本文共 2924 字，大约阅读时间需要 9 分钟。

Azure Active Directory 域服务 (Azure AD DS) 可以为企业提供托管的域服务，包括域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。用户无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。目前，Azure AD DS已经落地中国区，在由世纪互联运营的Microsoft Azure 上发布。（对应 SLA 请参考 ）

Azure AD DS 与现有的 Azure AD 租户集成。后者本身可与本地 AD DS 环境同步。此功能通过直接迁移策略将中心标识用例扩展到在 Azure 中运行的传统 Web 应用程序。

 Azure AD DS 如何工作？

为了提供标识服务，Azure 会在所选的虚拟网络上创建一个 AD DS 托管域，从后台创建运行在 Azure VM 的一对 Windows Server 域控制器，且不需要用户对这些域控制器进行额外的管理、配置或更新操作。Azure平台会将域控制器视为 Azure AD DS 服务的一部分进行管理。

托管域配置从 Azure AD 执行单向同步，提供对一组集中用户、组或凭据的访问。 用户可以直接在托管域中创建资源，且不同步回 Azure AD。Azure 中连接到此虚拟网络的应用程序、服务和 VM 则可使用常见 AD DS 功能，如域加入、组策略、LDAP，Kerberos/NTLM 身份验证等。

在具有本地 AD DS 环境的混合环境中， 会将标识信息与 Azure AD 同步，后者随后将同步到 Azure AD DS。

接下来，我们通过以下两类典型场景为大家举例说明Azure AD DS 的工作原理：

混合部署下的 Azure AD DS

许多企业的基础架构是包含云和本地应用程序工作负载的混合模式。 按照直接迁移策略迁移到 Azure 的旧版应用程序可能使用传统的 LDAP 连接来提供标识信息。 若要支持此混合基础结构，可以将本地 AD DS 环境中的标识信息同步到 Azure AD 租户。 然后，Azure AD DS 使用标识源在 Azure 中提供这些旧版应用程序，而无需配置和管理应用程序与本地目录服务的连接。

以下是Litware Corporation 的示例，他们采用的是本地和 Azure 资源混合部署的基础架构，我们可以看到：

• 需要域服务的应用程序和服务器工作负载部署在 Azure 的虚拟网络中。这可能包括迁移到 Azure（作为直接迁移策略的一部分）的旧版应用程序。

• 为了将标识信息从其本地目录同步到其 Azure AD 租户，Litware Corporation 部署了 。同步的标识信息包括用户帐户和组成员身份。

• Litware 的 IT 团队在此虚拟网络中或在对等互连的虚拟网络中为其 Azure AD 租户启用 Azure AD DS。

• 在 Azure 虚拟网络中部署的应用程序和 VM 便可使用 Azure AD DS 功能，如域加入、LDAP 读取、LDAP 绑定、NTLM、Kerberos 身份验证以及组策略等。

注意事项

安装和配置的 Azure AD Connect 应仅用于与本地 AD DS 环境同步。 不支持在托管域中安装 Azure AD Connect 以将对象同步回 Azure AD。

云部署下的 Azure AD DS

云部署下的 Azure AD 租户没有本地标识源，也就是说用户帐户和组成员身份都是直接在 Azure AD 中创建和管理的。

以下是 Contoso 的示例，他们使用 Azure AD 进行标识管理，是完全的云架构。 而且所有用户标识、其凭据和组成员身份都在 Azure AD 中进行创建和管理。Azure AD Connect 未配置任何其他内容来同步本地目录中的任何标识信息。可以看到：

• 需要域服务的应用程序和服务器工作负载部署在 Azure 的虚拟网络中。

• Contoso 的 IT 团队在此虚拟网络中或在对等互连的虚拟网络中为其 Azure AD 租户启用 Azure AD DS。

• 在 Azure 虚拟网络中部署的应用程序和 VM 便可使用 Azure AD DS 功能，如域加入、LDAP 读取、LDAP 绑定、NTLM、Kerberos 身份验证以及组策略等。

 Azure AD DS 功能和优点？

为了向云中的应用程序和 VM 提供标识服务，Azure AD DS 与域加入、安全 LDAP (LDAPS)、组策略、DNS 管理以及 LDAP 绑定和读取支持等操作的传统 AD DS 环境完全兼容。LDAP 写入支持适用于在 Azure AD DS 托管域中创建的对象，但不适用于从 Azure AD 同步的资源。

Azure AD DS 的以下功能简化了部署和管理操作：

• 简化的部署体验： 在 Azure 门户中使用单个向导为 Azure AD 租户启用 Azure AD DS。

• 与 Azure AD 集成： 可从 Azure AD 租户自动获得用户帐户、组成员身份和凭据。 新用户、组或者对 Azure AD 租户或本地 AD DS 环境中的属性所做的更改会自动同步到 Azure AD DS。

  链接到 Azure AD 的外部目录中的帐户不可用于 Azure AD DS。 凭据不可用于这些外部目录，因此无法同步到 Azure AD DS 托管域。

• 使用企业凭据/密码： Azure AD DS 中的用户密码与 Azure AD 租户中的用户密码相同。 用户可以使用其企业凭据将计算机加入域，以交互方式或通过远程桌面登录，以及针对 Azure AD DS 托管域进行身份验证。

• NTLM 和 Kerberos 身份验证： 借助对 NTLM 和 Kerberos 身份验证的支持，可以部署依赖于 Windows 集成身份验证的应用程序。

• 高可用性： Azure AD DS 包括多个域控制器，这些域控制器为托管域提供高可用性。 这种高可用性保证了服务运行时间和故障恢复能力。

  在支持的区域中，这些域控制器也支持跨区域分布，以提升复原能力。

Azure AD DS 托管域的重要特性：

• Azure AD DS 托管域是独立的域，而不是本地域的扩展。

  如需要，用户可以创建从 Azure AD DS 到本地 AD DS 环境的单向出站林信任。 有关详细信息，请参阅 的。

• 企业 IT 团队无需管理、修补或监控 Azure AD DS 托管域的域控制器。

对于运行本地 AD DS 的混合环境，用户无需管理到 Azure AD DS 托管域的 AD 复制。 同时，本地目录中的用户帐户、组成员身份和凭据通过 Azure AD Connect 同步到 Azure AD。 这些用户帐户、组成员身份和凭据在  托管域中自动可用。

最后，为了帮助大家进一步了解 Azure AD DS 以及其他标识解决方案的工作原理，我们同步提供了以下微软官方文档供您参考：

1、

2、

如您需要马上试用该项服务，请使用 

转载地址：https://microsoftchina.blog.csdn.net/article/details/108376185 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！