Scenari di distribuzione e casi d'usoDeployment scenarios and use-cases

Questa sezione illustra alcuni scenari e casi d'uso che traggono vantaggio dall'utilizzo di Servizi di dominio Azure Active Directory (AD).In this section, we look at a few scenarios and use-cases that benefit from Azure Active Directory (AD) Domain Services.

Gestione sicura e semplificata delle macchine virtuali di AzureSecure, easy administration of Azure virtual machines

È possibile utilizzare Servizi di dominio Azure Active Directory per gestire le macchine virtuali di Azure in modo semplificato.You can use Azure Active Directory Domain Services to manage your Azure virtual machines in a streamlined manner. Le macchine virtuali di Azure possono appartenere al dominio gestito, consentendo di utilizzare le credenziali aziendali di Active Directory per effettuare l'accesso.Azure virtual machines can be joined to the managed domain, thus enabling you to use your corporate AD credentials to log in. Questo approccio consente di evitare complicazioni con la gestione delle credenziali, ad esempio la gestione degli account di amministratore locali su ciascuna delle macchine virtuali di Azure.This approach helps avoid credential management hassles such as maintaining local administrator accounts on each of your Azure virtual machines.

Le macchine virtuali del server aggiunte al dominio gestito possono inoltre essere gestite e protette tramite i criteri di gruppo.Server virtual machines that are joined to the managed domain can also be managed and secured using Group Policy. È possibile applicare le linee di base della sicurezza necessaria alle macchine virtuali di Azure e bloccarle in conformità con le linee guida sulla sicurezza aziendale.You can apply required security baselines to your Azure virtual machines and lock them down in accordance with corporate security guidelines. Ad esempio, è possibile utilizzare le funzionalità di gestione dei criteri di gruppo per limitare i tipi di applicazioni che possono essere avviate su tali macchine virtuali.For example, you can use group policy management capabilities to restrict the types of applications that can be launched on these virtual machines.

Gestione ottimizzata delle macchine virtuali di Azure

Man mano che i server e altri elementi dell'infrastruttura raggiungono la fine del ciclo di vita, Contoso sposta molte delle applicazioni attualmente ospitate in locale nel cloud.As servers and other infrastructure reaches end-of-life, Contoso is moving many applications currently hosted on premises to the cloud. Lo standard IT corrente prevede che i server che ospitano applicazioni aziendali sia aggiunto a un dominio e gestito tramite Criteri di gruppo.Their current IT standard mandates that servers hosting corporate applications must be domain-joined and managed using Group Policy. L'amministratore IT di Contoso preferisce aggiungere a un dominio le macchine virtuali distribuite in Azure per semplificarne la gestione.Contoso's IT administrator prefers to domain join virtual machines deployed in Azure, to make administration easier. Di conseguenza, gli amministratori e gli utenti possono accedere utilizzando le proprie credenziali aziendali.As a result, administrators and users can log in using their corporate credentials. Allo stesso tempo, le macchine possono essere configurate per essere conformi alle linee di base della sicurezza necessaria utilizzando i criteri di gruppo.At the same time, machines can be configured to comply with required security baselines using Group Policy. Contoso preferisce non dover distribuire, monitorare e gestire i controller di dominio in Azure per proteggere le macchine virtuali di Azure.Contoso would prefer not to have to deploy, monitor, and manage domain controllers in Azure to secure Azure virtual machines. Servizi di dominio Azure Active Directory è quindi un'ottima soluzione per questo caso di utilizzo.Therefore, Azure AD Domain Services is a great fit for this use-case.

Note sulla distribuzioneDeployment notes

Considerare i seguenti punti importanti per questo scenario di distribuzione:Consider the following important points for this deployment scenario:

  • Per impostazione predefinita, i domini gestiti forniti da Servizi di dominio Azure AD offrono una singola struttura di unità organizzativa di tipo semplice.Managed domains provided by Azure AD Domain Services provide a single flat OU (Organizational Unit) structure by default. Tutte le macchine aggiunte al dominio si trovano in una singola unità organizzativa di tipo semplice.All domain-joined machines reside in a single flat OU. È tuttavia possibile scegliere di creare unità organizzative personalizzate.You may however choose to create custom OUs.
  • Servizi di dominio Azure AD supporta Criteri di gruppo semplici nel formato di un oggetto Criteri di gruppo predefinito per i contenitori di utenti e computer.Azure AD Domain Services supports simple Group Policy in the form of a built-in GPO each for the users and computers containers. È possibile creare oggetti Criteri di gruppo personalizzati e assegnarli a unità organizzative personalizzate.You can create custom GPOs and target them to custom OUs.
  • Servizi di dominio Azure AD supporta lo schema dell'oggetto computer di Active Directory di base.Azure AD Domain Services supports the base AD computer object schema. Non è possibile estendere lo schema dell'oggetto computer.You cannot extend the computer object's schema.

Spostamento di un'applicazione locale che usa l'autenticazione di binding LDAP nei servizi di infrastruttura di AzureLift-and-shift an on-premises application that uses LDAP bind authentication to Azure Infrastructure Services

Binding LDAP

Contoso ha un'applicazione locale acquistata da un fornitore di software indipendente molti anni fa.Contoso has an on-premises application that was purchased from an ISV many years ago. L'applicazione è attualmente in modalità manutenzione presso il fornitore di software indipendente e le modifiche apportate all'applicazione sono estremamente costose per Contoso.The application is currently in maintenance mode by the ISV and requesting changes to the application is prohibitively expensive for Contoso. L'applicazione ha un front-end basato sul Web che raccoglie le credenziali degli utenti tramite un modulo Web e che autentica gli utenti tramite un binding LDAP con l'istanza di Active Directory aziendale.This application has a web-based frontend that collects user credentials using a web form and then authenticates users by performing an LDAP bind to the corporate Active Directory. Contoso vorrebbe eseguire la migrazione di questa applicazione ai servizi di infrastruttura di Azure.Contoso would like to migrate this application to Azure Infrastructure Services. Sarebbe opportuno che l'applicazione funzionasse così com'è, senza richiedere modifiche.It is desirable that the application works as is, without requiring any changes. Gli utenti dovrebbero inoltre poter eseguire l'autenticazione usando le credenziali aziendali esistenti senza che sia necessaria una formazione sulle nuove procedure.Additionally, users should be able to authenticate using their existing corporate credentials and without having to retrain users to do things differently. In altre parole, gli utenti non devono accorgersi che è stata eseguita la migrazione dell'applicazione e che l'applicazione non è più in esecuzione in locale.In other words, end users should be oblivious of where the application is running and the migration should be transparent to them.

Note sulla distribuzioneDeployment notes

Considerare i seguenti punti importanti per questo scenario di distribuzione:Consider the following important points for this deployment scenario:

  • Assicurarsi che l'applicazione non debba eseguire operazioni di modifica/scrittura nella directory.Ensure that the application does not need to modify/write to the directory. L'accesso LDAP in scrittura ai domini gestiti forniti da Servizi di dominio Azure AD non è supportato.LDAP write access to managed domains provided by Azure AD Domain Services is not supported.
  • Non è possibile modificare direttamente le password nel dominio gestito.You cannot change passwords directly against the managed domain. Gli utenti finali possono modificare le password tramite il meccanismo di reimpostazione della password self-service o nella directory locale.End users can change their password either using Azure AD's self-service password change mechanism or against the on-premises directory. Queste modifiche vengono automaticamente sincronizzate e rese disponibili nel dominio gestito.These changes are automatically synchronized and available in the managed domain.

Spostamento di un'applicazione locale che usa la lettura LDAP per accedere alla directory nei servizi di infrastruttura di AzureLift-and-shift an on-premises application that uses LDAP read to access the directory to Azure Infrastructure Services

Contoso ha un'applicazione line-of-business locale (LOB) che è stata sviluppata quasi un decennio fa.Contoso has an on-premises line-of-business (LOB) application that was developed almost a decade ago. L'applicazione è compatibile con le directory ed è stata progettata per funzionare con Windows Server Active Directory.This application is directory aware and was designed to work with Windows Server AD. L'applicazione usa LDAP (Lightweight Directory Access Protocol) per la lettura di informazioni/attributi relativi agli utenti da Active Directory.The application uses LDAP (Lightweight Directory Access Protocol) to read information/attributes about users from Active Directory. L'applicazione non modifica gli attributi né esegue operazioni di scrittura nella directory.The application does not modify attributes or otherwise write to the directory. Contoso desidera eseguire la migrazione di questa applicazione ai servizi di infrastruttura di Azure e dismettere l'hardware locale obsoleto che ospita l'applicazione.Contoso would like to migrate this application to Azure Infrastructure Services and retire the aging on-premises hardware currently hosting this application. L'applicazione non può essere riscritta per l'uso di API di directory moderne, ad esempio l'API Graph basata su REST di Azure AD.The application cannot be rewritten to use modern directory APIs such as the REST-based Azure AD Graph API. Di conseguenza, un'opzione di spostamento è opportuna quando è possibile eseguire la migrazione dell'applicazione per l'esecuzione nel cloud senza modificare il codice o riscrivere l'applicazione.Therefore, a lift-and-shift option is desired whereby the application can be migrated to run in the cloud, without modifying code or rewriting the application.

Note sulla distribuzioneDeployment notes

Considerare i seguenti punti importanti per questo scenario di distribuzione:Consider the following important points for this deployment scenario:

  • Assicurarsi che l'applicazione non debba eseguire operazioni di modifica/scrittura nella directory.Ensure that the application does not need to modify/write to the directory. L'accesso LDAP in scrittura ai domini gestiti forniti da Servizi di dominio Azure AD non è supportato.LDAP write access to managed domains provided by Azure AD Domain Services is not supported.
  • Assicurarsi che l'applicazione non necessiti di uno schema Active Directory personalizzato o esteso.Ensure that the application does not need a custom/extended Active Directory schema. Le estensioni dello schema non sono supportate in Servizi di dominio Azure AD.Schema extensions are not supported in Azure AD Domain Services.

Eseguire la migrazione di un servizio locale o di un'applicazione daemon ai servizi di infrastruttura di AzureMigrate an on-premises service or daemon application to Azure Infrastructure Services

Alcune applicazioni sono costituite da più livelli, dove uno dei livelli deve eseguire chiamate autenticate a un livello di back-end, ad esempio un livello di database.Some applications consist of multiple tiers, where one of the tiers needs to perform authenticated calls to a backend tier such as a database tier. Gli account di servizio di Active Directory vengono comunemente utilizzati per questi casi di utilizzo.Active Directory service accounts are commonly used for these use-cases. È possibile sollevare e spostare tali applicazioni per i servizi dell'infrastruttura Azure e utilizzare Servizi di dominio Azure Active Directory per le esigenze di identità di queste applicazioni.You can lift-and-shift such applications to Azure Infrastructure Services and use Azure AD Domain Services for the identity needs of these applications. È possibile scegliere di utilizzare lo stesso account di servizio che viene sincronizzato dalla directory locale ad Azure AD.You can choose to use the same service account that is synchronized from your on-premises directory to Azure AD. In alternativa, è possibile creare innanzitutto un'unità organizzativa, quindi un account di servizio separato nell'unità organizzativa, per distribuire tali applicazioni.Alternately, you can first create a custom OU and then create a separate service account in that OU, to deploy such applications.

Account del servizio mediante WIA

Contoso ha un'applicazione di insieme di credenziali appositamente sviluppata e personalizzata che include un front-end Web, un server SQL e un server FTP back-end.Contoso has a custom-built software vault application that includes a web front end, a SQL server, and a backend FTP server. L'autenticazione integrata di Windows degli account del servizio viene usata per eseguire l'autenticazione del front-end Web con il server FTP.Windows-integrated authentication of service accounts is used to authenticate the web front end to the FTP server. Il front-end Web è configurato per l'esecuzione come account del servizio.The web front end is set up to run as a service account. Il server back-end è configurato per autorizzare l'accesso dall'account del servizio per il front-end Web.The backend server is configured to authorize access from the service account for the web front end. Contoso preferisce non dover distribuire una macchina virtuale del controller di dominio nel cloud per spostare questa applicazione nei servizi dell'infrastruttura di Azure.Contoso prefers not to have to deploy a domain controller virtual machine in the cloud to move this application to Azure Infrastructure Services. L'amministratore IT di Contoso può distribuire i server che ospitano il front-end Web, il server SQL e il server FTP in macchine virtuali di Azure.Contoso's IT administrator can deploy the servers hosting the web front end, SQL server, and the FTP server to Azure virtual machines. Dopodiché, queste macchine virtuali vengono aggiunte al dominio gestito di Servizi di dominio Azure AD.These machines are then joined to an Azure AD Domain Services managed domain. Successivamente, sarà possibile usare lo stesso account del servizio nella directory locale per l'autenticazione dell'app.Then, they can use the same service account in their on-premises directory for the app’s authentication purposes. Questo account del servizio viene sincronizzato con il dominio gestito di servizi di Servizi di dominio Azure Active Directory ed è disponibile per l'utilizzo.This service account is synchronized to the Azure AD Domain Services managed domain and is available for use.

Note sulla distribuzioneDeployment notes

Considerare i seguenti punti importanti per questo scenario di distribuzione:Consider the following important points for this deployment scenario:

  • Assicurarsi che l'applicazione usi nome utente e password per l'autenticazione.Ensure that the application uses username/password for authentication. L'autenticazione basata su certificati/smart card non è supportata da Servizi di dominio Azure AD.Certificate/Smartcard based authentication is not supported by Azure AD Domain Services.
  • Non è possibile modificare direttamente le password nel dominio gestito.You cannot change passwords directly against the managed domain. Gli utenti finali possono modificare le password tramite il meccanismo di reimpostazione della password self-service o nella directory locale.End users can change their password either using Azure AD's self-service password change mechanism or against the on-premises directory. Queste modifiche vengono automaticamente sincronizzate e rese disponibili nel dominio gestito.These changes are automatically synchronized and available in the managed domain.

Distribuzioni di Servizi Desktop remoto di Windows Server in AzureWindows Server Remote desktop services deployments in Azure

È possibile usare Azure AD Domain Services per fornire servizi di dominio AD gestiti ai server di desktop remoto distribuiti in Azure.You can use Azure AD Domain Services to provide managed AD domain services to your remote desktop servers deployed in Azure.

Per altre informazioni su questo scenario di distribuzione, vedere come integrare Azure AD Domain Services con la distribuzione di Servizi Desktop remoto.For more information about this deployment scenario, see how to integrate Azure AD Domain Services with your RDS deployment.

Cluster HDInsight aggiunti al dominio (anteprima)Domain-joined HDInsight clusters (Preview)

È possibile impostare un cluster HDInsight di Azure aggiunto a un dominio gestito di Azure AD Domain Services con Apache Ranger abilitato.You can set up an Azure HDInsight cluster that is joined to an Azure AD Domain Services managed domain with Apache Ranger enabled. Creare e applicare criteri Hive tramite Apache Ranger e consentire agli utenti (ad esempio, i ricercatori) di connettersi a Hive usando strumenti basati su ODBC, come Excel, Tableau e così via. Microsoft sta lavorando per aggiungere presto altri carichi di lavoro, ad esempio HBase, Spark e Storm, a HDInsight aggiunto al dominio.Create and apply Hive policies through Apache Ranger, and allow users (for example, data scientists) to connect to Hive using ODBC-based tools, for example Excel, Tableau etc. Microsoft is working on adding other workloads, such as HBase, Spark, and Storm, to Domain-joined HDInsight soon.

Per altre informazioni su questo scenario di distribuzione, vedere come configurare i cluster HDInsight aggiunti al dominioFor more information about this deployment scenario, see how to configure domain-joined HDInsight clusters