Azure Active Directory (AD) Domain ServicesAzure Active Directory (AD) Domain Services

OverzichtOverview

Azure Infrastructure Services kunt u een breed scala aan computeroplossingen op flexibele wijze distribueren.Azure Infrastructure Services enable you to deploy a wide range of computing solutions in an agile manner. Met Azure Virtual Machines kunt u vrijwel onmiddellijk implementeren en betaalt u alleen per minuut.With Azure Virtual Machines, you can deploy nearly instantaneously and you pay only by the minute. Ondersteuning voor Windows, Linux, SQL Server, Oracle, IBM, SAP en BizTalk gebruikt, kunt u elke workload en elke taal op vrijwel elk besturingssysteem implementeren.Using support for Windows, Linux, SQL Server, Oracle, IBM, SAP, and BizTalk, you can deploy any workload, any language, on nearly any operating system. Deze voordelen kunnen u oudere toepassingen die zijn geïmplementeerd on-premises migreren naar Azure, om op te slaan op operationele kosten.These benefits enable you to migrate legacy applications deployed on-premises to Azure, to save on operational expenses.

Een belangrijk aspect van het migreren van on-premises toepassingen naar Azure met het verwerken van de behoeften van de identiteit van deze toepassingen.A key aspect of migrating on-premises applications to Azure is handling the identity needs of these applications. Directory-toepassingen mogelijk afhankelijk zijn van LDAP voor lees- of schrijftoegang tot de adreslijst van het bedrijf of die gebruikmaken van geïntegreerde Windows-verificatie (Kerberos of NTLM-verificatie) voor verificatie van eindgebruikers.Directory-aware applications may rely on LDAP for read or write access to the corporate directory or rely on Windows Integrated Authentication (Kerberos or NTLM authentication) to authenticate end users. Line-of-business (LOB)-toepassingen die worden uitgevoerd op Windows Server worden doorgaans geïmplementeerd op virtuele machines toegevoegd aan een domein, zodat ze kunnen worden beheerd veilig met behulp van Groepsbeleid.Line-of-business (LOB) applications running on Windows Server are typically deployed on domain joined machines, so they can be managed securely using Group Policy. 'Lift-and-shift' on-premises toepassingen naar de cloud moeten deze afhankelijkheden op de zakelijke identiteit-infrastructuur worden omgezet.To 'lift-and-shift' on-premises applications to the cloud, these dependencies on the corporate identity infrastructure need to be resolved.

Beheerders wordt vaak inschakelen op een van de volgende oplossingen om te voldoen aan de behoeften van de identiteit van de toepassingen die zijn geïmplementeerd in Azure:Administrators often turn to one of the following solutions to satisfy the identity needs of their applications deployed in Azure:

  • Een site-naar-site VPN-verbinding tussen de workloads die worden uitgevoerd in Azure Infrastructure Services en de adreslijst van het bedrijf on-premises implementeren.Deploy a site-to-site VPN connection between workloads running in Azure Infrastructure Services and the corporate directory on-premises.
  • De zakelijke AD-domein/forest-infrastructuur uitbreiden door het instellen van de replica-domeincontrollers met behulp van virtuele machines van Azure.Extend the corporate AD domain/forest infrastructure by setting up replica domain controllers using Azure virtual machines.
  • Implementeer een zelfstandig domein in Azure met behulp van domeincontrollers die zijn geïmplementeerd als virtuele machines van Azure.Deploy a stand-alone domain in Azure using domain controllers deployed as Azure virtual machines.

Alle deze methoden te maken krijgen met hoge kosten en administratieve overhead.All these approaches suffer from high cost and administrative overhead. Beheerders zijn vereist voor het implementeren van domeincontrollers met behulp van virtuele machines in Azure.Administrators are required to deploy domain controllers using virtual machines in Azure. Daarnaast moeten ze beheren, beveiligen, patch, bewaken, back-up maken en oplossen van deze virtuele machines.Additionally, they need to manage, secure, patch, monitor, backup, and troubleshoot these virtual machines. De afhankelijkheid van VPN-verbindingen met de on-premises directory zorgt ervoor dat de werkbelastingen die zijn geïmplementeerd in Azure kwetsbaar voor tijdelijk afwijkende netwerkverbinding storingen of onderbrekingen.The reliance on VPN connections to the on-premises directory causes workloads deployed in Azure to be vulnerable to transient network glitches or outages. Deze netwerkstoringen leiden op zijn beurt tot lagere uptime en verminderde betrouwbaarheid voor deze toepassingen.These network outages in turn result in lower uptime and reduced reliability for these applications.

We ontworpen voor Azure AD Domain Services voor een beter alternatief.We designed Azure AD Domain Services to provide an easier alternative.

Een inleidende videoWatch an introductory video

Maak kennis met Azure AD Domain ServicesIntroducing Azure AD Domain Services

Azure AD Domain Services biedt beheerde domeinservices zoals domain-join, groep-beleid, LDAP, Kerberos/NTLM-verificatie, die volledig compatibel met Windows Server Active Directory.Azure AD Domain Services provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that are fully compatible with Windows Server Active Directory. U kunt deze domain-services zonder de noodzaak om te implementeren, beheren en vullen van de domeincontrollers in de cloud gebruiken.You can consume these domain services without the need for you to deploy, manage, and patch domain controllers in the cloud. Azure AD Domain Services kan worden geïntegreerd met uw bestaande Azure AD-tenant, waardoor het mogelijk dat gebruikers zich aanmelden met hun bedrijfsreferenties.Azure AD Domain Services integrates with your existing Azure AD tenant, thus making it possible for users to log in using their corporate credentials. Bovendien kunt u bestaande groepen en accounts voor gebruikers voor het beveiligen van toegang tot resources, zodat een soepeler 'lift-and-shift' van de on-premises resources met Azure Infrastructure Services.Additionally, you can use existing groups and user accounts to secure access to resources, thus ensuring a smoother 'lift-and-shift' of on-premises resources to Azure Infrastructure Services.

Azure AD Domain Services-functionaliteit werkt naadloos samen ongeacht of uw Azure AD-tenant alleen in de cloud of gesynchroniseerd met uw on-premises Active Directory.Azure AD Domain Services functionality works seamlessly regardless of whether your Azure AD tenant is cloud-only or synced with your on-premises Active Directory.

Azure AD Domain Services voor organisaties die alleen in de cloudAzure AD Domain Services for cloud-only organizations

Een alleen-cloud Azure AD-tenant (vaak aangeduid als 'beheerde tenants') heeft geen een on-premises identity-footprint.A cloud-only Azure AD tenant (often referred to as 'managed tenants') does not have any on-premises identity footprint. Accounts voor gebruikers, hun wachtwoorden en groepslidmaatschappen zijn met andere woorden, alle systeemeigen naar de cloud - dat wil zeggen, gemaakt en beheerd in Azure AD.In other words, user accounts, their passwords, and group memberships are all native to the cloud - that is, created and managed in Azure AD. Kijk eens naar dat Contoso een alleen-cloud is Azure AD-tenant.Consider for a moment that Contoso is a cloud-only Azure AD tenant. Zoals wordt weergegeven in de volgende afbeelding, heeft de beheerder van Contoso een virtueel netwerk geconfigureerd in Azure Infrastructure Services.As shown in the following illustration, Contoso's administrator has configured a virtual network in Azure Infrastructure Services. Toepassingen en werkbelastingen van de server zijn geïmplementeerd in dit virtuele netwerk in virtuele machines van Azure.Applications and server workloads are deployed in this virtual network in Azure virtual machines. Omdat Contoso een alleen-cloud-tenant is, worden alle gebruikers-id's, hun referenties en groepslidmaatschappen gemaakt en beheerd in Azure AD.Since Contoso is a cloud-only tenant, all user identities, their credentials, and group memberships are created and managed in Azure AD.

Overzicht van Azure AD Domain Services

Het Contoso IT-beheerder kan Azure AD Domain Services inschakelen voor hun Azure AD-tenant en kies domeinservices beschikbaar maken in dit virtuele netwerk.Contoso's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make domain services available in this virtual network. Daarna worden Azure AD Domain Services een beheerd domein wordt ingericht en maakt deze beschikbaar zijn in het virtuele netwerk.Thereafter, Azure AD Domain Services provisions a managed domain and makes it available in the virtual network. Alle gebruikersaccounts, groepslidmaatschappen en de referenties van de gebruiker is beschikbaar in het Contoso Azure AD-tenant zijn ook beschikbaar in deze nieuwe domein.All user accounts, group memberships, and user credentials available in Contoso's Azure AD tenant are also available in this newly created domain. Deze functie kunnen gebruikers in de organisatie zich aanmeldt bij het domein met hun zakelijke referenties - bijvoorbeeld: bij het verbinden op afstand met domein computers via Extern bureaublad.This feature enables users in the organization to sign in to the domain using their corporate credentials - for example, when connecting remotely to domain-joined machines via Remote Desktop. Beheerders kunnen de toegang tot resources in het domein met bestaande groepslidmaatschappen inrichten.Administrators can provision access to resources in the domain using existing group memberships. Toepassingen die zijn geïmplementeerd in virtuele machines op het virtuele netwerk kunnen functies zoals domeindeelname, LDAP lezen, LDAP-binding, NTLM en Kerberos-verificatie en Group Policy gebruiken.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Enkele van de meest kenmerkende aspecten van het beheerde domein die is ingericht met Azure AD Domain Services zijn als volgt:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • Het Contoso IT-beheerder niet hoeft te beheren, patch of controleren van dit domein of alle domeincontrollers voor dit beheerde domein.Contoso's IT administrator does not need to manage, patch, or monitor this domain or any domain controllers for this managed domain.
  • Er is niet nodig voor het beheren van AD-replicatie voor dit domein.There is no need to manage AD replication for this domain. Accounts voor gebruikers, groepslidmaatschappen en referenties van het Contoso Azure AD-tenant zijn automatisch beschikbaar binnen dit beheerde domein.User accounts, group memberships, and credentials from Contoso's Azure AD tenant are automatically available within this managed domain.
  • Omdat het domein wordt beheerd door Azure AD Domain Services, Contoso van IT-beheerder heeft geen domeinbeheerder of Ondernemingsadministrator bevoegdheden voor dit domein.Since the domain is managed by Azure AD Domain Services, Contoso's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

Azure AD Domain Services voor hybride organisatiesAzure AD Domain Services for hybrid organizations

Organisaties met een hybride IT-infrastructuur gebruiken een combinatie van cloudresources en on-premises bronnen.Organizations with a hybrid IT infrastructure consume a mix of cloud resources and on-premises resources. Zulke organisaties synchroniseren van identiteitsgegevens van hun on-premises directory met hun Azure AD-tenant.Such organizations synchronize identity information from their on-premises directory to their Azure AD tenant. Hybride organisaties zoeken voor het migreren van meer van hun on-premises toepassingen naar de cloud, met name verouderde directory-toepassingen, Azure AD Domain Services kunnen nuttig zijn voor deze.As hybrid organizations look to migrate more of their on-premises applications to the cloud, especially legacy directory-aware applications, Azure AD Domain Services can be useful to them.

Litware Corporation heeft geïmplementeerd Azure AD Connectvoor het synchroniseren van identiteitsgegevens uit hun on-premises directory met hun Azure AD-tenant.Litware Corporation has deployed Azure AD Connect, to synchronize identity information from their on-premises directory to their Azure AD tenant. De gegevens van de identiteit die is gesynchroniseerd bevat gebruikersaccounts, hun referentie-hashes voor verificatie (synchronisatie van wachtwoordhashes) en groepslidmaatschappen.The identity information that is synchronized includes user accounts, their credential hashes for authentication (password hash sync) and group memberships.

Notitie

Wachtwoord-hashsynchronisatie is verplicht voor hybride organisaties het gebruik van Azure AD Domain Services.Password hash synchronization is mandatory for hybrid organizations to use Azure AD Domain Services. Deze vereiste is omdat de referenties van gebruikers in het beheerde domein geleverd door Azure AD Domain Services, zijn nodig om deze gebruikers via NTLM of Kerberos-verificatiemethoden te verifiëren.This requirement is because users' credentials are needed in the managed domain provided by Azure AD Domain Services, to authenticate these users via NTLM or Kerberos authentication methods.

Azure AD Domain Services voor Litware Corporation

De voorgaande afbeelding ziet u hoe organisaties met een hybride IT-infrastructuur, zoals Litware Corporation, Azure AD Domain Services kunnen gebruiken.The preceding illustration shows how organizations with a hybrid IT infrastructure, such as Litware Corporation, can use Azure AD Domain Services. De toepassingen en de serverworkloads waarvoor domeinservices van Litware zijn geïmplementeerd in een virtueel netwerk in Azure Infrastructure Services.Litware's applications and server workloads that require domain services are deployed in a virtual network in Azure Infrastructure Services. Litware van IT-beheerder kan Azure AD Domain Services inschakelen voor hun Azure AD-tenant en kies een beheerd domein om beschikbaar te maken in dit virtuele netwerk.Litware's IT administrator can enable Azure AD Domain Services for their Azure AD tenant and choose to make a managed domain available in this virtual network. Aangezien Litware een organisatie met een hybride IT-infrastructuur is, worden gebruikersaccounts, groepen en referenties van hun on-premises directory met hun Azure AD-tenant gesynchroniseerd.Since Litware is an organization with a hybrid IT infrastructure, user accounts, groups, and credentials are synchronized to their Azure AD tenant from their on-premises directory. Deze functie kan gebruikers zich aanmelden bij het domein met hun zakelijke referenties - bijvoorbeeld wanneer het op afstand verbinding maken met machines toegevoegd aan het domein via Extern bureaublad.This feature enables users to sign in to the domain using their corporate credentials - for example, when connecting remotely to machines joined to the domain via Remote Desktop. Beheerders kunnen de toegang tot resources in het domein met bestaande groepslidmaatschappen inrichten.Administrators can provision access to resources in the domain using existing group memberships. Toepassingen die zijn geïmplementeerd in virtuele machines op het virtuele netwerk kunnen functies zoals domeindeelname, LDAP lezen, LDAP-binding, NTLM en Kerberos-verificatie en Group Policy gebruiken.Applications deployed in virtual machines on the virtual network can use features like domain join, LDAP read, LDAP bind, NTLM and Kerberos authentication, and Group Policy.

Enkele van de meest kenmerkende aspecten van het beheerde domein die is ingericht met Azure AD Domain Services zijn als volgt:A few salient aspects of the managed domain that is provisioned by Azure AD Domain Services are as follows:

  • Het beheerde domein is een zelfstandig domein.The managed domain is a stand-alone domain. Het is niet een uitbreiding van Litware van on-premises domein.It is not an extension of Litware's on-premises domain.
  • Litware van IT-beheerder niet hoeft te beheren, patch, of bewaken van domeincontrollers voor dit beheerde domein.Litware's IT administrator does not need to manage, patch, or monitor domain controllers for this managed domain.
  • Er is niet nodig voor het beheren van AD-replicatie voor dit domein.There is no need to manage AD replication to this domain. Accounts voor gebruikers, groepslidmaatschappen en referenties van Litware van on-premises directory zijn gesynchroniseerd met Azure AD via Azure AD Connect.User accounts, group memberships, and credentials from Litware's on-premises directory are synchronized to Azure AD via Azure AD Connect. Deze accounts van gebruikers, groepslidmaatschappen en referenties zijn automatisch beschikbaar in het beheerde domein.These user accounts, group memberships, and credentials are automatically available within the managed domain.
  • Omdat het domein wordt beheerd door Azure AD Domain Services, Litware van IT-beheerder heeft geen domeinbeheerder of Ondernemingsadministrator bevoegdheden voor dit domein.Since the domain is managed by Azure AD Domain Services, Litware's IT administrator does not have Domain Administrator or Enterprise Administrator privileges on this domain.

VoordelenBenefits

Met Azure AD Domain Services, kunt u profiteren van de volgende voordelen:With Azure AD Domain Services, you can enjoy the following benefits:

  • Eenvoudige – u kunt voldoen aan de behoeften van de identiteit van virtuele machines die zijn geïmplementeerd in Azure Infrastructure services met een paar eenvoudige klikken.Simple – You can satisfy the identity needs of virtual machines deployed to Azure Infrastructure services with a few simple clicks. U hoeft niet te implementeren en beheren van infrastructuur voor identiteiten in Azure of configuratie nodig connectiviteit met uw on-premises infrastructuur.You do not need to deploy and manage identity infrastructure in Azure or setup connectivity back to your on-premises identity infrastructure.
  • Geïntegreerde – Azure AD Domain Services is nauw geïntegreerd met uw Azure AD-tenant.Integrated – Azure AD Domain Services is deeply integrated with your Azure AD tenant. U kunt nu Azure AD gebruiken als een geïntegreerde cloud-gebaseerde enterprise-map die caters aan de behoeften van uw moderne toepassingen en de traditionele directory-toepassingen.You can now use Azure AD as an integrated cloud-based enterprise directory that caters to the needs of both your modern applications and traditional directory-aware applications.
  • Compatibel – Azure AD Domain Services is gebouwd op de bewezen geavanceerde infrastructuur van Windows Server Active Directory.Compatible – Azure AD Domain Services is built on the proven enterprise grade infrastructure of Windows Server Active Directory. Daarom kunnen uw toepassingen afhankelijk van een grotere mate van compatibiliteit met Windows Server Active Directory-functies.Therefore, your applications can rely on a greater degree of compatibility with Windows Server Active Directory features. Niet alle functies die beschikbaar zijn in Windows Server AD zijn momenteel beschikbaar in Azure AD Domain Services.Not all features available in Windows Server AD are currently available in Azure AD Domain Services. Beschikbare functies zijn echter compatibel is met de bijbehorende Windows Server AD-functies die kunt u op in uw on-premises infrastructuur vertrouwen.However, available features are compatible with the corresponding Windows Server AD features you rely on in your on-premises infrastructure. De mogelijkheden van de join LDAP, Kerberos, NTLM, Groepsbeleid en domein vormen een goed ontwikkelde aanbieding die is getest en verfijnd via verschillende versies van Windows Server.The LDAP, Kerberos, NTLM, Group Policy, and domain join capabilities constitute a mature offering that has been tested and refined over various Windows Server releases.
  • Rendabele – met Azure AD Domain Services, kunt u voorkomen dat de infrastructuur en werkbelasting die is gekoppeld aan het beheren van infrastructuur voor identiteiten ter ondersteuning van traditionele directory-toepassingen.Cost-effective – With Azure AD Domain Services, you can avoid the infrastructure and management burden that is associated with managing identity infrastructure to support traditional directory-aware applications. U kunt deze toepassingen met Azure Infrastructure Services verplaatsen en profiteren van lagere operationele kosten.You can move these applications to Azure Infrastructure Services and benefit from greater savings on operational expenses.

Volgende stappenNext steps

Meer informatie over Azure AD Domain ServicesLearn more about Azure AD Domain Services

Aan de slag met Azure AD Domain ServicesGet started with Azure AD Domain Services