Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure云解决方案提供商(CSP)是面向Microsoft合作伙伴的计划,并为各种Azure云服务提供许可证渠道。 Azure CSP 使合作伙伴能够管理销售、拥有计费关系、提供技术和计费支持,并成为客户的单一联系点。 此外,Azure CSP 还提供一整套工具,包括自助服务门户和随附的 API。 这些工具使 CSP 合作伙伴能够轻松预配和管理Azure资源,并为客户及其订阅提供计费。
Partner Center 门户是所有Azure CSP 合作伙伴的入口点,并提供丰富的客户管理功能、自动化处理等。 Azure CSP 合作伙伴可以使用基于 Web 的 UI 或使用 PowerShell 和各种 API 调用来使用合作伙伴中心功能。
下图概述了 CSP 模型的高层次运作方式。 在这里,Contoso 有一个 Microsoft Entra 租户。 他们与 CSP 建立了合作关系,该 CSP 在其Azure CSP 订阅中部署和管理资源。 Contoso 也可能拥有常规(直接)的 Azure 订阅,这些订阅会直接向 Contoso 收费。
CSP 合作伙伴的租户有三个特殊的代理组 - 管理代理、支持人员代理和销售代理。
Admin 代理组被分配至 Contoso 的 Microsoft Entra 租户中的租户管理员角色。 因此,属于 CSP 合作伙伴管理员代理组的用户在 Contoso Microsoft Entra 租户中具有租户管理员权限。
CSP 合作伙伴为 Contoso 预配 Azure CSP 订阅时,其管理员代理组将分配给该订阅的所有者角色。 因此,CSP 合作伙伴的管理代理具有代表 Contoso 预配Azure资源(如虚拟机、虚拟网络和Microsoft Entra域服务)所需的权限。
有关详细信息,请参阅 Azure CSP 概述
在 Azure CSP 订阅中使用域服务的好处
Microsoft Entra域服务提供与Windows Server Active Directory Domain Services完全兼容的托管域服务,例如域加入、组策略、LDAP、Kerberos/NTLM 身份验证。 过去几十年出现了众多使用此类功能在 AD 基础上运行的应用程序。 许多独立软件供应商 (ISV) 已在客户本地生成和部署应用程序。 为这些应用程序提供支持非常困难,因为这通常需要访问部署了这些应用程序的不同环境。 通过 Azure CSP 订阅,您可以享受 Azure 的简便性,同时具备灵活性和可扩展性。
域服务支持Azure CSP 订阅。 可以将应用程序部署在与客户的 Microsoft Entra 租户绑定的 Azure CSP 订阅中。 因此,员工(支持人员)可以使用组织的企业凭据控制、管理和维护部署了应用程序的 VM。
还可以在客户的Microsoft Entra租户中部署域服务托管域。 你的应用程序然后将连接到客户的托管域。 应用程序内依赖于 Kerberos/NTLM、LDAP 或 System.DirectoryServices API 的功能可针对客户的域无缝地工作。 最终客户将应用程序作为服务使用,不需要担心如何维护部署应用程序的基础结构,因此将从中受益。
你在该订阅中消耗的所有 Azure 资源(包括域服务)的计费都会向你收取费用。 在销售、计费、技术支持等方面,你可保持对客户关系的完全控制。 借助 Azure CSP 平台的灵活性,一个小型支持代理团队可以为许多已部署应用程序实例的此类客户提供服务。
域服务的 CSP 部署模型
可通过两种方式将域服务与 Azure CSP 订阅配合使用。 请根据客户的安全性和简易性考虑因素,选择一种合适的方法。
直接部署模型
在此部署模型中,域服务在属于 Azure CSP 订阅的虚拟网络中启用。 CSP 合作伙伴的管理代理具有以下特权:
需要全局管理员来管理此功能。
此功能需要Azure CSP 订阅的订阅所有者权限。
在这种部署模型下,CSP 提供商的管理代理可以管理客户的标识。 这些管理员代理可以执行预配新用户或组等任务,或者在客户的Microsoft Entra租户中添加应用程序。
此部署模型可能适用于没有专门的标识管理员或更愿意由 CSP 合作伙伴代表其管理标识的小型组织。
对等部署模型
在此部署模型中,域服务在属于客户的虚拟网络中启用,由客户直接支付的 Azure 订阅。 CSP 合作伙伴可在属于客户的 CSP 订阅的虚拟网络中部署应用程序。 然后,可以使用 Azure 虚拟网络对等互连将虚拟网络连接起来。
通过此部署,Azure CSP 订阅中 CSP 合作伙伴部署的工作负荷或应用程序可以连接到客户直接Azure订阅中预配的客户托管域。
此部署模型提供特权分离,并使 CSP 合作伙伴的支持人员代理能够管理Azure订阅,并在其中部署和管理资源。 但是,CSP 合作伙伴的服务台代理在客户的 Microsoft Entra 目录中不需要高权限角色。 客户的标识管理员可继续管理其组织的标识。
此部署模型可能适用于 ISV 提供其本地应用程序的托管版本的方案,后者还需要连接到客户的Microsoft Entra ID。
管理 CSP 订阅中的域服务
在 Azure CSP 订阅中管理托管域时,需要注意以下重要事项:
CSP 管理员代理可以使用其凭据来预配托管域:域服务支持 Azure CSP 订阅。 CSP 合作伙伴的管理代理组中的用户可以预配新的托管域。
CSP 可使用 PowerShell 为客户编写新建托管域的脚本:有关详细信息,请参阅如何使用 PowerShell 启用域服务。
CSP 管理代理不能使用其凭据在托管域上执行日常管理任务: CSP 管理员用户不能使用其凭据在托管域中执行日常管理任务。 这些用户位于客户的Microsoft Entra租户外部,其凭据在客户的Microsoft Entra租户中不可用。 域服务无权访问这些用户的 Kerberos 和 NTLM 密码哈希,因此无法在托管域上对这些用户进行身份验证。
警告
必须在客户的目录中创建用户帐户,从而对托管域执行日常管理任务。
无法使用 CSP 管理员用户的凭据登录到托管域。 使用属于客户的Microsoft Entra租户的用户帐户的凭据,以进行相关操作。 对于将 VM 加入到托管域、管理 DNS、管理组策略之类的任务,这些凭据是必需的。
必须将为日常管理创建的用户帐户添加到“AAD DC 管理员”组: “AAD DC 管理员”组有权在托管域上执行某些委托的管理任务。 这些任务包括配置 DNS、创建组织单位,以及管理组策略。
若要使 CSP 合作伙伴在托管域上执行这些任务,必须在客户的Microsoft Entra租户中创建用户帐户。 此帐户的凭据必须与 CSP 合作伙伴的管理代理共享。 此外,此用户帐户必须添加到“AAD DC 管理员”组,从而在托管域上启用要使用此用户帐户执行的配置任务。
后续步骤
若要开始,注册 Azure CSP 计划。 然后,可以使用 Microsoft Entra 管理中心或 Azure PowerShell 启用Microsoft Entra域服务。