- 01/20/2021
- 5 minuti per leggere
-
- J
- k
- k
- M
- i
-
+1
Azure Active Directory Domain Services (AD DS) fornisce servizi di dominio gestiti come domain join, i criteri di gruppo, il protocollo LDAP (Lightweight Directory Access Protocol) e l’autenticazione Kerberos/NTLM. Si utilizzano questi servizi di dominio senza la necessità di distribuire, gestire e applicare patch ai controller di dominio (DC) nel cloud.
Un dominio gestito Azure AD DS consente di eseguire applicazioni legacy nel cloud che non possono utilizzare metodi di autenticazione moderni o in cui non si desidera che le ricerche delle directory tornino sempre a un ambiente AD DS in sede. Puoi sollevare e spostare queste applicazioni legacy dal tuo ambiente on-premises in un dominio gestito, senza dover gestire l’ambiente AD DS nel cloud.
Azure AD DS si integra con il tuo tenant Azure AD esistente. Questa integrazione consente agli utenti di accedere a servizi e applicazioni collegati al dominio gestito utilizzando le loro credenziali esistenti. È anche possibile utilizzare i gruppi e gli account utente esistenti per proteggere l’accesso alle risorse. Queste caratteristiche forniscono un passaggio più agevole delle risorse on-premises ad Azure.
Guarda il nostro breve video per saperne di più su Azure AD DS.
Come funziona Azure AD DS?
Quando si crea un dominio gestito Azure AD DS, si definisce un namespace unico. Questo spazio dei nomi è il nome del dominio, come ad esempio aaddscontoso.com. Due controller di dominio (DC) Windows Server vengono quindi distribuiti nella regione Azure selezionata. Questa distribuzione di DC è nota come un set di replica.
Non è necessario gestire, configurare o aggiornare questi DC. La piattaforma Azure gestisce i DC come parte del dominio gestito, compresi i backup e la crittografia a riposo utilizzando Azure Disk Encryption.
Un dominio gestito è configurato per eseguire una sincronizzazione a senso unico da Azure AD per fornire l’accesso a un set centrale di utenti, gruppi e credenziali. È possibile creare risorse direttamente nel dominio gestito, ma non vengono sincronizzate con Azure AD. Le applicazioni, i servizi e le VM in Azure che si collegano al dominio gestito possono quindi utilizzare funzioni AD DS comuni come l’adesione al dominio, i criteri di gruppo, LDAP e l’autenticazione Kerberos/NTLM.
In un ambiente ibrido con un ambiente AD DS on-premises, Azure AD Connect sincronizza le informazioni di identità con Azure AD, che viene poi sincronizzato al dominio gestito.
Azure AD DS replica le informazioni sull’identità da Azure AD, quindi funziona con tenant Azure AD che sono solo cloud o sincronizzati con un ambiente AD DS in sede. Lo stesso set di funzioni di Azure AD DS esiste per entrambi gli ambienti.
- Se si dispone di un ambiente AD DS on-premises esistente, è possibile sincronizzare le informazioni dell’account utente per fornire un’identità coerente agli utenti. Per saperne di più, vedere Come vengono sincronizzati oggetti e credenziali in un dominio gestito.
- Per gli ambienti cloud-only, non è necessario un ambiente AD DS tradizionale in sede per utilizzare i servizi di identità centralizzati di Azure AD DS.
È possibile espandere un dominio gestito per avere più di un set di replica per tenant Azure AD. I set di replica possono essere aggiunti a qualsiasi rete virtuale peer in qualsiasi regione Azure che supporta Azure AD DS. I set di replica aggiuntivi in diverse regioni Azure forniscono il disaster recovery geografico per le applicazioni legacy se una regione Azure va offline. I set di repliche sono attualmente in anteprima. Per ulteriori informazioni, vedere Concetti e caratteristiche dei set di repliche per i domini gestiti.
Il seguente video fornisce una panoramica di come Azure AD DS si integra con le applicazioni e i carichi di lavoro per fornire servizi di identità nel cloud:
Per vedere gli scenari di distribuzione di Azure AD DS in azione, puoi esplorare i seguenti esempi:
- Azure AD DS per organizzazioni ibride
- Azure AD DS per organizzazioni solo cloud
Caratteristiche e vantaggi di Azure AD DS
Per fornire servizi di identità ad applicazioni e VM nel cloud, Azure AD DS è pienamente compatibile con un ambiente AD DS tradizionale per operazioni quali domain-join, LDAP sicuro (LDAPS), Group Policy, gestione DNS e supporto di lettura e binding LDAP. Il supporto di scrittura LDAP è disponibile per gli oggetti creati nel dominio gestito, ma non per le risorse sincronizzate da Azure AD.
Per saperne di più sulle tue opzioni di identità, confronta Azure AD DS con Azure AD, AD DS su Azure VM e AD DS on-premises.
Le seguenti caratteristiche di Azure AD DS semplificano le operazioni di distribuzione e gestione:
- Esperienza di distribuzione semplificata: Azure AD DS viene abilitato per il tuo tenant Azure AD utilizzando una singola procedura guidata nel portale Azure.
- Integrato con Azure AD: Gli account utente, le appartenenze di gruppo e le credenziali sono automaticamente disponibili dal tuo tenant Azure AD. Nuovi utenti, gruppi o modifiche agli attributi dal tuo tenant Azure AD o dal tuo ambiente AD DS on-premises vengono automaticamente sincronizzati con Azure AD DS.
- Gli account in directory esterne collegate al tuo Azure AD non sono disponibili in Azure AD DS. Le credenziali non sono disponibili per quelle directory esterne, quindi non possono essere sincronizzate in un dominio gestito.
- Usa le tue credenziali/password aziendali: Le password per gli utenti in Azure AD DS sono le stesse del tuo tenant Azure AD. Gli utenti possono usare le loro credenziali aziendali per unirsi al dominio delle macchine, accedere in modo interattivo o tramite desktop remoto e autenticarsi contro il dominio gestito.
- Autenticazione NTLM e Kerberos: Con il supporto per l’autenticazione NTLM e Kerberos, è possibile distribuire applicazioni che si basano sull’autenticazione integrata in Windows.
- Alta disponibilità: Azure AD DS include più controller di dominio, che forniscono alta disponibilità per il tuo dominio gestito. Questa alta disponibilità garantisce l’uptime del servizio e la resilienza ai guasti.
- Nelle regioni che supportano Azure Availability Zones, questi controller di dominio sono anche distribuiti tra le zone per un’ulteriore resilienza.
- I set di repliche possono anche essere utilizzati per fornire un disaster recovery geografico per le applicazioni legacy se una regione Azure va offline.
Alcuni aspetti chiave di un dominio gestito includono quanto segue:
- Il dominio gestito è un dominio autonomo. Non è un’estensione di un dominio on-premises.
- Se necessario, è possibile creare trust di foresta in uscita a senso unico da Azure AD DS a un ambiente AD DS on-premises. Per ulteriori informazioni, consultare Concetti e funzionalità della foresta di risorse per Azure AD DS.
- Il team IT non deve gestire, applicare patch o monitorare i controller di dominio per questo dominio gestito.
Per gli ambienti ibridi che eseguono AD DS in sede, non è necessario gestire la replica di AD nel dominio gestito. Gli account utente, le appartenenze di gruppo e le credenziali dalla tua directory on-premises sono sincronizzati con Azure AD tramite Azure AD Connect. Questi account utente, appartenenze di gruppo e credenziali sono automaticamente disponibili all’interno del dominio gestito.
Per saperne di più su Azure AD DS rispetto ad altre soluzioni di identità e su come funziona la sincronizzazione, vedi i seguenti articoli:
- Confronta Azure AD DS con Azure AD, Active Directory Domain Services su Azure VMs e Active Directory Domain Services on-premises
- Impara come Azure AD Domain Services si sincronizza con la tua directory Azure AD
- Per sapere come amministrare un dominio gestito, vedi concetti di gestione per account utente, password e amministrazione in Azure AD DS.
Per iniziare, crea un dominio gestito utilizzando il portale Azure.