Сравнение самостоятельно управляемых доменных служб Active Directory, Azure Active Directory и управляемых доменных служб Azure Active Directory.

В Azure есть три популярных метода применить службы на основе Active Directory, чтобы предоставить приложениям, службам и (или) устройствам доступ к централизованной службе удостоверений. Такой выбор решений для идентификации позволяет гибко выбрать наиболее подходящий вариант каталога для конкретных потребностей организации. Например, если вы управляете в основном облачными пользователями на мобильных устройствах, нет смысла создавать и запускать собственное решение идентификации в доменных службах Active Directory (AD DS). Используйте вместо этого Azure Active Directory.

Все три решения идентификации на основе Active Directory имеют одинаковые названия и основаны на одной технологии, но предоставляемые ими службы нацелены на разные потребности клиентов. Мы начнем с обобщенного описания решений и предоставляемых ими функций.

  • Доменные службы Active Directory (AD DS) — это сервер корпоративного уровня с поддержкой протокола LDAP, который предоставляет такие функции, как идентификация и проверка подлинности, управление объектами компьютеров, групповая политика и доверие.
    • AD DS является центральным компонентом во многих организациях с локальной ИТ-средой, обеспечивая основные функции для проверки подлинности учетных записей пользователей и управления компьютерами.
    • Дополнительные сведения см. в статье Обзор доменных служб Active Directory в документации по Windows Server.
  • Azure Active Directory (Azure AD) — это облачная платформа для управления удостоверениями и мобильными устройствами, которая предоставляет службы управления учетными записями и проверки подлинности для таких ресурсов, как Microsoft 365, портал Azure и приложения SaaS.
    • Azure AD можно синхронизировать с локальной средой AD DS, чтобы поддерживать единые удостоверения для пользователей, которые работают в основном в облаке.
    • Дополнительные сведения об Azure AD см. в статье Что такое Azure Active Directory.
  • Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы с подмножеством традиционных функций, полностью совместимых с AD DS, таких как присоединение к домену, применение групповой политики, использование протокола LDAP, выполнение аутентификации Kerberos или NTLM.
    • Azure AD DS интегрируется с Azure AD, которая сама может синхронизироваться с локальной средой AD DS. Эта возможность расширяет случаи использования центрального удостоверения для традиционных веб-приложений, которые работают в Azure в рамках стратегии "lift-and-shift".
    • Дополнительные сведения о синхронизации с Azure AD и локальной средой см. в статье Синхронизация объектов и учетных данных в управляемом домене.

В этой статье собраны сравнительные сведения о том, как эти решения идентификации могут работать вместе или порознь в зависимости от потребностей конкретной организации.

Azure AD DS и самостоятельно управляемая AD DS

Если у вас есть приложения и службы, использующие традиционные механизмы проверки подлинности, например Kerberos или NTLM, у вас есть два способа перенести в облако доменную службу Active Directory.

  • Управляемый домен на основе доменных служб Azure Active Directory (Azure AD DS). В этом случае корпорация Майкрософт создает все необходимые ресурсы и управляет ими.
  • Самостоятельно управляемый домен, который вы создаете и настраиваете на основе традиционных ресурсов, таких как виртуальные машины, гостевая ОС Windows Server и доменные службы Active Directory (AD DS). Вы также самостоятельно администрируете эти ресурсы.

В Azure AD DS основные компоненты службы развертываются и обслуживаются корпорацией Майкрософт в рамках управляемого домена. Вам не придется развертывать, администрировать, обновлять и защищать инфраструктуру AD DS для таких компонентов, как виртуальные машины, ОС Windows Server или контроллеры домена.

Azure AD DS предоставляет ограниченное подмножество функций по сравнению с традиционной самостоятельно управляемой средой AD DS, что устраняет некоторые сложности при проектировании и управлении. Например, вам не нужно проектировать и поддерживать леса AD, домены, сайты и связи репликации. Вы по-прежнему можете создавать доверие лесов между Azure AD DS и локальными средами.

Для приложений и служб, которые выполняются в облаке и используют традиционные механизмы проверки подлинности, например Kerberos или NTLM, Azure AD DS предоставляет функции управляемого домена с минимальным объемом административных издержек. Дополнительные сведения см. в разделе Основные понятия управления учетными записями пользователей, паролями и администрированием в Azure AD DS.

При развертывании и выполнении самостоятельно управляемой среды AD DS вам придется поддерживать все связанные с ней компоненты инфраструктуры и каталога. Самостоятельно управляемая среда AD DS означает дополнительные затраты на обслуживание, но зато предоставляет дополнительные возможности, например расширение схемы или создание доверий лесов.

Ниже перечислены распространенные модели развертывания для самостоятельно управляемой среды AD DS, которая поддерживает идентификацию для приложений и служб, размещенных в облаке.

  • Изолированные, предназначенные только для облака AD DS, в которых виртуальные машины Azure выполняют роль контроллеров домена и создается отдельная облачная среда AD DS. Такая среда AD DS не интегрируется с локальной средой AD DS. Для входа на виртуальные машины в облаке и управления ими потребуется отдельный набор учетных данных.
  • Развертывание леса ресурсов означает, что виртуальные машины Azure настраиваются как контроллеры домена и в составе существующего леса создается домен AD DS. После этого создаются отношения доверия с локальной средой AD DS. К этому лесу ресурсов в облаке можно присоединять как к домену другие виртуальные машины Azure. Аутентификация пользователей происходит через VPN-подключение или канал ExpressRoute, связанные с локальным каталогом.
  • Расширение локального домена в Azure подключает виртуальную сеть Azure к локальной сети с помощью VPN-подключения или канала ExpressRoute. Виртуальные машины Azure подключаются к этой виртуальной сети Azure, что позволяет им присоединяться к локальной среде AD DS.
    • В качестве альтернативного решения можно создать виртуальные машины Azure и повысить их роль до реплик контроллеров домена из локального домена AD DS. Эти контроллеры домена реплицируются через VPN-подключение или канал ExpressRoute, связанные с локальной средой AD DS. По сути это означает расширение локального домена AD DS в Azure.

В следующей таблице описаны некоторые функции, которые могут потребоваться вашей организации, и различия между управляемым доменом Azure AD DS и самостоятельно управляемым доменом AD DS.

Компонент Azure AD DS Самостоятельно управляемая AD DS
Управляемая служба
Защищенные развертывания Администратор защищает развертывание
DNS-сервер (управляемая служба)
Права администратора домена или предприятия
Присоединение к домену
Аутентификация в домене с помощью NTLM и Kerberos
Ограниченное делегирование Kerberos На основе ресурсов На основе ресурсов и на основе учетных записей
Структура пользовательских подразделений
Групповая политика
Расширения схемы
Отношения доверия между доменом AD и лесом (только односторонние трасты лесов)
Защищенный протокол LDAP (LDAPS)
Чтение с помощью протокола LDAP
Запись с помощью протокола LDAP (в пределах управляемого домена)
Географически распределенные развертывания

Azure AD DS и Azure AD

Azure AD позволяет управлять идентификаторами устройств, используемыми в вашей организации, и контролировать доступ к корпоративным ресурсам с этих устройств. Пользователи также могут регистрировать свои личные устройства (модель самостоятельной регистрации) в службе Azure AD, которая присваивает устройству идентификатор. Это позволяет службе Azure AD выполнять аутентификацию устройства, когда пользователь входит в Azure AD и использует устройство для доступа к защищенным ресурсам. Устройством можно управлять с помощью программного обеспечения для управления мобильными устройствами, например Microsoft Intune. Возможность управления позволяет разрешать доступ к конфиденциальным ресурсам только с управляемых устройств и устройств, соответствующих требованиям политик.

Традиционные компьютеры и ноутбуки также можно присоединять к Azure AD. Этот механизм обеспечивает те же преимущества, что и регистрация личного устройства в Azure AD, то есть позволяет пользователям входить на устройство с корпоративными учетными данными.

Присоединенные к Azure AD устройства обеспечивают следующие преимущества:

  • Единый вход для приложений, защищенных через Azure AD.
  • Перенос пользовательских параметров между устройствами с соблюдением требований корпоративной политики.
  • Доступ к Магазину Windows для бизнеса с использованием корпоративных учетных данных.
  • Windows Hello для бизнеса.
  • Ограниченный доступ к приложениям и ресурсам с устройств, соответствующих корпоративной политике.

Устройства можно присоединять к Azure AD с гибридным развертыванием, которое включает в себя локальную среду AD DS, или без него. В следующей таблице описаны распространенные модели владения устройствами и типичные способы их присоединения к домену.

Тип устройства Платформы устройств Механизм
Личные устройства Windows 10, iOS, Android, macOS регистрация в Azure AD;
Устройство, принадлежащее организации, не присоединенное к локальной AD DS Windows 10 присоединение к Azure AD;
Устройство, принадлежащее организации, присоединенное к локальной AD DS Windows 10 присоединение к Azure AD (гибридные устройства).

На устройствах, присоединенных или зарегистрированных в Azure AD, аутентификация пользователя выполняется с помощью современных протоколов на основе OAuth или OpenID Connect. Эти протоколы предназначены для работы в Интернете. Они прекрасно подходят для пользователей, которым нужно обращаться к корпоративным ресурсам, используя мобильные устройства в разных расположениях.

На устройствах, присоединенных к Azure AD DS, приложения могут использовать для проверки подлинности протоколы Kerberos и NTLM, что позволяет поддерживать приложения прежних версий, перенесенные на виртуальные машины Azure в рамках стратегии "lift-and-shift". В следующей таблице описаны различия в том, как выполняется представление устройств и проверка подлинности в каталоге.

Аспект Присоединенные к Azure AD Присоединенные к Azure AD DS
Устройство управляется Azure AD Управляемый домен Azure AD DS
Представление в каталоге Объекты устройств в каталоге Azure AD Объекты компьютеров в управляемом домене доменных служб Azure AD DS
Аутентификация Протоколы на основе OAuth и OpenID Connect Протоколы Kerberos и NTLM
Управление Программное обеспечение для управления мобильными устройствами (MDM), например Intune Групповая политика
Сеть Работает через Интернет Требуется подключение к виртуальной сети, в которой развернут управляемый домен, или пиринг с ней
Отлично подойдет для: мобильных или настольных устройств пользователей серверных виртуальных машин, развернутых в Azure

Если локальные службы AD DS и Azure AD настроены для федеративной аутентификации с помощью ADFS, значит в Azure DS будет отсутствовать доступный (текущий/допустимый) хэш паролей. Учетные записи пользователей Azure AD, созданные до реализации федеративной аутентификации, который с большой вероятностью не будет соответствовать хэшу их локального пароля. Поэтому доменные службы Azure Active Directory не смогут проверить учетные данные пользователей.

Дальнейшие действия

Для начала работы с Azure AD DS создайте управляемый домен Azure AD DS на портале Azure.

Кроме того, вы можете узнать больше об основных понятиях управления учетными записями пользователей, паролями и администрированием в Azure AD DS и о синхронизации объектов и учетных данных в управляемом домене.