Hybrididentitet med Active Directory och Microsoft Entra-ID i Azure-landningszoner
Den här artikeln innehåller vägledning om hur du utformar och implementerar Microsoft Entra-ID och hybrididentitet för Azure-landningszoner.
Organisationer som arbetar i molnet kräver en katalogtjänst för att hantera användaridentiteter och åtkomst till resurser. Microsoft Entra ID är en molnbaserad identitets- och åtkomsthanteringstjänst som ger robusta funktioner för att hantera användare och grupper. Du kan använda den som en fristående identitetslösning eller integrera den med en Infrastruktur för Microsoft Entra Domain Services eller en infrastruktur för lokal Active Directory Domain Services (AD DS).
Microsoft Entra ID tillhandahåller modern, säker identitets- och åtkomsthantering som är lämplig för många organisationer och arbetsbelastningar och är kärnan i Azure- och Microsoft 365-tjänster. Om din organisation har en lokal AD DS-infrastruktur kan dina molnbaserade arbetsbelastningar kräva katalogsynkronisering med Microsoft Entra-ID för en konsekvent uppsättning identiteter, grupper och roller mellan dina lokala miljöer och molnmiljöer. Eller om du har program som är beroende av äldre autentiseringsmekanismer kan du behöva distribuera hanterade Domain Services i molnet.
Molnbaserad identitetshantering är en iterativ process. Du kan börja med en molnbaserad lösning med en liten uppsättning användare och motsvarande roller för en inledande distribution, och när migreringen mognar kan du behöva integrera din identitetslösning med hjälp av katalogsynkronisering eller lägga till molnbaserade domäntjänster som en del av dina molndistributioner.
Över tid kan du gå tillbaka till din identitetslösning beroende på dina arbetsbelastningsautentiseringskrav och andra behov, till exempel ändringar i organisationens identitetsstrategi och säkerhetskrav, eller integrering med andra katalogtjänster. När du utvärderar Active Directory-lösningar kan du förstå skillnaderna mellan Microsoft Entra ID, Domain Services och AD DS på Windows Server.
Mer information om din identitetsstrategi finns i Beslutsguide för identiteter.
Identitets- och åtkomsthanteringstjänster i Azure-landningszoner
Plattformsteamet ansvarar för administrationen av identitets- och åtkomsthantering. Identitets- och åtkomsthanteringstjänster är grundläggande för organisationens säkerhet. Organisationer kan använda Microsoft Entra-ID för att skydda plattformsresurser genom att kontrollera administrativ åtkomst. Den här metoden hindrar användare utanför plattformsteamet från att göra ändringar i konfigurationen eller säkerhetsobjekten i Microsoft Entra-ID:t.
Organisationer som använder AD DS eller Domain Services måste också skydda domänkontrollanterna från obehörig åtkomst. Domänkontrollanter är särskilt attraktiva mål för angripare och bör ha strikta säkerhetskontroller och åtskillnad från programarbetsbelastningar.
Domänkontrollanter och associerade komponenter, till exempel Microsoft Entra-ID Anslut servrar, distribueras i identitetsprenumerationen, som finns i plattformshanteringsgruppen. Domänkontrollanter delegeras inte till programteam. Genom att tillhandahålla den här isoleringen kan programägare använda identitetstjänsterna utan att behöva hantera dem, och risken för att identitets- och åtkomsthanteringstjänster komprometteras minskar. Resurserna i identitetsplattformsprenumerationen är en viktig säkerhetspunkt för dina molnmiljöer och lokala miljöer.
Landningszoner bör etableras så att programägare kan använda antingen Microsoft Entra-ID eller AD DS och Domain Services, enligt vad som krävs av deras arbetsbelastningar. Beroende på vilken identitetslösning du använder kan du behöva konfigurera andra tjänster efter behov. Du kan till exempel behöva aktivera och skydda nätverksanslutningen till det virtuella identitetsnätverket. Om du använder en prenumerationsautomatprocess ska du inkludera den här konfigurationsinformationen i din prenumerationsbegäran.
Azure- och lokala domäner (hybrididentitet)
Användarobjekt som skapas helt i Microsoft Entra-ID kallas endast molnbaserade konton. De stöder modern autentisering och åtkomst till Azure- och Microsoft 365-resurser samt åtkomst för lokala enheter som använder Windows 10 eller Windows 11.
Många organisationer har dock redan långvariga AD DS-kataloger som kan vara integrerade med andra system, till exempel affärs- eller företagsresursplanering (ERP) via Lightweight Directory Access Protocol (LDAP). Dessa domäner kan ha många domänanslutna datorer och program som använder Kerberos eller äldre NTLMv2-protokoll för autentisering. I dessa miljöer kan du synkronisera användarobjekt till Microsoft Entra-ID så att användarna kan logga in på både lokala system och molnresurser med en enda identitet. Att förena lokala katalogtjänster och molnkatalogtjänster kallas hybrididentitet. Du kan utöka lokala domäner till Azure-landningszoner:
Om du vill underhålla ett enskilt användarobjekt i både molnmiljöer och lokala miljöer kan du synkronisera AD DS-domänanvändare med Microsoft Entra-ID via Microsoft Entra Anslut eller Microsoft Entra Anslut Sync. Information om hur du fastställer den rekommenderade konfigurationen för din miljö finns i Topologier för Microsoft Entra Anslut.
Om du vill domänansluta virtuella Windows-datorer och andra tjänster kan du distribuera AD DS-domänkontrollanter eller Domäntjänster i Azure. Med den här metoden kan AD DS-användare logga in på Windows-servrar, Azure Files-resurser och andra resurser som använder Active Directory som autentiseringskälla. Du kan också använda andra Active Directory-tekniker, till exempel grupprincip. Mer information finns i Vanliga distributionsscenarier för Microsoft Entra Domain Services.
Rekommendationer för hybrididentitet
Du kan använda Domain Services för program som förlitar sig på domäntjänster och använder äldre protokoll. Ibland stöder befintliga AD DS-domäner bakåtkompatibilitet och tillåter äldre protokoll, vilket kan påverka säkerheten negativt. I stället för att utöka en lokal domän bör du överväga att använda Domain Services för att skapa en ny domän som inte tillåter äldre protokoll och använda den som katalogtjänst för molnbaserade program.
Utvärdera dina krav på identitetslösning genom att förstå och dokumentera den autentiseringsprovider som varje program använder. Överväg granskningarna för att planera vilken typ av tjänst som din organisation ska använda. Mer information finns i Artikeln om att jämföra Active Directory med Microsoft Entra-ID och beslutsguide för identiteter.
Utvärdera scenarier som omfattar konfiguration av externa användare, kunder eller partner så att de kan komma åt resurser. Avgör om dessa scenarier omfattar Microsoft Entra B2B eller Microsoft Entra Externt ID för kunder. Mer information finns i Externt ID för Microsoft Entra.
Använd inte Microsoft Entra-programproxy för intranätåtkomst eftersom det ger svarstid till användarupplevelsen. Mer information finns i Microsoft Entra-programproxyplanering och Säkerhetsöverväganden för Microsoft Entra-programproxy.
Överväg olika metoder som du kan använda för att integrera lokal Active Directory med Azure för att uppfylla organisationens krav.
Om du har Active Directory Federation Services (AD FS) federation (AD FS) med Microsoft Entra-ID kan du använda synkronisering av lösenordshash som en säkerhetskopia. AD FS stöder inte enkel inloggning med Microsoft Entra (SSO).
Fastställ rätt synkroniseringsverktyg för din molnidentitet.
Om du har krav för att använda AD FS kan du läsa Distribuera AD FS i Azure.
Viktigt!
Vi rekommenderar starkt att du migrerar till Microsoft Entra-ID såvida det inte finns ett specifikt krav för att använda AD FS. Mer information finns i Resurser för att inaktivera AD FS och Migrera från AD FS till Microsoft Entra ID.
Microsoft Entra ID, Domain Services och AD DS
Administratörer bör bekanta sig med alternativen för att implementera Microsoft-katalogtjänster:
Du kan distribuera AD DS-domänkontrollanter till Azure som virtuella Windows-datorer som plattforms- eller identitetsadministratörer har fullständig kontroll över. Den här metoden är en IaaS-lösning (infrastruktur som en tjänst). Du kan ansluta domänkontrollanterna till en befintlig Active Directory-domän eller vara värd för en ny domän som har en valfri förtroenderelation med befintliga lokala domäner. Mer information finns i Baslinjearkitektur för Azure Virtual Machines i en Azure-landningszon.
Domain Services är en Azure-hanterad tjänst som du kan använda för att skapa en ny hanterad Active Directory-domän som finns i Azure. Domänen kan ha en förtroenderelation med befintliga domäner och kan synkronisera identiteter från Microsoft Entra-ID. Administratörer har inte direkt åtkomst till domänkontrollanterna och ansvarar inte för korrigeringar och andra underhållsåtgärder.
När du distribuerar Domain Services eller integrerar lokala miljöer i Azure använder du platser med tillgänglighetszoner för ökad tillgänglighet.
När AD DS eller Domain Services har konfigurerats kan du domänansluta virtuella Azure-datorer och filresurser med samma metod som lokala datorer. Mer information finns i Jämför Microsofts katalogbaserade tjänster.
Microsoft Entra ID- och AD DS-rekommendationer
Om du vill få åtkomst till program som använder lokal autentisering via Microsoft Entra-ID använder du Microsoft Entra-programproxy. Den här funktionen ger säker fjärråtkomst till lokala webbprogram. Det kräver inte ett VPN eller några ändringar i nätverksinfrastrukturen. Den distribueras dock som en enda instans till Microsoft Entra-ID, så programägare och plattforms- eller identitetsteam måste samarbeta för att säkerställa att programmet är korrekt konfigurerat.
Utvärdera kompatibiliteten för arbetsbelastningar för AD DS på Windows Server och Domain Services. Mer information finns i Vanliga användningsfall och scenarier.
Distribuera domänkontrollantens virtuella datorer eller Domain Services-replikuppsättningar till identitetsplattformsprenumerationen i plattformshanteringsgruppen.
Skydda det virtuella nätverk som innehåller domänkontrollanterna. Förhindra direkt internetanslutning till och från dessa system genom att placera AD DS-servrarna i ett isolerat undernät med en nätverkssäkerhetsgrupp (NSG) som tillhandahåller brandväggsfunktioner. Resurser som använder domänkontrollanter för autentisering måste ha en nätverksväg till domänkontrollantundernätet. Aktivera endast en nätverksväg för program som kräver åtkomst till tjänster i identitetsprenumerationen. Mer information finns i Distribuera AD DS i ett virtuellt Azure-nätverk.
- Använd Azure Virtual Network Manager för att tillämpa standardregler som gäller för virtuella nätverk. Azure Policy eller resurstaggar för virtuella nätverk kan till exempel användas för att lägga till virtuella nätverk i landningszonen i en nätverksgrupp om de kräver Active Directory-identitetstjänster. Nätverksgruppen kan sedan användas som endast tillåter åtkomst till domänkontrollantundernätet från program som kräver det och blockerar åtkomsten från andra program.
Skydda behörigheterna för rollbaserad åtkomstkontroll (RBAC) som gäller för de virtuella domänkontrollantdatorerna och andra identitetsresurser. Administratörer med RBAC-rolltilldelningar på Azure-kontrollplanet, till exempel Deltagare, Ägare eller Virtuell datordeltagare, kan köra kommandon på de virtuella datorerna. Se till att endast behöriga administratörer kan komma åt de virtuella datorerna i identitetsprenumerationen och att övergivna rolltilldelningar inte ärvs från högre hanteringsgrupper.
I en multiregional organisation distribuerar du Domain Services till den region som är värd för kärnplattformskomponenterna. Du kan bara distribuera Domain Services till en enda prenumeration. Du kan expandera Domain Services till ytterligare regioner genom att lägga till ytterligare fyra replikuppsättningar i separata virtuella nätverk som är peer-kopplade till det primära virtuella nätverket. Minimera svarstiden genom att hålla dina kärnprogram nära, eller i samma region som, det virtuella nätverket för dina replikuppsättningar.
När du distribuerar AD DS-domänkontrollanter i Azure distribuerar du dem mellan tillgänglighetszoner för ökad återhämtning. Mer information finns i Skapa virtuella datorer i tillgänglighetszoner och Migrera virtuella datorer till tillgänglighetszoner.
Autentisering kan ske i molnet och lokalt eller endast lokalt. Som en del av din identitetsplanering kan du utforska autentiseringsmetoderna för Microsoft Entra-ID.
Om en Windows-användare kräver Kerberos för Azure Files-filresurser bör du överväga att använda Kerberos-autentisering för Microsoft Entra-ID i stället för att distribuera domänkontrollanter i molnet.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för