Kendi kendine yönetilen Active Directory Etki Alanı Hizmetleri, Microsoft Entra Id ve yönetilen Microsoft Entra Domain Services'ı karşılaştırma
Merkezi bir kimliğe uygulama, hizmet veya cihaz erişimi sağlamak için Azure'da Active Directory tabanlı hizmetleri kullanmanın üç yaygın yolu vardır. Kimlik çözümlerindeki bu seçenek, kuruluşunuzun ihtiyaçlarına en uygun dizini kullanma esnekliği sağlar. Örneğin, çoğunlukla mobil cihazları çalıştıran yalnızca bulut kullanıcılarını yönetiyorsanız, kendi Active Directory Etki Alanı Hizmetleri (AD DS) kimlik çözümünüzü oluşturmanız ve çalıştırmanız mantıklı olmayabilir. Bunun yerine Yalnızca Microsoft Entra Id kullanabilirsiniz.
Active Directory tabanlı üç kimlik çözümü ortak bir adı ve teknolojiyi paylaşsa da, farklı müşteri taleplerini karşılayan hizmetler sunmak üzere tasarlanmıştır. Üst düzeyde, bu kimlik çözümleri ve özellik kümeleri şunlardır:
- Active Directory Etki Alanı Hizmetleri (AD DS) - Kimlik ve kimlik doğrulaması, bilgisayar nesne yönetimi, grup ilkesi ve güvenler gibi temel özellikleri sağlayan kurumsal kullanıma hazır basit dizin erişim protokolü (LDAP) sunucusu.
- Microsoft Entra Id - Microsoft 365, Microsoft Entra yönetim merkezi veya SaaS uygulamaları gibi kaynaklar için kullanıcı hesabı ve kimlik doğrulama hizmetleri sağlayan bulut tabanlı kimlik ve mobil cihaz yönetimi.
- Microsoft Entra Id, bulutta yerel olarak çalışan kullanıcılara tek bir kimlik sağlamak için şirket içi AD DS ortamıyla eşitlenebilir.
- Microsoft Entra Id hakkında daha fazla bilgi için bkz . Microsoft Entra Id nedir?
- Microsoft Entra Domain Services - Etki alanına katılma, grup ilkesi, LDAP ve Kerberos / NTLM kimlik doğrulaması gibi tam uyumlu geleneksel AD DS özelliklerinin bir alt kümesiyle yönetilen etki alanı hizmetleri sağlar.
- Etki Alanı Hizmetleri, şirket içi AD DS ortamıyla eşitlenebilen Microsoft Entra Id ile tümleştirilir. Bu özellik, merkezi kimlik kullanım örneklerini, lift-and-shift stratejisi kapsamında Azure'da çalışan geleneksel web uygulamalarına genişletir.
- Microsoft Entra Id ve şirket içi eşitleme hakkında daha fazla bilgi edinmek için bkz . Yönetilen etki alanında nesnelerin ve kimlik bilgilerinin eşitlenmesi.
Bu genel bakış makalesi, kuruluşunuzun gereksinimlerine bağlı olarak bu kimlik çözümlerinin birlikte nasıl çalışabileceğini veya bağımsız olarak nasıl kullanılacağını karşılaştırır.
Etki Alanı Hizmetleri ve kendi kendine yönetilen AD DS
Kerberos veya NTLM gibi geleneksel kimlik doğrulama mekanizmalarına erişmesi gereken uygulama ve hizmetleriniz varsa, bulutta Active Directory Etki Alanı Hizmetleri sağlamanın iki yolu vardır:
- Microsoft Entra Domain Services kullanarak oluşturduğunuz yönetilen etki alanı. Microsoft gerekli kaynakları oluşturur ve yönetir.
- Sanal makineler (VM), Windows Server konuk işletim sistemi ve Active Directory Etki Alanı Hizmetleri (AD DS) gibi geleneksel kaynakları kullanarak oluşturup yapılandırdığınız, kendi kendine yönetilen bir etki alanı. Ardından bu kaynakları yönetmeye devam edebilirsiniz.
Etki Alanı Hizmetleri ile temel hizmet bileşenleri, Yönetilen etki alanı deneyimi olarak Microsoft tarafından sizin için dağıtılır ve korunur. VM'ler, Windows Server işletim sistemi veya etki alanı denetleyicileri (DC' ler) gibi bileşenler için AD DS altyapısını dağıtamaz, yönetemez, düzeltme eki uygulamaz ve güvenliğini sağlamazsınız.
Domain Services, geleneksel kendi kendine yönetilen AD DS ortamına daha küçük bir özellik alt kümesi sağlar ve bu da tasarım ve yönetim karmaşıklığının bir kısmını azaltır. Örneğin, tasarım ve bakım için AD ormanları, etki alanı, siteler ve çoğaltma bağlantıları yoktur. Etki Alanı Hizmetleri ve şirket içi ortamlar arasında orman güvenleri oluşturmaya devam edebilirsiniz.
Bulutta çalışan ve Kerberos veya NTLM gibi geleneksel kimlik doğrulama mekanizmalarına erişmesi gereken uygulamalar ve hizmetler için, Etki Alanı Hizmetleri en az yönetim yüküyle yönetilen bir etki alanı deneyimi sağlar. Daha fazla bilgi için bkz . Etki Alanı Hizmetleri'nde kullanıcı hesapları, parolalar ve yönetim için yönetim kavramları.
Kendi kendine yönetilen bir AD DS ortamını dağıtıp çalıştırdığınızda, tüm ilişkili altyapı ve dizin bileşenlerini korumanız gerekir. Kendi kendine yönetilen AD DS ortamında ek bakım yükü vardır, ancak daha sonra şemayı genişletme veya orman güvenleri oluşturma gibi ek görevler gerçekleştirebilirsiniz.
Bulutta uygulamalara ve hizmetlere kimlik sağlayan, kendi kendine yönetilen AD DS ortamı için yaygın dağıtım modelleri şunlardır:
- Tek başına yalnızca bulutta yer alan AD DS - Azure VM'leri etki alanı denetleyicisi olarak yapılandırılır ve yalnızca buluta özel ayrı bir AD DS ortamı oluşturulur. Bu AD DS ortamı, şirket içi AD DS ortamıyla tümleştirilmez. Bulutta oturum açmak ve VM'leri yönetmek için farklı bir kimlik bilgileri kümesi kullanılır.
- Şirket içi etki alanını Azure'a genişletme - Azure sanal ağı, VPN / ExpressRoute bağlantısı kullanarak şirket içi ağa bağlanır. Azure VM'leri, şirket içi AD DS ortamına etki alanına katılmalarını sağlayan bu Azure sanal ağına bağlanır.
- Bunun alternatifi, Azure VM'leri oluşturmak ve bunları şirket içi AD DS etki alanından çoğaltma etki alanı denetleyicileri olarak yükseltmektir. Bu etki alanı denetleyicileri, şirket içi AD DS ortamına bir VPN / ExpressRoute bağlantısı üzerinden çoğaltılır. Şirket içi AD DS etki alanı etkin bir şekilde Azure'a genişletilir.
Aşağıdaki tabloda kuruluşunuz için ihtiyacınız olabilecek bazı özellikler ve yönetilen bir etki alanı veya kendi kendine yönetilen AD DS etki alanı arasındaki farklar özetlenmiştir:
| Özellik | Yönetilen etki alanı | Kendi kendine yönetilen AD DS |
|---|---|---|
| Yönetilen hizmet | ✓ | ✕ |
| Güvenli dağıtımlar | ✓ | Yönetici istrator dağıtımın güvenliğini sağlar |
| DNS sunucusu | ✓ (yönetilen hizmet) | ✓ |
| Etki alanı veya Kuruluş yöneticisi ayrıcalıkları | ✕ | ✓ |
| Etki alanına katılma | ✓ | ✓ |
| NTLM ve Kerberos kullanarak etki alanı kimlik doğrulaması | ✓ | ✓ |
| Kerberos kısıtlanmış temsili | Kaynak tabanlı | Kaynak tabanlı ve hesap tabanlı |
| Özel OU yapısı | ✓ | ✓ |
| Grup İlkesi | ✓ | ✓ |
| Şema uzantıları | ✕ | ✓ |
| AD etki alanı / orman güvenleri | ✓ (yalnızca tek yönlü giden orman güvenleri) | ✓ |
| Güvenli LDAP (LDAPS) | ✓ | ✓ |
| LDAP okuma | ✓ | ✓ |
| LDAP yazma | ✓ (yönetilen etki alanı içinde) | ✓ |
| Coğrafi olarak dağıtılmış dağıtımlar | ✓ | ✓ |
Etki Alanı Hizmetleri ve Microsoft Entra Id
Microsoft Entra Id, kuruluş tarafından kullanılan cihazların kimliğini yönetmenize ve bu cihazlardan şirket kaynaklarına erişimi denetlemenize olanak tanır. Kullanıcılar ayrıca kişisel cihazlarını (kendi cihazını getir (BYO) modeli) Microsoft Entra ID'ye kaydedebilir ve bu da cihaza bir kimlik sağlar. Microsoft Entra Id daha sonra bir kullanıcı Microsoft Entra ID'de oturum açtığında cihazın kimliğini doğrular ve cihazı güvenli kaynaklara erişmek için kullanır. Cihaz, Microsoft Intune gibi Mobil Cihaz Yönetimi (MDM) yazılımı kullanılarak yönetilebilir. Bu yönetim özelliği, hassas kaynaklara erişimi yönetilen ve ilkeyle uyumlu cihazlara kısıtlamanızı sağlar.
Geleneksel bilgisayarlar ve dizüstü bilgisayarlar da Microsoft Entra Id'ye katılabilir. Bu mekanizma, kullanıcıların şirket kimlik bilgilerini kullanarak cihazda oturum açmasına izin vermek gibi kişisel bir cihazı Microsoft Entra ID'ye kaydetmenin aynı avantajlarını sunar.
Microsoft Entra'ya katılmış cihazlar size aşağıdaki avantajları sağlar:
- Microsoft Entra Id ile güvenliği sağlanan uygulamalarda çoklu oturum açma (SSO).
- Cihazlar arasında kullanıcı ayarlarının kurumsal ilkeyle uyumlu dolaşımı.
- Kurumsal kimlik bilgilerini kullanarak İş İçin Windows Mağazası'na erişim.
- İş İçin Windows Hello.
- Şirket ilkesiyle uyumlu cihazlardan uygulamalara ve kaynaklara kısıtlı erişim.
Cihazlar, şirket içi AD DS ortamı içeren karma bir dağıtımla veya dağıtım olmadan Microsoft Entra Id'ye eklenebilir. Aşağıdaki tabloda, yaygın cihaz sahipliği modelleri ve bunların genellikle bir etki alanına nasıl katılacağı özetlenmiştir:
| Cihaz türü | Cihaz platformları | Mekanizması |
|---|---|---|
| Kişisel cihazlar | Windows 10, iOS, Android, macOS | Microsoft Entra'ya kayıtlı |
| Kuruluşa ait cihaz şirket içi AD DS'ye katılmadı | Windows 10 | Microsoft Entra ortamına katılan |
| Şirket içi AD DS'ye katılmış kuruluşa ait cihaz | Windows 10 | Microsoft Entra ortamına katılan hibrit |
Microsoft Entra'ya katılmış veya kayıtlı bir cihazda, modern OAuth / OpenID Bağlan tabanlı protokoller kullanılarak kullanıcı kimlik doğrulaması gerçekleşir. Bu protokoller İnternet üzerinden çalışacak şekilde tasarlanmıştır, bu nedenle kullanıcıların şirket kaynaklarına her yerden eriştiği mobil senaryolar için idealdir.
Etki Alanına Hizmetler'e katılmış cihazlarla, uygulamalar kimlik doğrulaması için Kerberos ve NTLM protokollerini kullanabilir, bu nedenle lift-and-shift stratejisinin bir parçası olarak Azure VM'lerinde çalıştırılacak şekilde geçirilen eski uygulamaları destekleyebilir. Aşağıdaki tabloda, cihazların nasıl temsil edildiklerine ve dizinde kimlik doğrulaması yapabileceklerine ilişkin farklılıklar özetlenmiştir:
| Görünüş | Microsoft Entra ortamına katılan | Etki Alanına Hizmetler'e katılmış |
|---|---|---|
| Cihaz tarafından denetlenen | Microsoft Entra ID | Etki Alanı Hizmetleri tarafından yönetilen etki alanı |
| Dizindeki gösterim | Microsoft Entra dizinindeki cihaz nesneleri | Etki Alanı Hizmetleri tarafından yönetilen etki alanındaki bilgisayar nesneleri |
| Kimlik Doğrulaması | OAuth / OpenID Bağlan tabanlı protokoller | Kerberos ve NTLM protokolleri |
| Yönetim | Intune gibi mobil Cihaz Yönetimi (MDM) yazılımları | Grup İlkesi |
| Ağ | İnternet üzerinden çalışır | Yönetilen etki alanının dağıtıldığı sanal ağa bağlı veya onunla eşlenmiş olmalıdır |
| Harika bir... | Son kullanıcı mobil veya masaüstü cihazları | Azure'da dağıtılan sunucu VM'leri |
Şirket içi AD DS ve Microsoft Entra Id, AD FS kullanılarak federasyon kimlik doğrulaması için yapılandırılmışsa Azure DS'de kullanılabilir (geçerli/geçerli) parola karması yoktur. Fed kimlik doğrulaması uygulanmadan önce oluşturulan Microsoft Entra kullanıcı hesaplarının eski bir parola karması olabilir, ancak bu büyük olasılıkla şirket içi parolalarının karmasıyla eşleşmez. Sonuç olarak, Etki Alanı Hizmetleri kullanıcıların kimlik bilgilerini doğrulayamaz
Sonraki adımlar
Etki Alanı Hizmetleri'ni kullanmaya başlamak için Microsoft Entra yönetim merkezini kullanarak Bir Etki Alanı Hizmetleri yönetilen etki alanı oluşturun.
Ayrıca Etki Alanı Hizmetleri'nde kullanıcı hesapları, parolalar ve yönetim için yönetim kavramları ve yönetilen etki alanında nesnelerin ve kimlik bilgilerinin nasıl eşitlenmesi hakkında daha fazla bilgi edinebilirsiniz.