Microsoft Entra域服务提供托管域服务,例如域加入、组策略、轻型目录访问协议(LDAP)和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
使用域服务支持依赖于Active Directory Domain Services(AD DS)协议的旧版应用程序,并且无法轻松修改以使用新式身份验证。 通过在 Azure 中的托管域运行这些应用程序,您可以将依赖 AD 的工作负荷提升并转移到云中,而无需在 Azure 中扩展或操作其本地 AD DS 基础结构。
域服务与Microsoft Entra ID集成,后者作为用户、组和凭据的授权来源。 通过此集成,用户可以使用其现有标识登录到连接到托管域的应用程序和服务,同时允许你集中Microsoft Entra ID中的标识管理。
何时使用 Microsoft Entra 域服务
域服务可帮助运行仍依赖于 AD DS 协议的应用程序或工作负荷的组织使用 Microsoft Entra ID实现标识和访问管理的现代化。
在以下方案中,应考虑使用域服务:
- 迁移搬移旧版应用程序:运行在本地的应用程序依赖于 LDAP、Kerberos、NTLM、组策略或域加入。 你希望将这些工作负载移动到云,但避免重写它们以支持新式身份验证,例如 OIDC 或 OAuth。
- 减少本地占用情况: 你的组织想要将工作负载移到云中,并停用本地硬件。 可以在Azure中使用托管域,而不是仅维护站点到站点 VPN 连接,以便对发回本地 AD DS 的流量进行身份验证。
- 实施 AD 最小化策略:采用云优先策略,其中Microsoft Entra ID是主要标识提供者。 域服务支持剩余依赖于旧版 AD DS 的工作负载,避免需要将旧的 AD DS 相关组件扩展到 Azure。
- 隔离旧工作负载:您希望在新应用程序直接使用 Microsoft Entra ID 的同时,将依赖于 AD DS 的工作负载保留在 Azure 中。
- 仅限云的旧版支持: 你是一个云原生组织,没有本地 AD DS,但你有特定的第三方应用程序,仍需要 LDAP 或传统域加入。 域服务弥合了这一差距,而无需强制你构建完整的 AD DS 基础结构。
可以将域服务用作需要使用旧身份验证的 Azure 托管工作负载的过渡功能,而不是作为内部部署 Active Directory 的常规替代方案或云原生标识服务的替代方案。
有关这些用例和方案的详细信息,请查看 Microsoft Entra 域服务的常见用例和方案。
Microsoft Entra 云端旅程中的域服务
Entra 域服务可帮助你实现“AD 最小化”目标,减少对旧标识基础结构的依赖,从而支持新式基于云的标识(如 Entra ID)。
Entra 域服务在此旅程中充当桥梁:
- 新式应用: 新的云原生应用应使用 Entra ID。
- Legacy apps:无法轻松实现现代化的旧应用在 Azure 上通过 Entra 域服务运行。
此方法可避免在 Azure Virtual Machines(IaaS)上手动部署和管理 AD DC 的复杂性和安全性负担。 通过使用域服务,可以获得旧版应用所需的兼容性,同时将标识管理集中在 Entra ID 中。
Microsoft Entra 域服务是如何工作的?
创建域服务托管域时,可以定义唯一的命名空间,例如 dscontoso.com。 两个Windows Server域控制器作为副本集的一部分部署到所选Azure区域中。
这些域控制器由Microsoft完全管理。 无需配置、修补或监视它们。 平台处理可用性、备份和静态加密。
托管域配置为从Microsoft Entra ID执行单向同步。 Microsoft Entra ID中的用户、组和凭据在托管域中可用,以便Azure中的应用程序、服务和虚拟机可以使用熟悉的 AD DS 功能,例如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。
在混合环境中,本地 AD DS 中的标识信息会同步到Microsoft Entra ID,然后提供给托管域。
域服务同时适用于仅限云的Microsoft Entra租户,以及与本地 AD DS 环境同步的租户。 这两种方案都提供了同一组托管域功能。
还可以跨Azure区域部署多个副本集,以提高可用性并支持旧版应用程序的灾难恢复方案。 有关详细信息,请参阅 适用于托管域的副本集概念和功能。
Microsoft Entra 域名服务功能和优势
为了向云中的应用程序和 VM 提供标识服务,域服务与域加入、安全 LDAP (LDAPS)、组策略、DNS 管理以及 LDAP 绑定和读取支持等操作的传统 AD DS 环境完全兼容。 LDAP 写入支持适用于在托管域中创建的对象,但不适用于从Microsoft Entra ID同步的资源。
域服务的以下功能简化了部署和管理操作:
- 简化的部署体验:域服务通过在 Microsoft Entra 管理中心使用单个向导,为 Microsoft Entra 租户启用。
-
Integration with Microsoft Entra ID: 用户帐户、组成员身份和凭据会自动从Microsoft Entra ID获取。 Microsoft Entra 租户或本地 AD DS 环境中的新的用户、组或属性更改会被自动同步到域服务。
- 链接到Microsoft Entra ID的外部目录中的帐户在域服务中不可用。 凭据不可用于这些外部目录,因此无法同步到托管域。
- 使用企业凭据/密码:域服务中用户的密码与Microsoft Entra租户中的密码相同。 用户可以使用其企业凭据将计算机加入域,以交互方式或通过远程桌面登录,以及针对托管域进行身份验证。
- NTLM 和 Kerberos 身份验证: 支持 NTLM 和 Kerberos 身份验证时,可以部署依赖于Windows集成身份验证的应用程序。
-
内置高可用性: 域服务包括多个域控制器,这些域控制器为托管域提供高可用性。 这种高可用性保证了服务运行时间和故障恢复能力。
- 在支持 Azure Availability Zones 的区域中,这些域控制器也会分布在区域之间,以便实现额外的复原能力。
- 灾难恢复: 使用 副本集 提供地理灾难恢复。
托管域是一个独立的域,不是现场域的扩展。 如果需要,可以使用本地 AD DS 环境 配置林信任 以支持混合访问方案。
若要详细了解标识选项,请比较域服务、Microsoft Entra ID、Azure VM 上的 AD DS 和本地 AD DS。
后续步骤
若要详细了解域服务与其他标识解决方案的比较,以及同步的工作原理,请参阅以下文章:
- 比较域服务与 Microsoft Entra ID、Azure VM 上的 Active Directory 域服务以及本地 Active Directory 域服务
了解 Microsoft Entra 域服务如何与 Microsoft Entra 目录同步 - 若要了解如何管理托管域,请参阅 域服务中用户帐户、密码和管理的管理概念。