什么是 Azure Active Directory 域服務(wù)？

Azure Active Directory 域服務(wù) (Azure AD DS) 提供托管域服務(wù)，例如域加入、組策略、輕型目錄訪問(wèn)協(xié)議 (LDAP) 和 Kerberos/NTLM 身份驗(yàn)證。 無(wú)需在云中部署、管理和修補(bǔ)域控制器 (DC) 即可使用這些域服務(wù)。

Azure AD DS 托管域使你能夠在云中或你不希望目錄查找始終返回到本地 AD DS 環(huán)境的位置，運(yùn)行無(wú)法使用現(xiàn)代身份驗(yàn)證方法的舊版應(yīng)用程序。 你可以將這些舊版應(yīng)用程序從本地環(huán)境直接遷移到托管域，而無(wú)需在云中管理 AD DS 環(huán)境。

Azure AD DS 與現(xiàn)有的 Azure AD 租戶(hù)集成。 通過(guò)此集成，用戶(hù)可以使用其現(xiàn)有憑據(jù)登錄到與托管域相連的服務(wù)和應(yīng)用程序。 還可以使用現(xiàn)有組和用戶(hù)帳戶(hù)來(lái)保護(hù)對(duì)資源的訪問(wèn)。 這些功能可更順暢地將本地資源直接遷移到 Azure。

若要開(kāi)始，請(qǐng)使用 Azure 門(mén)戶(hù)創(chuàng)建 Azure AD DS 托管域

請(qǐng)查看我們的短視頻，詳細(xì)了解 Azure AD DS。

Azure AD DS 如何工作？

創(chuàng)建 Azure AD DS 托管域時(shí)，需定義唯一的命名空間。 該命名空間為域名，例如“aaddscontoso.com”。 兩個(gè) Windows Server 域控制器 (DC) 隨即部署到選定的 Azure 區(qū)域中。 DC 的這種部署稱(chēng)為副本集。

你不需要管理、配置或更新這些 DC。 Azure 平臺(tái)將這些 DC 作為托管域的一部分進(jìn)行處理，包括使用 Azure 磁盤(pán)加密的靜態(tài)備份和靜態(tài)加密。

托管域配置為從 Azure AD 執(zhí)行單向同步，以提供對(duì)一組集中用戶(hù)、組和憑據(jù)的訪問(wèn)。 你可以直接在托管域中創(chuàng)建資源，但它們不會(huì)同步回 Azure AD。 然后，Azure 中連接到該托管域的應(yīng)用程序、服務(wù)和 VM 便可使用常見(jiàn) AD DS 功能，如域加入、組策略、LDAP 和 Kerberos/NTLM 身份驗(yàn)證。

在具有本地 AD DS 環(huán)境的混合環(huán)境中，Azure AD Connect 會(huì)將標(biāo)識(shí)信息與 Azure AD 同步，后者隨后將同步到托管域。

Azure AD DS 從 Azure AD 中復(fù)制標(biāo)識(shí)信息，因此，它適用于僅限云的 Azure AD 租戶(hù)，或與本地 AD DS 環(huán)境同步的租戶(hù)。 對(duì)于這兩種環(huán)境，都存在相同的一組 Azure AD DS 功能。

• 如果有現(xiàn)有的本地 AD DS 環(huán)境，則可以同步用戶(hù)帳戶(hù)信息，為用戶(hù)提供一致的標(biāo)識(shí)。 若要了解詳細(xì)信息，請(qǐng)參閱如何在托管域中同步對(duì)象和憑據(jù)。

• 對(duì)于僅限云的環(huán)境，則不需要傳統(tǒng)的本地 AD DS 環(huán)境來(lái)使用 Azure AD DS 的集中標(biāo)識(shí)服務(wù)。

可以擴(kuò)展托管域，使每個(gè) Azure AD 租戶(hù)具有多個(gè)副本集。 可以將副本集添加到任何支持 Azure AD DS 的 Azure 區(qū)域中的任何對(duì)等互連虛擬網(wǎng)絡(luò)。 如果某個(gè) Azure 區(qū)域處于離線狀態(tài)，則不同 Azure 區(qū)域中的其他副本集可為舊版應(yīng)用程序提供地理災(zāi)難恢復(fù)。 有關(guān)詳細(xì)信息，請(qǐng)參閱托管域的副本集概念和功能。

Azure AD DS 功能和優(yōu)點(diǎn)

為了向云中的應(yīng)用程序和 VM 提供標(biāo)識(shí)服務(wù)，Azure AD DS 與域加入、安全 LDAP (LDAPS)、組策略、DNS 管理以及 LDAP 綁定和讀取支持等操作的傳統(tǒng) AD DS 環(huán)境完全兼容。 LDAP 寫(xiě)入支持適用于在托管域中創(chuàng)建的對(duì)象，但不適用于從 Azure AD 同步的資源。

若要了解有關(guān)標(biāo)識(shí)選項(xiàng)的詳細(xì)信息，請(qǐng)將 Azure AD DS 與 Azure AD、Azure VM 上的 AD DS 和本地 AD DS 進(jìn)行比較。

Azure AD DS 的以下功能簡(jiǎn)化了部署和管理操作：

• 簡(jiǎn)化的部署體驗(yàn)： 在 Azure 門(mén)戶(hù)中使用單個(gè)向?qū)?Azure AD 租戶(hù)啟用 Azure AD DS。

• 與 Azure AD 集成： 可從 Azure AD 租戶(hù)自動(dòng)獲得用戶(hù)帳戶(hù)、組成員身份和憑據(jù)。 新用戶(hù)、組或者對(duì) Azure AD 租戶(hù)或本地 AD DS 環(huán)境中的屬性所做的更改會(huì)自動(dòng)同步到 Azure AD DS。

• 鏈接到 Azure AD 的外部目錄中的帳戶(hù)不可用于 Azure AD DS。 憑據(jù)不可用于這些外部目錄，因此無(wú)法同步到托管域。

• 使用企業(yè)憑據(jù)/密碼： Azure AD DS 中的用戶(hù)密碼與 Azure AD 租戶(hù)中的用戶(hù)密碼相同。 用戶(hù)可以使用其企業(yè)憑據(jù)將計(jì)算機(jī)加入域，以交互方式或通過(guò)遠(yuǎn)程桌面登錄，以及針對(duì)托管域進(jìn)行身份驗(yàn)證。

• NTLM 和 Kerberos 身份驗(yàn)證： 借助對(duì) NTLM 和 Kerberos 身份驗(yàn)證的支持，可以部署依賴(lài)于 Windows 集成身份驗(yàn)證的應(yīng)用程序。

• 高可用性： Azure AD DS 包括多個(gè)域控制器，這些域控制器為托管域提供高可用性。 這種高可用性保證了服務(wù)運(yùn)行時(shí)間和故障恢復(fù)能力。

• 在支持 Azure 可用性區(qū)域的區(qū)域中，這些域控制器也跨區(qū)域分布，以提升復(fù)原能力。

• 如果某個(gè) Azure 區(qū)域處于離線狀態(tài)，則副本集也可用于為舊版應(yīng)用程序提供地理災(zāi)難恢復(fù)。

托管域的一些關(guān)鍵方面包括：

• 托管域是獨(dú)立的域。 它不是本地域的擴(kuò)展。

• 如果需要，你可以創(chuàng)建從 Azure AD DS 到本地 AD DS 環(huán)境的單向出站林信任。 有關(guān)詳細(xì)信息，請(qǐng)參閱 Azure AD DS 的資源林概念和功能。

• 你的 IT 團(tuán)隊(duì)無(wú)需管理、修補(bǔ)或監(jiān)視此托管域的域控制器。

對(duì)于運(yùn)行本地 AD DS 的混合環(huán)境，無(wú)需管理到托管域的 AD 復(fù)制。 本地目錄中的用戶(hù)帳戶(hù)、組成員身份和憑據(jù)通過(guò) Azure AD Connect 同步到 Azure AD。 這些用戶(hù)帳戶(hù)、組成員身份和憑據(jù)在托管域中自動(dòng)可用。