Integrera lokala AD med Azure

Azure Active Directory

I den här artikeln jämförs alternativ för att integrera din lokala Active Directory-miljö (AD) med ett Azure-nätverk.This article compares options for integrating your on-premises Active Directory (AD) environment with an Azure network. För varje alternativ finns en mer detaljerad referensarkitektur tillgänglig.For each option, a more detailed reference architecture is available.

Många organisationer använder Active Directory Domain Services (AD DS) för att autentisera identiteter som är kopplade till användare, datorer, program eller andra resurser som ingår i ett säkerhetsområde.Many organizations use Active Directory Domain Services (AD DS) to authenticate identities associated with users, computers, applications, or other resources that are included in a security boundary. Katalogs- och identitetstjänster är vanligtvis lokalt värdbaserade, men om ditt program är delvis lokalt värdbaserat, delvis Azure-baserat, kan det finnas en fördröjning när autentiseringsbegäranden skickas tillbaka till den lokala tjänsten från Azure.Directory and identity services are typically hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, there may be latency sending authentication requests from Azure back to on-premises. Om katalogs- och identitetstjänster implementeras i Azure kan den här fördröjningen minskas.Implementing directory and identity services in Azure can reduce this latency.

Azure tillhandahåller två lösningar för att implementera katalogs- och identitetstjänster i Azure:Azure provides two solutions for implementing directory and identity services in Azure:

  • Använd Azure AD för att skapa en Active Directory-domän i molnet och ansluta den till din lokala Active Directory-domän.Use Azure AD to create an Active Directory domain in the cloud and connect it to your on-premises Active Directory domain. Azure AD Connect integrerar dina lokala kataloger med Azure AD.Azure AD Connect integrates your on-premises directories with Azure AD.

  • Utöka din befintliga lokala Active Directory-infrastruktur till Azure genom att distribuera en virtuell dator i Azure som kör AD DS som en domänkontrollant.Extend your existing on-premises Active Directory infrastructure to Azure, by deploying a VM in Azure that runs AD DS as a Domain Controller. Den här arkitekturen är vanligare när det lokala nätverket och det virtuella Azure-nätverket (VNet) är anslutna via en VPN- eller ExpressRoute-anslutning.This architecture is more common when the on-premises network and the Azure virtual network (VNet) are connected by a VPN or ExpressRoute connection. Flera varianter av denna arkitektur är möjliga:Several variations of this architecture are possible:

    • Skapa en domän i Azure och anslut den till din lokala AD-skog.Create a domain in Azure and join it to your on-premises AD forest.
    • Skapa en separat skog i Azure som är betrodd av domäner i din lokala skog.Create a separate forest in Azure that is trusted by domains in your on-premises forest.
    • Replikera en distribution av Active Directory Federation Services (AD FS) till Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure.

I de följande avsnitten får du en mer ingående beskrivning av dessa alternativ.The next sections describe each of these options in more detail.

Integrera dina lokala domäner med Azure ADIntegrate your on-premises domains with Azure AD

Använd Azure Active Directory (AD Azure) för att skapa en domän i Azure och länka den till en lokal AD-domän.Use Azure Active Directory (Azure AD) to create a domain in Azure and link it to an on-premises AD domain.

Azure AD-katalogen är inte ett tillägg till en lokal katalog.The Azure AD directory is not an extension of an on-premises directory. Det är i stället en kopia som innehåller samma objekt och identiteter.Rather, it's a copy that contains the same objects and identities. Lokala ändringar i dessa objekt kopieras till Azure AD, men ändringar som görs i Azure AD replikeras inte till den lokala domänen.Changes made to these items on-premises are copied to Azure AD, but changes made in Azure AD are not replicated back to the on-premises domain.

Du kan också använda Azure AD utan att använda en lokal katalog.You can also use Azure AD without using an on-premises directory. I det här fallet fungerar Azure AD som den primära källan för all identitetsinformation, i stället för att vara en behållare av data som replikeras från en lokal katalog.In this case, Azure AD acts as the primary source of all identity information, rather than containing data replicated from an on-premises directory.

FördelarBenefits

  • Du behöver inte underhålla en AD-infrastruktur i molnet.You don't need to maintain an AD infrastructure in the cloud. Azure AD hanteras och underhålls helt och hållet av Microsoft.Azure AD is entirely managed and maintained by Microsoft.
  • Azure AD tillhandahåller samma identitetsinformation som är tillgänglig lokalt.Azure AD provides the same identity information that is available on-premises.
  • Autentisering kan utföras i Azure, vilket minskar behovet av att externa program och användare kontaktar den lokala domänen.Authentication can happen in Azure, reducing the need for external applications and users to contact the on-premises domain.

UtmaningarChallenges

  • Du måste konfigurera anslutningen till din lokala domän för att se till att Azure AD-katalogen är synkroniserad.You must configure connectivity with your on-premises domain to keep the Azure AD directory synchronized.
  • Program kan behöva skrivas om för att aktivera autentisering via Azure AD.Applications may need to be rewritten to enable authentication through Azure AD.
  • Om du vill autentisera tjänst- och datorkonton måste du även distribuera Azure Active Directory Domain Services.If you wish to authenticate service and computer accounts, you will have to also deploy Azure Active Directory Domain Services.

ReferensarkitekturReference architecture

AD DS i Azure har anslutits till en lokal skogAD DS in Azure joined to an on-premises forest

Distribuera AD Domain Services-servrar (AD DS) till Azure.Deploy AD Domain Services (AD DS) servers to Azure. Skapa en domän i Azure och anslut den till din lokala AD-skog.Create a domain in Azure and join it to your on-premises AD forest.

Överväg det här alternativet om du behöver använda AD DS-funktioner som inte har implementerats av Azure AD.Consider this option if you need to use AD DS features that are not currently implemented by Azure AD.

FördelarBenefits

  • Ger åtkomst till samma identitetsinformation som är tillgänglig lokalt.Provides access to the same identity information that is available on-premises.
  • Du kan autentisera användar-, tjänst- och datorkonton lokalt och i Azure.You can authenticate user, service, and computer accounts on-premises and in Azure.
  • Du behöver inte hantera en separat AD-skog.You don't need to manage a separate AD forest. Domänen i Azure kan tillhöra den lokala skogen.The domain in Azure can belong to the on-premises forest.
  • Du kan tillämpa grupprinciper som definierats av lokala grupprincipobjekt till domänen i Azure.You can apply group policy defined by on-premises Group Policy Objects to the domain in Azure.

UtmaningarChallenges

  • Du måste distribuera och hantera dina egna AD DS-servrar och din egen AD DS-domän i molnet.You must deploy and manage your own AD DS servers and domain in the cloud.
  • Viss synkroniseringsfördröjning kan förekomma mellan domänservrarna i molnet och servrarna som körs lokalt.There may be some synchronization latency between the domain servers in the cloud and the servers running on-premises.

ReferensarkitekturReference architecture

AD DS i Azure med en separat skogAD DS in Azure with a separate forest

Distribuera AD Domain Services-servrar (AD DS) till Azure, men skapa en separat Active Directory-skog som är avgränsad från den lokala skogen.Deploy AD Domain Services (AD DS) servers to Azure, but create a separate Active Directory forest that is separate from the on-premises forest. Den här skogen är betrodd av domäner i din lokala skog.This forest is trusted by domains in your on-premises forest.

Vanliga tillämpningar av den här arkitekturen är att upprätthålla separering av säkerhetsskäl för objekt och identiteter som lagras i molnet, och att migrera enskilda domäner från en lokal plats till molnet.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

FördelarBenefits

  • Du kan implementera lokala identiteter och avgränsa identiteter som endast finns i Azure.You can implement on-premises identities and separate Azure-only identities.
  • Du behöver inte replikera från den lokala AD-skogen till Azure.You don't need to replicate from the on-premises AD forest to Azure.

UtmaningarChallenges

  • Autentisering i Azure för lokala identiteter kräver extra nätverkssteg till de lokala AD-servrarna.Authentication within Azure for on-premises identities requires extra network hops to the on-premises AD servers.
  • Du måste distribuera dina egna AD DS-servrar och din egen skog i molnet och upprätta lämpliga förtroenderelationer mellan skogarna.You must deploy your own AD DS servers and forest in the cloud, and establish the appropriate trust relationships between forests.

ReferensarkitekturReference architecture

Utöka AD FS till AzureExtend AD FS to Azure

Replikera en distribution av Active Directory Federation Services (AD FS) till Azure för att utföra en federerad autentisering och auktorisering för komponenter som körs i Azure.Replicate an Active Directory Federation Services (AD FS) deployment to Azure, to perform federated authentication and authorization for components running in Azure.

Vanliga användningsområden för den här arkitekturen:Typical uses for this architecture:

  • Autentisera och auktorisera användare från partnerorganisationer.Authenticate and authorize users from partner organizations.
  • Tillåt användare att autentisera från webbläsare som körs utanför organisationens brandvägg.Allow users to authenticate from web browsers running outside of the organizational firewall.
  • Tillåt användare att ansluta från auktoriserade externa enheter, som mobila enheter.Allow users to connect from authorized external devices such as mobile devices.

FördelarBenefits

  • Du kan utnyttja anspråksmedvetna program.You can leverage claims-aware applications.
  • Ger möjlighet att lita på externa partner för autentisering.Provides the ability to trust external partners for authentication.
  • Kompatibilitet med en stor uppsättning autentiseringsprotokoll.Compatibility with large set of authentication protocols.

UtmaningarChallenges

  • Du måste distribuera dina egna AD DS-, AD FS- och AD FS Web Application Proxy-servrar i Azure.You must deploy your own AD DS, AD FS, and AD FS Web Application Proxy servers in Azure.
  • Den här arkitekturen kan vara komplicerad att konfigurera.This architecture can be complex to configure.

ReferensarkitekturReference architecture