Что такое "Доменные службы Azure Active Directory"?

Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP (упрощенный протокол доступа к каталогам), выполнение аутентификации Kerberos или NTLM. Вы можете использовать эти доменные службы без необходимости развертывать и исправлять контроллеры домена в облаке или управлять ими.

Управляемый домен Azure AD DS позволяет запускать в облаке устаревшие приложения, если они не могут использовать необходимые современные методы проверки подлинности или необходимо избежать постоянного переключения функции поиска в каталогах на локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.

Azure AD DS интегрируется с существующим клиентом Azure AD. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.

Посмотрите наше короткое видео, чтобы узнать больше об Azure AD DS.

Как работает Azure AD DS?

При создании управляемого домена Azure AD DS вы должны определить уникальное пространство имен. Это пространство имен является доменным именем, например aaddscontoso.com. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.

Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.

Управляемый домен настроен для выполнения односторонней синхронизации из Azure AD, чтобы предоставлять доступ к централизованному хранилищу данных о пользователях, группах и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не будут синхронизироваться в Azure AD. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к управляемому домену, смогут использовать стандартные функции AD DS, такие как присоединение к домену, групповая политика, LDAP и аутентификация Kerberos/NTLM.

В гибридной среде с локальной средой AD DS применяется Azure AD Connect для синхронизации сведений об удостоверениях в Azure AD, которые затем синхронизируются с управляемым доменом.

Synchronization in Azure AD Domain Services with Azure AD and on-premises AD DS using AD Connect

Azure AD DS реплицирует сведения об удостоверениях из Azure AD, а значит работает с полностью облачными клиентами Azure AD или клиентами, синхронизируемыми с локальной средой AD DS. Набор функций Azure AD DS в обоих средах идентичен.

  • Если у вас уже есть локальная среда AD DS, вы можете синхронизировать данные об учетных записях пользователей для достижения единообразия. Дополнительные сведения см. в разделе Синхронизация объектов и учетных данных в управляемом домене.
  • Для полностью облачных сред можно применить централизованные службы идентификации Azure AD DS без традиционной локальной среды AD DS.

Вы можете расширить управляемый домен для использования более одного набора реплик в каждом арендаторе Azure AD. Наборы реплик можно добавить к любой пиринговой виртуальной сети в любом регионе Azure, который поддерживает Azure AD DS. Дополнительные наборы реплик в разных регионах Azure предоставляют возможности географического аварийного восстановления для устаревших приложений, если регион Azure становится недоступен. Дополнительные сведения см. в статье Основные понятия и функции наборов реплик для управляемых доменов.

Просмотрите это видео об особенностях интеграции Azure AD DS с приложениями и рабочими нагрузками для создания облачных служб идентификации.


Чтобы увидеть сценарии развертывания Azure AD DS в действии, можно изучить следующие примеры:

Возможности и преимущества Azure AD DS

Чтобы предоставить службы идентификации для приложений и виртуальных машин в облаке, Azure AD DS поддерживает полную совместимость с традиционной средой AD DS для таких операций, как присоединение к домену, использование защищенного протокола LDAP (LDAPS) и групповой политики, управление DNS, а также привязка и чтение LDAP. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизируемых с Azure AD.

Чтобы узнать больше о вариантах идентификации, сравните Azure AD DS с Azure AD, AD DS на виртуальных машинах Azure и AD DS в локальной среде.

Следующие функции Azure AD DS упрощают операции развертывания и управления.

  • Простой процесс развертывания. Azure AD DS можно включить для клиента Azure AD, запустив один мастер на портале Azure.
  • Интеграция с Azure AD. Учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически извлекаются из клиента AAD. Новые пользователи, группы и изменения атрибутов в клиенте Azure AD или в локальной среде AD DS автоматически синхронизируются в Azure AD DS.
    • Учетные записи во внешних каталогах, связанных с Azure AD, недоступны в Azure AD DS. Учетные данные недоступны для этих внешних каталогов, поэтому их нельзя синхронизировать с управляемым доменом.
  • Использование корпоративных учетных данных и паролей. Пароли для пользователей Azure AD DS такие же, как и для клиента Azure AD. Пользователи могут использовать свои корпоративные учетные данные для присоединения компьютеров к домену, входа в систему в интерактивном режиме или через удаленный рабочий стол, а также для аутентификации в управляемом домене.
  • Аутентификация NTLM и Kerberos. Благодаря поддержке аутентификации NTLM и Kerberos вы можете развернуть приложения, использующие встроенную аутентификацию Windows.
  • Высокий уровень доступности. Доменные службы Azure AD содержат большое количество контроллеров домена, обеспечивая высокий уровень доступности для управляемого домена. Высокий уровень доступности гарантирует непрерывность работы и отказоустойчивость службы.
    • В регионах, поддерживающих Зоны доступности Azure, эти контроллеры домена также распределяются между зонами для обеспечения дополнительной отказоустойчивости.
    • Наборы реплик можно также использовать для обеспечения географического аварийного восстановления устаревших приложений, если регион Azure становится недоступен.

Ниже приведены некоторые ключевые аспекты управляемого домена.

  • Это отдельный управляемый домен. Он не является расширением локального домена.
    • При необходимости можно создать односторонние отношения доверия к исходящим лесам из Azure AD DS в локальную среду AD DS. Дополнительные сведения см. в статье Resource forest concepts and features for Azure Active Directory Domain Services (Основные понятия и функции лесов ресурсов для доменных служб Azure Active Directory).
  • Для управляемого домена ИТ-специалистам не нужно управлять контролерами домена, исправлять их или отслеживать.

В гибридных средах, использующих локальную службу AD DS, вам не нужно управлять репликацией AD в управляемый домен. Расположенные в локальном каталоге учетные записи и учетные данные пользователей, а также сведения о членстве в группах, синхронизируются в Azure AD через Azure AD Connect. Эти учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически становятся доступными в управляемом домене.

Дальнейшие действия

Дополнительные сведения о сравнении Azure AD DS с другими решениями для идентификации и о том, как работает синхронизация, см. в следующих статьях:

Для начала работы создайте управляемый домен портале Azure.