wdrażanie i zarządzanie usługami Azure Active Directory Domain Services dla dostawców rozwiązań w chmurze platformy Azure

Dostawcy rozwiązań w chmurze platformy Azure (CSP) to program dla partnerów firmy Microsoft i udostępniają kanał licencji dla różnych usług w chmurze firmy Microsoft. Dostawca CSP platformy Azure umożliwia partnerom zarządzanie sprzedażą, posiadaniem relacji rozliczeniowych, zapewnieniem pomocy technicznej i rozliczeń oraz pojedynczym punktem kontaktu klienta. Ponadto dostawca CSP platformy Azure udostępnia pełny zestaw narzędzi, w tym portal samoobsługowy i towarzyszące interfejsy API. Te narzędzia umożliwiają partnerom programu CSP łatwe aprowizowanie zasobów platformy Azure i zarządzanie nimi oraz zapewnianie rozliczeń dla klientów i ich subskrypcji.

Portal Centrum partnerskiego to punkt wejścia dla wszystkich partnerów programu Azure CSP i oferuje zaawansowane możliwości zarządzania klientami, zautomatyzowane przetwarzanie i nie tylko. Partnerzy programu Azure CSP mogą korzystać z funkcji Centrum partnerskiego przy użyciu internetowego interfejsu użytkownika lub programu PowerShell i różnych wywołań interfejsu API.

Na poniższym diagramie przedstawiono sposób działania modelu CSP na wysokim poziomie. W tym miejscu firma Contoso ma dzierżawę Azure Active Directory (Azure AD). Mają one partnerstwo z dostawcą CSP, który wdraża zasoby i zarządza nimi w ramach subskrypcji programu Azure CSP. Firma Contoso może również mieć regularne (bezpośrednie) subskrypcje platformy Azure, które są rozliczane bezpośrednio w firmie Contoso.

Overview of the CSP model

Dzierżawa partnera CSP ma trzy specjalne grupy agentów — agenci administracyjni , agenci pomocy technicznej i agenci sprzedaży .

Grupa Agentów administracyjnych jest przypisana do roli administratora dzierżawy w dzierżawie usługi Azure AD firmy Contoso. W związku z tym użytkownik należący do grupy agentów administracyjnych partnera CSP ma uprawnienia administratora dzierżawy w dzierżawie usługi Azure AD firmy Contoso.

Gdy partner CSP aprowizuje subskrypcję dostawcy CSP platformy Azure dla firmy Contoso, ich grupa agentów administracyjnych zostanie przypisana do roli właściciela dla tej subskrypcji. W związku z tym agenci administracyjni partnera CSP mają wymagane uprawnienia do aprowizacji zasobów platformy Azure, takich jak maszyny wirtualne, sieci wirtualne i usługi Azure AD Domain Services w imieniu firmy Contoso.

Aby uzyskać więcej informacji, zobacz Omówienie programu Azure CSP

Korzyści wynikające z korzystania z usług Azure AD DS w ramach subskrypcji programu Azure CSP

Azure Active Directory Domain Services (Azure AD DS) udostępnia zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z usługami Windows Server Active Directory Domain Services. W ciągu dziesięcioleci wiele aplikacji zostało utworzonych w celu współdziałania z usługą AD przy użyciu tych możliwości. Wielu niezależnych dostawców oprogramowania (ISV) tworzy i wdraża aplikacje w siedzibie swoich klientów. Te aplikacje są trudne do obsługi, ponieważ często wymagasz dostępu do różnych środowisk, w których aplikacje są wdrażane. W przypadku subskrypcji programu Azure CSP masz prostszą alternatywę dla skalowania i elastyczności platformy Azure.

Usługa Azure AD DS obsługuje subskrypcje programu Azure CSP. Aplikację można wdrożyć w subskrypcji programu Azure CSP powiązanej z dzierżawą usługi Azure AD klienta. W związku z tym pracownicy (pracownicy pomocy technicznej) mogą zarządzać maszynami wirtualnymi, na których aplikacja jest wdrażana, oraz zarządzać nimi przy użyciu poświadczeń firmowych organizacji.

Domenę zarządzaną usługi Azure AD DS można również wdrożyć w dzierżawie usługi Azure AD klienta. Aplikacja jest następnie połączona z domeną zarządzaną klienta. Możliwości w aplikacji, które korzystają z protokołu Kerberos/ NTLM, LDAP lub interfejsu API System.DirectoryServices , działają bezproblemowo w domenie klienta. Klienci końcowi korzystają z korzystania z aplikacji jako usługi bez konieczności martwienia się o utrzymanie infrastruktury wdrażanej przez aplikację.

Wszystkie rozliczenia dotyczące zasobów platformy Azure używanych w ramach tej subskrypcji, w tym usługi Azure AD DS, są naliczane z powrotem. Utrzymujesz pełną kontrolę nad relacjami z klientem, jeśli chodzi o sprzedaż, rozliczenia, pomoc techniczną itp. Dzięki elastyczności platformy Azure CSP mały zespół agentów pomocy technicznej może obsługiwać wielu takich klientów, którzy mają wdrożone wystąpienia aplikacji.

Modele wdrażania programu CSP dla usługi Azure AD DS

Istnieją dwa sposoby używania usług Azure AD DS z subskrypcją programu Azure CSP. Wybierz odpowiednie zależnie od kwestii dotyczących zabezpieczeń i prostoty, które mają twoi klienci.

Model wdrażania bezpośredniego

W tym modelu wdrażania usługi Azure AD DS jest włączona w sieci wirtualnej należącej do subskrypcji programu Azure CSP. Agenci administracyjni partnera CSP mają następujące uprawnienia:

  • administrator globalny uprawnienia w dzierżawie usługi Azure AD klienta.
  • Uprawnienia właściciela subskrypcji w subskrypcji programu Azure CSP.

Direct deployment model

W tym modelu wdrażania agenci administracyjni dostawcy CSP mogą administrować tożsamościami klienta. Ci agenci administracyjni mogą wykonywać zadania, takie jak aprowizowania nowych użytkowników lub grup, lub dodawania aplikacji w dzierżawie usługi Azure AD klienta.

Ten model wdrażania może być odpowiedni dla mniejszych organizacji, które nie mają dedykowanego administratora tożsamości lub preferują partnera CSP do administrowania tożsamościami w ich imieniu.

Model wdrażania równorzędnego

W tym modelu wdrażania usługi Azure AD DS jest włączona w sieci wirtualnej należącej do klienta — bezpośredniej subskrypcji platformy Azure płatnej przez klienta. Partner CSP może wdrażać aplikacje w sieci wirtualnej należącej do subskrypcji dostawcy CSP klienta. Sieci wirtualne można następnie połączyć przy użyciu komunikacji równorzędnej sieci wirtualnych platformy Azure.

Dzięki temu wdrożeniu obciążenia lub aplikacje wdrożone przez partnera CSP w subskrypcji programu Azure CSP mogą łączyć się z domeną zarządzaną klienta aprowizowaną w bezpośredniej subskrypcji platformy Azure klienta.

Peered deployment model

Ten model wdrażania zapewnia rozdzielenie uprawnień i umożliwia agentom pomocy technicznej partnera CSP administrowanie subskrypcją platformy Azure oraz wdrażanie w niej zasobów i zarządzanie nimi. Jednak agenci pomocy technicznej partnera CSP nie muszą mieć uprawnień administratora globalnego w katalogu usługi Azure AD klienta. Administratorzy tożsamości klienta mogą nadal zarządzać tożsamościami w swojej organizacji.

Ten model wdrażania może być dostosowany do scenariuszy, w których niezależnego dostawcy oprogramowania udostępnia hostowaną wersję aplikacji lokalnej, która również musi łączyć się z usługą Azure AD klienta.

Administrowanie usługą Azure AD DS w subskrypcjach CSP

Podczas administrowania domeną zarządzaną w subskrypcji programu Azure CSP należy wziąć pod uwagę następujące ważne kwestie:

  • Agenci administracyjni programu CSP mogą aprowizować domenę zarządzaną przy użyciu poświadczeń: Usługa Azure AD DS obsługuje subskrypcje programu Azure CSP. Użytkownicy należący do grupy agentów administracyjnych partnera CSP mogą aprowizować nową domenę zarządzaną.

  • Dostawcy CSP mogą tworzyć skrypty nowych domen zarządzanych dla swoich klientów przy użyciu programu PowerShell: Aby uzyskać szczegółowe informacje, zobacz , jak włączyć usługę Azure AD DS przy użyciu programu PowerShell .

  • Agenci administracyjni programu CSP nie mogą wykonywać bieżących zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń: Użytkownicy administracyjni programu CSP nie mogą wykonywać rutynowych zadań zarządzania w domenie zarządzanej przy użyciu poświadczeń. Ci użytkownicy są zewnętrzni od dzierżawy usługi Azure AD klienta, a ich poświadczenia nie są dostępne w dzierżawie usługi Azure AD klienta. Usługi Azure AD DS nie mają dostępu do skrótów haseł Protokołu Kerberos i NTLM dla tych użytkowników, więc nie można uwierzytelniać użytkowników w domenach zarządzanych.

    Ostrzeżenie

    Aby wykonywać bieżące zadania administracyjne w domenie zarządzanej, należy utworzyć konto użytkownika w katalogu klienta.

    Nie można zalogować się do domeny zarządzanej przy użyciu poświadczeń użytkownika administratora programu CSP. Użyj poświadczeń konta użytkownika należącego do dzierżawy usługi Azure AD klienta, aby to zrobić. Te poświadczenia są potrzebne do zadań, takich jak dołączanie maszyn wirtualnych do domeny zarządzanej, administrowanie systemem DNS lub administrowanie zasady grupy.

  • Konto użytkownika utworzone do bieżącej administracji musi zostać dodane do grupy administratorzy kontrolera domeny AAD: grupa administratorzy kontrolera domeny AAD ma uprawnienia do wykonywania niektórych delegowanych zadań administracyjnych w domenie zarządzanej. Te zadania obejmują konfigurowanie systemu DNS, tworzenie jednostek organizacyjnych i administrowanie zasadami grupy.

    Aby partner CSP wykonywał te zadania w domenie zarządzanej, należy utworzyć konto użytkownika w dzierżawie usługi Azure AD klienta. Poświadczenia dla tego konta muszą być udostępniane agentom administracyjnym partnera CSP. Ponadto to konto użytkownika należy dodać do grupy administratorzy kontrolerów domeny AAD, aby umożliwić wykonywanie zadań konfiguracyjnych w domenie zarządzanej przy użyciu tego konta użytkownika.

Następne kroki

Aby rozpocząć pracę, zarejestruj się w programie Azure CSP. Następnie można włączyć usługi Azure AD Domain Services przy użyciu Azure Portal lub Azure PowerShell.