比較自我管理 Active Directory Domain Services、Microsoft Entra ID 和受控 Microsoft Entra Domain Services

為了讓應用程式、服務或裝置能夠存取中央識別身分,有三種常見的方式可以使用 Azure 中 Active Directory 型啟用的服務。 身分識別解決方案中的這個選擇可讓您彈性地使用最適合組織需求的目錄。 例如,如果您大部分管理執行行動裝置的僅限雲端使用者,則建立和執行自己的 Active Directory Domain Services (AD DS) 身分識別解決方案可能沒有意義。 可以只使用 Microsoft Entra ID。

雖然「三個 Active Directory 型的身分識別解決方案」共用一般名稱和技術,但其設計訴求是提供符合不同客戶需求的服務。 概括地說,這些身分識別解決方案和功能集為:

  • Active Directory Domain Services (AD DS) - 符合企業需求的輕量型目錄存取通訊協定 (LDAP) 伺服器,可提供身分識別及驗證、電腦物件管理、群組原則和信任等主要功能。
    • AD DS 是具有內部部署 IT 環境的許多組織的中央元件,並提供核心使用者帳戶驗證和電腦管理功能。
    • 如需詳細資訊,請參閱 Windows Server 檔中 Active Directory 網域服務 概觀。
  • Microsoft Entra ID - 雲端式身分識別和行動裝置管理,可為 Microsoft 365、Microsoft Entra 系統管理中心或 SaaS 應用程式等資源提供使用者帳戶和驗證服務。
    • Microsoft Entra ID 可以與內部部署 AD DS 環境同步,以提供單一身分識別原生在雲端中作業的使用者。
    • 如需 Microsoft Entra ID 的詳細資訊,請參閱 什麼是 Microsoft Entra ID?
  • Microsoft Entra Domain Services - 提供受控網域服務,其中包含一部分完全相容的傳統 AD DS 功能,例如加入網域、組策略、LDAP 和 Kerberos /NTLM 驗證。
    • Domain Services 與 Microsoft Entra ID 整合,其本身可以與內部部署 AD DS 環境同步處理。 此能力會將中央身分識別使用案例延伸至在 Azure 中隨著隨即轉移策略執行的傳統 Web 應用程式。
    • 若要深入瞭解如何與 Microsoft Entra ID 和內部部署同步處理,請參閱 如何在受控網域中同步處理對象和認證。

本概觀文章會比較和對比這些身分識別解決方案如何一起運作,或根據組織的需求獨立使用。

Domain Services 和自我管理 AD DS

如果您有需要存取傳統驗證機制 (例如 Kerberos 或 NTLM) 的應用程式和服務,有兩種方式可以在雲端中提供 Active Directory Domain Services:

  • 您使用 Microsoft Entra Domain Services 建立的受控網域 。 Microsoft 會建立和管理必要的資源。
  • 使用傳統資源 (例如虛擬機器 (VM)、Windows Server 客體 OS 和 Active Directory Domain Services (AD DS)) 建立和設定的自我管理網域。 然後您可以繼續管理這些資源。

使用網域服務時,Microsoft 會為您部署和維護核心服務元件,以作為 受控 網域體驗。 您不會部署、管理、修補和保護 VM、Windows Server OS 或網域控制站 (DC) 等元件的 AD DS 基礎結構。

Domain Services 為傳統的自我管理 AD DS 環境提供較小的功能子集,可減少一些設計和管理複雜性。 例如,沒有任何AD樹系、網域、網站和複寫連結可供設計和維護。 您仍然可以 在 Domain Services 與內部部署環境之間建立樹系信任。

對於在雲端中執行且需要存取 Kerberos 或 NTLM 等傳統驗證機制的應用程式和服務,Domain Services 會以最少的系統管理額外負荷提供受控網域體驗。 如需詳細資訊,請參閱 Domain Services 中用戶帳戶、密碼和管理的管理概念。

當您部署和執行自我管理 AD DS 環境時,您必須維護所有相關聯的基礎結構和目錄元件。 自我管理 AD DS 環境會有額外的維護額外負荷,但您接著可以執行其他工作,例如擴充架構或建立樹系信任。

可為雲端中的應用程式和服務提供身分識別的自我管理 AD DS 環境的常見部署模型,包括下列:

  • 獨立雲端專用 AD DS - Azure VM 會設定為域控制器,並建立個別的僅限雲端 AD DS 環境。 此 AD DS 環境不會與內部部署 AD DS 環境整合。 使用另一組認證來登入和管理雲端中的 VM。
  • 將內部部署網域延伸至 Azure - Azure 虛擬網路會使用 VPN/ExpressRoute 連線來連線至內部部署網路。 Azure VM 會連線到此 Azure 虛擬網路,讓它們能夠透過網路加入內部部署 AD DS 環境。
    • 替代方法是建立 Azure VM,並將其升級為來自內部部署 AD DS 網域的複本網域控制站。 這些網域控制站會透過對內部部署 AD DS 環境的 VPN/ExpressRoute 連線複寫。 內部部署 AD DS 網域可有效地延伸至 Azure。

下表概述組織可能需要的一些功能,以及受控網域或自我管理 AD DS 網域之間的差異:

功能 受控網域 自我管理 AD DS
受管理的服務
保護部署 管理員 istrator 可保護部署
DNS 伺服器 ✓ (受控服務)
網域或企業系統管理員許可權
加入網域
使用 NTLM 和 Kerberos 進行網域驗證
Kerberos 限制委派 以資源為基礎 以資源為基礎和帳戶為基礎
自訂 OU 結構
群組原則
架構延伸模組
AD 網域/樹系信任 ✓ (僅限單向輸出樹系信任)
安全 LDAP (LDAPS)
LDAP 讀取
LDAP 寫入 ✓ (在受控網域內)
異地分散式部署

Domain Services 和 Microsoft Entra ID

Microsoft Entra ID 可讓您管理組織所使用的裝置身分識別,並控制從這些裝置對公司資源的存取權。 使用者也可以使用 Microsoft Entra ID 註冊其個人裝置 (自備 (BYO) 模型),以提供裝置身分識別。 然後,當使用者登入 Microsoft Entra ID 並使用裝置存取受保護的資源時,Microsoft Entra ID 會驗證該裝置。 您可以使用行動裝置管理 (MDM) 軟體來管理裝置,例如 Microsoft Intune。 此管理能力可讓您將敏感性資源的存取權限制為受控和符合原則規範的裝置。

傳統計算機和膝上型電腦也可以加入 Microsoft Entra ID。 此機制提供使用 Microsoft Entra 識別符註冊個人裝置的相同優點,例如允許使用者使用其公司認證登入裝置。

已加入 Microsoft Entra 的裝置提供下列優點:

  • 單一登錄 (SSO) 至受 Microsoft Entra ID 保護的應用程式。
  • 在跨裝置之間進行使用者設定的企業符合原則規範的漫遊。
  • 使用企業認證存取商務用 Microsoft Windows 市集。
  • Windows Hello 企業版。
  • 限制從符合公司原則之裝置的應用程式和資源存取權限。

裝置可以加入 Microsoft Entra ID,但不一定需要包含內部部署 AD DS 環境的混合式部署。 下表概述常見的裝置所有權模型,以及它們通常如何加入網域:

裝置類型 裝置平台 機制
個人裝置 Windows 10、iOS、Android、macOS 已註冊 Microsoft Entra
組織擁有的裝置並未加入內部部署 AD DS Windows 10 已加入 Microsoft Entra
組織擁有的裝置已加入內部部署 AD DS Windows 10 已加入 Microsoft Entra 混合式

在已加入或已註冊的 Microsoft Entra 裝置上,使用者驗證會使用新式 OAuth / OpenID 連線 型通訊協議進行。 這些通訊協定的設計是透過網際網路運作,因此非常適合使用者從任何地方存取公司資源的行動情節。

透過已加入網域服務的裝置,應用程式可以使用 Kerberos 和 NTLM 通訊協定進行驗證,因此可以支援移轉為在 Azure VM 上執行的舊版應用程式,作為隨即轉移策略的一部分。 下表概述裝置的表示方式的差異,並可針對目錄進行自我驗證:

層面 已加入 Microsoft Entra 已加入網域服務
裝置控制者 Microsoft Entra ID Domain Services 受控網域
目錄中的表示法 Microsoft Entra 目錄中的裝置物件 Domain Services 受控網域中的計算機物件
驗證 OAuth / OpenID 連線 型通訊協定 Kerberos 和 NTLM 通訊協定
管理 如 Intune 的行動裝置管理 (MDM) 軟體 群組原則
網路 透過網際網路運作 必須連線至或與受控網域部署所在的虛擬網路對等連線
非常適合…… 終端使用者行動裝置或電腦裝置 部署在 Azure 中的伺服器 VM

如果內部部署 AD DS 和 Microsoft Entra 識別碼是針對使用 AD FS 的同盟驗證設定,則 Azure DS 中沒有可用的密碼哈希。 在實作 Fed 驗證之前建立的 Microsoft Entra 使用者帳戶可能有舊密碼哈希,但這可能不符合其內部部署密碼的哈希。 因此,Domain Services 將無法驗證用戶認證

下一步

若要開始使用 Domain Services, 請使用 Microsoft Entra 系統管理中心建立 Domain Services 受控網域。

您也可以深入瞭解 Domain Services 中使用者帳戶、密碼和管理的管理概念,以及如何 在受控網域中同步處理對象和認證。