- 01/20/2021
- 5 minuuttia aikaa
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory -toimialueen palvelut (AD DS) tarjoaa hallittuja toimialuepalveluja, kuten toimialueeseen liittymisen, ryhmäkäytäntö, LDAP (Lightweight Directory Access Protocol) ja Kerberos/NTLM-todennus. Voit käyttää näitä toimialuepalveluja ilman tarvetta ottaa käyttöön, hallita ja korjata toimialueohjaimia (DC) pilvessä.
Azure AD DS:n hallitun toimialueen avulla voit käyttää pilvessä vanhoja sovelluksia, jotka eivät pysty käyttämään nykyaikaisia todennusmenetelmiä, tai joissa et halua, että hakemistohakuja tehdään aina tiloissa olevaan AD DS -ympäristöön. Voit nostaa ja siirtää nämä vanhat sovellukset toimitilaympäristöstäsi hallittuun toimialueeseen ilman, että sinun tarvitsee hallita AD DS -ympäristöä pilvessä.
Azure AD DS integroituu olemassa olevaan Azure AD -vuokralaiseen. Tämän integraation avulla käyttäjät voivat kirjautua hallittuun toimialueeseen liitettyihin palveluihin ja sovelluksiin nykyisillä tunnuksillaan. Voit myös käyttää olemassa olevia ryhmiä ja käyttäjätilejä resurssien käytön turvaamiseen. Nämä ominaisuudet mahdollistavat tiloissa olevien resurssien sujuvamman siirtämisen Azureen.
Katso lyhyt videomme, josta saat lisätietoja Azure AD DS:stä.
Miten Azure AD DS toimii?
Kun luot Azure AD DS:n hallinnoidun toimialueen, määrittelet ainutlaatuisen nimiavaruuden. Tämä nimiavaruus on toimialueen nimi, esimerkiksi aaddscontoso.com. Tämän jälkeen kaksi Windows Server -verkkotunnusohjainta (DC) otetaan käyttöön valitsemallesi Azure-alueelle. Tätä DC:iden käyttöönottoa kutsutaan replikajoukoksi.
Sinun ei tarvitse hallita, määrittää tai päivittää näitä DC:itä. Azure-alusta käsittelee DC:t osana hallittua toimialuetta, mukaan lukien varmuuskopiot ja salaus levossa Azure Disk Encryptionin avulla.
Hallittu toimialue on määritetty suorittamaan yksisuuntainen synkronointi Azure AD:stä tarjotaksesi pääsyn keskitettyyn joukkoon käyttäjiä, ryhmiä ja valtakirjoja. Voit luoda resursseja suoraan hallitussa toimialueessa, mutta niitä ei synkronoida takaisin Azure AD:hen. Azuren sovellukset, palvelut ja VM:t, jotka muodostavat yhteyden hallittuun toimialueeseen, voivat sitten käyttää yleisiä AD DS -ominaisuuksia, kuten toimialueeseen liittymistä, ryhmäkäytäntöjä, LDAP:tä ja Kerberos/NTLM-todennusta.
Hybridiympäristössä, jossa on toimitiloissa sijaitseva AD DS -ympäristö, Azure AD Connect synkronoi identiteettitietoja Azure AD:n kanssa, minkä jälkeen identiteettitiedot synkronoidaan hallittuun toimialueeseen.
Azure AD DS replikoi identiteettitiedot Azure AD:stä, joten se toimii Azure AD -vuokralaisten kanssa, jotka ovat vain pilvipalveluja tai jotka on synkronoitu toimitiloissa olevan AD DS -ympäristön kanssa. Molemmissa ympäristöissä on samat Azure AD DS -ominaisuudet.
- Jos sinulla on olemassa oleva toimitiloissa toimiva AD DS -ympäristö, voit synkronoida käyttäjätilitietoja ja tarjota käyttäjille yhdenmukaisen identiteetin. Lisätietoja on kohdassa Miten objekteja ja tunnistetietoja synkronoidaan hallitussa toimialueessa.
- Pilviympäristöissä ei tarvita perinteistä tiloissa olevaa AD DS -ympäristöä, jotta voit käyttää Azure AD DS:n keskitettyjä identiteettipalveluja.
Voit laajentaa hallittua toimialuetta niin, että siinä on useampi kuin yksi replikajoukko Azure AD -vuokralaista kohden. Replica-sarjoja voidaan lisätä mihin tahansa kurkistettuun virtuaaliverkkoon millä tahansa Azure-alueella, joka tukee Azure AD DS:ää. Eri Azure-alueilla olevat ylimääräiset replikajoukot tarjoavat maantieteellisen katastrofivalmiuden palauttamisen vanhoille sovelluksille, jos jokin Azure-alue menee offline-tilaan. Replica-sarjat ovat tällä hetkellä esikatselussa. Lisätietoja on kohdassa Replica-sarjojen käsitteet ja ominaisuudet hallittuja toimialueita varten.
Seuraavassa videossa on yleiskatsaus siihen, miten Azure AD DS integroituu sovelluksiisi ja työtehtäviisi tarjotakseen identiteettipalveluja pilvessä:
Katsellaksesi Azure AD DS:n käyttöönottoskenaarioita käytännössä voit tutustua seuraaviin esimerkkeihin:
- Azure AD DS hybridiorganisaatioille
- Azure AD DS vain pilvipalveluja käyttäville organisaatioille
Azure AD DS:n ominaisuudet ja hyödyt
Tarjotaksesi identiteettipalveluja pilvipalvelussa oleville sovelluksille ja VM-tietokoneille Azure AD DS on täysin yhteensopiva perinteisen AD DS -ympäristön kanssa toimintojen, kuten toimialueiden yhteenliittämisen, suojatun LDAP:n (LDAPS), konsernitilakäytäntöjen, DNS:n hallinnan sekä LDAP:n sidonta- ja lukutuen, kannalta. LDAP-kirjoitustuki on käytettävissä hallitussa toimialueessa luoduille objekteille, mutta ei Azure AD:stä synkronoiduille resursseille.
Jos haluat lisätietoja identiteettivaihtoehdoistasi, vertaa Azure AD DS:ää Azure AD:hen, AD DS:ää Azure VM:ssä ja AD DS:ää toimitiloissa.
Jatkossa Seuraavat Azure AD DS:n piirteet yksinkertaistavat käyttöönotto- ja hallinnointitoimintoja:
- Yksinkertaistettu käyttöönottokokemus: Azure AD DS otetaan käyttöön Azure AD -vuokralle yhdellä ohjatulla toiminnolla Azure-portaalissa.
- Integroitu Azure AD:n kanssa: Käyttäjätilit, ryhmäjäsenyydet ja tunnistetiedot ovat automaattisesti käytettävissä Azure AD -vuokralaisuudessasi. Uudet käyttäjät, ryhmät tai attribuuttien muutokset Azure AD -vuokralaisuudestasi tai paikallisesta AD DS -ympäristöstä synkronoidaan automaattisesti Azure AD DS:ään.
- Azure AD:hen linkitetyissä ulkoisissa hakemistoissa olevat tilit eivät ole käytettävissä Azure AD DS:ssä. Tunnukset eivät ole käytettävissä näissä ulkoisissa hakemistoissa, joten niitä ei voida synkronoida hallittuun toimialueeseen.
- Käytä yrityksesi tunnuksia/salasanoja: Azure AD DS:n käyttäjien salasanat ovat samat kuin Azure AD -vuokralaisesi. Käyttäjät voivat käyttää yritystunnuksiaan liittyäkseen koneisiin toimialueeseen, kirjautuakseen sisään vuorovaikutteisesti tai etätyöpöydän kautta ja tunnistautuakseen hallittuun toimialueeseen.
- NTLM- ja Kerberos-todennus: NTLM- ja Kerberos-todennuksen tuen ansiosta voit ottaa käyttöön sovelluksia, jotka perustuvat Windows-integroituun todennukseen.
- Korkea käytettävyys: Azure AD DS sisältää useita toimialueenvalvojia, jotka tarjoavat korkean käytettävyyden hallitulle toimialueellesi. Tämä korkea saatavuus takaa palvelun käytettävyyden ja häiriönsietokyvyn.
- Alueilla, jotka tukevat Azure-saatavuusvyöhykkeitä, nämä toimialueenvalvojat on myös hajautettu vyöhykkeille, mikä lisää häiriönsietokykyä.
- Replikasarjoja voidaan käyttää myös maantieteellisen palautuksen tarjoamiseen vanhoille sovelluksille, jos Azure-alue menee offline-tilaan.
Joitakin hallinnoidun toimialueen keskeisiä näkökohtia ovat muun muassa seuraavat:
- Hallittu toimialue on itsenäinen toimialue. Se ei ole toimitiloissa olevan toimialueen laajennus.
- Tarvittaessa voit luoda yksisuuntaisia lähteviä metsäluottamuksia Azure AD DS:stä toimitiloissa olevaan AD DS -ympäristöön. Lisätietoja on kohdassa Azure AD DS:n resurssimetsäkäsitteet ja -ominaisuudet.
- Tietotekniikkatiimisi ei tarvitse hallita, korjata tai valvoa tämän hallittavan toimialueen toimialueohjaimia.
Hybridiympäristöissä, joissa käytetään AD DS:ää toimitiloissa, sinun ei tarvitse hallinnoida AD:n replikointia hallittuun toimialueeseen. Käyttäjätilit, ryhmäjäsenyydet ja tunnistetiedot paikallisesta hakemistosta synkronoidaan Azure AD:hen Azure AD Connectin kautta. Nämä käyttäjätilit, ryhmäjäsenyydet ja valtakirjat ovat automaattisesti käytettävissä hallitussa toimialueessa.
Lisätietoja Azure AD DS:n vertailusta muihin identiteettiratkaisuihin ja siitä, miten synkronointi toimii, on seuraavissa artikkeleissa:
- Vertaile Azure AD DS:ää Azure AD:n, Azure VM:ien Active Directory -toimialueen palveluiden ja toimitiloissa olevien Active Directory -toimialueen palveluiden kanssa
- Opi, miten Azure AD -toimialueen palvelut synkronoituvat Azure AD -hakemiston kanssa
- Opi, miten hallita hallittua toimialuetta, katso Käyttäjätilien hallinnan käsitteitä, salasanoja ja hallintaa Azure AD DS:ssä.
Luo aluksi hallittu toimialue Azure-portaalin avulla
.