Che cos'è Microsoft Entra Domain Services?

Servizi di dominio Microsoft Entra offre servizi di dominio gestiti, come l'aggiunta a un dominio, Criteri di gruppo, Lightweight Directory Access Protocol (LDAP) e l'autenticazione Kerberos/NTLM. È possibile usare questi servizi di dominio senza dover distribuire, gestire e applicare patch ai controller di dominio nel cloud.

Un dominio gestito di Servizi di dominio consente di eseguire applicazioni legacy nel cloud che non possono usare metodi di autenticazione moderni o in cui non si vuole che le ricerche di directory tornino sempre a un ambiente di Active Directory Domain Services locale. È possibile trasferire in modalità lift-and-shift tali applicazioni legacy dall'ambiente locale a un dominio gestito, senza dover gestire l'ambiente Active Directory Domain Services nel cloud.

Domain Services si integra con il tenant esistente di Microsoft Entra. Grazie a questa integrazione, gli utenti possono accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali esistenti. Per proteggere l'accesso alle risorse, è anche possibile usare gruppi e account utente esistenti. Queste funzionalità consentono un trasferimento in modalità lift-and-shift più agevole delle risorse locali in Azure.

Per altre informazioni su Domain Services, vedere il breve video.

Come funziona Domain Services?

Quando si crea un dominio gestito di Servizi di dominio, si definisce uno spazio dei nomi univoco. Questo spazio dei nomi è il nome di dominio, ad esempio aaddscontoso.com. Due controller di dominio Windows Server vengono quindi distribuiti nell'area di Azure selezionata. Questa distribuzione di controller di dominio è nota come set di repliche.

Non è necessario gestire, configurare o aggiornare questi controller di dominio. La piattaforma Azure gestisce i controller di dominio come parte del dominio gestito, inclusi i backup e la crittografia dei dati inattivi tramite Crittografia dischi di Azure.

Un dominio gestito è configurato per eseguire una sincronizzazione unidirezionale da Microsoft Entra ID per fornire l'accesso a un set centrale di utenti, gruppi e credenziali. È possibile creare risorse direttamente nel dominio gestito, ma queste non vengono sincronizzate con Microsoft Entra ID. Le applicazioni, i servizi e le VM in Azure che si connettono al dominio gestito possono quindi usare funzionalità comuni di Active Directory Domain Services come l'aggiunta a un dominio, Criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM.

In un ambiente ibrido con un ambiente di Active Directory Domain Services locale, Microsoft Entra Connessione sincronizza le informazioni sull'identità con Microsoft Entra ID, che viene quindi sincronizzato con il dominio gestito.

Synchronization in Microsoft Entra Domain Services with Microsoft Entra ID and on-premises AD DS using AD Connect

Domain Services replica le informazioni sull'identità dall'ID Microsoft Entra, quindi funziona con i tenant di Microsoft Entra solo cloud o sincronizzati con un ambiente di Active Directory Domain Services locale. Lo stesso set di funzionalità di Servizi di dominio esiste per entrambi gli ambienti.

  • Se è già presente un ambiente di Active Directory Domain Services locale, è possibile sincronizzare le informazioni degli account utente per fornire agli utenti un'identità coerente. Per altre informazioni, vedere Sincronizzazione di oggetti e credenziali in un dominio gestito.
  • Per gli ambienti solo cloud, non è necessario un ambiente di Active Directory Domain Services locale tradizionale per usare i servizi di gestione delle identità centralizzati di Servizi di dominio.

È possibile espandere un dominio gestito per avere più di un set di repliche per ogni tenant di Microsoft Entra. I set di repliche possono essere aggiunti a qualsiasi rete virtuale con peering in qualsiasi area di Azure che supporta Servizi di dominio. Aggiungendo set di repliche in aree di Azure diverse, è possibile fornire il ripristino di emergenza geografico per le applicazioni legacy se un'area di Azure diventa offline. Per altre informazioni, vedere Concetti e funzionalità dei set di repliche per i domini gestiti.

Guardare questo video sul modo in cui Servizi di dominio si integra con le applicazioni e i carichi di lavoro per fornire servizi di identità nel cloud:


Per visualizzare gli scenari di distribuzione di Servizi di dominio in azione, è possibile esplorare gli esempi seguenti:

Funzionalità e vantaggi di Servizi di dominio

Per fornire servizi di gestione delle identità alle applicazioni e alle macchine virtuali nel cloud, Servizi di dominio è completamente compatibile con un ambiente di Active Directory Domain Services tradizionale per operazioni quali aggiunta a un dominio, LDAP sicuro (LD piattaforma di strumenti analitici), Criteri di gruppo, gestione DNS e binding LDAP e supporto in lettura. Il supporto per la scrittura LDAP è disponibile per gli oggetti creati nel dominio gestito, ma non per le risorse sincronizzate da Microsoft Entra ID.

Per altre informazioni sulle opzioni di gestione delle identità, confrontare Servizi di dominio con Microsoft Entra ID, Servizi di dominio Active Directory in macchine virtuali di Azure e Servizi di dominio Active Directory in locale.

Le funzionalità seguenti di Servizi di dominio semplificano le operazioni di distribuzione e gestione:

  • Esperienza di distribuzione semplificata: Servizi di dominio è abilitato per il tenant di Microsoft Entra usando una singola procedura guidata nell'interfaccia di amministrazione di Microsoft Entra.
  • Integrato con Microsoft Entra ID: gli account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili dal tenant di Microsoft Entra. I nuovi utenti, i gruppi o le modifiche apportate agli attributi dal tenant di Microsoft Entra o dall'ambiente di Active Directory Domain Services locale vengono sincronizzati automaticamente con Servizi di dominio.
    • Gli account nelle directory esterne collegate all'ID Microsoft Entra non sono disponibili in Servizi di dominio. Le credenziali non sono disponibili per tali directory esterne e quindi non possono essere sincronizzate in un dominio gestito.
  • Usare le credenziali o le password aziendali: le password per gli utenti in Servizi di dominio sono le stesse del tenant di Microsoft Entra. Gli utenti possono usare le credenziali aziendali per aggiungere computer al dominio, effettuare l'accesso in modo interattivo o tramite desktop remoto e autenticarsi nel dominio gestito.
  • Autenticazione NTLM e Kerberos: con il supporto per l'autenticazione NTLM e Kerberos, è possibile distribuire applicazioni basate sull'autenticazione integrata di Windows.
  • Disponibilità elevata: Servizi di dominio include più controller di dominio, che offrono disponibilità elevata per il dominio gestito. con conseguenti vantaggi in termini di tempo di attività del servizio e resilienza agli errori.
    • Nelle aree in cui sono supportate le zone di disponibilità di Azure, questi controller di dominio vengono distribuiti anche tra le zone per una maggiore resilienza.
    • È anche possibile usare set di replica per offrire il ripristino di emergenza geografico di applicazioni legacy se un'area di Azure passa in modalità offline.

Ecco alcuni aspetti chiave di un dominio gestito:

  • Il dominio gestito rappresenta un dominio autonomo. Non è un'estensione di un dominio locale.
    • Se necessario, è possibile creare trust tra foreste in uscita unidirezionale da Servizi di dominio a un ambiente di Active Directory Domain Services locale. Per altre informazioni, vedere Concetti e funzionalità della foresta per Servizi di dominio.
  • Il team IT non deve gestire, applicare patch o monitorare i controller di dominio per il dominio gestito.

Per gli ambienti ibridi che eseguono Active Directory Domain Services in locale, non è necessario gestire la replica di Active Directory nel dominio gestito. Gli account utente, le appartenenze ai gruppi e le credenziali della directory locale vengono sincronizzati con Microsoft Entra ID tramite Microsoft Entra Connessione. Gli account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili all'interno del dominio gestito.

Passaggi successivi

Per altre informazioni sui confronti di Servizi di dominio con altre soluzioni di gestione delle identità e sul funzionamento della sincronizzazione, vedere gli articoli seguenti:

Per iniziare, creare un dominio gestito usando l'interfaccia di amministrazione di Microsoft Entra.