Azure Ative Directory serviços de domínio e gestão para fornecedores de soluções de nuvem de nuvem Azure

  • Artigo
  • 7 minutos para ler

Azure Cloud Solution Providers (CSP) é um programa para a Microsoft Partners e fornece um canal de licença para vários serviços na nuvem da Microsoft. A Azure CSP permite que os parceiros gerem as vendas, possuam a relação de faturação, fornecem suporte técnico e de faturação, e ser o único ponto de contacto do cliente. Além disso, a Azure CSP fornece um conjunto completo de ferramentas, incluindo um portal de self-service e APIs que acompanha. Estas ferramentas permitem aos parceiros da CSP fornecer e gerir facilmente os recursos da Azure, e fornecer faturação para os clientes e suas subscrições.

O portal Partner Center é o ponto de entrada para todos os parceiros Azure CSP, e fornece capacidades de gestão de clientes ricas, processamento automatizado, e muito mais. Os parceiros Azure CSP podem usar as capacidades do Partner Center utilizando uma UI baseada na web ou utilizando o PowerShell e várias chamadas API.

O diagrama que se segue ilustra como o modelo CSP funciona a um nível elevado. Aqui, Contoso tem um inquilino Azure Ative Directory (Azure AD). Têm uma parceria com uma CSP, que implanta e gere recursos na sua assinatura CSP Azure. Contoso também pode ter subscrições regulares (diretas) Azure, que são faturadas diretamente para Contoso.

Overview of the CSP model

O inquilino do sócio da CSP tem três grupos de agentes especiais - agentes de administração , agentes da Helpdesk e agentes de vendas .

O grupo de agentes da Administração é designado para o cargo de administrador de inquilinos no inquilino AD da Contoso. Como resultado, um utilizador pertencente ao grupo de agentes administrativos do parceiro CSP tem privilégios de administração de inquilinos no inquilino Azure AD de Contoso.

Quando o parceiro da CSP prevê uma subscrição da Azure CSP para a Contoso, o seu grupo de agentes administrativos é atribuído ao papel de proprietário para essa subscrição. Como resultado, os agentes administrativos do parceiro CSP têm os privilégios necessários para a prestação de recursos Azure, tais como máquinas virtuais, redes virtuais e Serviços de Domínio AD Azure em nome da Contoso.

Para mais informações, consulte a visão geral da Azure CSP

Benefícios da utilização do Azure AD DS numa subscrição do Azure CSP

Azure Ative Directory Domain Services (Azure AD DS) fornece serviços de domínio geridos, tais como a junção de domínio, política de grupo, LDAP, a autenticação Kerberos/NTLM que é totalmente compatível com Windows Server Ative Directory Serviços de Domínio. Ao longo das décadas, muitas aplicações foram construídas para trabalhar contra a AD usando estas capacidades. Muitos fornecedores de software independentes (ISVs) construíram e implementaram aplicações nas instalações dos seus clientes. Estas aplicações são difíceis de suportar, uma vez que muitas vezes é necessário ter acesso aos diferentes ambientes onde as aplicações são implementadas. Com as assinaturas Azure CSP, você tem uma alternativa mais simples com a escala e flexibilidade do Azure.

AZure AD DS suporta subscrições Azure CSP. Pode implementar a sua aplicação numa assinatura Azure CSP ligada ao inquilino AZure AD do seu cliente. Como resultado, os seus colaboradores (pessoal de apoio) podem gerir, administrar e servir os VMs nos quais a sua aplicação é implementada usando as credenciais corporativas da sua organização.

Também pode implementar um domínio gerido Azure AD DS no inquilino Azure AD do seu cliente. A sua aplicação está então ligada ao domínio gerido do seu cliente. As capacidades dentro da sua aplicação que dependem da Kerberos / NTLM, LDAP ou do System.DirectoryServices API funcionam perfeitamente contra o domínio do seu cliente. Os clientes finais beneficiam de consumir a sua aplicação como serviço, sem precisarem de se preocupar em manter a infraestrutura em que a aplicação é implementada.

Toda a faturação dos recursos Azure que consome nessa subscrição, incluindo a Azure AD DS, é cobrada de volta a si. Mantém o controlo total sobre a relação com o cliente quando se trata de vendas, faturação, suporte técnico, etc. Com a flexibilidade da plataforma Azure CSP, uma pequena equipa de agentes de apoio pode servir muitos desses clientes que têm instâncias da sua aplicação implementadas.

Modelos de implementação CSP para Azure AD DS

Existem duas formas de utilizar o Azure AD DS com uma assinatura Azure CSP. Escolha a certa com base nas considerações de segurança e simplicidade que os seus clientes têm.

Modelo de implantação direta

Neste modelo de implementação, o Azure AD DS está ativado numa rede virtual que pertence à subscrição do Azure CSP. Os agentes administrativos do parceiro da CSP têm os seguintes privilégios:

  • Administrador global privilégios no inquilino AZure AD do cliente.
  • Privilégios de proprietário de subscrição na assinatura Azure CSP.

Direct deployment model

Neste modelo de implantação, os agentes administrativos do prestador da CSP podem administrar identidades para o cliente. Estes agentes administrativos podem executar tarefas como a disponibilização de novos utilizadores ou grupos, ou adicionar aplicações dentro do inquilino Azure AD do cliente.

Este modelo de implementação pode ser adequado para organizações mais pequenas que não têm um administrador de identidade dedicado ou preferem que o parceiro CSP administro de identidades em seu nome.

Modelo de implementação esprevado

Neste modelo de implementação, o Azure AD DS está ativado dentro de uma rede virtual pertencente ao cliente - uma subscrição Azure direta paga pelo cliente. O parceiro CSP pode implementar aplicações dentro de uma rede virtual pertencente à subscrição CSP do cliente. As redes virtuais podem então ser conectadas utilizando o espreitamento da rede virtual Azure.

Com esta implementação, as cargas de trabalho ou aplicações implementadas pelo parceiro CSP na subscrição CSP Azure podem ligar-se ao domínio gerido do cliente a provisionado na subscrição direta do Azure do cliente.

Peered deployment model

Este modelo de implementação proporciona uma separação de privilégios e permite que os agentes de helpdesk do parceiro CSP administram a subscrição do Azure e implementem e gerem recursos dentro dele. No entanto, os agentes de helpdesk do parceiro CSP não precisam de ter privilégios globais de administrador no diretório AD Azure do cliente. Os administradores de identidade do cliente podem continuar a gerir identidades para a sua organização.

Este modelo de implementação pode ser adequado para cenários onde um ISV fornece uma versão hospedada da sua aplicação no local, que também precisa de se conectar ao Azure AD do cliente.

Administrar Azure AD DS em assinaturas CSP

Aplicam-se as seguintes considerações importantes na administração de um domínio gerido numa subscrição do Azure CSP:

  • Os agentes administrativos da CSP podem providenciar um domínio gerido utilizando as suas credenciais: AZure AD DS suporta subscrições Azure CSP. Os utilizadores pertencentes ao grupo de agentes administrativos de um parceiro CSP podem providenciar um novo domínio gerido.

  • Os CSPs podem criar novos domínios geridos para os seus clientes utilizando o PowerShell: Veja como ativar o Azure AD DS utilizando o PowerShell para obter detalhes.

  • Os agentes administrativos da CSP não podem executar tarefas de gestão contínua no domínio gerido utilizando as suas credenciais: Os utilizadores de administração CSP não podem executar tarefas de gestão de rotina dentro do domínio gerido usando as suas credenciais. Estes utilizadores são externos ao inquilino AZure AD do cliente e as suas credenciais não estão disponíveis dentro do inquilino AZure AD do cliente. O Azure AD DS não tem acesso às hashes de password Kerberos e NTLM para estes utilizadores, pelo que os utilizadores não podem ser autenticados em domínios geridos.

    Aviso

    Tem de criar uma conta de utilizador dentro do diretório do cliente para executar tarefas de administração em curso no domínio gerido.

    Não é possível iniciar sção no domínio gerido utilizando as credenciais de um administrador de administração CSP. Utilize as credenciais de uma conta de utilizador pertencente ao inquilino AZure AD do cliente para o fazer. Você precisa destas credenciais para tarefas como juntar VMs ao domínio gerido, administrar DNS ou administrar Política de Grupo.

  • A conta de utilizador criada para a administração em curso deve ser adicionada ao grupo de administradores da DC AAD: O grupo de administradores AAD DC tem privilégios para executar certas tarefas de administração delegadas no domínio gerido. Estas tarefas incluem configurar o DNS, criar unidades organizacionais e administrar a política de grupo.

    Para que um parceiro da CSP execute estas tarefas num domínio gerido, deve ser criada uma conta de utilizador dentro do inquilino AZure AD do cliente. As credenciais para esta conta devem ser partilhadas com os agentes administrativos do parceiro da CSP. Além disso, esta conta de utilizador deve ser adicionada ao grupo de administradores AAD DC para permitir que as tarefas de configuração no domínio gerido sejam executadas através desta conta de utilizador.

Passos seguintes

Para começar, inscreva-se no programa Azure CSP. Em seguida, pode ativar os Serviços de Domínio AD Azure utilizando o portal do Azure ou Azure PowerShell.