Что такое «Доменные службы Azure Active Directory»?
Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP (упрощенный протокол доступа к каталогам), выполнение аутентификации Kerberos или NTLM. Вы можете использовать эти доменные службы без необходимости развертывать и исправлять контроллеры домена в облаке или управлять ими.
Управляемый домен Azure AD DS позволяет запускать в облаке устаревшие приложения, если они не могут использовать необходимые современные методы проверки подлинности или необходимо избежать постоянного переключения функции поиска в каталогах на локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.
Azure AD DS интегрируется с существующим клиентом Azure AD. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.
Посмотрите наше короткое видео, чтобы узнать больше об Azure AD DS.
Как работает Azure AD DS?
При создании управляемого домена Azure AD DS вы должны определить уникальное пространство имен. Это пространство имен является доменным именем, например aaddscontoso.com. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.
Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.
Управляемый домен настроен для выполнения односторонней синхронизации из Azure AD, чтобы предоставлять доступ к централизованному хранилищу данных о пользователях, группах и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не будут синхронизироваться в Azure AD. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к управляемому домену, смогут использовать стандартные функции AD DS, такие как присоединение к домену, групповая политика, LDAP и аутентификация Kerberos/NTLM.
В гибридной среде с локальной средой AD DS применяется Azure AD Connect для синхронизации сведений об удостоверениях в Azure AD, которые затем синхронизируются с управляемым доменом.
Azure AD DS реплицирует сведения об удостоверениях из Azure AD, а значит работает с полностью облачными клиентами Azure AD или клиентами, синхронизируемыми с локальной средой AD DS. Набор функций Azure AD DS в обоих средах идентичен.
Вы можете расширить управляемый домен для использования более одного набора реплик в каждом арендаторе Azure AD. Наборы реплик можно добавить к любой пиринговой виртуальной сети в любом регионе Azure, который поддерживает Azure AD DS. Дополнительные наборы реплик в разных регионах Azure предоставляют возможности географического аварийного восстановления для устаревших приложений, если регион Azure становится недоступен. Дополнительные сведения см. в статье Основные понятия и функции наборов реплик для управляемых доменов.
Просмотрите это видео об особенностях интеграции Azure AD DS с приложениями и рабочими нагрузками для создания облачных служб идентификации.
Чтобы увидеть сценарии развертывания Azure AD DS в действии, можно изучить следующие примеры:
Возможности и преимущества Azure AD DS
Чтобы предоставить службы идентификации для приложений и виртуальных машин в облаке, Azure AD DS поддерживает полную совместимость с традиционной средой AD DS для таких операций, как присоединение к домену, использование защищенного протокола LDAP (LDAPS) и групповой политики, управление DNS, а также привязка и чтение LDAP. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизируемых с Azure AD.
Следующие функции Azure AD DS упрощают операции развертывания и управления.
Ниже приведены некоторые ключевые аспекты управляемого домена.
В гибридных средах, использующих локальную службу AD DS, вам не нужно управлять репликацией AD в управляемый домен. Расположенные в локальном каталоге учетные записи и учетные данные пользователей, а также сведения о членстве в группах, синхронизируются в Azure AD через Azure AD Connect. Эти учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически становятся доступными в управляемом домене.
Дальнейшие действия
Дополнительные сведения о сравнении Azure AD DS с другими решениями для идентификации и о том, как работает синхронизация, см. в следующих статьях:
Что такое Azure Active Directory
Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:
внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;
во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.
Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.
Кто использует Azure AD
Azure AD могут использовать:
ИТ-администраторы. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.
Разработчики приложений. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online. Как подписчик вы уже используете Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.
Что такое лицензии Azure AD?
В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.
Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.
В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.
Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня «Бесплатный», P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.
Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня «Бесплатный» и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.
Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C. B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.
Какие функции поддерживает Azure AD?
После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.
| Категория | Описание |
|---|---|
| Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала «Мои приложения» (также называемого панелью доступа) и приложений SaaS. Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями. |
| Аутентификация | Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD. |
| Azure Active Directory для разработчиков | Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков). |
| Категория «бизнес — бизнес» (B2B) | Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см. в документации по Azure Active Directory B2B. |
| Категория «бизнес — потребитель» (B2C) | Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C. |
| Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см. в документации по условному доступу в Azure AD. |
| Управление устройствами | Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD. |
| Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см. на странице Документация по доменным службам Azure AD. |
| Пользователи Enterprise | Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см. в документации по управлению Azure Active Directory. |
| Гибридное удостоверение | Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке). Дополнительные сведения см. в статье Документация по гибридной идентификации. |
| Identity Governance | Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD. |
| Защита идентификации | Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory. |
| Управляемые удостоверения для ресурсов Azure | Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти аутентификацию в любой поддерживаемой службе Azure AD, в том числе Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure. |
| Управление привилегированными пользователями (PIM) | Управление, контроль и мониторинг доступа в организации. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management. |
| Отчеты и мониторинг | Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory. |
Терминология
Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.
Сравнение самостоятельно управляемых доменных служб Active Directory, Azure Active Directory и управляемых доменных служб Azure Active Directory.
В Azure есть три популярных метода применить службы на основе Active Directory, чтобы предоставить приложениям, службам и (или) устройствам доступ к централизованной службе удостоверений. Такой выбор решений для идентификации позволяет гибко выбрать наиболее подходящий вариант каталога для конкретных потребностей организации. Например, если вы управляете в основном облачными пользователями на мобильных устройствах, нет смысла создавать и запускать собственное решение идентификации в доменных службах Active Directory (AD DS). Используйте вместо этого Azure Active Directory.
Все три решения идентификации на основе Active Directory имеют одинаковые названия и основаны на одной технологии, но предоставляемые ими службы нацелены на разные потребности клиентов. Мы начнем с обобщенного описания решений и предоставляемых ими функций.
В этой статье собраны сравнительные сведения о том, как эти решения идентификации могут работать вместе или порознь в зависимости от потребностей конкретной организации.
Azure AD DS и самостоятельно управляемая AD DS
Если у вас есть приложения и службы, использующие традиционные механизмы проверки подлинности, например Kerberos или NTLM, у вас есть два способа перенести в облако доменную службу Active Directory.
В Azure AD DS основные компоненты службы развертываются и обслуживаются корпорацией Майкрософт в рамках управляемого домена. Вам не придется развертывать, администрировать, обновлять и защищать инфраструктуру AD DS для таких компонентов, как виртуальные машины, ОС Windows Server или контроллеры домена.
Azure AD DS предоставляет ограниченное подмножество функций по сравнению с традиционной самостоятельно управляемой средой AD DS, что устраняет некоторые сложности при проектировании и управлении. Например, вам не нужно проектировать и поддерживать леса AD, домены, сайты и связи репликации. Вы по-прежнему можете создавать доверие лесов между Azure AD DS и локальными средами.
Для приложений и служб, которые выполняются в облаке и используют традиционные механизмы проверки подлинности, например Kerberos или NTLM, Azure AD DS предоставляет функции управляемого домена с минимальным объемом административных издержек. Дополнительные сведения см. в разделе Основные понятия управления учетными записями пользователей, паролями и администрированием в Azure AD DS.
При развертывании и выполнении самостоятельно управляемой среды AD DS вам придется поддерживать все связанные с ней компоненты инфраструктуры и каталога. Самостоятельно управляемая среда AD DS означает дополнительные затраты на обслуживание, но зато предоставляет дополнительные возможности, например расширение схемы или создание доверий лесов.
Ниже перечислены распространенные модели развертывания для самостоятельно управляемой среды AD DS, которая поддерживает идентификацию для приложений и служб, размещенных в облаке.
В следующей таблице описаны некоторые функции, которые могут потребоваться вашей организации, и различия между управляемым доменом Azure AD DS и самостоятельно управляемым доменом AD DS.
| Компонент | Azure AD DS | Самостоятельно управляемая AD DS |
|---|---|---|
| Управляемая служба | ✓ | ✕ |
| Защищенные развертывания | ✓ | Администратор защищает развертывание |
| DNS-сервер | ✓ (управляемая служба) | ✓ |
| Права администратора домена или предприятия | ✕ | ✓ |
| Присоединение к домену | ✓ | ✓ |
| Аутентификация в домене с помощью NTLM и Kerberos | ✓ | ✓ |
| Ограниченное делегирование Kerberos | На основе ресурсов | На основе ресурсов и на основе учетных записей |
| Структура пользовательских подразделений | ✓ | ✓ |
| Групповая политика | ✓ | ✓ |
| Расширения схемы | ✕ | ✓ |
| Отношения доверия между доменом AD и лесом | ✓ (только односторонние доверие лесов) | ✓ |
| Защищенный протокол LDAP (LDAPS) | ✓ | ✓ |
| Чтение с помощью протокола LDAP | ✓ | ✓ |
| Запись с помощью протокола LDAP | ✓ (в пределах управляемого домена) | ✓ |
| Географически распределенные развертывания | ✓ | ✓ |
Azure AD DS и Azure AD
Azure AD позволяет управлять идентификаторами устройств, используемыми в вашей организации, и контролировать доступ к корпоративным ресурсам с этих устройств. Пользователи также могут регистрировать свои личные устройства (модель самостоятельной регистрации) в службе Azure AD, которая присваивает устройству идентификатор. Это позволяет службе Azure AD выполнять аутентификацию устройства, когда пользователь входит в Azure AD и использует устройство для доступа к защищенным ресурсам. Устройством можно управлять с помощью программного обеспечения для управления мобильными устройствами, например Microsoft Intune. Возможность управления позволяет разрешать доступ к конфиденциальным ресурсам только с управляемых устройств и устройств, соответствующих требованиям политик.
Традиционные компьютеры и ноутбуки также можно присоединять к Azure AD. Этот механизм обеспечивает те же преимущества, что и регистрация личного устройства в Azure AD, то есть позволяет пользователям входить на устройство с корпоративными учетными данными.
Присоединенные к Azure AD устройства обеспечивают следующие преимущества:
Устройства можно присоединять к Azure AD с гибридным развертыванием, которое включает в себя локальную среду AD DS, или без него. В следующей таблице описаны распространенные модели владения устройствами и типичные способы их присоединения к домену.
| Тип устройства | Платформы устройств | Механизм |
|---|---|---|
| Личные устройства | Windows 10, iOS, Android, macOS | регистрация в Azure AD; |
| Устройство, принадлежащее организации, не присоединенное к локальной AD DS | Windows 10 | присоединение к Azure AD; |
| Устройство, принадлежащее организации, присоединенное к локальной AD DS | Windows 10 | присоединение к Azure AD (гибридные устройства). |
На устройствах, присоединенных или зарегистрированных в Azure AD, аутентификация пользователя выполняется с помощью современных протоколов на основе OAuth или OpenID Connect. Эти протоколы предназначены для работы в Интернете. Они прекрасно подходят для пользователей, которым нужно обращаться к корпоративным ресурсам, используя мобильные устройства в разных расположениях.
На устройствах, присоединенных к Azure AD DS, приложения могут использовать для проверки подлинности протоколы Kerberos и NTLM, что позволяет поддерживать приложения прежних версий, перенесенные на виртуальные машины Azure в рамках стратегии «lift-and-shift». В следующей таблице описаны различия в том, как выполняется представление устройств и проверка подлинности в каталоге.
| Аспект | Присоединенные к Azure AD | Присоединенные к Azure AD DS |
|---|---|---|
| Устройство управляется | Azure AD | Управляемый домен Azure AD DS |
| Представление в каталоге | Объекты устройств в каталоге Azure AD | Объекты компьютеров в управляемом домене доменных служб Azure AD DS |
| Аутентификация | Протоколы на основе OAuth и OpenID Connect | Протоколы Kerberos и NTLM |
| Управление | Программное обеспечение для управления мобильными устройствами (MDM), например Intune | Групповая политика |
| Сеть | Работает через Интернет | Требуется подключение к виртуальной сети, в которой развернут управляемый домен, или пиринг с ней |
| Отлично подойдет для: | мобильных или настольных устройств пользователей | серверных виртуальных машин, развернутых в Azure |
Если локальные службы AD DS и Azure AD настроены для федеративной аутентификации с помощью ADFS, значит в Azure DS будет отсутствовать доступный (текущий/допустимый) хэш паролей. Учетные записи пользователей Azure AD, созданные до реализации федеративной аутентификации, который с большой вероятностью не будет соответствовать хэшу их локального пароля. Поэтому доменные службы Azure Active Directory не смогут проверить учетные данные пользователей.
