Mi az Azure Active Directory tartományi szolgáltatások?

  • 01/20/2021
  • 5 perc olvasás
    • J
    • k
    • k
    • M
    • i
    • +1

Az Active Directory tartományi szolgáltatások (AD DS) kezelt tartományi szolgáltatásokat nyújt, mint például a tartományhoz való csatlakozás, csoportházirend, LDAP (Lightweight Directory Access Protocol) és Kerberos/NTLM hitelesítés. Ezeket a tartományi szolgáltatásokat anélkül használhatja, hogy a felhőben tartományvezérlőket (DC-ket) kellene telepítenie, kezelnie és javítania.

Az Azure AD DS kezelt tartomány lehetővé teszi, hogy olyan régebbi alkalmazásokat futtasson a felhőben, amelyek nem használhatnak modern hitelesítési módszereket, vagy ahol nem szeretné, hogy a címtárkeresés mindig egy helyhez kötött AD DS-környezetbe menjen vissza. Ezeket az örökölt alkalmazásokat átemelheti és áthelyezheti a helyhez kötött környezetéből egy kezelt tartományba, anélkül, hogy a felhőben kellene kezelnie az AD DS-környezetet.

Azure AD DS integrálódik a meglévő Azure AD bérlőjébe. Ez az integráció lehetővé teszi, hogy a felhasználók a meglévő hitelesítő adataikkal bejelentkezzenek a kezelt tartományhoz kapcsolódó szolgáltatásokba és alkalmazásokba. A meglévő csoportokat és felhasználói fiókokat is használhatja az erőforrásokhoz való hozzáférés biztosításához. Ezek a funkciók biztosítják a helyben lévő erőforrások zökkenőmentesebb átvitelét az Azure-ra.

Nézze meg rövid videónkat, hogy többet megtudjon az Azure AD DS-ről.

Hogyan működik az Azure AD DS?

Az Azure AD DS kezelt tartomány létrehozásakor egyedi névteret határoz meg. Ez a névtér a tartomány neve, például aaddscontoso.com. Ezután két Windows Server tartományvezérlőt (DC) telepít a kiválasztott Azure régióba. A DC-k ezen telepítését replikakészletnek nevezzük.

Nem kell kezelnie, konfigurálnia vagy frissítenie ezeket a DC-ket. Az Azure platform a DC-ket a kezelt tartomány részeként kezeli, beleértve a biztonsági mentéseket és a nyugalmi titkosítást az Azure Disk Encryption használatával.

A kezelt tartomány úgy van konfigurálva, hogy az Azure AD-ből egyirányú szinkronizálást végezzen, hogy hozzáférést biztosítson a felhasználók, csoportok és hitelesítő adatok központi készletéhez. Közvetlenül a kezelt tartományban hozhat létre erőforrásokat, de azok nem szinkronizálódnak vissza az Azure AD-be. A kezelt tartományhoz csatlakozó alkalmazások, szolgáltatások és VM-ek az Azure-ban ezután használhatják az AD DS olyan általános funkcióit, mint a tartományi csatlakozás, a csoportházirend, az LDAP és a Kerberos/NTLM hitelesítés.

A helyhez kötött AD DS-környezettel rendelkező hibrid környezetben az Azure AD Connect szinkronizálja a személyazonossági információkat az Azure AD-vel, amelyeket aztán a kezelt tartományba szinkronizál.

Az Azure AD DS az Azure AD-ből replikálja a személyazonossági információkat, így olyan Azure AD-bérlőkkel működik, amelyek csak felhőalapúak, vagy helyhez kötött AD DS-környezettel szinkronizáltak. Az Azure AD DS funkcióinak ugyanazok a készletei állnak rendelkezésre mindkét környezetben.

  • Ha van egy meglévő helyhez kötött AD DS-környezete, akkor szinkronizálhatja a felhasználói fiókinformációkat, hogy egységes identitást biztosítson a felhasználók számára. További információért lásd: Hogyan szinkronizálódnak az objektumok és a hitelesítő adatok egy felügyelt tartományban.
  • A csak felhőalapú környezetek esetében nincs szükség hagyományos helyhez kötött AD DS-környezetre az Azure AD DS központosított identitásszolgáltatásainak használatához.

Egy felügyelt tartományt kibővíthet úgy, hogy Azure AD-bérlőnként egynél több replikakészlet legyen. A replikakészleteket bármelyik Azure régióban lévő, az Azure AD DS-t támogató Azure-régióban lévő bármelyik ellenőrzött virtuális hálózathoz hozzá lehet adni. A különböző Azure-régiókban lévő további replikakészletek földrajzi katasztrófa-helyreállítást biztosítanak a régebbi alkalmazások számára, ha egy Azure-régió offline állapotba kerül. A replikakészletek jelenleg előnézetben vannak. További információért lásd: Replikakészletek fogalmai és funkciói a kezelt tartományokhoz.

A következő videó áttekintést nyújt arról, hogyan integrálódik az Azure AD DS az alkalmazásokba és a munkaterhelésekbe, hogy identitásszolgáltatásokat nyújtson a felhőben:

Az Azure AD DS telepítési forgatókönyveinek megtekintéséhez a gyakorlatban a következő példákat tekintheti meg:

  • Azure AD DS hibrid szervezetek számára
  • Azure AD DS csak felhőben működő szervezetek számára

Azure AD DS jellemzői és előnyei

Az Azure AD DS a felhőben lévő alkalmazások és VM-ek számára identitásszolgáltatások nyújtásához teljes mértékben kompatibilis a hagyományos AD DS-környezettel olyan műveletek tekintetében, mint a tartományhoz való csatlakozás, biztonságos LDAP (LDAPS), csoportházirend, DNS-kezelés, valamint az LDAP kötés és olvasás támogatása. Az LDAP írási támogatás a kezelt tartományban létrehozott objektumokhoz érhető el, de az Azure AD-ből szinkronizált erőforrásokhoz nem.

Az Azure AD DS és az Azure AD, az Azure VM-eken lévő AD DS és a helyben lévő AD DS összehasonlítása az identitási lehetőségekről.

Az Azure AD DS következő jellemzői egyszerűsítik a telepítési és kezelési műveleteket:

  • Egyszerűsített telepítési élmény: Az Azure AD DS engedélyezése az Azure AD bérlő számára egyetlen varázsló segítségével történik az Azure portálon.
  • Integrálva az Azure AD-vel: A felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők az Azure AD-tartományból. Az Azure AD bérlőjéből vagy a helyhez kötött AD DS környezetéből származó új felhasználók, csoportok vagy az attribútumok módosításai automatikusan szinkronizálódnak az Azure AD DS-be.
    • Az Azure AD-vel összekapcsolt külső könyvtárakban lévő fiókok nem érhetők el az Azure AD DS-ben. A hitelesítő adatok nem állnak rendelkezésre ezekhez a külső könyvtárakhoz, így nem szinkronizálhatók egy kezelt tartományba.
  • Használja a vállalati hitelesítő adatokat/jelszavakat: A felhasználók jelszavai az Azure AD DS-ben ugyanazok, mint az Azure AD bérlőjében. A felhasználók használhatják vállalati hitelesítő adataikat a gépek tartományhoz való csatlakozásához, interaktívan vagy távoli asztalon keresztül történő bejelentkezéshez, valamint a kezelt tartomány felé történő hitelesítéshez.
  • NTLM és Kerberos hitelesítés: Az NTLM és Kerberos hitelesítés támogatásával olyan alkalmazásokat is telepíthet, amelyek Windows-integrált hitelesítésre támaszkodnak.
  • Magas rendelkezésre állás: Az Azure AD DS több tartományvezérlőt tartalmaz, amelyek magas rendelkezésre állást biztosítanak a kezelt tartomány számára. Ez a magas rendelkezésre állás garantálja a szolgáltatás üzemidejét és a hibákkal szembeni ellenálló képességet.
    • Az Azure rendelkezésre állási zónákat támogató régiókban ezek a tartományvezérlők a további ellenálló képesség érdekében a zónák között is el vannak osztva.
    • A replikakészletek arra is használhatók, hogy földrajzi helyreállítást biztosítsanak a régi alkalmazások számára, ha egy Azure régió offline állapotba kerül.

A kezelt tartomány néhány kulcsfontosságú szempontja a következő:

  • A kezelt tartomány egy önálló tartomány. Nem egy helyhez kötött tartomány kiterjesztése.
    • Szükség esetén létrehozhat egyirányú kimenő erdei bizalmi kapcsolatokat az Azure AD DS-ből egy helyhez kötött AD DS-környezetbe. További információért lásd az Azure AD DS erőforrás-erdő fogalmak és funkciók című fejezetet.
  • Az IT-csapatnak nem kell kezelnie, javítania vagy felügyelnie ennek a kezelt tartománynak a tartományvezérlőit.

A helyhez kötött AD DS-t futtató hibrid környezetek esetében nem kell kezelnie az AD replikációt a kezelt tartományba. A helyi címtár felhasználói fiókjai, csoporttagságai és hitelesítő adatai az Azure AD Connecten keresztül szinkronizálódnak az Azure AD AD-vel. Ezek a felhasználói fiókok, csoporttagságok és hitelesítő adatok automatikusan elérhetők a kezelt tartományban.

Az Azure AD DS és más személyazonossági megoldások összehasonlításáról és a szinkronizálás működéséről bővebben a következő cikkekben olvashat:

  • Az Azure AD DS összehasonlítása az Azure AD-vel, az Active Directory tartományi szolgáltatásokkal Azure VM-eken és az Active Directory tartományi szolgáltatásokkal helyben
  • Tudja meg, hogyan szinkronizál az Azure AD tartományi szolgáltatások az Azure AD könyvtárral
  • A kezelt tartomány adminisztrációjának megismeréséhez lásd a felhasználói fiókok, jelszavak és a felügyelet kezelési fogalmai az Azure AD DS-ben.

A kezdéshez hozzon létre egy kezelt tartományt az Azure portál segítségével

.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.