Nasazení a správa služeb Microsoft Entra Domain Services pro poskytovatele cloudových řešení Azure

  • Článek

Azure Cloud Solution Providers (CSP) je program pro partnery Microsoftu a poskytuje licenční kanál pro různé cloudové služby Microsoftu. Azure CSP umožňuje partnerům spravovat prodeje, vlastnit fakturační vztah, poskytovat technickou a fakturační podporu a být jediným kontaktním bodem zákazníka. Kromě toho azure CSP poskytuje úplnou sadu nástrojů, včetně samoobslužného portálu a doprovodných rozhraní API. Tyto nástroje umožňují partnerům CSP snadno zřizovat a spravovat prostředky Azure a poskytovat fakturaci pro zákazníky a jejich předplatná.

Portál Partnerského centra je vstupním bodem pro všechny partnery Azure CSP a poskytuje bohaté možnosti správy zákazníků, automatizované zpracování a další možnosti. Partneři Azure CSP můžou využívat možnosti Partnerského centra pomocí webového uživatelského rozhraní nebo pomocí PowerShellu a různých volání rozhraní API.

Následující diagram znázorňuje, jak model CSP funguje na vysoké úrovni. V této části má contoso tenanta Microsoft Entra. Mají partnerství s CSP, který nasazuje a spravuje prostředky ve svém předplatném Azure CSP. Společnost Contoso může mít také běžná (přímá) předplatná Azure, která se účtují přímo společnosti Contoso.

Přehled modelu CSP

Tenant partnera CSP má tři speciální skupiny agentů – agenti pro správu , agenti helpdesku a agenti prodeje .

Skupina agentů pro správu je přiřazena k roli správce tenanta v tenantovi Microsoft Entra společnosti Contoso. V důsledku toho má uživatel patřící do skupiny agentů pro správu partnera CSP oprávnění správce tenanta v tenantovi Microsoft Entra společnosti Contoso.

Když partner CSP zřídí předplatné Azure CSP pro Společnost Contoso, přiřadí se jeho skupina agentů pro správu k roli vlastníka daného předplatného. V důsledku toho mají agenti pro správu partnera CSP požadovaná oprávnění ke zřizování prostředků Azure, jako jsou virtuální počítače, virtuální sítě a služby Microsoft Entra Domain Services jménem společnosti Contoso.

Další informace najdete v přehledu azure CSP.

Výhody používání služby Domain Services v předplatném Azure CSP

Služba Microsoft Entra Domain Services poskytuje spravované doménové služby, jako je připojení k doméně, zásady skupiny, LDAP, ověřování Kerberos/NTLM, které je plně kompatibilní se službami Windows Server Doména služby Active Directory Services. V posledních desetiletích bylo mnoho aplikací sestaveno tak, aby tyto funkce fungovalo s AD. Řada nezávislých dodavatelů softwaru (ISV) vytvořila a nasadila aplikace v místním prostředí svých zákazníků. Tyto aplikace se obtížně podporují, protože často potřebujete přístup k různým prostředím, ve kterých jsou aplikace nasazené. S předplatnými Azure CSP máte jednodušší alternativu se škálováním a flexibilitou Azure.

Domain Services podporuje předplatná Azure CSP. Aplikaci můžete nasadit v předplatném Azure CSP vázaném na tenanta Microsoft Entra zákazníka. V důsledku toho můžou vaši zaměstnanci (pracovníci podpory) spravovat, spravovat a obsluhovat virtuální počítače, na kterých je vaše aplikace nasazená, pomocí firemních přihlašovacích údajů vaší organizace.

Spravovanou doménu služby Domain Services můžete nasadit také v tenantovi Microsoft Entra zákazníka. Vaše aplikace se pak připojí ke spravované doméně zákazníka. Možnosti v rámci vaší aplikace, které se spoléhají na kerberos / NTLM, LDAP nebo rozhraní System.DirectoryServices API , bez problémů fungují s doménou zákazníka. Koncoví zákazníci využívají vaši aplikaci jako službu, aniž by se museli starat o údržbu infrastruktury, na které je aplikace nasazená.

Veškerá fakturace prostředků Azure, které využíváte v daném předplatném, včetně Domain Services, se vám účtují zpět. Pokud jde o prodej, fakturaci, technickou podporu atd., udržujete plnou kontrolu nad vztahem se zákazníkem. Díky flexibilitě platformy Azure CSP může malý tým agentů podpory obsluhovat mnoho takových zákazníků, kteří mají nasazené instance vaší aplikace.

Modely nasazení CSP pro Domain Services

Službu Domain Services s předplatným Azure CSP můžete používat dvěma způsoby. Vyberte si tu správnou na základě aspektů zabezpečení a jednoduchosti, které vaši zákazníci mají.

Model přímého nasazení

V tomto modelu nasazení je služba Domain Services povolená ve virtuální síti, která patří do předplatného Azure CSP. Agenti pro správu partnera CSP mají následující oprávnění:

Ke správě této funkce je potřeba globální správce.

Pro tuto funkci se vyžadují oprávnění vlastníka předplatného v předplatném Azure CSP.

Model přímého nasazení

V tomto modelu nasazení můžou agenti správy poskytovatele CSP spravovat identity pro zákazníka. Tito agenti pro správu můžou provádět úlohy, jako je zřizování nových uživatelů nebo skupin, nebo přidávat aplikace v rámci tenanta Microsoft Entra zákazníka.

Tento model nasazení může být vhodný pro menší organizace, které nemají vyhrazeného správce identit nebo preferují partnera CSP ke správě identit jejich jménem.

Model partnerského nasazení

V tomto modelu nasazení je služba Domain Services povolená ve virtuální síti patřící zákazníkovi – přímé předplatné Azure placené zákazníkem. Partner CSP může nasazovat aplikace ve virtuální síti patřící do předplatného CSP zákazníka. Virtuální sítě je pak možné připojit pomocí partnerského vztahu virtuálních sítí Azure.

Při tomto nasazení se úlohy nebo aplikace nasazené partnerem CSP v předplatném Azure CSP můžou připojit ke spravované doméně zákazníka zřízené v přímém předplatném Azure zákazníka.

Model partnerského nasazení

Tento model nasazení poskytuje oddělení oprávnění a umožňuje agentům helpdesku partnera CSP spravovat předplatné Azure a nasazovat a spravovat prostředky v něm. Agenti helpdesku partnera CSP ale nepotřebují v adresáři Microsoft Entra zákazníka vysoce privilegovanou roli. Správci identit zákazníka můžou dál spravovat identity pro svoji organizaci.

Tento model nasazení může být vhodný pro scénáře, kdy isV poskytuje hostované verze místní aplikace, která se také musí připojit k ID Microsoft Entra zákazníka.

Správa služby Domain Services v předplatných CSP

Při správě spravované domény v předplatném Azure CSP platí následující důležité aspekty:

  • Agenti správy CSP můžou zřídit spravovanou doménu pomocí svých přihlašovacích údajů: Domain Services podporuje předplatná Azure CSP. Uživatelé patřící do skupiny agentů pro správu partnera CSP můžou zřídit novou spravovanou doménu.

  • Poskytovatelé cloudových služeb můžou vytvářet nové spravované domény pro své zákazníky pomocí PowerShellu: Podrobnosti najdete v tom, jak povolit službu Domain Services pomocí PowerShellu .

  • Agenti správy CSP nemůžou provádět průběžné úlohy správy ve spravované doméně pomocí svých přihlašovacích údajů: Uživatelé správců CSP nemůžou provádět rutinní úlohy správy ve spravované doméně pomocí svých přihlašovacích údajů. Tito uživatelé jsou externí pro tenanta Microsoft Entra zákazníka a jejich přihlašovací údaje nejsou k dispozici v rámci tenanta Microsoft Entra zákazníka. Služba Domain Services nemá přístup k hodnotám hash hesel Kerberos a NTLM pro tyto uživatele, takže se uživatelé nedají ověřit ve spravovaných doménách.

    Varování

    Abyste mohli provádět průběžné úlohy správy ve spravované doméně, musíte v adresáři zákazníka vytvořit uživatelský účet.

    Ke spravované doméně se nemůžete přihlásit pomocí přihlašovacích údajů uživatele správce CSP. K tomu použijte přihlašovací údaje uživatelského účtu patřícího do tenanta Microsoft Entra zákazníka. Tyto přihlašovací údaje potřebujete pro úlohy, jako je připojení virtuálních počítačů ke spravované doméně, správa DNS nebo správa zásad skupiny.

  • Uživatelský účet vytvořený pro probíhající správu musí být přidán do skupiny AAD DC Administrators : Skupina AAD DC Administrators má oprávnění k provádění určitých delegovaných úloh správy ve spravované doméně. Mezi tyto úlohy patří konfigurace DNS, vytváření organizačních jednotek a správa zásad skupiny.

    Aby partner CSP mohl provádět tyto úlohy ve spravované doméně, musí být uživatelský účet vytvořen v rámci tenanta Microsoft Entra zákazníka. Přihlašovací údaje pro tento účet musí být sdíleny s agenty pro správu partnera CSP. Tento uživatelský účet je také potřeba přidat do skupiny AAD DC Administrators , aby bylo možné pomocí tohoto uživatelského účtu povolit úlohy konfigurace ve spravované doméně.

Další kroky

Začněte tím, že se zaregistrujete do programu Azure CSP. Potom můžete povolit službu Microsoft Entra Domain Services pomocí Centra pro správu Microsoft Entra nebo Azure PowerShellu.