Azure Directory-services beschrijven

  • 6 minuten

Microsoft Entra ID is een adreslijstservice waarmee u zich kunt aanmelden en toegang kunt krijgen tot zowel Microsoft-cloudtoepassingen als cloudtoepassingen die u ontwikkelt. Microsoft Entra ID kan u ook helpen bij het onderhouden van uw on-premises Active Directory-implementatie.

Voor on-premises omgevingen biedt Active Directory die wordt uitgevoerd op Windows Server een service voor identiteits- en toegangsbeheer die wordt beheerd door uw organisatie. Microsoft Entra ID is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Met Microsoft Entra ID beheert u de identiteitsaccounts, maar Microsoft zorgt ervoor dat de service wereldwijd beschikbaar is. Als u met Active Directory hebt gewerkt, zal Microsoft Entra ID u bekend zijn.

Wanneer u identiteiten on-premises beveiligt met Active Directory, worden aanmeldingspogingen niet door Microsoft gecontroleerd. Wanneer u Active Directory verbindt met Microsoft Entra ID, kan Microsoft u helpen beschermen door verdachte aanmeldingspogingen zonder extra kosten te detecteren. Microsoft Entra-id kan bijvoorbeeld aanmeldingspogingen detecteren vanaf onverwachte locaties of onbekende apparaten.

Wie microsoft Entra-id gebruikt?

Microsoft Entra-id is bedoeld voor:

  • IT-beheerders. Beheer istrators kunnen Microsoft Entra ID gebruiken om de toegang tot toepassingen en resources te beheren op basis van hun bedrijfsvereisten.
  • App-ontwikkelaars. Ontwikkelaars kunnen Microsoft Entra ID gebruiken om een op standaarden gebaseerde benadering te bieden voor het toevoegen van functionaliteit aan toepassingen die ze bouwen, zoals het toevoegen van SSO-functionaliteit aan een app of het inschakelen van een app om te werken met de bestaande referenties van een gebruiker.
  • Gebruikers. Gebruikers kunnen hun identiteiten beheren en onderhoudsacties uitvoeren, zoals selfservice voor wachtwoordherstel.
  • Abonnees van onlineservices. Abonnees van Microsoft 365, Microsoft Office 365, Azure en Microsoft Dynamics CRM Online gebruiken al Microsoft Entra ID om zich te verifiëren bij hun account.

Wat doet Microsoft Entra ID?

Microsoft Entra ID biedt services zoals:

  • Verificatie: dit omvat het verifiëren van identiteit voor toegang tot toepassingen en resources. Daarnaast biedt het functionaliteiten als selfservice voor wachtwoord herstel, meervoudige verificatie, een aangepaste lijst met verboden wachtwoorden en slimme vergrendelingsservices.
  • Eenmalige aanmelding: Met eenmalige aanmelding (SSO) kunt u slechts één gebruikersnaam en één wachtwoord onthouden voor toegang tot meerdere toepassingen. Er wordt één identiteit gekoppeld aan een gebruiker, waardoor het beveiligingsmodel wordt vereenvoudigd. Wanneer gebruikers van rol veranderen of een organisatie verlaten, worden wijzigingen in de toegangsrechten gekoppeld aan deze identiteit, waardoor het veel minder werk is om accounts te wijzigen of uit te schakelen.
  • Toepassingsbeheer: U kunt uw cloud- en on-premises apps beheren met behulp van Microsoft Entra ID. Functies zoals toepassingsproxy, SaaS-apps, de Mijn apps-portal en eenmalige aanmelding bieden een betere gebruikerservaring.
  • Apparaatbeheer: Samen met accounts voor afzonderlijke personen ondersteunt Microsoft Entra ID de registratie van apparaten. Door de apparaten te registreren, kunnen ze worden beheerd via hulpprogramma's als Microsoft Intune. Het maakt ook beleid voor voorwaardelijke toegang op basis van apparaten mogelijk om toegangspogingen te beperken tot alleen degenen die afkomstig zijn van bekende apparaten, ongeacht het aanvragende gebruikersaccount.

Kan ik mijn on-premises AD verbinden met Microsoft Entra ID?

Als u een on-premises omgeving hebt met Active Directory en een cloudimplementatie met behulp van Microsoft Entra ID, moet u twee identiteitssets onderhouden. U kunt Active Directory echter verbinden met Microsoft Entra ID, waardoor een consistente identiteitservaring mogelijk is tussen cloud en on-premises.

Een methode voor het verbinden van Microsoft Entra-id met uw on-premises AD is het gebruik van Microsoft Entra Verbinding maken. Microsoft Entra Verbinding maken synchroniseert gebruikersidentiteiten tussen on-premises Active Directory en Microsoft Entra-id. Microsoft Entra Verbinding maken synchroniseert wijzigingen tussen beide identiteitssystemen, zodat u functies zoals SSO, meervoudige verificatie en selfservice voor wachtwoordherstel onder beide systemen kunt gebruiken.

Wat is Microsoft Entra Domain Services?

Microsoft Entra Domain Services is een service die beheerde domeinservices biedt, zoals domeindeelname, groepsbeleid, LDAP (Lightweight Directory Access Protocol) en Kerberos/NTLM-verificatie. Net zoals met Microsoft Entra ID kunt u adreslijstservices gebruiken zonder dat u de infrastructuur hoeft te onderhouden, met Microsoft Entra Domain Services krijgt u het voordeel van domeinservices zonder dat u domeincontrollers (DC's) hoeft te implementeren, beheren en patchen in de cloud.

Met een door Microsoft Entra Domain Services beheerd domein kunt u verouderde toepassingen uitvoeren in de cloud die geen moderne verificatiemethoden kunnen gebruiken of waar u niet wilt dat adreslijstzoekacties altijd terugkeren naar een on-premises AD DS-omgeving. U kunt deze verouderde toepassingen uit uw on-premises omgeving verplaatsen naar een beheerd domein, zonder dat u de AD DS-omgeving in de cloud hoeft te beheren.

Microsoft Entra Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden bij services en toepassingen die zijn verbonden met het beheerde domein met behulp van hun bestaande referenties. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om toegang tot resources te beveiligen. Deze functies bieden een soepeler lift-and-shift van on-premises resources naar Azure.

Hoe werkt Microsoft Entra Domain Services?

Wanneer u een door Microsoft Entra Domain Services beheerd domein maakt, definieert u een unieke naamruimte. Deze naamruimte is de domeinnaam. Twee Windows Server-domeincontrollers worden vervolgens geïmplementeerd in uw geselecteerde Azure-regio. Deze implementatie van DC's wordt een replicaset genoemd.

U hoeft deze DC’s niet te beheren, te configureren of bij te werken. Op het Azure-platform worden de DC's verwerkt als onderdeel van het beheerde domein, inclusief back-ups en versleuteling van data-at-rest, met behulp van Azure Disk Encryption.

Wordt informatie gesynchroniseerd?

Een beheerd domein is geconfigureerd voor het uitvoeren van een eenrichtingssynchronisatie van Microsoft Entra ID naar Microsoft Entra Domain Services. U kunt resources rechtstreeks in het beheerde domein maken, maar ze worden niet gesynchroniseerd met Microsoft Entra-id. In een hybride omgeving met een on-premises AD DS-omgeving synchroniseert Microsoft Entra Verbinding maken identiteitsgegevens met Microsoft Entra-id, die vervolgens wordt gesynchroniseerd met het beheerde domein.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

Toepassingen, services en VM's in Azure die verbinding maken met het beheerde domein, kunnen vervolgens gebruikmaken van algemene functies van Microsoft Entra Domain Services, zoals domeindeelname, groepsbeleid, LDAP en Kerberos/NTLM-verificatie.