Hybridní identita se službou Active Directory a ID Microsoft Entra v cílových zónách Azure
Tento článek obsahuje pokyny k návrhu a implementaci ID Microsoft Entra a hybridní identity pro cílové zóny Azure.
Organizace, které pracují v cloudu, vyžadují adresářovou službu pro správu identit uživatelů a přístup k prostředkům. Microsoft Entra ID je cloudová služba pro správu identit a přístupu, která poskytuje robustní možnosti pro správu uživatelů a skupin. Microsoft Entra ID můžete použít jako samostatné řešení identit nebo ho integrovat s infrastrukturou služby Microsoft Entra Domain Services nebo infrastrukturou služby místní Active Directory Domain Services (AD DS).
Microsoft Entra ID poskytuje moderní zabezpečenou správu identit a přístupu pro služby Azure a Microsoft 365. Id Microsoft Entra můžete použít pro různé organizace a úlohy. Například organizace s místní infrastrukturou služby AD DS a cloudovými úlohami můžou používat synchronizaci adresářů s ID Microsoft Entra. Synchronizace adresářů zajišťuje, aby místní a cloudová prostředí sdílela konzistentní sadu identit, skupin a rolí. Aplikace, které vyžadují starší mechanismy ověřování, můžou potřebovat službu Domain Services pro spravované doménové služby v cloudu a rozšířit místní infrastrukturu SLUŽBY AD DS do Azure.
Správa cloudových identit je iterativní proces. Můžete začít s nativním cloudovým řešením, které má malou sadu uživatelů a odpovídajících rolí pro počáteční nasazení. S tím, jak vaše migrace zralá, možná budete muset integrovat řešení identit pomocí synchronizace adresářů nebo přidat doménové služby hostované v cloudu jako součást nasazení cloudu.
Upravte řešení identit v průběhu času v závislosti na požadavcích na ověřování úloh a dalších potřebách, jako jsou změny strategie identit organizace a požadavků na zabezpečení nebo integrace s jinými adresářovými službami. Při vyhodnocování řešení služby Active Directory pro Windows Server porozumíte rozdílům mezi microsoft Entra ID, Domain Services a AD DS na Windows Serveru.
Další informace najdete v průvodci rozhodováním o identitě.
Služby správy identit a přístupu v cílových zónách Azure
Tým platformy zodpovídá za správu identit a přístupu. Služby správy identit a přístupu jsou zásadní pro zabezpečení organizace. Vaše organizace může pomocí Microsoft Entra ID řídit přístup pro správu a chránit prostředky platformy. Tento přístup brání uživatelům mimo tým platformy v provádění změn konfigurace nebo objektů zabezpečení obsažených v rámci Microsoft Entra ID.
Pokud používáte službu AD DS nebo Domain Services, musíte chránit řadiče domény před neoprávněným přístupem. Řadiče domény jsou vysoce zranitelné vůči útokům a měly by mít přísné kontrolní mechanismy zabezpečení a oddělení od úloh aplikací.
Nasaďte řadiče domény a přidružené komponenty, jako jsou servery Microsoft Entra Připojení, v předplatném Identity umístěném ve skupině pro správu platformy. Řadiče domény nejsou delegovány do aplikačních týmů. Tato izolace umožňuje vlastníkům aplikací používat služby identit, aniž by je museli udržovat, což snižuje riziko ohrožení služeb správy identit a přístupu. Prostředky v předplatném Identity Platform představují kritický bod zabezpečení pro vaše cloudová a místní prostředí.
Zřiďte cílové zóny, aby si vlastníci aplikací mohli zvolit buď ID Microsoft Entra, nebo AD DS a Domain Services, aby vyhovovaly potřebám jejich úloh. V závislosti na vašem řešení identit možná budete muset nakonfigurovat další služby. Může být například potřeba povolit a zabezpečit síťové připojení k virtuální síti Identity. Pokud používáte prodejní proces předplatného, uveďte tyto konfigurační informace do žádosti o předplatné.
Azure a místní domény (hybridní identita)
Uživatelské objekty, které vytvoříte zcela v Microsoft Entra ID, se označují jako účty jen pro cloud. Účty pouze v cloudu podporují moderní ověřování a přístup k prostředkům Azure a Microsoftu 365 a podporují přístup pro místní zařízení, která používají Windows 10 nebo Windows 11.
Vaše organizace už možná má dlouhodobé adresáře služby AD DS, které integrujete s jinými systémy, jako je plánování podnikových nebo podnikových zdrojů (ERP) prostřednictvím protokolu LDAP (Lightweight Directory Access Protocol). Tyto domény můžou mít mnoho počítačů a aplikací připojených k doméně, které k ověřování používají protokoly Kerberos nebo starší protokoly NTLMv2. V těchto prostředích můžete synchronizovat objekty uživatelů s ID Microsoft Entra, aby se uživatelé mohli přihlásit k místním systémům i cloudovým prostředkům s jedinou identitou. Sjednocení místních a cloudových adresářových služeb se označuje jako hybridní identita. Místní domény můžete rozšířit do cílových zón Azure:
Pokud chcete udržovat jeden uživatelský objekt v cloudových i místních prostředích, můžete synchronizovat uživatele domény SLUŽBY AD DS s Microsoft Entra ID prostřednictvím Microsoft Entra Připojení nebo Microsoft Entra Cloud Sync. Pokud chcete určit doporučenou konfiguraci pro vaše prostředí, přečtěte si téma Topologie pro Microsoft Entra Připojení a topologie pro Microsoft Entra Cloud Sync.
Pokud chcete připojit virtuální počítače s Windows k doméně a další služby, můžete nasadit řadiče domény služby AD DS nebo Domain Services v Azure. Tento přístup použijte, aby se uživatelé služby AD DS mohli přihlásit k serverům s Windows, sdíleným složkám Azure a dalším prostředkům, které používají Active Directory jako zdroj ověřování. Jako zdroj ověřování můžete také použít jiné technologie Active Directory, jako jsou zásady skupiny. Další informace naleznete v tématu Běžné scénáře nasazení služby Microsoft Entra Domain Services.
Doporučení hybridní identity
Pokud chcete určit požadavky řešení identit, zdokumentujte zprostředkovatele ověřování, kterého každá aplikace používá. Pomocí průvodce rozhodováním o identitě vyberte správné služby pro vaši organizaci. Další informace naleznete v tématu Porovnání služby Active Directory s Microsoft Entra ID.
Službu Domain Services můžete použít pro aplikace, které spoléhají na doménové služby a používají starší protokoly. Stávající domény služby AD DS někdy podporují zpětnou kompatibilitu a umožňují starší protokoly, které můžou negativně ovlivnit zabezpečení. Místo rozšíření místní domény zvažte použití služby Domain Services k vytvoření nové domény, která neumožňuje starší protokoly. Novou doménu použijte jako adresářovou službu pro aplikace hostované v cloudu.
Faktor v odolnosti jako kritický požadavek návrhu pro strategii hybridní identity v Azure Microsoft Entra ID je globálně redundantní cloudový systém , ale Domain Services a AD DS nejsou. Při implementaci služby Domain Services a AD DS pečlivě naplánujte odolnost. Při návrhu jedné služby zvažte použití nasazení ve více oblastech, abyste zajistili pokračování provozu služby v případě regionálního incidentu.
Pokud chcete rozšířit místní instanci AD DS do Azure a optimalizovat nasazení, začleňte oblasti Azure do návrhu lokality Active Directory. Vytvořte lokalitu v lokalitách a službách AD DS pro každou oblast Azure, ve které plánujete nasazovat úlohy. Pak vytvořte nový objekt podsítě v lokalitách a službách služby AD DS pro každý rozsah IP adres, který plánujete nasadit v dané oblasti. Přidružte nový objekt podsítě k lokalitě služby AD DS, kterou jste vytvořili. Tato konfigurace zajišťuje, že služba lokátoru řadiče domény směruje žádosti o autorizaci a ověřování na nejbližší řadiče domény SLUŽBY AD DS ve stejné oblasti Azure.
Vyhodnoťte scénáře, které nastavují hosty, zákazníky nebo partnery, aby měli přístup k prostředkům. Určete, jestli tyto scénáře zahrnují Microsoft Entra B2B nebo Microsoft Entra Externí ID pro zákazníky. Další informace najdete v tématu Microsoft Entra Externí ID.
Nepoužívejte proxy aplikace Microsoft Entra pro přístup k intranetu, protože přidává latenci uživatelského prostředí. Další informace naleznete v tématu Plánování proxy aplikací Microsoft Entra a Aspekty zabezpečení proxy aplikací Microsoft Entra.
Zvažte různé metody, které můžete použít k integraci místní Active Directory s Azure, aby splňovaly požadavky vaší organizace.
Pokud máte federaci Active Directory Federation Services (AD FS) (AD FS) s ID Microsoft Entra, můžete jako zálohu použít synchronizaci hodnot hash hesel. Služba AD FS nepodporuje bezproblémové jednotné přihlašování (SSO) od Microsoftu Entra.
Určete správný synchronizační nástroj pro vaši cloudovou identitu.
Pokud máte požadavky na používání služby AD FS, přečtěte si téma Nasazení služby AD FS v Azure.
Pokud jako synchronizační nástroj používáte Microsoft Entra Připojení, zvažte nasazení přípravného serveru v oblasti, která se liší od primárního serveru Microsoft Entra Připojení pro zotavení po havárii. Případně pokud nepoužíváte více oblastí, implementujte zóny dostupnosti pro zajištění vysoké dostupnosti.
Pokud jako synchronizační nástroj používáte Microsoft Entra Cloud Sync , zvažte instalaci alespoň tří agentů na různých serverech ve více oblastech pro zotavení po havárii. Případně můžete agenty nainstalovat mezi servery v různých zónách dostupnosti pro zajištění vysoké dostupnosti.
Důležité
Důrazně doporučujeme migrovat na MICROSOFT Entra ID, pokud výslovně nepotřebujete službu AD FS. Další informace naleznete v tématu Prostředky pro vyřazení služby AD FS z provozu a migraci ze služby AD FS na Microsoft Entra ID.
Microsoft Entra ID, Domain Services a AD DS
Pokud chcete implementovat adresářové služby Microsoftu, seznamte se se správci s následujícími možnostmi:
Řadiče domény SLUŽBY AD DS můžete nasadit do Azure jako virtuální počítače s Windows, které plně řídí správci platforem nebo identit. Tento přístup je řešení typu infrastruktura jako služba (IaaS). Řadiče domény můžete připojit k existující doméně služby Active Directory nebo hostovat novou doménu, která má volitelný vztah důvěryhodnosti s existujícími místními doménami. Další informace najdete v tématu Základní architektura virtuálních počítačů Azure v cílové zóně Azure.
Domain Services je služba spravovaná v Azure, kterou můžete použít k vytvoření nové spravované domény Active Directory hostované v Azure. Doména může mít vztah důvěryhodnosti s existujícími doménami a může synchronizovat identity z ID Microsoft Entra. Správa istrátory nemají přímý přístup k řadičům domény a nejsou zodpovědné za opravy a další operace údržby.
Když nasadíte službu Domain Services nebo integrujete místní prostředí do Azure, použijte umístění se zónami dostupnosti, pokud je to možné. Zvažte také nasazení napříč několika oblastmi Azure, aby se zvýšila odolnost.
Po konfiguraci služby AD DS nebo Domain Services můžete použít stejnou metodu jako místní počítače k připojení virtuálních počítačů Azure k virtuálním počítačům a sdíleným složkám Azure. Další informace naleznete v tématu Porovnání adresářových služeb Microsoftu.
Doporučení pro Microsoft Entra ID a AD DS
Proxy aplikací Microsoft Entra použijte pro přístup k aplikacím, které používají místní ověřování vzdáleně prostřednictvím MICROSOFT Entra ID. Tato funkce poskytuje zabezpečený vzdálený přístup k místním webovým aplikacím. Proxy aplikací Microsoft Entra nevyžaduje síť VPN ani žádné změny síťové infrastruktury. Je ale nasazená jako jedna instance do Microsoft Entra ID, takže vlastníci aplikací a týmy identit nebo platformy musí spolupracovat, aby se zajistilo, že je aplikace správně nakonfigurovaná.
Vyhodnoťte kompatibilitu úloh pro službu AD DS ve Windows Serveru a službě Domain Services. Další informace najdete v tématu Běžné případy použití a scénáře.
Nasaďte virtuální počítače řadiče domény nebo sady replik služby Domain Services do předplatného platformy Identity Platform v rámci skupiny pro správu platformy.
Zabezpečte virtuální síť, která obsahuje řadiče domény. Pokud chcete zabránit přímému připojení k internetu k virtuální síti a řadiči domény, umístěte servery SLUŽBY AD DS do izolované podsítě se skupinou zabezpečení sítě (NSG). Skupina zabezpečení sítě poskytuje funkce brány firewall. Prostředky, které k ověřování používají řadiče domény, musí mít síťovou trasu do podsítě řadiče domény. Povolte síťovou trasu jenom pro aplikace, které vyžadují přístup ke službám v předplatném Identity. Další informace najdete v tématu Nasazení služby AD DS ve virtuální síti Azure.
Pomocí Azure Virtual Network Manageru vynucujte standardní pravidla, která platí pro virtuální sítě. Můžete například použít značky prostředků služby Azure Policy nebo virtuální sítě k přidání virtuálních sítí cílové zóny do skupiny sítí, pokud vyžadují služby identit služby Active Directory. Pak je možné použít skupinu sítě, která umožňuje přístup k podsíti řadiče domény jenom z aplikací, které ji vyžadují, a blokovat přístup z jiných aplikací.
Zabezpečte oprávnění řízení přístupu na základě role (RBAC), která platí pro virtuální počítače řadiče domény a další prostředky identit. Správa istrátory s přiřazeními rolí RBAC v řídicí rovině Azure, jako je Přispěvatel, Vlastník nebo Přispěvatel virtuálních počítačů, můžou na virtuálních počítačích spouštět příkazy. Ujistěte se, že k virtuálním počítačům v předplatném identity mají přístup jenom autorizovaní správci a že přiřazení nadlimitní role se nedědí z vyšších skupin pro správu.
Zachovejte základní aplikace blízko nebo ve stejné oblasti jako virtuální síť pro sady replik, aby se minimalizovala latence. Ve víceregionální organizaci nasaďte službu Domain Services do oblasti, která hostuje základní komponenty platformy. Službu Domain Services můžete nasadit pouze do jednoho předplatného. Pokud chcete rozšířit službu Domain Services do dalších oblastí, můžete přidat až čtyři další sady replik v samostatných virtuálních sítích, které jsou v partnerském vztahu k primární virtuální síti.
Zvažte nasazení řadičů domény AD DS do několika oblastí Azure a napříč zónami dostupnosti, abyste zvýšili odolnost a dostupnost. Další informace najdete v tématu Vytváření virtuálních počítačů v zónách dostupnosti a migrace virtuálních počítačů do zón dostupnosti.
Prozkoumejte metody ověřování pro Microsoft Entra ID v rámci plánování identit. Ověřování může probíhat pouze v cloudu a v místním prostředí nebo pouze v místním prostředí.
Pokud uživatel Windows vyžaduje protokol Kerberos pro sdílené složky Azure Files, zvažte použití ověřování protokolem Kerberos pro Microsoft Entra ID místo nasazení řadičů domény v cloudu.