Co je služba Azure Active Directory Domain Services?

  • 20.01.2021
  • 5 minut ke čtení
    • J
    • k
    • k
    • M
    • i
    • +1

Azure Active Directory Domain Services (AD DS) poskytuje spravované doménové služby, jako je například připojení k doméně, zásady skupin, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos/NTLM. Tyto doménové služby můžete používat bez nutnosti nasazovat, spravovat a opravovat řadiče domény (DC) v cloudu.

Spravovaná doména Azure AD DS umožňuje provozovat v cloudu starší aplikace, které nemohou používat moderní metody ověřování nebo kde nechcete, aby se vyhledávání adresářů vždy vracelo do místního prostředí AD DS. Tyto starší aplikace můžete přesunout z místního prostředí do spravované domény, aniž byste museli spravovat prostředí AD DS v cloudu.

Azure AD DS se integruje s vaším stávajícím nájemcem Azure AD. Tato integrace umožňuje uživatelům přihlašovat se ke službám a aplikacím připojeným ke spravované doméně pomocí jejich stávajících přihlašovacích údajů. K zabezpečení přístupu ke zdrojům můžete také použít stávající skupiny a uživatelské účty. Tyto funkce umožňují plynulejší přesun lokálních zdrojů do Azure.

Podívejte se na naše krátké video, kde se dozvíte více o Azure AD DS.

Jak funguje Azure AD DS?

Při vytváření spravované domény Azure AD DS definujete jedinečný jmenný prostor. Tento jmenný prostor je název domény, například aaddscontoso.com. Do vybrané oblasti Azure jsou poté nasazeny dva řadiče domény (DC) systému Windows Server. Toto nasazení DC se nazývá sada replik.

Tyto DC nemusíte spravovat, konfigurovat ani aktualizovat. Platforma Azure se stará o DC jako o součást spravované domény, včetně zálohování a šifrování v klidu pomocí Azure Disk Encryption.

Spravovaná doména je nakonfigurována tak, aby prováděla jednosměrnou synchronizaci z Azure AD a poskytovala přístup k centrální sadě uživatelů, skupin a pověření. Prostředky můžete vytvářet přímo ve spravované doméně, ale nejsou synchronizovány zpět do Azure AD. Aplikace, služby a virtuální počítače v Azure, které se připojují ke spravované doméně, pak mohou používat běžné funkce AD DS, jako je připojení k doméně, zásady skupin, LDAP a ověřování Kerberos/NTLM.

V hybridním prostředí s lokálním prostředím AD DS synchronizuje Azure AD Connect informace o identitách s Azure AD, které jsou pak synchronizovány do spravované domény.

Azure AD DS replikuje informace o identitách z Azure AD, takže funguje s nájemci Azure AD, kteří jsou pouze v cloudu nebo synchronizováni s lokálním prostředím AD DS. Pro obě prostředí existuje stejná sada funkcí Azure AD DS.

  • Pokud máte existující lokální prostředí AD DS, můžete synchronizovat informace o uživatelských účtech a zajistit tak konzistentní identitu uživatelů. Další informace naleznete v části Jak se synchronizují objekty a pověření ve spravované doméně.
  • Pro prostředí využívající pouze cloud nepotřebujete tradiční lokální prostředí AD DS, abyste mohli využívat centralizované služby identit služby Azure AD DS.

Spravovanou doménu můžete rozšířit tak, aby měla více než jednu sadu replik pro každého nájemce služby Azure AD. Sady replik lze přidat do libovolné peerované virtuální sítě v libovolné oblasti Azure, která podporuje Azure AD DS. Další sady replik v různých oblastech Azure zajišťují geografické obnovení po havárii pro starší aplikace, pokud některá oblast Azure přestane fungovat. Sady replik jsou v současné době v předběžném náhledu. Další informace naleznete v části Koncepty a funkce sad replik pro spravované domény.

Následující video poskytuje přehled o tom, jak se služba Azure AD DS integruje s vašimi aplikacemi a pracovními úlohami a poskytuje služby identit v cloudu:

Chcete-li vidět scénáře nasazení služby Azure AD DS v akci, můžete si prohlédnout následující příklady:

  • Azure AD DS pro hybridní organizace
  • Azure AD DS pro organizace využívající pouze cloud

Funkce a výhody Azure AD DS

Pro poskytování služeb identit aplikacím a virtuálním počítačům v cloudu je Azure AD DS plně kompatibilní s tradičním prostředím AD DS pro operace, jako je připojení k doméně, zabezpečený LDAP (LDAPS), zásady skupiny, správa DNS a podpora vazby a čtení LDAP. Podpora zápisu LDAP je k dispozici pro objekty vytvořené ve spravované doméně, nikoli však pro prostředky synchronizované z Azure AD.

Chcete-li se dozvědět více o možnostech identity, porovnejte Azure AD DS s Azure AD, AD DS na virtuálních počítačích Azure a AD DS on-premises.

Následující funkce Azure AD DS zjednodušují operace nasazení a správy:

  • Zjednodušené nasazení:
  • Integrováno s Azure AD: Azure AD DS se aktivuje pro vašeho nájemce Azure AD pomocí jediného průvodce na portálu Azure: Uživatelské účty, členství ve skupinách a pověření jsou automaticky dostupné z vašeho nájemce Azure AD. Noví uživatelé, skupiny nebo změny atributů z vašeho nájemce Azure AD nebo místního prostředí AD DS jsou automaticky synchronizovány do Azure AD DS.
    • Účty v externích adresářích propojených s Azure AD nejsou v Azure AD DS dostupné. Pověření nejsou pro tyto externí adresáře k dispozici, takže je nelze synchronizovat do spravované domény.
  • Používejte svá firemní pověření/hesla: Hesla pro uživatele v Azure AD DS jsou stejná jako ve vašem nájemci Azure AD. Uživatelé mohou používat svá firemní pověření k připojení ke strojům v doméně, přihlašovat se interaktivně nebo přes vzdálenou plochu a ověřovat se vůči spravované doméně.
  • Ověřování NTLM a Kerberos:
  • Vysoká dostupnost: Díky podpoře ověřování NTLM a Kerberos můžete nasadit aplikace, které se spoléhají na ověřování integrované do systému Windows: Azure AD DS obsahuje více řadičů domény, které zajišťují vysokou dostupnost spravované domény. Tato vysoká dostupnost zaručuje provozuschopnost služby a odolnost vůči výpadkům.
    • V oblastech, které podporují zóny dostupnosti Azure, jsou tyto řadiče domény také distribuovány napříč zónami, což zvyšuje odolnost.
    • Sady replik lze také použít k zajištění geografické obnovy po havárii pro starší aplikace, pokud dojde k výpadku regionu Azure.

Mezi klíčové aspekty spravované domény patří následující:

  • Spravovaná doména je samostatná doména. Není rozšířením lokální domény.
    • Pokud je to nutné, můžete vytvořit jednosměrné odchozí vztahy důvěryhodnosti doménové struktury z Azure AD DS do lokálního prostředí AD DS. Další informace naleznete v části Koncepty a funkce doménové struktury prostředků pro Azure AD DS.
  • Váš tým IT nemusí spravovat, opravovat ani monitorovat řadiče domény pro tuto spravovanou doménu.

Pro hybridní prostředí, která provozují AD DS on-premises, nemusíte spravovat replikaci AD do spravované domény. Uživatelské účty, členství ve skupinách a pověření z místního adresáře jsou synchronizovány do Azure AD prostřednictvím Azure AD Connect. Tyto uživatelské účty, členství ve skupinách a pověření jsou automaticky k dispozici ve spravované doméně.

Chcete-li se dozvědět více o srovnání služby Azure AD DS s jinými řešeními identit a o tom, jak funguje synchronizace, přečtěte si následující články:

  • Srovnání služby Azure AD DS se službou Azure AD, službou Active Directory Domain Services na virtuálních počítačích Azure a službou Active Directory Domain Services on-premises
  • Přečtěte si, jak se služba Azure AD Domain Services synchronizuje s adresářem Azure AD
  • Pokud se chcete dozvědět, jak spravovat spravovanou doménu, podívejte se na koncepty správy uživatelských účtů, hesel a správy v Azure AD DS.

Chcete-li začít, vytvořte spravovanou doménu pomocí portálu Azure

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.