Azure Active Directory (AD) Domain ServicesAzure Active Directory (AD) Domain Services

PanoramicaOverview

I servizi di infrastruttura di Azure consentono di distribuire un'ampia gamma di soluzioni di computing in modo agile.Azure Infrastructure Services enable you to deploy a wide range of computing solutions in an agile manner. Con Macchine virtuali di Azure, è possibile eseguire la distribuzione quasi istantaneamente, con un pagamento al minuto.With Azure Virtual Machines, you can deploy nearly instantaneously and you pay only by the minute. Grazie al supporto per Windows, Linux, SQL Server, Oracle, IBM, SAP e BizTalk, è possibile distribuire qualsiasi carico di lavoro e qualunque linguaggio su quasi tutti i sistemi operativi.Using support for Windows, Linux, SQL Server, Oracle, IBM, SAP, and BizTalk, you can deploy any workload, any language, on nearly any operating system. Questi vantaggi permettono di eseguire la migrazione di applicazioni legacy distribuite in locale in Azure, per generare risparmi sulle spese operative.These benefits enable you to migrate legacy applications deployed on-premises to Azure, to save on operational expenses.

Uno degli aspetti più importanti della migrazione delle applicazioni locali in Azure è la possibilità di gestire le esigenze relative alle identità di tali applicazioni.A key aspect of migrating on-premises applications to Azure is handling the identity needs of these applications. Le applicazioni compatibili con le directory possono usare LDAP per l'accesso in lettura o scrittura alla directory aziendale oppure usare l'autenticazione integrata di Windows (autenticazione NTLM o Kerberos) per autenticare gli utenti finali.Directory-aware applications may rely on LDAP for read or write access to the corporate directory or rely on Windows Integrated Authentication (Kerberos or NTLM authentication) to authenticate end users. Le applicazioni line-of-business (LOB) in esecuzione in Windows Server vengono in genere distribuite in computer aggiunti a un dominio e quindi essere gestite in modo sicuro tramite Criteri di gruppo.Line-of-business (LOB) applications running on Windows Server are typically deployed on domain joined machines, so they can be managed securely using Group Policy. Per spostare le applicazioni locali nel cloud, è necessario risolvere le dipendenze nell'infrastruttura delle identità aziendali.To 'lift-and-shift' on-premises applications to the cloud, these dependencies on the corporate identity infrastructure need to be resolved.

Per soddisfare le esigenze in termini di gestione delle identità delle applicazioni distribuite in Azure, spesso gli amministratori adottano una delle soluzioni seguenti:Administrators often turn to one of the following solutions to satisfy the identity needs of their applications deployed in Azure:

  • Distribuzione di una connessione VPN da sito a sito tra i carichi di lavoro in esecuzione nei servizi di infrastruttura di Azure e la directory aziendale locale.Deploy a site-to-site VPN connection between workloads running in Azure Infrastructure Services and the corporate directory on-premises.
  • Estensione dell'infrastruttura di dominio/foresta Active Directory aziendale tramite la configurazione di controller di dominio di replica usando macchine virtuali di Azure.Extend the corporate AD domain/forest infrastructure by setting up replica domain controllers using Azure virtual machines.
  • Distribuzione di un dominio autonomo in Azure tramite controller di dominio distribuiti come macchine virtuali di Azure.Deploy a stand-alone domain in Azure using domain controllers deployed as Azure virtual machines.

Tutti questi approcci tuttavia prevedono costi elevati e un carico di lavoro amministrativo significativo.All these approaches suffer from high cost and administrative overhead. Gli amministratori devono distribuire i controller di dominio tramite macchine virtuali in Azure.Administrators are required to deploy domain controllers using virtual machines in Azure. In più, devono gestire, proteggere, applicare patch, monitorare, eseguire il backup e risolvere i problemi relativi a tali macchine virtuali.Additionally, they need to manage, secure, patch, monitor, backup, and troubleshoot these virtual machines. L'utilizzo di connessioni VPN alla directory locale rende i carichi di lavoro distribuiti in Azure vulnerabili a errori o interruzioni di rete temporanee.The reliance on VPN connections to the on-premises directory causes workloads deployed in Azure to be vulnerable to transient network glitches or outages. Queste interruzioni di rete determinano tempi di attività inferiori e affidabilità ridotta delle applicazioni.These network outages in turn result in lower uptime and reduced reliability for these applications.

Servizi di dominio Azure Active Directory è pensata per offrire un'alternativa più semplice.We designed Azure AD Domain Services to provide an easier alternative.

Guardare un video introduttivoWatch an introductory video

Introduzione a Servizi di dominio Azure ADIntroducing Azure AD Domain Services

Servizi di dominio Azure Active Directory offre servizi di dominio gestiti, ad esempio aggiunta a un dominio, Criteri di gruppo, LDAP e autenticazione Kerberos/NTLM, completamente compatibili con Windows Server Active Directory.Azure AD Domain Services provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that are fully compatible with Windows Server Active Directory. È possibile utilizzare questi servizi di dominio senza dover distribuire, gestire e applicare patch ai controller di dominio nel cloud.You can consume these domain services without the need for you to deploy, manage, and patch domain controllers in the cloud. Servizi di dominio Azure Active Directory si integra con il tenant Azure AD esistente per consentire agli utenti di eseguire l'accesso usando le proprie credenziali aziendali.Azure AD Domain Services integrates with your existing Azure AD tenant, thus making it possible for users to log in using their corporate credentials. È anche possibile usare i gruppi e gli account utente esistenti per proteggere l'accesso alle risorse e garantire uno spostamento semplificato delle risorse locali nei servizi di infrastruttura di Azure.Additionally, you can use existing groups and user accounts to secure access to resources, thus ensuring a smoother 'lift-and-shift' of on-premises resources to Azure Infrastructure Services.

La funzionalità Servizi di dominio Azure Active Directory funziona perfettamente a prescindere dal fatto che il tenant Azure AD sia di tipo solo cloud o sincronizzato con l'istanza di Active Directory locale.Azure AD Domain Services functionality works seamlessly regardless of whether your Azure AD tenant is cloud-only or synced with your on-premises Active Directory.

Servizi di dominio Azure AD per le organizzazioni solo cloudAzure AD Domain Services for cloud-only organizations

Un tenant Azure AD solo cloud, spesso definito anche tenant gestito, non dispone di un sistema di gestione delle identità locale.A cloud-only Azure AD tenant (often referred to as 'managed tenants') does not have any on-premises identity footprint. In altre parole, gli account utente, le relative password e le appartenenze ai gruppi sono nativi nel cloud, ovvero creati e gestiti in Azure AD.In other words, user accounts, their passwords, and group memberships are all native to the cloud - that is, created and managed in Azure AD. Si supponga che Contoso sia un tenant Azure AD solo cloud.Consider for a moment that Contoso is a cloud-only Azure AD tenant. Come illustrato nella figura seguente, l'amministratore di Contoso ha configurato una rete virtuale nei servizi di infrastruttura di Azure.As shown in the following illustration, Contoso's administrator has configured a virtual network in Azure Infrastructure Services. I carichi di lavoro di server e applicazioni sono distribuiti in questa rete virtuale in macchine virtuali di Azure.Applications and server workloads are deployed in this virtual network in Azure virtual machines. Poiché Contoso è un tenant solo cloud, tutte le identità degli utenti, le relative credenziali e le appartenenze ai gruppi sono create e gestite in Azure.Since Contoso is a cloud-only tenant, all user identities, their credentials, and group memberships are created and managed in Azure AD.

Panoramica di Servizi di dominio Azure AD

L'amministratore IT di Contoso può abilitare Servizi di dominio Azure AD per il tenant Azure AD e scegliere di rendere disponibili i servizi di dominio in questa rete virtuale.Contoso's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make domain services available in this virtual network. Dopodiché, Servizi di dominio Azure Active Directory esegue il provisioning di un dominio gestito e lo rende disponibile nella rete virtuale.Thereafter, Azure AD Domain Services provisions a managed domain and makes it available in the virtual network. Tutti gli account utente, le appartenenze ai gruppi e le credenziali utente disponibili nel tenant Azure AD di Contoso sono anche disponibili in questo dominio appena creato.All user accounts, group memberships, and user credentials available in Contoso's Azure AD tenant are also available in this newly created domain. Questa funzionalità consente agli utenti nell'organizzazione di accedere al dominio usando le credenziali aziendali, ad esempio per la connessione remota alle macchine appartenenti al dominio tramite Desktop remoto.This feature enables users in the organization to sign in to the domain using their corporate credentials - for example, when connecting remotely to domain-joined machines via Remote Desktop. Gli amministratori possono eseguire il provisioning dell'accesso alle risorse nel dominio usando le appartenenze ai gruppi esistenti.Administrators can provision access to resources in the domain using existing group memberships. Le applicazioni distribuite nelle macchine virtuali all'interno della rete virtuale possono usare funzionalità come l'aggiunta a un dominio, la lettura LDAP, il binding LDAP, l'autenticazione NTLM e Kerberos e i Criteri di gruppo.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Di seguito sono illustrati alcuni degli aspetti più importanti del dominio gestito di cui Servizi di dominio Azure AD esegue il provisioning:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • L'amministratore IT di Contoso non deve gestire, applicare patch o monitorare questo dominio o i controller di dominio per questo dominio gestito.Contoso's IT administrator does not need to manage, patch, or monitor this domain or any domain controllers for this managed domain.
  • Non è necessario gestire la replica Active Directory per il dominio.There is no need to manage AD replication for this domain. Gli account utente, le appartenenze ai gruppi e le credenziali del tenant Azure AD di Contoso sono automaticamente disponibili all'interno del dominio gestito.User accounts, group memberships, and credentials from Contoso's Azure AD tenant are automatically available within this managed domain.
  • Poiché il dominio è gestito da Servizi di dominio Azure AD, l'amministratore IT di Contoso non dispone di privilegi di amministratore di dominio o amministratore dell'organizzazione per questo dominio.Since the domain is managed by Azure AD Domain Services, Contoso's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

Servizi di dominio Azure AD per le organizzazioni ibrideAzure AD Domain Services for hybrid organizations

Le organizzazioni con un'infrastruttura IT ibrida utilizzano una combinazione di risorse cloud e risorse locali.Organizations with a hybrid IT infrastructure consume a mix of cloud resources and on-premises resources. Queste organizzazioni sincronizzano le informazioni relative alle identità della directory locale con il tenant Azure AD.Such organizations synchronize identity information from their on-premises directory to their Azure AD tenant. Poiché le organizzazioni ibride hanno l'obiettivo di eseguire la migrazione della maggior parte delle applicazioni locali nel cloud, in particolare le applicazioni legacy compatibili con le directory, Servizi di dominio Azure AD può risultare utile.As hybrid organizations look to migrate more of their on-premises applications to the cloud, especially legacy directory-aware applications, Azure AD Domain Services can be useful to them.

Litware Corporation ha distribuito Azure AD Connectin modo da sincronizzare le informazioni relative alle identità della directory locale con il tenant Azure AD.Litware Corporation has deployed Azure AD Connect, to synchronize identity information from their on-premises directory to their Azure AD tenant. Le informazioni sull'identità sincronizzate includono gli account utente, i relativi hash delle credenziali per l'autenticazione (sincronizzazione delle password) e le appartenenze ai gruppi.The identity information that is synchronized includes user accounts, their credential hashes for authentication (password sync) and group memberships.

Nota

La sincronizzazione delle password è un requisito obbligatorio per le organizzazioni ibride per poter usare Servizi di dominio Azure Active Directory.Password synchronization is mandatory for hybrid organizations to use Azure AD Domain Services. Questo perché nel dominio gestito fornito da Servizi di dominio Azure AD le credenziali degli utenti sono necessarie per autenticare gli utenti tramite i metodi di autenticazione NTLM o Kerberos.This requirement is because users' credentials are needed in the managed domain provided by Azure AD Domain Services, to authenticate these users via NTLM or Kerberos authentication methods.

Servizi di dominio Azure AD per Litware Corporation

La figura precedente mostra l'uso di Servizi di dominio Azure AD nelle organizzazioni con un'infrastruttura IT ibrida, come Litware Corporation.The preceding illustration shows how organizations with a hybrid IT infrastructure, such as Litware Corporation, can use Azure AD Domain Services. I carichi di lavoro di server e applicazioni di Litware che richiedono i servizi di dominio sono distribuiti in una rete virtuale nei servizi di infrastruttura di Azure.Litware's applications and server workloads that require domain services are deployed in a virtual network in Azure Infrastructure Services. L'amministratore IT di Litware può abilitare Servizi di dominio Azure AD per il tenant Azure AD e scegliere di rendere disponibile un dominio gestito in questa rete virtuale.Litware's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make a managed domain available in this virtual network. Poiché Litware è un'organizzazione con un'infrastruttura IT ibrida, gli account utente, i gruppi e le credenziali vengono sincronizzati nel tenant Azure AD dalla directory locale.Since Litware is an organization with a hybrid IT infrastructure, user accounts, groups, and credentials are synchronized to their Azure AD tenant from their on-premises directory. Questa funzionalità consente agli utenti di accedere al dominio usando le credenziali aziendali, ad esempio per la connessione remota ai computer aggiunti al dominio tramite Desktop remoto.This feature enables users to sign in to the domain using their corporate credentials - for example, when connecting remotely to machines joined to the domain via Remote Desktop. Gli amministratori possono eseguire il provisioning dell'accesso alle risorse nel dominio usando le appartenenze ai gruppi esistenti.Administrators can provision access to resources in the domain using existing group memberships. Le applicazioni distribuite nelle macchine virtuali all'interno della rete virtuale possono usare funzionalità come l'aggiunta a un dominio, la lettura LDAP, il binding LDAP, l'autenticazione NTLM e Kerberos e i Criteri di gruppo.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Di seguito sono illustrati alcuni degli aspetti più importanti del dominio gestito di cui Servizi di dominio Azure AD esegue il provisioning:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • Il dominio gestito rappresenta un dominio autonomo.The managed domain is a stand-alone domain. Non si tratta di un'estensione del dominio locale di Litware.It is not an extension of Litware's on-premises domain.
  • L'amministratore IT di Litware non deve gestire, applicare patch o monitorare i controller di dominio per questo dominio gestito.Litware's IT administrator does not need to manage, patch, or monitor domain controllers for this managed domain.
  • Non è necessario gestire la replica Active Directory nel dominio.There is no need to manage AD replication to this domain. Gli account utente, le appartenenze ai gruppi e le credenziali della directory locale di Litware sono sincronizzati in Azure AD tramite Azure AD Connect.User accounts, group memberships, and credentials from Litware's on-premises directory are synchronized to Azure AD via Azure AD Connect. Gli account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili all'interno del dominio gestito.These user accounts, group memberships, and credentials are automatically available within the managed domain.
  • Poiché il dominio è gestito da Servizi di dominio Azure AD, l'amministratore IT di Litware non dispone di privilegi di amministratore di dominio o amministratore dell'organizzazione per questo dominio.Since the domain is managed by Azure AD Domain Services, Litware's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

VantaggiBenefits

Servizi di dominio Azure AD offre i vantaggi seguenti:With Azure AD Domain Services, you can enjoy the following benefits:

  • Semplice : è possibile soddisfare le esigenze di identità delle macchine virtuali distribuite ai servizi di infrastruttura di Azure con pochi semplici clic.Simple – You can satisfy the identity needs of virtual machines deployed to Azure Infrastructure services with a few simple clicks. Non è necessario distribuire e gestire l'infrastruttura di identità in Azure o di riconfigurare la connettività in base all'infrastruttura di identità locale.You do not need to deploy and manage identity infrastructure in Azure or setup connectivity back to your on-premises identity infrastructure.
  • Integrazione : Servizi di dominio Azure AD è strettamente integrato con il tenant Azure AD.Integrated – Azure AD Domain Services is deeply integrated with your Azure AD tenant. Ora è possibile utilizzare Azure AD come una directory aziendale basata sul cloud integrata che soddisfa le esigenze delle applicazioni moderne e di quelle tradizionali compatibili con le directory.You can now use Azure AD as an integrated cloud-based enterprise directory that caters to the needs of both your modern applications and traditional directory-aware applications.
  • Compatibile : Servizi di dominio Azure Active Directory è realizzata sull'infrastruttura di livello aziendale collaudata di Windows Server Active Directory.Compatible – Azure AD Domain Services is built on the proven enterprise grade infrastructure of Windows Server Active Directory. Di conseguenza, le applicazioni possono dipendere da un più alto livello di compatibilità con le funzionalità di Windows Server Active Directory.Therefore, your applications can rely on a greater degree of compatibility with Windows Server Active Directory features. Non tutte le funzionalità disponibili in Windows Server Active Directory sono attualmente disponibili in Servizi di dominio Azure AD.Not all features available in Windows Server AD are currently available in Azure AD Domain Services. Le funzionalità disponibili sono tuttavia compatibili con le funzionalità di Windows Server Active Directory corrispondenti usate nell'infrastruttura locale.However, available features are compatible with the corresponding Windows Server AD features you rely on in your on-premises infrastructure. Le funzionalità LDAP, Kerberos, NTLM, Criteri di gruppo e di aggiunta a un dominio costituiscono un'offerta matura testata e perfezionata nel corso di diverse versioni di Windows Server.The LDAP, Kerberos, NTLM, Group Policy, and domain join capabilities constitute a mature offering that has been tested and refined over various Windows Server releases.
  • Conveniente : Servizi di dominio Azure AD consente di evitare i costi di gestione e di infrastruttura associati alla gestione dell'infrastruttura di identità per il supporto delle applicazioni compatibili con le directory tradizionali.Cost-effective – With Azure AD Domain Services, you can avoid the infrastructure and management burden that is associated with managing identity infrastructure to support traditional directory-aware applications. È possibile spostare queste applicazioni nei servizi di infrastruttura di Azure e ottenere maggiori risparmi sulle spese operative.You can move these applications to Azure Infrastructure Services and benefit from greater savings on operational expenses.

Passaggi successiviNext steps

Ulteriori informazioni su Azure AD Domain ServicesLearn more about Azure AD Domain Services

Introduzione ai servizi di dominio Azure ADGet started with Azure AD Domain Services