共用方式為

Azure 登陸區域中具有 Active Directory 和 Microsoft Entra ID 的混合式身分識別

  • 發行項

本文提供如何針對 Azure 登陸區域設計和實作 Microsoft Entra ID 和混合式身分識別的指引。

在雲端中運作的組織需要目錄服務來管理使用者身分識別及存取資源。 Microsoft Entra ID 是雲端式身分識別和存取管理服務,可提供強大的功能來管理使用者和群組。 您可以使用 Microsoft Entra 識別碼作為獨立身分識別解決方案,或將其與 Microsoft Entra Domain Services 基礎結構或 內部部署的 Active Directory Domain Services (AD DS) 基礎結構整合。

Microsoft Entra ID 提供適用於 Azure 和 Microsoft 365 服務的新式安全身分識別和存取管理。 您可以針對各種組織和工作負載使用 Microsoft Entra 識別碼。 例如,具有內部部署 AD DS 基礎結構和雲端式工作負載的組織可以使用目錄同步處理與 Microsoft Entra ID。 目錄同步處理可確保內部部署和雲端環境共用一組一致的身分識別、群組和角色。 需要舊版驗證機制的應用程式可能需要雲端受控網域服務的 Domain Services,並將內部部署 AD DS 基礎結構延伸至 Azure。

雲端式身分識別管理是反覆的程式。 您可以從雲端原生解決方案開始,此解決方案具有一小組使用者和初始部署的對應角色。 隨著移轉的成熟,您可能需要使用目錄同步處理來整合身分識別解決方案,或將雲端裝載的網域服務新增為雲端部署的一部分。

根據您的工作負載驗證需求和其他需求來調整您的身分識別解決方案,例如組織身分識別策略和安全性需求的變更,或與其他目錄服務整合。 當您評估 Windows Server Active Directory 解決方案時,瞭解 Windows Server 上的 Microsoft Entra ID、Domain Services 和 AD DS 之間的差異。

如需詳細資訊,請參閱 身分識別決策指南

Azure 登陸區域中的身分識別和存取管理服務

平臺小組負責管理身分識別和存取管理。 身分識別和存取管理服務是組織安全性的基礎。 您的組織可以使用 Microsoft Entra ID 來控制系統管理存取和保護平台資源。 此方法可防止平臺小組外部的使用者對設定或 Microsoft Entra 識別符內含的安全性主體進行變更。

如果您使用 AD DS 或 Domain Services,則必須保護域控制器免於未經授權的存取。 域控制器很容易遭受攻擊,而且應該具有嚴格的安全性控制和隔離與應用程式工作負載。

在位於平臺管理群組的身分識別訂用帳戶中,部署域控制器和相關聯的元件,例如 Microsoft Entra 連線 伺服器。 域控制器不會委派給應用程式小組。 此隔離可讓應用程式擁有者使用身分識別服務,而不需要維護它們,這可降低對身分識別和存取管理服務的危害風險。 身分識別平臺訂用帳戶中的資源是雲端和內部部署環境的重要安全性點。

布建登陸區域,讓應用程式擁有者可以選擇 Microsoft Entra ID 或 AD DS 和 Domain Services,以符合其工作負載需求。 您可能需要根據身分識別解決方案來設定其他服務。 例如,您可能需要啟用及保護身分識別虛擬網路的網路連線。 如果您使用訂用帳戶自動銷售程式,請在您的訂用帳戶要求中包含此設定資訊。

Azure 和內部部署網域 (混合式身分識別)

您完全在 Microsoft Entra 識別碼中建立的使用者對象稱為 僅限雲端帳戶。 僅限雲端的帳戶支援新式驗證和 Azure 和 Microsoft 365 資源的存取,並支援使用 Windows 10 或 Windows 11 之本機裝置的存取。

您的組織可能已經有您與其他系統整合的長期 AD DS 目錄,例如企業營運或企業資源規劃(ERP),透過輕量型目錄存取通訊協定 (LDAP)。 這些網域可以有許多已加入網域的計算機和應用程式,這些計算機和應用程式會使用 Kerberos 或較舊的 NTLMv2 通訊協定進行驗證。 在這些環境中,您可以將用戶物件同步處理至 Microsoft Entra ID,讓使用者可以使用單一身分識別登入內部部署系統和雲端資源。 統一內部部署和雲端目錄服務稱為 混合式身分識別。 您可以將內部部署網域延伸至 Azure 登陸區域:

  • 若要在雲端和內部部署環境中維護單一用戶物件,您可以透過 Microsoft Entra 連線 或 Microsoft Entra Cloud Sync,將 AD DS 網域使用者與 Microsoft Entra ID 同步。若要判斷您環境的建議組態,請參閱 Microsoft Entra 連線 的拓撲和 Microsoft Entra Cloud Sync 的拓撲。

  • 若要將 Windows 虛擬機 (VM) 和其他服務加入網域,您可以在 Azure 中部署 AD DS 域控制器或 Domain Services。 使用這種方法,AD DS 用戶可以登入 Windows 伺服器、Azure 檔案共用,以及其他使用 Active Directory 作為驗證來源的資源。 您也可以使用其他 Active Directory 技術,例如組策略作為驗證來源。 如需詳細資訊,請參閱 Microsoft Entra Domain Services 的常見部署案例。

混合式身分識別建議

  • 若要判斷您的身分識別解決方案需求,請記錄每個應用程式所使用的驗證提供者。 使用身分識別決策指南,為您的組織選取正確的服務。 如需詳細資訊,請參閱 比較 Active Directory 與 Microsoft Entra ID

  • 對於依賴網域服務並使用舊版通訊協定的應用程式,您可以使用 Domain Services 。 現有的 AD DS 網域有時會支援回溯相容性,並允許舊版通訊協定,這可能會對安全性造成負面影響。 請考慮使用網域服務來建立不允許舊版通訊協定的新網域,而不是擴充內部部署網域。 使用新網域作為雲端裝載應用程式的目錄服務。

  • 將復原因素納入為 Azure 中混合式身分識別策略的重要設計需求。 Microsoft Entra ID 是全域 備援的雲端式系統 ,但網域服務和 AD DS 則不是。 當您實作 Domain Services 和 AD DS 時,請仔細規劃復原。 當您設計任一服務時,請考慮使用多區域部署,以確保在發生區域性事件時繼續執行服務作業。

  • 若要將內部部署 AD DS 實例延伸至 Azure 並優化部署,請將 Azure 區域納入 Active Directory 網站設計。 針對您打算部署工作負載的每個 Azure 區域,在 AD DS 月臺和服務中建立網站。 然後,針對您打算在區域中部署的每個IP位址範圍,在AD DS月臺和服務中建立新的子網物件。 將新的子網物件與您建立的 AD DS 網站產生關聯。 此設定可確保域控制器定位器服務會將授權和驗證要求導向至相同 Azure 區域內最近的 AD DS 域控制器。

  • 評估設定來賓、客戶或合作夥伴以存取資源的案例。 判斷這些案例是否涉及客戶的 Microsoft Entra B2BMicrosoft Entra 外部 ID。 如需詳細資訊,請參閱 Microsoft Entra 外部 ID

  • 請勿使用 Microsoft Entra 應用程式 Proxy 進行內部網路存取,因為它會增加用戶體驗的延遲。 如需詳細資訊,請參閱 Microsoft Entra 應用程式 Proxy 規劃和Microsoft Entra 應用程式 Proxy 安全性考慮

  • 請考慮可用來整合 內部部署的 Active Directory 與 Azure 的各種方法,以符合您的組織需求。

  • 如果您有 Active Directory 同盟服務 (AD FS) 同盟與 Microsoft Entra ID,您可以使用密碼哈希同步處理作為備份。 AD FS 不支援 Microsoft Entra 無縫單一登錄 (SSO)。

  • 判斷雲端身分識別的正確 同步處理工具

  • 如果您有使用 AD FS 的需求,請參閱 在 Azure 中部署 AD FS。

  • 如果您使用 Microsoft Entra 連線 作為同步處理工具,請考慮在與主要 Microsoft Entra 連線 伺服器不同的區域中部署預備伺服器,以進行災害復原。 或者,如果您未使用多個區域,請實作高可用性的可用性區域。

  • 如果您使用 Microsoft Entra Cloud Sync 作為同步處理工具,請考慮在多個區域中跨不同伺服器安裝至少 三個代理程式 ,以進行災害復原。 或者,您可以在不同的可用性區域中跨伺服器安裝代理程式,以達到高可用性。

重要

強烈建議您移轉至 Microsoft Entra 識別碼,除非您特別需要 AD FS。 如需詳細資訊,請參閱解除委任AD FS和從AD FS移轉至 Microsoft Entra ID 的資源。

Microsoft Entra ID、Domain Services 和 AD DS

若要實作 Microsoft 目錄服務,請熟悉系統管理員的下列選項:

  • 您可以將 AD DS 域控制器部署至 Azure,作為平臺或身分識別系統管理員完全控制的 Windows VM 。 這種方法是基礎結構即服務 (IaaS) 解決方案。 您可以將域控制器加入現有的 Active Directory 網域,或裝載與現有內部部署網域有選擇性信任關係的新網域。 如需詳細資訊,請參閱 Azure 登陸區域中的 Azure 虛擬機器 基準架構。

  • Domain Services 是 Azure 受控服務,可用來建立 Azure 中裝載的新受控 Active Directory 網域。 網域可以與現有網域建立信任關係,而且可以從 Microsoft Entra ID 同步處理身分識別。 管理員 istrators 沒有域控制器的直接存取權,且不負責修補和其他維護作業。

  • 當您部署 Domain Services 或將內部部署環境整合到 Azure 時,請盡可能使用可用性區域增加可用性的位置。 也請考慮跨多個 Azure 區域進行部署,以提高復原能力。

設定 AD DS 或網域服務之後,您可以使用與內部部署電腦相同的方法來加入 Azure VM 和檔案共用。 如需詳細資訊,請參閱 比較 Microsoft 目錄型服務

Microsoft Entra ID 和 AD DS 建議

  • 使用 Microsoft Entra 應用程式 Proxy ,透過 Microsoft Entra 識別碼從遠端存取使用內部部署驗證的應用程式。 此功能提供對內部部署 Web 應用程式的安全遠端存取。 Microsoft Entra 應用程式 Proxy 不需要 VPN 或任何網路基礎結構的變更。 不過,它會部署為單一實例至 Microsoft Entra ID,因此應用程式擁有者和平臺或身分識別小組必須共同作業,以確保應用程式已正確設定。

  • 評估 Windows Server 和網域服務上 AD DS 的工作負載相容性。 如需詳細資訊,請參閱 常見使用案例和案例

  • 將域控制器 VM 或 Domain Services 複本集部署到平臺管理群組內的身分識別平臺訂用帳戶。

  • 保護包含域控制器的虛擬網路。 若要防止虛擬網路和域控制器的直接因特網連線,請將AD DS 伺服器放在具有網路安全組 (NSG) 的隔離子網中。 NSG 提供防火牆功能。 使用域控制器進行驗證的資源必須具有域控制器子網的網路路由。 僅針對需要存取身分識別訂用帳戶中服務的應用程式啟用網路路由。 如需詳細資訊,請參閱 在 Azure 虛擬網路中部署 AD DS。

  • 使用 Azure 虛擬網絡 Manager 來強制執行套用至虛擬網路的標準規則。 例如,如果需要 Active Directory 身分識別服務,您可以使用 Azure 原則 或虛擬網路資源標籤,將登陸區域虛擬網路新增至網路群組。 接著可以使用網路群組,只允許從需要域控制器子網的應用程式存取,並封鎖來自其他應用程式的存取。

  • 保護套用至域控制器 VM 和其他身分識別資源的角色型存取控制 (RBAC) 許可權。 在 Azure 控制平面上具有 RBAC 角色指派的 管理員 istrators,例如參與者、擁有者或虛擬機參與者,可以在 VM 上執行命令。 請確定只有授權的系統管理員可以存取身分識別訂用帳戶中的 VM,且過度寬鬆的角色指派不會繼承自較高的管理群組。

  • 讓您的核心應用程式與副本集的虛擬網路保持接近或位於相同區域中,以將延遲降到最低。 在多區域組織中,將 Domain Services 部署到裝載核心平臺元件的區域。 您只能將 Domain Services 部署到單一訂用帳戶。 若要將網域服務擴充至其他區域,您可以在與主要虛擬網路對等互連的個別虛擬網路中新增最多四 個復本集

  • 請考慮將 AD DS 域控制器部署到多個 Azure 區域,以及跨 可用性區域 ,以提高復原能力和可用性。 如需詳細資訊,請參閱 在可用性區域中 建立 VM 和 將 VM 遷移至可用性區域

  • 探索 Microsoft Entra ID 的驗證方法,作為身分識別規劃的一部分。 驗證可能發生在雲端和內部部署,或僅限內部部署。

  • 如果 Windows 使用者要求 Kerberos Azure 檔案儲存體 檔案共用,請考慮針對 Microsoft Entra ID 使用 Kerberos 驗證,而不是在雲端中部署域控制器。

後續步驟

登陸區域身分識別和存取管理