Distribuzione e gestione di Microsoft Entra Domain Services per Azure Cloud Solution Providers
Azure Cloud Solution Providers (CSP) è un programma per i partner Microsoft e fornisce un canale di licenza per vari servizi cloud Microsoft. Azure CSP permette ai partner di gestire le vendite, avere il controllo sulla relazione di fatturazione, fornire supporto tecnico e per la fatturazione e rappresentare l'unico punto di contatto dei clienti. Inoltre, Azure CSP include un set completo di strumenti, tra cui un portale self-service e le API associate. Questi strumenti consentono ai partner CSP di effettuare agevolmente il provisioning, gestire le risorse di Azure e fornire la fatturazione dei clienti e delle relative sottoscrizioni.
Il portale del Centro per i partner è il punto di ingresso per tutti i partner Azure CSP e offre funzionalità avanzate di gestione dei clienti, elaborazione automatizzata e altro ancora. I partner Azure CSP possono usare le funzionalità del Centro per i partner tramite un'interfaccia utente basata sul Web o mediante PowerShell e varie chiamate API.
Il diagramma seguente illustra il funzionamento del modello CSP a livello generale. In questo caso, Contoso ha un tenant di Microsoft Entra. Ha una partnership con un CSP, che distribuisce e gestisce le risorse nella propria sottoscrizione Azure CSP. Contoso può anche avere sottoscrizioni di Azure regolari (dirette), fatturate direttamente alla società stessa.
Il tenant del partner CSP ha tre gruppi di agenti speciali, Amministrazione agenti, agenti helpdesk e agenti di vendita.
Il gruppo di agenti Amministrazione viene assegnato al ruolo di amministratore tenant nel tenant di Microsoft Entra di Contoso. Di conseguenza, un utente appartenente al gruppo di agenti di amministrazione del partner CSP ha privilegi di amministratore tenant nel tenant di Microsoft Entra di Contoso.
Quando il partner CSP effettua il provisioning di una sottoscrizione di Azure CSP per Contoso, il gruppo di agenti di amministrazione viene assegnato al ruolo di proprietario della sottoscrizione. Di conseguenza, gli agenti di amministrazione del partner CSP hanno i privilegi necessari per effettuare il provisioning di risorse di Azure, ad esempio macchine virtuali, reti virtuali e Servizi di dominio Microsoft Entra per conto di Contoso.
Per altre informazioni, vedere la Panoramica di Azure CSP
Vantaggi dell'uso di Servizi di dominio in una sottoscrizione di Azure CSP
Servizi di dominio Microsoft Entra fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP, l'autenticazione Kerberos/NTLM completamente compatibile con Windows Server Dominio di Active Directory Services. Nel corso dei decenni, sono state create molte applicazioni per funzionare in Active Directory utilizzando tali funzionalità. Molti fornitori di software indipendenti hanno compilato e distribuito applicazioni presso la sede dei clienti. Queste applicazioni sono difficili da supportare perché spesso è necessario accedere ai diversi ambienti in cui vengono distribuite le applicazioni. Le sottoscrizioni di Azure CSP costituiscono un'alternativa più semplice con la scalabilità e la flessibilità di Azure.
Domain Services supporta le sottoscrizioni di Azure CSP. È possibile distribuire l'applicazione in una sottoscrizione di Azure CSP associata al tenant di Microsoft Entra del cliente. Di conseguenza, i dipendenti (personale di supporto) possono gestire, amministrare e gestire le macchine virtuali in cui l'applicazione viene distribuita usando le credenziali aziendali dell'organizzazione.
È anche possibile distribuire un dominio gestito di Servizi di dominio nel tenant di Microsoft Entra del cliente. L'applicazione viene quindi connessa al dominio gestito del cliente. Le funzionalità all'interno dell'applicazione che si basano su Kerberos/NTLM, LDAP o l'API System.DirectoryServices funzionano senza problemi con il dominio del cliente. I clienti finali traggono vantaggio dall'utilizzo dell'applicazione distribuita come servizio, senza doversi preoccupare della gestione dell'infrastruttura in cui viene distribuita l'applicazione.
Tutta la fatturazione per le risorse di Azure usate in tale sottoscrizione, inclusi i Servizi di dominio, viene addebitata all'utente. Si mantiene il controllo completo sulla relazione con il cliente quando si tratta di vendite, fatturazione, supporto tecnico e così via. Con la flessibilità della piattaforma Azure CSP, un piccolo team di agenti di supporto può gestire molti clienti che dispongono di istanze dell'applicazione distribuite.
Modelli di distribuzione CSP per Domain Services
Esistono due modi in cui è possibile usare Servizi di dominio con una sottoscrizione di Azure CSP. Scegliere quella adeguata in base alle considerazioni sulla sicurezza e sulla semplicità dei clienti.
Modello di distribuzione diretta
In questo modello di distribuzione Servizi di dominio è abilitato all'interno di una rete virtuale appartenente alla sottoscrizione di Azure CSP. Gli agenti di amministrazione del partner CSP dispongono dei privilegi seguenti:
- Privilegi di amministratore globale nel tenant Microsoft Entra del cliente.
- Privilegi di proprietario della sottoscrizione nella sottoscrizione di Azure CSP.
In questo modello di distribuzione, gli agenti di amministrazione del provider CSP possono amministrare le identità per il cliente. Questi agenti di amministrazione possono eseguire attività come effettuare il provisioning di nuovi utenti o gruppi o aggiungere applicazioni all'interno del tenant di Microsoft Entra del cliente.
Questo modello di distribuzione può essere adatto per le organizzazioni più piccole che non hanno un amministratore di identità dedicato o preferiscono che il partner CSP amministra le identità per loro conto.
Modello di distribuzione con peering
In questo modello di distribuzione Servizi di dominio è abilitato all'interno di una rete virtuale appartenente al cliente, ovvero una sottoscrizione diretta di Azure pagata dal cliente. Il partner CSP può distribuire applicazioni all'interno di una rete virtuale appartenente alla sottoscrizione CSP del cliente. Le reti virtuali possono essere connesse tramite il peering di rete virtuale di Azure.
Con questa distribuzione, i carichi di lavoro o le applicazioni distribuiti dal partner CSP nella sottoscrizione di Azure CSP possono connettersi al dominio gestito del cliente di cui è stato effettuato il provisioning nella sottoscrizione diretta di Azure del cliente.
Questo modello di distribuzione offre una separazione dei privilegi e permette agli agenti dell'help desk del partner CSP di amministrare la sottoscrizione di Azure e distribuire e gestire le risorse al suo interno. Tuttavia, gli agenti helpdesk del partner CSP non devono avere privilegi di amministratore globale nella directory Microsoft Entra del cliente. Gli amministratori delle identità del cliente possono continuare a gestire le identità per la propria organizzazione.
Questo modello di distribuzione può essere adatto agli scenari in cui un ISV fornisce una versione ospitata dell'applicazione locale, che deve anche connettersi all'ID Microsoft Entra del cliente.
Amministrazione ister Domain Services nelle sottoscrizioni CSP
Le considerazioni importanti che seguono si applicano all'amministrazione di un dominio gestito in una sottoscrizione di Azure CSP:
Gli agenti di amministrazione CSP possono effettuare il provisioning di un dominio gestito usando le proprie credenziali: Domain Services supporta le sottoscrizioni di Azure CSP. Gli utenti appartenenti al gruppo di agenti di amministrazione di un partner CSP possono effettuare il provisioning di un nuovo dominio gestito.
I provider di servizi di configurazione possono creare script per la creazione di nuovi domini gestiti per i clienti tramite PowerShell: vedere come abilitare Servizi di dominio tramite PowerShell per informazioni dettagliate.
Gli agenti di amministrazione CSP non possono eseguire attività di gestione continuative nel dominio gestito usando le credenziali: gli utenti amministratori CSP non possono eseguire attività di gestione di routine all'interno del dominio gestito usando le credenziali. Questi utenti sono esterni al tenant Microsoft Entra del cliente e le relative credenziali non sono disponibili all'interno del tenant Microsoft Entra del cliente. Domain Services non ha accesso agli hash delle password Kerberos e NTLM per questi utenti, quindi gli utenti non possono essere autenticati nei domini gestiti.
Avviso
È necessario creare un account utente nella directory del cliente per eseguire attività di amministrazione continuative nel dominio gestito.
Non è possibile accedere al dominio gestito usando le credenziali di un utente amministratore CSP. A tale scopo, usare le credenziali di un account utente appartenente al tenant di Microsoft Entra del cliente. Queste credenziali sono necessarie per attività quali l'aggiunta di macchine virtuali al dominio gestito, l'amministrazione di DNS o l'amministrazione di Criteri di gruppo.
L'account utente creato per l'amministrazione in corso deve essere aggiunto al gruppo di Amministrazione istrators di AAD DC: il gruppo AAD DC Amministrazione istrators dispone dei privilegi per eseguire determinate attività di amministrazione delegate nel dominio gestito. Queste attività includono la configurazione di DNS, la creazione di unità organizzative e l'amministrazione di Criteri di gruppo.
Affinché un partner CSP esegua queste attività in un dominio gestito, è necessario creare un account utente all'interno del tenant di Microsoft Entra del cliente. Le credenziali per questo account devono essere condivise con gli agenti di amministrazione del partner CSP. Inoltre, questo account utente deve essere aggiunto al gruppo di controller di dominio di AAD Amministrazione istrators per consentire l'esecuzione delle attività di configurazione nel dominio gestito usando questo account utente.
Passaggi successivi
Per iniziare, iscriversi al programma Azure CSP. È quindi possibile abilitare Microsoft Entra Domain Services usando l'interfaccia di amministrazione di Microsoft Entra o Azure PowerShell.