Co je Microsoft Entra Domain Services?

Microsoft Entra Domain Services nabízí spravované doménové služby, jako jsou připojení k doméně, zásady skupiny, protokol LDAP (Lightweight Directory Access Protocol) a ověřování Kerberos/NTLM. Tyto doménové služby můžete využívat bez nutnosti nasazovat, spravovat a opravovat řadiče domény v cloudu.

Spravovaná doména služby Domain Services umožňuje spouštět starší aplikace v cloudu, které nemůžou používat moderní metody ověřování nebo kde nechcete, aby se vyhledávání adresářů vždy vrátilo do místního prostředí SLUŽBY AD DS. Starší aplikace můžete z místního prostředí přesunout do spravované domény, aniž byste museli spravovat prostředí SLUŽBY AD DS v cloudu.

Domain Services se integruje s vaším stávajícím tenantem Microsoft Entra. Tato integrace umožňuje uživatelům přihlásit se ke službám a aplikacím připojeným ke spravované doméně pomocí svých stávajících přihlašovacích údajů. K zabezpečení přístupu k prostředkům můžete použít také existující skupiny a uživatelské účty. Tyto funkce poskytují plynulejší přesun místních prostředků do Azure.

Podívejte se na naše krátké video, kde se dozvíte více o Domain Services.

Jak služba Domain Services funguje?

Při vytváření spravované domény služby Domain Services definujete jedinečný obor názvů. Tento obor názvů je název domény, například aaddscontoso.com. Do vybrané oblasti Azure se pak nasadí dva řadiče domény s Windows Serverem. Toto nasazení řadičů domény se označuje jako sada replik.

Tyto řadiče domény nemusíte spravovat, konfigurovat ani aktualizovat. Platforma Azure zpracovává řadiče domény jako součást spravované domény, včetně záloh a šifrování neaktivních uložených dat pomocí služby Azure Disk Encryption.

Spravovaná doména je nakonfigurovaná tak, aby prováděla jednosměrnou synchronizaci z ID Microsoft Entra, aby poskytovala přístup k centrální sadě uživatelů, skupin a přihlašovacích údajů. Prostředky můžete vytvářet přímo ve spravované doméně, ale nesynchronizované zpět do Microsoft Entra ID. Aplikace, služby a virtuální počítače v Azure, které se připojují ke spravované doméně, pak můžou používat běžné funkce služby AD DS, jako je připojení k doméně, zásady skupiny, LDAP a ověřování Kerberos/NTLM.

V hybridním prostředí s místním prostředím AD DS microsoft Entra Připojení synchronizuje informace o identitě s ID Microsoft Entra, které se pak synchronizuje se spravovanou doménou.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services replikuje informace o identitě z ID Microsoft Entra, takže funguje s tenanty Microsoft Entra, které jsou pouze v cloudu, nebo synchronizované s místním prostředím AD DS. Pro obě prostředí existuje stejná sada funkcí služby Domain Services.

  • Pokud máte stávající místní prostředí služby AD DS, můžete synchronizovat informace o uživatelských účtech a poskytnout tak konzistentní identitu uživatelům. Další informace najdete v tématu Jak se objekty a přihlašovací údaje synchronizují ve spravované doméně.
  • Pro cloudová prostředí nepotřebujete tradiční místní prostředí SLUŽBY AD DS k používání centralizovaných služeb identit služby Domain Services.

Spravovanou doménu můžete rozšířit tak, aby měla více než jednu sadu replik na tenanta Microsoft Entra. Sady replik je možné přidat do jakékoli partnerské virtuální sítě v jakékoli oblasti Azure, která podporuje službu Domain Services. Přidáním sad replik v různých oblastech Azure můžete zajistit geografické zotavení po havárii pro starší aplikace, pokud oblast Azure přejde do režimu offline. Další informace najdete v tématu Koncepty a funkce sady replik pro spravované domény.

Podívejte se na toto video o integraci služby Domain Services s vašimi aplikacemi a úlohami za účelem poskytování služeb identit v cloudu:


Pokud chcete zobrazit scénáře nasazení služby Domain Services v akci, můžete prozkoumat následující příklady:

Funkce a výhody služby Domain Services

Aby služba identit poskytovala aplikacím a virtuálním počítačům v cloudu, služba Domain Services je plně kompatibilní s tradičním prostředím SLUŽBY AD DS pro operace, jako je připojení k doméně, protokol LDAPS (Secure LDAPS), zásady skupiny, správa DNS a podpora vazby ldap a čtení. Podpora zápisu protokolu LDAP je k dispozici pro objekty vytvořené ve spravované doméně, ale ne pro prostředky synchronizované z Microsoft Entra ID.

Další informace o možnostech vaší identity najdete v porovnání služby Domain Services s Id Microsoft Entra, AD DS na virtuálních počítačích Azure a místní službou AD DS.

Následující funkce služby Domain Services zjednodušují operace nasazení a správy:

  • Zjednodušené prostředí nasazení: Služba Domain Services je pro vašeho tenanta Microsoft Entra povolená pomocí jednoho průvodce v Centru pro správu Microsoft Entra.
  • Integrované s ID Microsoft Entra: Uživatelské účty, členství ve skupinách a přihlašovací údaje jsou automaticky dostupné z vašeho tenanta Microsoft Entra. Noví uživatelé, skupiny nebo změny atributů z vašeho tenanta Microsoft Entra nebo místního prostředí SLUŽBY AD DS se automaticky synchronizují se službou Domain Services.
    • Účty v externích adresářích propojené s VAŠÍM ID Microsoft Entra nejsou ve službě Domain Services dostupné. Pro tyto externí adresáře nejsou k dispozici přihlašovací údaje, takže není možné je synchronizovat do spravované domény.
  • Použijte firemní přihlašovací údaje a hesla: Hesla pro uživatele ve službě Domain Services jsou stejná jako ve vašem tenantovi Microsoft Entra. Uživatelé můžou pomocí firemních přihlašovacích údajů počítače připojit k doméně, interaktivně se přihlásit nebo přes vzdálenou plochu a ověřit se ve spravované doméně.
  • Ověřování protokolem NTLM a Kerberos: S podporou ověřování NTLM a Kerberos můžete nasadit aplikace, které spoléhají na integrované ověřování systému Windows.
  • Vysoká dostupnost: Domain Services zahrnuje více řadičů domény, které poskytují vysokou dostupnost pro vaši spravovanou doménu. Tato vysoká dostupnost zaručuje dostupnost služby a odolnost vůči selháním.
    • V oblastech, které podporují Azure Zóny dostupnosti, se tyto řadiče domény také distribuují napříč zónami, aby se zajistila další odolnost.
    • Sady replik je také možné použít k zajištění geografického zotavení po havárii pro starší aplikace, pokud oblast Azure přejde do režimu offline.

Mezi klíčové aspekty spravované domény patří:

  • Spravovaná doména je samostatná doména. Nejedná se o rozšíření místní domény.
  • Váš IT tým nemusí spravovat, opravovat ani monitorovat řadiče domény pro tuto spravovanou doménu.

V případě hybridních prostředí, na kterých běží místní služba AD DS, nemusíte spravovat replikaci SLUŽBY AD do spravované domény. Uživatelské účty, členství ve skupinách a přihlašovací údaje z vašeho místního adresáře se synchronizují s Microsoft Entra ID přes Microsoft Entra Připojení. Tyto uživatelské účty, členství ve skupinách a přihlašovací údaje jsou automaticky dostupné v rámci spravované domény.

Další kroky

Další informace o službě Domain Services najdete v následujících článcích:

Začněte vytvořením spravované domény pomocí Centra pro správu Microsoft Entra.