On-premises AD integreren met Azure

Dit artikel toont opties voor het integreren van uw on-premises AD-omgeving (Active Directory) met een Azure-netwerk. Voor elke optie is ook een meer gedetailleerde referentiearchitectuur beschikbaar.

Veel organisaties gebruiken Active Directory Domain Services (AD DS) om identiteiten te verifiëren die zijn gekoppeld aan gebruikers, computers, toepassingen of andere bronnen die zijn opgenomen in een beveiligingsgrens. Directory- en identiteitsbeheerservices worden doorgaans on-premises gehost, maar als uw toepassing gedeeltelijk on-premises wordt gehost en gedeeltelijk in Azure, kan zich latentie voordoen bij het terugsturen van verificatieaanvragen van Azure naar on-premises. Directory- en identiteitsbeheer services implementeren in Azure kan deze latentie verminderen.

Azure biedt twee oplossingen voor het implementeren van directory- en identiteitsbeheerservices in Azure:

• Gebruik Microsoft Entra ID om een Active Directory-domein in de cloud te maken en deze te verbinden met uw on-premises Active Directory-domein. Microsoft Entra Verbinding maken integreert uw on-premises mappen met Microsoft Entra ID.

• Breid uw bestaande on-premises Active Directory-infrastructuur uit naar Azure, door het implementeren van een virtuele machine in Azure die AD DS als een domeincontroller uitvoert. Deze architectuur komt meer voor wanneer het on-premises netwerk en het Azure-netwerk (VNet) zijn verbonden met een VPN- of ExpressRoute-verbinding. Er zijn verschillende versies van deze architectuur mogelijk:

  • Maak een domein in Azure en voeg het toe aan uw on-premises AD-forest.
  • Maak een afzonderlijk AD-domein in Azure dat wordt vertrouwd door domeinen in uw on-premises forest.
  • Repliceer een implementatie van Active Directory Federation Services (AD FS) naar Azure.

De volgende secties beschrijven elk van deze opties in meer detail.

Uw on-premises domeinen integreren met Microsoft Entra-id

Gebruik De Microsoft Entra-id om een domein in Azure te maken en deze te koppelen aan een on-premises AD-domein.

De Microsoft Entra-map is geen uitbreiding van een on-premises map. Het is in plaats daarvan een kopie met dezelfde objecten en identiteiten. Wijzigingen die on-premises zijn aangebracht in deze items, worden gekopieerd naar de Microsoft Entra-id, maar wijzigingen die zijn aangebracht in Microsoft Entra-id, worden niet teruggezet naar het on-premises domein.

U kunt ook Microsoft Entra-id gebruiken zonder een on-premises map te gebruiken. In dit geval fungeert Microsoft Entra-id als de primaire bron van alle identiteitsgegevens, in plaats van gegevens te bevatten die zijn gerepliceerd vanuit een on-premises directory.

Voordelen

• U hoeft geen AD-infrastructuur in de cloud te onderhouden. Microsoft Entra-id wordt volledig beheerd en onderhouden door Microsoft.
• Microsoft Entra ID biedt dezelfde identiteitsgegevens die on-premises beschikbaar zijn.
• Verificatie kan gebeuren in Azure, waardoor de noodzaak afneemt voor externe toepassingen en gebruikers om contact te maken met het lokale domein.

Uitdagingen

• U moet connectiviteit met uw on-premises domein configureren om de Microsoft Entra-directory gesynchroniseerd te houden.
• Toepassingen moeten mogelijk opnieuw worden geschreven om verificatie via Microsoft Entra-id in te schakelen.
• Als u service- en computeraccounts wilt verifiëren, moet u ook Microsoft Entra Domain Services implementeren.

Referentiearchitectuur

• On-premises Active Directory-domeinen integreren met Microsoft Entra ID

AD DS in Azure die is gekoppeld aan een on-premises forest

AD Domain Services (AD DS)-servers implementeren in Azure. Maak een domein in Azure en voeg het toe aan uw on-premises AD-forest.

Houd rekening met deze optie als u AD DS-functies wilt gebruiken die momenteel niet zijn geïmplementeerd door Microsoft Entra ID.

Voordelen

• Levert de dezelfde identiteitsinformatie die on-premises beschikbaar is.
• U kunt gebruiker-, service-, en computeraccounts on-premises en in Azure verifiëren.
• U hoeft geen apart AD-forest te beheren. Het domein in Azure kan deel uitmaken van het on-premises forest.
• U kunt groepsbeleid aan het domein in Azure toepassen, gedefinieerd door de lokale groepsbeleidsobjecten.

Uitdagingen

• U moet uw eigen AD DS-servers en domein in de cloud implementeren en beheren.
• Mogelijk is er bepaalde synchronisatielatentie tussen de domeinservers in de cloud en de servers die on-premises lopen.

Referentiearchitectuur

• Active Directory Domain Services (AD DS) uitbreiden naar Azure

AD DS in Azure met een afzonderlijk forest

Implementeer servers voor AD Domain Services (AD DS) in Azure, maar maak een afzonderlijk Active Directory-forest, dat gescheiden is van het on-premises forest. Dit forest wordt vertrouwd door de domeinen in uw on-premises forest.

Typische toepassingen van deze architectuur zijn het scheiden van de beveiliging voor objecten en identiteiten die zijn ondergebracht in de cloud en het migreren van afzonderlijke domeinen van on-premises naar de cloud.

Voordelen

• U kunt on-premises identiteiten en afzonderlijke Azure-only identiteiten implementeren.
• U hoeft niet van het on-premises forest te repliceren naar Azure AD-forest.

Uitdagingen

• Verificatie in Azure voor on-premises identiteiten vereist extra netwerkhops met de on-premises AD-servers.
• U moet uw eigen AD DS-servers en -forest in de cloud implementeren en de juiste vertrouwensrelaties tussen forests tot stand brengen.

Referentiearchitectuur

• Een forest voor AD DS-bronnen (Active Directory Domain Services) maken in Azure

AD FS uitbreiden naar Azure

Maak een replica van de implementatie van een Active Directory Federation Services (AD FS) naar Azure, voor het uitvoeren van federatieve verificatie en autorisatie voor onderdelen die worden uitgevoerd in Azure.

Deze architectuur wordt doorgaans gebruikt voor het volgende:

• Verifiëren en autoriseren van gebruikers van partnerorganisaties.
• Gebruikers toestaan te verifiëren via webbrowsers die worden uitgevoerd buiten de organisatie-firewall.
• Toestaan dat gebruikers verbinding maken via geautoriseerde externe apparaten, zoals mobiele apparaten.

Voordelen

• U kunt gebruikmaken van claims-compatibele toepassingen.
• Biedt de mogelijkheid om externe partners te vertrouwen voor verificatie.
• Compatibiliteit met een groot aantal verificatieprotocollen.

Uitdagingen

• U moet uw eigen AD DS-, AD FS- en AD FS Web Application Proxy-servers in Azure implementeren.
• Het configureren van deze architectuur kan complex zijn.

Referentiearchitectuur

• Active Directory Federation Services (AD FS) uitbreiden naar Azure