Dağıtım senaryoları ve kullanım örnekleriDeployment scenarios and use-cases

Bu bölümde, bazı senaryolar ve Azure Active Directory (AD) etki alanı Hizmetleri'nden yararlanan kullanım örnekleri bakacağız.In this section, we look at a few scenarios and use-cases that benefit from Azure Active Directory (AD) Domain Services.

Azure sanal makinelerini güvenli, kullanımı kolay yönetimSecure, easy administration of Azure virtual machines

Azure sanal makinelerinizin kolaylaştırılmış bir şekilde yönetmek için Azure Active Directory Domain Services'ı kullanabilirsiniz.You can use Azure Active Directory Domain Services to manage your Azure virtual machines in a streamlined manner. Azure sanal makineleri, böylece oturum açmak için Kurumsal AD kimlik bilgilerinizi kullanmanıza olanak yönetilen etki alanına katılabilir.Azure virtual machines can be joined to the managed domain, thus enabling you to use your corporate AD credentials to log in. Bu yaklaşım, Azure sanal makinelerinizin tümünde yerel yönetici hesapları bakımını yapma gibi kimlik bilgisi yönetimi sorunlarıyla uğraşmak zorunda kalmamanızı sağlar.This approach helps avoid credential management hassles such as maintaining local administrator accounts on each of your Azure virtual machines.

Yönetilen etki alanına Server sanal makineleri de yönetilebilir ve Grup İlkesi kullanılarak güvenli.Server virtual machines that are joined to the managed domain can also be managed and secured using Group Policy. Gerekli güvenlik temellerini Azure sanal makineleriniz için geçerlidir ve bunları Kurumsal güvenlik yönergelerine uygun olarak kilitleme.You can apply required security baselines to your Azure virtual machines and lock them down in accordance with corporate security guidelines. Örneğin, bu sanal makinelere başlatılabilen uygulamalar türlerini kısıtlamak için Grup İlkesi yönetim özelliklerini kullanabilirsiniz.For example, you can use group policy management capabilities to restrict the types of applications that can be launched on these virtual machines.

Azure sanal makinelerini kolaylaştırılmış Yönetim

Contoso yaşam uç sunucuları ve diğer altyapısını ulaşır gibi birçok uygulama şu anda şirket içi bulutta barındırılan taşınıyor.As servers and other infrastructure reaches end-of-life, Contoso is moving many applications currently hosted on premises to the cloud. Kendi geçerli BT standart kurumsal uygulamaları barındıran sunucu etki alanına katılmış ve Grup İlkesi kullanılarak yönetilen olmasını zorunlu kılar.Their current IT standard mandates that servers hosting corporate applications must be domain-joined and managed using Group Policy. Contoso'nun BT yöneticisi tercih ettiği etki alanı katılma sanal makineleri, Azure'a Dağıtılmış Yönetim kolaylaştırmak için.Contoso's IT administrator prefers to domain join virtual machines deployed in Azure, to make administration easier. Sonuç olarak, Yöneticiler ve kullanıcılar şirket kimlik bilgilerini kullanarak da oturum açabilirsiniz.As a result, administrators and users can log in using their corporate credentials. Aynı zamanda, Grup İlkesi kullanarak gerekli güvenlik temelleri ile uyum sağlamak için makine yapılandırılabilir.At the same time, machines can be configured to comply with required security baselines using Group Policy. Contoso, dağıtma, izleme ve Azure sanal makineleri korumak için Azure etki alanı denetleyicilerini Yönet etmek zorunda kalmamayı tercih edebilir.Contoso would prefer not to have to deploy, monitor, and manage domain controllers in Azure to secure Azure virtual machines. Bu nedenle, Azure AD etki alanı Hizmetleri, bu kullanım örneği için çok uygun olabilir.Therefore, Azure AD Domain Services is a great fit for this use-case.

Dağıtım notlarıDeployment notes

Bu dağıtım senaryosu için aşağıdaki önemli noktalara dikkat edin:Consider the following important points for this deployment scenario:

  • Yönetilen etki alanlarını Azure AD Domain Services tarafından sağlanan varsayılan olarak tek bir düz OU (kuruluş birimi) yapısı sağlar.Managed domains provided by Azure AD Domain Services provide a single flat OU (Organizational Unit) structure by default. Etki alanına katılmış tüm makinelerde tek bir düz OU'da yer alır.All domain-joined machines reside in a single flat OU. Ancak özel OU'ları oluşturmak tercih edebilirsiniz.You may however choose to create custom OUs.
  • Azure AD etki alanı Hizmetleri, bir yerleşik GPO'yu her kullanıcıları ve bilgisayarları biçiminde basit Grup İlkesi destekler kapsayıcıları.Azure AD Domain Services supports simple Group Policy in the form of a built-in GPO each for the users and computers containers. Özel GPO'ları oluşturmak ve bunları özel OU'lara hedefleyin.You can create custom GPOs and target them to custom OUs.
  • Azure AD etki alanı Hizmetleri temel AD bilgisayar nesnesi şemaya destekler.Azure AD Domain Services supports the base AD computer object schema. Bilgisayar nesnesinin şema genişletemezsiniz.You cannot extend the computer object's schema.

Lift-and-shift ile taşıma LDAP bağlama kimlik doğrulaması için Azure altyapı hizmetleri kullanan bir şirket içi uygulamaLift-and-shift an on-premises application that uses LDAP bind authentication to Azure Infrastructure Services

LDAP bağlama

Contoso bir ISV çok sayıda yıl önce satın alınmış bir şirket içi uygulama sahiptir.Contoso has an on-premises application that was purchased from an ISV many years ago. Uygulama şu anda ISV tarafından Bakım modunda ve uygulamada değişiklik isteyen Contoso için fazla vakit pahalıdır.The application is currently in maintenance mode by the ISV and requesting changes to the application is prohibitively expensive for Contoso. Bu uygulama bir web formu kullanarak kullanıcı kimlik bilgilerini toplayan ve ardından bir LDAP bağlaması Kurumsal Active Directory gerçekleştirerek kullanıcılarının kimliğini doğrulayan bir web tabanlı bir ön ucu vardır.This application has a web-based frontend that collects user credentials using a web form and then authenticates users by performing an LDAP bind to the corporate Active Directory. Contoso, Azure altyapı hizmetleri için bu uygulamayı geçirmek istiyor.Contoso would like to migrate this application to Azure Infrastructure Services. Uygulamanın herhangi bir değişikliğe gerek olmadan, olduğu gibi çalıştığını istenen bir durumdur.It is desirable that the application works as is, without requiring any changes. Ayrıca, kullanıcılar, mevcut Kurumsal kimlik bilgilerini kullanarak kimlik doğrulaması için olmalıdır ve kullanıcılar farklı işlemler yapmak üzere yeniden eğitme zorunda kalmadan.Additionally, users should be able to authenticate using their existing corporate credentials and without having to retrain users to do things differently. Diğer bir deyişle, son kullanıcıların uygulamayı nerede çalıştığını oblivious olmalıdır ve geçiş için saydam olmalıdır.In other words, end users should be oblivious of where the application is running and the migration should be transparent to them.

Dağıtım notlarıDeployment notes

Bu dağıtım senaryosu için aşağıdaki önemli noktalara dikkat edin:Consider the following important points for this deployment scenario:

  • Uygulamanın dizine değiştirmek/yazma gerekmeyen emin olun.Ensure that the application does not need to modify/write to the directory. Yönetilen etki alanlarını Azure AD Domain Services tarafından sağlanan LDAP yazma erişimi desteklenmiyor.LDAP write access to managed domains provided by Azure AD Domain Services is not supported.
  • Yönetilen etki alanına karşı doğrudan parolaları değiştiremezsiniz.You cannot change passwords directly against the managed domain. Son kullanıcılara parolalarını değiştirebilir ya da Azure AD Self Servis parola değiştirme mekanizmasını kullanma veya şirket içi dizin karşı.End users can change their password either using Azure AD's self-service password change mechanism or against the on-premises directory. Bu değişiklikleri otomatik olarak eşitlenen ve yönetilen etki alanında kullanılabilir.These changes are automatically synchronized and available in the managed domain.

Azure altyapı hizmetleri dizine erişmek için LDAP kullanan bir şirket içi uygulamayı lift-and-shift ile taşıma okuyunLift-and-shift an on-premises application that uses LDAP read to access the directory to Azure Infrastructure Services

Contoso neredeyse on yıl önce geliştirilmiş bir şirket içi iş kolu (LOB) uygulaması vardır.Contoso has an on-premises line-of-business (LOB) application that was developed almost a decade ago. Bu uygulamayı kullanan dizin ve Windows Server AD ile çalışacak şekilde tasarlanmıştır.This application is directory aware and was designed to work with Windows Server AD. Uygulama, kullanıcılar hakkında bilgileri/özniteliklerini Active Directory'den okumak için LDAP (Basit Dizin Erişimi Protokolü) kullanır.The application uses LDAP (Lightweight Directory Access Protocol) to read information/attributes about users from Active Directory. Uygulama özniteliklerini değiştirin veya aksi halde dizine yazma desteklemez.The application does not modify attributes or otherwise write to the directory. Contoso, Azure altyapı hizmetleri için bu uygulamayı geçirmek ve şu anda bu uygulamayı barındıran eskime şirket içi donanım devre dışı bırakmak ister misiniz?Contoso would like to migrate this application to Azure Infrastructure Services and retire the aging on-premises hardware currently hosting this application. Modern dizini REST tabanlı Azure AD Graph API gibi API'leri kullanmak için uygulamayı yeniden yazılması olamaz.The application cannot be rewritten to use modern directory APIs such as the REST-based Azure AD Graph API. Bu nedenle, kod değiştirme veya uygulama yeniden yazma bulutta çalıştırmak için uygulama geçirilebilir gerçekleştirilmesine lift-and-shift ile taşıma seçeneği istenir.Therefore, a lift-and-shift option is desired whereby the application can be migrated to run in the cloud, without modifying code or rewriting the application.

Dağıtım notlarıDeployment notes

Bu dağıtım senaryosu için aşağıdaki önemli noktalara dikkat edin:Consider the following important points for this deployment scenario:

  • Uygulamanın dizine değiştirmek/yazma gerekmeyen emin olun.Ensure that the application does not need to modify/write to the directory. Yönetilen etki alanlarını Azure AD Domain Services tarafından sağlanan LDAP yazma erişimi desteklenmiyor.LDAP write access to managed domains provided by Azure AD Domain Services is not supported.
  • Uygulama özel genişletilmiş bir Active Directory şemasını gerekmeyen emin olun.Ensure that the application does not need a custom/extended Active Directory schema. Şema uzantıları, Azure AD Etki Alanı Hizmetleri'nde desteklenmez.Schema extensions are not supported in Azure AD Domain Services.

Azure altyapı hizmetleri için bir şirket içi hizmet veya yordam uygulamasını geçirmeMigrate an on-premises service or daemon application to Azure Infrastructure Services

Bazı uygulamalar birden çok katman, katmanlardan birine veritabanı katmanı gibi bir arka uç katmanı için kimliği doğrulanmış aramalar gerçekleştirmek için gereken yere oluşur.Some applications consist of multiple tiers, where one of the tiers needs to perform authenticated calls to a backend tier such as a database tier. Active Directory hizmet hesapları, bu kullanım durumları için yaygın olarak kullanılır.Active Directory service accounts are commonly used for these use-cases. Lift-and-shift ile taşıma için söz konusu uygulamalar, Azure altyapı hizmetleri ve bu uygulamaların kimlik gereksinimleri için Azure AD etki alanı Hizmetleri kullanın.You can lift-and-shift such applications to Azure Infrastructure Services and use Azure AD Domain Services for the identity needs of these applications. Şirket içi dizininizden Azure AD'ye eşitlenen aynı hizmet hesabını kullanmayı da tercih edebilirsiniz.You can choose to use the same service account that is synchronized from your on-premises directory to Azure AD. Alternatif olarak, ilk özel bir OU oluşturun ve ardından söz konusu uygulamalar dağıtmak için OU içinde ayrı bir hizmet hesabı oluşturun.Alternately, you can first create a custom OU and then create a separate service account in that OU, to deploy such applications.

WIA kullanarak hizmet hesabı

Contoso bir arka uç FTP sunucusuna bir web ön ucu ve bir SQL server içeren bir özel olarak geliştirilmiş yazılımlar kasa uygulama vardır.Contoso has a custom-built software vault application that includes a web front end, a SQL server, and a backend FTP server. Windows tümleşik kimlik doğrulaması hizmet hesapları, web ön ucu FTP sunucusuna kimlik doğrulaması için kullanılır.Windows-integrated authentication of service accounts is used to authenticate the web front end to the FTP server. Web ön ucu bir hizmet hesabı çalışacak şekilde ayarlayın.The web front end is set up to run as a service account. Arka uç sunucusu için web ön uç hizmet hesabından erişim yetkisi vermek için yapılandırılır.The backend server is configured to authorize access from the service account for the web front end. Contoso, Azure altyapı hizmetleri bu uygulamaya taşımak için bulutta bir etki alanı denetleyicisi sanal makinesini dağıtmak almamayı tercih eder.Contoso prefers not to have to deploy a domain controller virtual machine in the cloud to move this application to Azure Infrastructure Services. Contoso'nun BT yöneticisi, web ön ucu, SQL server ve Azure sanal makinelerine FTP sunucusunun barındırma sunucuları dağıtabilirsiniz.Contoso's IT administrator can deploy the servers hosting the web front end, SQL server, and the FTP server to Azure virtual machines. Bu makineler sonra bir Azure AD Domain Services yönetilen etki alanına katılmış.These machines are then joined to an Azure AD Domain Services managed domain. Ardından, bunların aynı hizmet hesabını kendi şirket içi dizininde uygulamanın kimlik doğrulama amaçlarıyla kullanabilirsiniz.Then, they can use the same service account in their on-premises directory for the app’s authentication purposes. Bu hizmet hesabı, Azure AD Domain Services yönetilen etki alanına eşitlenir ve kullanıma hazırdır.This service account is synchronized to the Azure AD Domain Services managed domain and is available for use.

Dağıtım notlarıDeployment notes

Bu dağıtım senaryosu için aşağıdaki önemli noktalara dikkat edin:Consider the following important points for this deployment scenario:

  • Uygulama kimlik doğrulaması için kullanıcı adı/parola kullandığından emin olun.Ensure that the application uses username/password for authentication. Sertifika/akıllı kart tabanlı kimlik doğrulaması, Azure AD Domain Services tarafından desteklenmiyor.Certificate/Smartcard based authentication is not supported by Azure AD Domain Services.
  • Yönetilen etki alanına karşı doğrudan parolaları değiştiremezsiniz.You cannot change passwords directly against the managed domain. Son kullanıcılara parolalarını değiştirebilir ya da Azure AD Self Servis parola değiştirme mekanizmasını kullanma veya şirket içi dizin karşı.End users can change their password either using Azure AD's self-service password change mechanism or against the on-premises directory. Bu değişiklikleri otomatik olarak eşitlenen ve yönetilen etki alanında kullanılabilir.These changes are automatically synchronized and available in the managed domain.

Azure dağıtımları Windows Server Uzak Masaüstü HizmetleriWindows Server Remote desktop services deployments in Azure

Azure AD Domain Services, Azure'da dağıtılan, Uzak Masaüstü sunucularının yönetilen AD etki alanı hizmetleri sağlamak için kullanabilirsiniz.You can use Azure AD Domain Services to provide managed AD domain services to your remote desktop servers deployed in Azure.

Bu dağıtım senaryosu hakkında daha fazla bilgi için bkz. nasıl Azure AD Domain Services, RDS dağıtımı ile tümleştirmeniz.For more information about this deployment scenario, see how to integrate Azure AD Domain Services with your RDS deployment.

Etki alanına katılmış HDInsight kümeleri (Önizleme)Domain-joined HDInsight clusters (Preview)

Apache Ranger etkin bir Azure AD Domain Services yönetilen etki alanına katılmış bir Azure HDInsight kümesi ayarlayabilirsiniz.You can set up an Azure HDInsight cluster that is joined to an Azure AD Domain Services managed domain with Apache Ranger enabled. Oluşturma ile Apache Ranger Hive ilkelerini uygulamak ve kullanıcıların (örneğin, veri uzmanları) için Hive ODBC tabanlı araçlar, örneğin Excel, Tableau vb. kullanarak bağlanmasına izin vermek. Microsoft kısa süre içinde etki alanına katılmış HDInsight için Storm, HBase ve Spark gibi diğer iş yükleri ekleme çalışmaktadır.Create and apply Hive policies through Apache Ranger, and allow users (for example, data scientists) to connect to Hive using ODBC-based tools, for example Excel, Tableau etc. Microsoft is working on adding other workloads, such as HBase, Spark, and Storm, to Domain-joined HDInsight soon.

Bu dağıtım senaryosu hakkında daha fazla bilgi için bkz. nasıl etki alanına katılmış HDInsight kümelerini yapılandırmaFor more information about this deployment scenario, see how to configure domain-joined HDInsight clusters