什么是 Microsoft Entra 域服务?
Microsoft Entra 域服务提供托管域服务,例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
通过域服务托管域,可在云中或者在你不希望目录查找始终返回到本地 AD DS 环境时,运行无法使用新式身份验证方法的旧版应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。
域服务可与你现有的 Microsoft Entra 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
域服务的工作原理是什么?
创建域服务托管域时,需定义唯一的命名空间。 该命名空间为域名,例如“aaddscontoso.com”。 两个 Windows Server 域控制器 (DC) 随即部署到选定的 Azure 区域中。 DC 的这种部署称为副本集。
你不需要管理、配置或更新这些 DC。 Azure 平台将这些 DC 作为托管域的一部分进行处理,包括使用 Azure 磁盘加密的静态备份和静态加密。
托管域配置为从 Microsoft Entra ID 执行单向同步,以提供对一组集中用户、组和凭据的访问。 你可以直接在托管域中创建资源,但它们不会同步回 Microsoft Entra ID。 然后,Azure 中连接到该托管域的应用程序、服务和 VM 便可使用常见 AD DS 功能,如域加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。
在具有本地 AD DS 环境的混合环境中,Microsoft Entra Connect 会将标识信息与 Microsoft Entra ID 同步,后者随后将同步到托管域。
域服务会从 Microsoft Entra ID 复制标识信息,因此它适用于仅限云或与本地 AD DS 环境同步的 Microsoft Entra 租户。 对于这两种环境,存在相同的一组域服务功能。
- 如果有现有的本地 AD DS 环境,则可以同步用户帐户信息,为用户提供一致的标识。 若要了解详细信息,请参阅如何在托管域中同步对象和凭据。
- 对于仅限云的环境,不需要传统的本地 AD DS 环境来使用域服务的集中标识服务。
可以扩展托管域,使每个 Microsoft Entra 租户具有多个副本集。 副本集现在可以添加到支持域服务的任何 Azure 区域中的任何对等网络。 通过在不同 Azure 区域中添加副本集,可在某个 Azure 区域离线时为旧应用程序提供地理灾难恢复。 有关详细信息,请参阅托管域的副本集概念和功能。
若要了解域服务部署方案的实际应用,你可以探索以下示例:
域服务功能和优势
为了向云中的应用程序和 VM 提供标识服务,域服务与域加入、安全 LDAP (LDAPS)、组策略、DNS 管理以及 LDAP 绑定和读取支持等操作的传统 AD DS 环境完全兼容。 LDAP 写入支持适用于在托管域中创建的对象,但不适用于从 Microsoft Entra ID 同步的资源。
若要了解关于你的标识选项的详细信息,请将域服务与 Microsoft Entra ID、Azure VM 上的 AD DS 以及本地 AD DS 进行比较。
域服务的以下功能简化了部署和管理操作:
- 简化的部署体验:域服务是在 Microsoft Entra 管理中心内使用单一向导为你的 Microsoft Entra 租户启用的。
- 与 Microsoft Entra ID 集成:用户帐户、组成员身份和凭据自动从 Microsoft Entra 租户获取。 新用户、组或者对 Microsoft Entra 租户或本地 AD DS 环境中的属性所做的更改会自动同步到域服务。
- 链接到 Microsoft Entra ID 的外部目录中的帐户在域服务中不可用。 凭据不可用于这些外部目录,因此无法同步到托管域。
- 使用企业凭据/密码:域服务中的用户密码与 Microsoft Entra 租户中的用户密码相同。 用户可以使用其企业凭据将计算机加入域,以交互方式或通过远程桌面登录,以及针对托管域进行身份验证。
- NTLM 和 Kerberos 身份验证: 借助对 NTLM 和 Kerberos 身份验证的支持,可以部署依赖于 Windows 集成身份验证的应用程序。
- 高可用性:域服务包括多个域控制器,这些域控制器为托管域提供高可用性。 这种高可用性保证了服务运行时间和故障恢复能力。
- 在支持 Azure 可用性区域的区域中,这些域控制器也跨区域分布,以提升复原能力。
- 如果某个 Azure 区域处于离线状态,则副本集也可用于为旧版应用程序提供地理灾难恢复。
托管域的一些关键方面包括:
- 托管域是独立的域。 它不是本地域的扩展。
- 如果需要,你可以创建从域服务到本地 AD DS 环境的单向出站林信任。
- 你的 IT 团队无需管理、修补或监视此托管域的域控制器。
对于运行本地 AD DS 的混合环境,无需管理到托管域的 AD 复制。 本地目录中的用户帐户、组成员身份和凭据通过 Microsoft Entra Connect 同步到 Azure AD。 这些用户帐户、组成员身份和凭据在托管域中自动可用。
后续步骤
若要详细了解域服务与其他标识解决方案的比较,以及同步的工作原理,请参阅以下文章:
- 将域服务与 Microsoft Entra ID、Azure VM 上的 Active Directory 域服务和本地 Active Directory 域服务进行比较
- 了解 Microsoft Entra 域服务如何与 Microsoft Entra 目录同步
- 若要了解如何管理托管域,请参阅域服务中的用户帐户、密码和管理的管理概念。
要开始操作,请通过 Microsoft Entra 管理中心创建一个托管域。