Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra Domain Services stellt verwaltete Domänendienste bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, Lightweight Directory Access Protocol (LDAP) und Kerberos/NTLM-Authentifizierung. Sie verwenden diese Domänendienste, ohne dass Domänencontroller (DCs) in der Cloud bereitgestellt, verwaltet und gepatcht werden müssen.
Verwenden Sie Domänendienste, um Ältere Anwendungen zu unterstützen, die von Active Directory Domain Services (AD DS)-Protokollen abhängen und nicht einfach geändert werden können, um moderne Authentifizierung zu verwenden. Indem Sie diese Anwendungen mit einer verwalteten Domäne in Azure ausführen, können Sie AD-abhängige Workloads in die Cloud heben und verschieben, ohne ihre lokale AD DS-Infrastruktur in Azure zu erweitern oder zu betreiben.
Domänendienste sind in Microsoft Entra ID integriert, die als Autoritätsquelle für Benutzer, Gruppen und Anmeldeinformationen fungiert. Mit dieser Integration können sich Benutzer mit ihren vorhandenen Identitäten bei Anwendungen und Diensten anmelden, die mit der verwalteten Domäne verbunden sind, während Sie die Identitätsverwaltung in Microsoft Entra ID zentralisieren können.
Sehen Sie sich unser kurzes Video an, um mehr über Microsoft Entra Domain Services zu erfahren.
Wann Microsoft Entra Domain Services verwendet werden soll
Domänendienste helfen Organisationen, die Anwendungen oder Workloads ausführen, die immer noch von AD DS-Protokollen abhängen, um die Identitäts- und Zugriffsverwaltung mit Microsoft Entra ID zu modernisieren.
Sie sollten die Verwendung von Domänendiensten in den folgenden Szenarien in Betracht ziehen:
- Lift-and-Shift-Legacy-Anwendungen: Sie haben Anwendungen, die vor Ort laufen und von LDAP, Kerberos, NTLM, Gruppenrichtlinien oder dem Domänenbeitritt abhängen. Sie möchten diese Workloads in die Cloud verschieben, aber vermeiden Sie das Umschreiben, um moderne Authentifizierung wie OIDC oder OAuth zu unterstützen.
- Reduzieren Des lokalen Speicherbedarfs: Ihre Organisation möchte Workloads in die Cloud verschieben und lokale Hardware zurückziehen. Anstatt eine Standort-zu-Standort-VPN-Verbindung ausschließlich für Authentifizierungsdatenverkehr zurück zu lokalem AD DS zu verwalten, können Sie eine verwaltete Domäne in Azure verwenden.
- Implementieren Sie eine AD-minimierte Strategie: Sie übernehmen eine Cloud-First-Strategie, bei der Microsoft Entra ID der primäre Identitätsanbieter ist. Domain Services unterstützt die verbleibenden älteren AD DS-abhängigen Workloads und vermeidet die Notwendigkeit, alte AD DS-Artefakte in Azure zu erweitern.
- Isolieren Von älteren Workloads: Sie möchten AD DS-abhängige Workloads in Azure beibehalten, während neue Anwendungen Microsoft Entra ID direkt verwenden.
- Nur-Cloud-Legacyunterstützung: Sie sind eine Cloud-native Organisation ohne lokale AD DS, aber Sie verfügen über bestimmte Drittanbieteranwendungen, die weiterhin LDAP oder herkömmlichen Domänenbeitritt erfordern. Domain Services überbrücken diese Lücke, ohne dass Sie gezwungen werden, eine vollständige AD DS-Infrastruktur zu erstellen.
Sie können Domänendienste als Übergangsfunktion für Azure gehostete Workloads verwenden, die eine legacyauthentifizierung erfordern, anstatt als allgemeiner Ersatz für Ihre on-premises Active Directory oder als Ersatz für Cloud-native Identitätsdienste.
Erfahren Sie mehr über diese Szenarien in den häufigen Anwendungsfällen und Szenarien für Microsoft Entra Domänendienste.
Microsoft Entra-Domänendienste auf der Reise in die Cloud
Entra Domain Services hilft Ihnen, Ihr Ziel der "AD-Minimierung" zu erreichen – die Abhängigkeit von der legacyidentitätsinfrastruktur zugunsten moderner cloudbasierter Identität wie Entra ID zu verringern.
Entra Domain Services fungiert als Brücke in dieser Reise:
- Moderne Apps: Neue cloudeigene Apps sollten entra ID verwenden.
- Legacy apps: Ältere Apps, die in Azure mit Entra Domain Services nicht einfach modernisiert werden können.
Dieser Ansatz vermeidet die Komplexität und Sicherheitslast bei der manuellen Bereitstellung und Verwaltung von AD-DCs auf Azure Virtual Machines (IaaS). Durch die Verwendung von Domänendiensten erhalten Sie die Kompatibilität, die Sie für ältere Apps benötigen, während Ihre Identitätsverwaltung in entra ID zentralisiert bleibt.
Weitere Informationen zum empfohlenen Ansatz von Microsoft finden Sie unter Cloud-Transformationsstatus.
Wie funktioniert Microsoft Entra Domänendienste?
Wenn Sie eine verwaltete Domäne für Domänendienste erstellen, definieren Sie einen eindeutigen Namespace, z. B. dscontoso.com. Zwei Windows Server Domänencontroller werden als Teil einer Replikatmenge in Ihrer ausgewählten Azure Region bereitgestellt.
Diese Domänencontroller werden von Microsoft vollständig verwaltet. Sie müssen sie nicht konfigurieren, patchen oder überwachen. Die Plattform verarbeitet Verfügbarkeit, Sicherungen und Verschlüsselung im Ruhezustand.
Eine verwaltete Domäne ist so konfiguriert, dass eine unidirektionale Synchronisierung von Microsoft Entra ID ausgeführt wird. Benutzer, Gruppen und Anmeldeinformationen aus Microsoft Entra ID werden in der verwalteten Domäne verfügbar gemacht, sodass Anwendungen, Dienste und virtuelle Computer in Azure vertraute AD DS-Funktionen wie Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos/NTLM-Authentifizierung verwenden können.
In Hybridumgebungen werden Identitätsinformationen von lokalem AD DS mit Microsoft Entra ID synchronisiert und dann der verwalteten Domäne zur Verfügung gestellt.
Domänendienste arbeiten sowohl mit rein cloudbasierten Microsoft Entra-Mandanten als auch mit Mandanten, die mit einer lokalen AD DS-Umgebung synchronisiert sind. Die gleichen Funktionen für verwaltete Domänen sind in beiden Szenarien verfügbar.
Sie können auch mehrere Replikatgruppen in Azure Regionen bereitstellen, um die Verfügbarkeit zu verbessern und Notfallwiederherstellungsszenarien für Ältere Anwendungen zu unterstützen. Weitere Informationen finden Sie unter Replika-Sets-Konzepte und -Features für verwaltete Domänen.
Funktionen und Vorteile von Microsoft Entra Domain Services
Um Identitätsdienste für Anwendungen und VMs in der Cloud bereitzustellen, ist Domain Services vollständig mit einer herkömmlichen AD DS-Umgebung für Vorgänge wie Domänenbeitritt, sicheres LDAP (LDAPS), Gruppenrichtlinie, DNS-Verwaltung und LDAP-Bindung und Leseunterstützung kompatibel. Die LDAP-Schreibunterstützung ist für Objekte verfügbar, die in der verwalteten Domäne erstellt wurden, jedoch nicht für Ressourcen, die aus Microsoft Entra ID synchronisiert werden.
Die folgenden Features von Domain Services vereinfachen Bereitstellungs- und Verwaltungsvorgänge:
- Vereinfachte Bereitstellungserfahrung: Domänendienste werden für Ihren Microsoft Entra Mandanten mithilfe eines einzelnen Assistenten im Microsoft Entra Admin Center aktiviert.
-
Integration mit Microsoft Entra ID: Benutzerkonten, Gruppenmitgliedschaften und Anmeldeinformationen stehen automatisch in Ihrer Microsoft Entra ID zur Verfügung. Neue Benutzer, Gruppen oder Änderungen an Attributen von Ihrem Microsoft Entra Mandanten oder Ihrer lokalen AD DS-Umgebung werden automatisch mit Domänendiensten synchronisiert.
- Konten in externen Verzeichnissen, die mit Ihrem Microsoft Entra ID verknüpft sind, sind in Domänendiensten nicht verfügbar. Anmeldeinformationen sind für diese externen Verzeichnisse nicht verfügbar, sodass sie nicht mit einer verwalteten Domäne synchronisiert werden können.
- Verwenden Sie Ihre Unternehmensanmeldeinformationen/Passwörter: Die Passwörter der Benutzer in den Domain-Diensten sind dieselben wie in Ihrem Microsoft Entra-Mandanten. Benutzer können ihre Unternehmensanmeldeinformationen für Computer zum Domänenbeitritt verwenden, sich interaktiv oder über Remotedesktop anmelden und sich bei der verwalteten Domäne authentifizieren.
- Unterstützung für NTLM- und Kerberos-Authentifizierung: Mit Unterstützung für NTLM- und Kerberos-Authentifizierung können Sie Anwendungen bereitstellen, die auf Windows-integrierte Authentifizierung angewiesen sind.
-
Integrierte Hohe Verfügbarkeit: Domänendienste umfassen mehrere Domänencontroller, die eine hohe Verfügbarkeit für Ihre verwaltete Domäne bieten. Diese hohe Verfügbarkeit garantiert Dienstverfügbarkeit und Ausfallsicherheit.
- In Regionen, die Azure Availability Zones unterstützen, werden diese Domänencontroller auch über Zonen verteilt, um zusätzliche Resilienz zu erhalten.
- Notfallwiederherstellung: Verwenden Sie Replikatsätze , um die geografische Notfallwiederherstellung bereitzustellen.
Eine verwaltete Domäne ist eine eigenständige Domäne und keine Erweiterung einer lokalen Domäne. Bei Bedarf können Sie Gesamtstrukturvertrauensstellungen mit lokalen AD DS-Umgebungen konfigurieren, um das Hybridzugriffsszenario zu unterstützen.
Weitere Informationen zu Ihren Identitätsoptionen finden Sie unter Compare Domain Services mit Microsoft Entra ID, AD DS auf Azure virtuellen Computern und lokalen AD DS.
Nächste Schritte
Weitere Informationen darüber, wie Domänendienste im Vergleich zu anderen Identitätslösungen stehen und wie die Synchronisierung funktioniert, finden Sie in den folgenden Artikeln:
- Vergleichen Sie Domain Services mit Microsoft Entra ID, Active Directory Domain Services auf Azure-VMs und Active Directory Domain Services vor Ort
- Learn, wie Microsoft Entra Domänendienste mit Ihrem Microsoft Entra Verzeichnis synchronisiert werden
- Informationen zum Administrator einer verwalteten Domäne finden Sie unter Verwaltungskonzepte für Benutzerkonten, Kennwörter und Verwaltung in Domänendiensten.
Um zu beginnen, erstellen Sie eine verwaltete Domäne mit dem Microsoft Entra Admin Center.