Tożsamość hybrydowa z usługami Active Directory i Microsoft Entra ID w strefach docelowych platformy Azure
Ten artykuł zawiera wskazówki dotyczące projektowania i implementowania identyfikatora Entra firmy Microsoft i tożsamości hybrydowej dla stref docelowych platformy Azure.
Organizacje działające w chmurze wymagają usługi katalogowej do zarządzania tożsamościami użytkowników i dostępem do zasobów. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem, która zapewnia niezawodne możliwości zarządzania użytkownikami i grupami. Można go użyć jako autonomicznego rozwiązania do obsługi tożsamości lub zintegrować go z infrastrukturą usług Microsoft Entra Domain Services lub infrastrukturą usług domenowych lokalna usługa Active Directory (AD DS).
Microsoft Entra ID zapewnia nowoczesne, bezpieczne zarządzanie tożsamościami i dostępem, które jest odpowiednie dla wielu organizacji i obciążeń, i jest podstawą usług platformy Azure i platformy Microsoft 365. Jeśli Twoja organizacja ma lokalną infrastrukturę usług AD DS, obciążenia oparte na chmurze mogą wymagać synchronizacji katalogów z identyfikatorem Entra firmy Microsoft w celu uzyskania spójnego zestawu tożsamości, grup i ról między środowiskami lokalnymi i chmurowymi. Jeśli masz aplikacje zależne od starszych mechanizmów uwierzytelniania, może być konieczne wdrożenie zarządzanych usług Domain Services w chmurze.
Zarządzanie tożsamościami w chmurze jest procesem iteracyjnym. Możesz zacząć od rozwiązania natywnego dla chmury z małym zestawem użytkowników i odpowiadającymi im rolami na potrzeby wdrożenia początkowego, a w miarę dojrzewania migracji może być konieczne zintegrowanie rozwiązania tożsamości przy użyciu synchronizacji katalogów lub dodania usług domenowych hostowanych w chmurze w ramach wdrożeń w chmurze.
W miarę upływu czasu ponownie zapoznaj się z rozwiązaniem tożsamości w zależności od wymagań dotyczących uwierzytelniania obciążenia i innych potrzeb, takich jak zmiany w strategii tożsamości organizacji i wymagania dotyczące zabezpieczeń lub integracja z innymi usługami katalogowymi. Podczas oceniania rozwiązań usługi Active Directory zapoznaj się z różnicami między usługami Microsoft Entra ID, Domain Services i AD DS w systemie Windows Server.
Aby uzyskać pomoc dotyczącą strategii tożsamości, zobacz Przewodnik po decyzjach dotyczących tożsamości.
Usługi zarządzania tożsamościami i dostępem w strefach docelowych platformy Azure
Zespół ds. platformy jest odpowiedzialny za administrowanie zarządzaniem tożsamościami i dostępem. Usługi zarządzania tożsamościami i dostępem mają podstawowe znaczenie dla zabezpieczeń organizacji. Organizacje mogą używać identyfikatora Entra firmy Microsoft do ochrony zasobów platformy, kontrolując dostęp administracyjny. Takie podejście uniemożliwia użytkownikom spoza zespołu platformy wprowadzanie zmian w konfiguracji lub podmiotów zabezpieczeń zawartych w identyfikatorze Entra firmy Microsoft.
Organizacje korzystające z usług AD DS lub Domain Services muszą również chronić kontrolery domeny przed nieautoryzowanym dostępem. Kontrolery domeny są szczególnie atrakcyjnymi obiektami docelowymi dla osób atakujących i powinny mieć ścisłe mechanizmy kontroli zabezpieczeń i podział na obciążenia aplikacji.
Kontrolery domeny i skojarzone składniki, takie jak Microsoft Entra ID Połączenie serwerów, są wdrażane w subskrypcji Tożsamości, która znajduje się w grupie zarządzania platformy. Kontrolery domeny nie są delegowane do zespołów aplikacji. Zapewniając tę izolację, właściciele aplikacji mogą korzystać z usług tożsamości bez konieczności zarządzania nimi, a ryzyko naruszenia zabezpieczeń usług zarządzania tożsamościami i dostępem jest ograniczone. Zasoby w subskrypcji platformy tożsamości są krytycznym punktem zabezpieczeń dla środowisk w chmurze i środowiskach lokalnych.
Strefy docelowe należy aprowizować, aby właściciele aplikacji mogli używać identyfikatora Entra firmy Microsoft lub usług AD DS i usług domenowych zgodnie z wymaganiami ich obciążeń. W zależności od używanego rozwiązania do obsługi tożsamości może być konieczne skonfigurowanie innych usług w razie potrzeby. Na przykład może być konieczne włączenie i zabezpieczenie łączności sieciowej z siecią wirtualną Tożsamości. Jeśli używasz procesu subskrypcji do sprzedaży, dołącz te informacje o konfiguracji w żądaniu subskrypcji.
Domeny platformy Azure i domeny lokalne (tożsamość hybrydowa)
Obiekty użytkownika, które są tworzone w całości w identyfikatorze Entra firmy Microsoft, są nazywane kontami tylko w chmurze. Obsługują nowoczesne uwierzytelnianie i dostęp do zasobów platformy Azure i platformy Microsoft 365 oraz dostęp do urządzeń lokalnych korzystających z systemu Windows 10 lub Windows 11.
Jednak wiele organizacji ma już długotrwałe katalogi usług AD DS, które mogą być zintegrowane z innymi systemami, takimi jak planowanie zasobów biznesowych lub przedsiębiorstwa (ERP) za pośrednictwem protokołu LDAP (Lightweight Directory Access Protocol). Te domeny mogą mieć wiele komputerów i aplikacji przyłączonych do domeny, które używają protokołów Kerberos lub starszych protokołów NTLMv2 do uwierzytelniania. W tych środowiskach można synchronizować obiekty użytkownika z identyfikatorem Entra firmy Microsoft, aby użytkownicy mogli logować się zarówno do systemów lokalnych, jak i zasobów w chmurze przy użyciu jednej tożsamości. Łączenie usług lokalnych i usług katalogowych w chmurze jest nazywane tożsamością hybrydową. Domeny lokalne można rozszerzyć na strefy docelowe platformy Azure:
Aby zachować pojedynczy obiekt użytkownika w środowiskach chmurowych i lokalnych, można zsynchronizować użytkowników domeny usług AD DS z identyfikatorem Entra firmy Microsoft za pośrednictwem usługi Microsoft Entra Połączenie lub Microsoft Entra Połączenie Sync. Aby określić zalecaną konfigurację środowiska, zobacz Topologie dla firmy Microsoft Entra Połączenie.
Aby dołączyć do domeny maszyny wirtualne z systemem Windows i inne usługi, można wdrożyć kontrolery domeny usług AD DS lub usługi domenowe na platformie Azure. Dzięki temu użytkownicy usług AD DS mogą logować się do serwerów z systemem Windows, udziałów usługi Azure Files i innych zasobów, które używają usługi Active Directory jako źródła uwierzytelniania. Można również użyć innych technologii usługi Active Directory, takich jak zasady grupy. Aby uzyskać więcej informacji, zobacz Typowe scenariusze wdrażania dla usług Microsoft Entra Domain Services.
Zalecenia dotyczące tożsamości hybrydowej
Usługi Domain Services mogą być używane w przypadku aplikacji korzystających z usług domenowych i korzystających ze starszych protokołów. Czasami istniejące domeny usług AD DS obsługują zgodność z poprzednimi wersjami i zezwalają na starsze protokoły, co może negatywnie wpłynąć na bezpieczeństwo. Zamiast rozszerzać domenę lokalną, rozważ użycie usług Domain Services do utworzenia nowej domeny, która nie zezwala na starsze protokoły i używa jej jako usługi katalogowej dla aplikacji hostowanych w chmurze.
Oceń wymagania dotyczące rozwiązania tożsamości, rozumiejąc i dokumentując dostawcę uwierzytelniania używanego przez każdą aplikację. Rozważ przeglądy, aby ułatwić planowanie typu usługi, z których powinna korzystać Organizacja. Aby uzyskać więcej informacji, zobacz Porównanie usługi Active Directory z identyfikatorem Entra firmy Microsoft i przewodnikiem po decyzjach dotyczących tożsamości.
Ocenianie scenariuszy obejmujących konfigurowanie użytkowników zewnętrznych, klientów lub partnerów w celu uzyskania dostępu do zasobów. Określ, czy te scenariusze dotyczą firmy Microsoft Entra B2B, czy Tożsamość zewnętrzna Microsoft Entra dla klientów. Aby uzyskać więcej informacji, zobacz Tożsamość zewnętrzna Microsoft Entra.
Nie używaj serwera proxy aplikacji Microsoft Entra na potrzeby dostępu intranetowego, ponieważ dodaje opóźnienie do środowiska użytkownika. Aby uzyskać więcej informacji, zobacz Microsoft Entra application proxy planning (Planowanie serwera proxy aplikacji firmy Microsoft) i Microsoft Entra application proxy security considerations (Zagadnienia dotyczące zabezpieczeń serwera proxy aplikacji firmy Microsoft).
Rozważ różne metody, których można użyć do zintegrowania lokalna usługa Active Directory z platformą Azure w celu spełnienia wymagań organizacji.
Jeśli masz federację usług Active Directory Federation Services (AD FS) z identyfikatorem Entra firmy Microsoft, możesz użyć synchronizacji skrótów haseł jako kopii zapasowej. Usługi AD FS nie obsługują bezproblemowego logowania jednokrotnego (SSO) firmy Microsoft.
Określ odpowiednie narzędzie do synchronizacji tożsamości w chmurze.
Jeśli masz wymagania dotyczące korzystania z usług AD FS, zobacz Wdrażanie usług AD FS na platformie Azure.
Ważne
Zdecydowanie zalecamy migrację do identyfikatora Entra firmy Microsoft, chyba że istnieje określone wymaganie dotyczące korzystania z usług AD FS. Aby uzyskać więcej informacji, zobacz Zasoby dotyczące likwidowania usług AD FS i Migrowanie z usług AD FS do identyfikatora entra firmy Microsoft.
Microsoft Entra ID, Domain Services i AD DS
Administracja istratorzy powinni zapoznać się z opcjami implementowania usług katalogowych firmy Microsoft:
Kontrolery domeny usług AD DS można wdrożyć na platformie Azure jako maszyny wirtualne z systemem Windows, których platforma lub administratorzy tożsamości mają pełną kontrolę. Takie podejście jest rozwiązaniem infrastruktury jako usługi (IaaS). Kontrolery domeny można dołączyć do istniejącej domeny usługi Active Directory lub hostować nową domenę, która ma opcjonalną relację zaufania z istniejącymi domenami lokalnymi. Aby uzyskać więcej informacji, zobacz Architektura punktu odniesienia usługi Azure Virtual Machines w strefie docelowej platformy Azure.
Domain Services to usługa zarządzana przez platformę Azure, której można użyć do utworzenia nowej zarządzanej domeny usługi Active Directory hostowanej na platformie Azure. Domena może mieć relację zaufania z istniejącymi domenami i może synchronizować tożsamości z identyfikatora Entra firmy Microsoft. Administracja istratory nie mają bezpośredniego dostępu do kontrolerów domeny i nie są odpowiedzialne za stosowanie poprawek i innych operacji konserwacji.
Podczas wdrażania usług Domain Services lub integrowania środowisk lokalnych z platformą Azure użyj lokalizacji ze strefami dostępności w celu zwiększenia dostępności.
Po skonfigurowaniu usług AD DS lub usług domenowych można dołączać maszyny wirtualne i udziały plików platformy Azure przy użyciu tej samej metody co komputery lokalne. Aby uzyskać więcej informacji, zobacz Porównanie usług opartych na katalogach firmy Microsoft.
Microsoft Entra ID i zalecenia dotyczące usług AD DS
Aby uzyskać dostęp do aplikacji korzystających z uwierzytelniania lokalnego zdalnie za pośrednictwem identyfikatora Entra firmy Microsoft, użyj serwera proxy aplikacji Microsoft Entra. Ta funkcja zapewnia bezpieczny dostęp zdalny do lokalnych aplikacji internetowych. Nie wymaga sieci VPN ani żadnych zmian w infrastrukturze sieci. Jest on jednak wdrażany jako pojedyncze wystąpienie w usłudze Microsoft Entra ID, więc właściciele aplikacji i zespoły ds. platformy lub tożsamości muszą współpracować, aby upewnić się, że aplikacja jest poprawnie skonfigurowana.
Oceń zgodność obciążeń usług AD DS w systemie Windows Server i usługach domenowych. Aby uzyskać więcej informacji, zobacz Typowe przypadki użycia i scenariusze.
Wdróż maszyny wirtualne kontrolera domeny lub zestawy replik usług domenowych w subskrypcji platformy Tożsamości w grupie zarządzania platformy.
Zabezpiecz sieć wirtualną zawierającą kontrolery domeny. Zapobiegaj bezpośredniej łączności z Internetem z tymi systemami, umieszczając serwery usług AD DS w izolowanej podsieci z sieciową grupą zabezpieczeń (NSG), zapewniając funkcjonalność zapory. Zasoby korzystające z kontrolerów domeny do uwierzytelniania muszą mieć trasę sieciową do podsieci kontrolera domeny. Włącz tylko trasę sieciową dla aplikacji, które wymagają dostępu do usług w subskrypcji tożsamości. Aby uzyskać więcej informacji, zobacz Wdrażanie usług AD DS w sieci wirtualnej platformy Azure.
- Użyj usługi Azure Virtual Network Manager , aby wymusić standardowe reguły dotyczące sieci wirtualnych. Na przykład tagi zasobów usługi Azure Policy lub sieci wirtualnej mogą służyć do dodawania sieci wirtualnych strefy docelowej do grupy sieci, jeśli wymagają one usług tożsamości usługi Active Directory. Następnie można użyć grupy sieciowej, która umożliwia dostęp do podsieci kontrolera domeny tylko z aplikacji, które tego wymagają, i zablokować dostęp z innych aplikacji.
Zabezpiecz uprawnienia kontroli dostępu opartej na rolach (RBAC), które mają zastosowanie do maszyn wirtualnych kontrolera domeny i innych zasobów tożsamości. Administracja istratory z przypisaniami ról RBAC na płaszczyźnie sterowania platformy Azure, takimi jak Współautor, Właściciel lub Współautor maszyny wirtualnej, mogą uruchamiać polecenia na maszynach wirtualnych. Upewnij się, że tylko autoryzowani administratorzy mogą uzyskiwać dostęp do maszyn wirtualnych w subskrypcji tożsamości, a nadmierne przypisania ról nie są dziedziczone z wyższych grup zarządzania.
W organizacji obejmującej wiele regionów wdróż usługi Domain Services w regionie hostujący podstawowe składniki platformy. Usługi domenowe można wdrożyć tylko w jednej subskrypcji. Usługi domenowe można rozszerzyć na kolejne regiony, dodając maksymalnie cztery kolejne zestawy replik w oddzielnych sieciach wirtualnych, które są równorzędne z podstawową siecią wirtualną. Aby zminimalizować opóźnienia, należy trzymać podstawowe aplikacje w pobliżu lub w tym samym regionie co sieć wirtualna dla zestawów replik.
Podczas wdrażania kontrolerów domeny usług AD DS na platformie Azure należy wdrożyć je w różnych strefach dostępności w celu zwiększenia odporności. Aby uzyskać więcej informacji, zobacz Tworzenie maszyn wirtualnych w strefach dostępności i Migrowanie maszyn wirtualnych do stref dostępności.
Uwierzytelnianie może wystąpić tylko w chmurze i lokalnie lub lokalnie. W ramach planowania tożsamości zapoznaj się z metodami uwierzytelniania dla identyfikatora Entra firmy Microsoft.
Jeśli użytkownik systemu Windows wymaga protokołu Kerberos dla udziałów plików usługi Azure Files, rozważ użycie uwierzytelniania Kerberos dla identyfikatora Entra firmy Microsoft zamiast wdrażania kontrolerów domeny w chmurze.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla