.You may determine that a DIY option is better suited for your deployment use-cases. Condividendo i loro commenti gli utenti ci aiuteranno a comprendere quali funzionalità potrebbero far ricadere la loro scelta in futuro su Servizi di dominio Azure AD.Consider sharing feedback to help us understand what features would help you chose Azure AD Domain Services in the future. Questi commenti e suggerimenti ci consentiranno di migliorare il servizio in modo da adattarlo ad altre esigenze di distribuzione e casi di utilizzo.This feedback helps us evolve the service to better suit your deployment needs and use-cases.

Microsoft ha pubblicato alcune linee guida per la distribuzione di Active Directory di Windows Server nelle macchine virtuali Azure come aiuto per l'installazione.We have published guidelines for Deploying Windows Server Active Directory on Azure Virtual Machines to help make DIY installations easier.