Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Виртуальные машины Azure
Виртуальная сеть Azure
Microsoft Entra ID
Идентификатор Microsoft Entra — это облачная служба каталогов и удостоверений. В этой эталонной архитектуре показаны лучшие практики по интеграции локальных доменов Active Directory с Microsoft Entra ID для предоставления облачной аутентификации удостоверений.
Architecture
Скачайте файл Visio для этой архитектуры.
Note
Для простоты на этой схеме показаны только подключения, непосредственно связанные с идентификатором Microsoft Entra, а не трафик, связанный с протоколом, который может возникнуть в рамках федерации проверки подлинности и идентификации. Например, веб-приложение может перенаправить веб-браузер для проверки подлинности запроса с помощью идентификатора Microsoft Entra. После подтверждения запроса его можно передать в веб-приложение вместе с соответствующими данными о личности.
Components
Клиент Microsoft Entra: Экземпляр идентификатора Microsoft Entra, созданного вашей организацией. Он выполняет функции службы каталогов для облачных приложений, сохраняя объекты, скопированные из локального экземпляра Active Directory, и предоставляет службы удостоверений.
Подсеть веб-уровня: В этой подсети размещаются виртуальные машины, которые запускают веб-приложение. Идентификатор Microsoft Entra служит посредником в системе управления идентификацией для этого приложения.
Локальный сервер доменных служб Active Directory (AD DS): Локальная служба каталогов и удостоверений. Каталог AD DS можно синхронизировать с идентификатором Microsoft Entra, чтобы включить проверку подлинности локальных пользователей.
Сервер синхронизации Microsoft Entra Connect: Локальный компьютер, на котором запущена служба синхронизации Microsoft Entra Connect . Эта служба синхронизирует сведения, хранящиеся в локальной среде Active Directory с идентификатором Microsoft Entra. Например, подготовка или депровизирование пользователей и групп в локальной среде автоматически синхронизирует эти изменения с Microsoft Entra ID.
Note
По соображениям безопасности идентификатор Microsoft Entra сохраняет пароли пользователей в виде хэшей. Если пользователю требуется сброс пароля, необходимо выполнить сброс локально, а обновленный хэш должен быть отправлен в идентификатор Microsoft Entra. Редакции Microsoft Entra ID P1 или P2 включают функции, которые позволяют инициировать изменения паролей в облаке и затем записывать их обратно в локальные службы AD DS.
Виртуальные машины для приложений уровня N: Виртуальные машины, поддерживающие масштабируемые, устойчивые и безопасные приложения, разделяя рабочие нагрузки на отдельные уровни, такие как веб-, бизнес-логика и данные. Дополнительные сведения об этих ресурсах см. в разделе "Архитектура уровня N" на виртуальных машинах.
Сведения о сценарии
Потенциальные варианты использования
Рассмотрим следующие типичные способы использования для этой эталонной архитектуры:
Веб-приложения, развернутые в Azure, которые обеспечивают доступ к удаленным пользователям, принадлежащим вашей организации.
Реализация возможностей самообслуживания для клиентов, таких как сброс паролей и делегирование управления группами. Для этой функции требуется издание Microsoft Entra ID P1 или P2.
Архитектуры, в которых локальная сеть и виртуальная сеть Приложения Azure не подключены с помощью VPN-туннеля или канала Azure ExpressRoute.
Note
Microsoft Entra ID может аутентифицировать личность пользователей и приложений, существующих в каталоге организации. Для некоторых приложений и служб, таких как SQL Server, может потребоваться проверка подлинности компьютера, в этом случае это решение не подходит.
Recommendations
Следующие рекомендации можно применить к большинству сценариев. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.
Настройка службы синхронизации Microsoft Entra Connect
Служба синхронизации Microsoft Entra Connect гарантирует, что сведения об удостоверениях, хранящиеся в облаке, соответствуют данным удостоверения, хранящимся в локальной среде. Эта служба устанавливается с помощью программного обеспечения Microsoft Entra Connect.
Перед реализацией синхронизации Microsoft Entra Connect определите требования к синхронизации вашей организации. Например, рассмотрим, что нужно синхронизировать, какие домены следует включить и как часто следует выполнять синхронизацию.
Службу синхронизации Microsoft Entra Connect можно запустить на виртуальной машине или на компьютере, размещенном локально. В зависимости от волатильности информации в каталоге Active Directory загрузка службы синхронизации Microsoft Entra Connect вряд ли будет высокой после первоначальной синхронизации с идентификатором Microsoft Entra ID. При выполнении службы на виртуальной машине масштабирование сервера (если оно требуется) упрощается. Отслеживайте действия на виртуальной машине, как описано в разделе "Рекомендации по мониторингу ", чтобы определить, требуется ли масштабирование.
Если у вас несколько локальных доменов в лесу, рекомендуется хранить и синхронизировать сведения для всего леса с одним клиентом Microsoft Entra. Отфильтруйте информацию для удостоверений, которые встречаются в нескольких доменах, чтобы каждое удостоверение отображалось только один раз в Microsoft Entra ID вместо дублирования. Дублирование может привести к несоответствиям при синхронизации данных. Дополнительные сведения см. в разделе "Проверка сетевой топологии ".
Используйте фильтрацию, чтобы хранить только необходимые данные в идентификаторе Microsoft Entra. Например, ваша организация может не хранить сведения о неактивных учетных записях в идентификаторе Microsoft Entra. Данные можно фильтровать по группам, доменам, подразделениям или атрибутам. Фильтры можно комбинировать для создания более сложных правил. Например, можно синхронизировать объекты, содержащиеся в домене с определенным значением в выбранном атрибуте. Дополнительные сведения см. в разделе Синхронизация Microsoft Entra Connect: настройка фильтрации.
Чтобы реализовать высокий уровень доступности для службы синхронизации Active Directory Connect, запустите вторичный промежуточный сервер. Дополнительные сведения см. в разделе "Промежуточный режим".
Note
Облачная синхронизация Microsoft Entra — это продукт корпорации Майкрософт, предназначенный для достижения ваших целей в области гибридного удостоверения путем синхронизации пользователей, групп и контактов с Microsoft Entra ID. При облачной синхронизации Microsoft Entra предоставление из Active Directory в Microsoft Entra ID осуществляется в Microsoft 365.
Проверка конфигурации и политики безопасности
Управление паролями пользователей. Выпуски Microsoft Entra ID P1 или P2 поддерживают обратную запись паролей. Эта функция позволяет пользователям, работающим на предприятии, выполнять сброс паролей самостоятельно через портал Azure. Эта функция должна быть включена только после проверки политики безопасности паролей организации. Например, можно ограничить, какие пользователи могут изменить пароли, и настроить возможности управления паролями. Дополнительные сведения см. в статье [Настройка пользовательского интерфейса для самостоятельного сброса пароля Microsoft Entra].
Защита локальных приложений с возможностью внешнего доступа. Используйте прокси приложения Microsoft Entra для предоставления управляемого доступа к локальным веб-приложениям пользователям за пределами сети с помощью идентификатора Microsoft Entra. У пользователей, имеющих допустимые учетные данные в каталоге Azure, есть разрешение на использование приложения. Дополнительные сведения см. в разделе "Включение прокси приложения" в идентификаторе Microsoft Entra.
Активно отслеживайте идентификатор Microsoft Entra для признаков подозрительного действия. Рекомендуется использовать выпуск Microsoft Entra ID P2, включающий Microsoft Entra ID Protection. Защита идентификаторов использует адаптивные алгоритмы машинного обучения и эвристики для обнаружения аномалий и событий риска, которые могут указывать на то, что удостоверение скомпрометировано. Например, он может обнаруживать потенциально необычные действия, такие как нерегулярные действия входа, входы из неизвестных источников или IP-адресов с подозрительными действиями или вход с устройств, которые могут быть заражены. Защита идентификации использует эти данные для создания отчетов и оповещений, позволяющих исследовать эти события риска и принимать соответствующие меры. Дополнительные сведения см. в разделе "Защита идентификаторов".
Вы можете использовать функцию создания отчетов идентификатора Microsoft Entra на портале Azure для мониторинга действий, связанных с безопасностью, которые происходят в вашей системе. Дополнительные сведения об использовании этих отчетов см. в разделе "Мониторинг и работоспособности Microsoft Entra".
Проверка топологии сети
Настройте Microsoft Entra Connect для реализации топологии, которая наиболее тесно соответствует требованиям вашей организации. Microsoft Entra Connect поддерживает следующие топологии:
Один лес, один каталог Microsoft Entra: В этой топологии Microsoft Entra Connect синхронизирует объекты и сведения об удостоверениях из одного или нескольких доменов в одном локальном лесу в один клиент Microsoft Entra. Эта топология является реализацией по умолчанию с помощью экспресс-установки Microsoft Entra Connect.
Note
Не используйте несколько серверов синхронизации Microsoft Entra Connect для подключения разных доменов в одном локальном лесу к одному клиенту Microsoft Entra. Эта конфигурация подходит только в том случае, если один из серверов работает в промежуточном режиме, как описано в следующем разделе.
Несколько лесов, один каталог Microsoft Entra: В этой топологии Microsoft Entra Connect синхронизирует объекты и информацию об идентификации из нескольких лесов в один тенант Microsoft Entra. Используйте эту топологию, если в вашей организации имеется несколько локальных лесов. Вы можете объединить сведения об удостоверениях, чтобы каждый уникальный пользователь был представлен один раз в каталоге Microsoft Entra, даже если пользователь существует в нескольких каталогах. Все леса используют один и тот же сервер синхронизации Microsoft Entra Connect. Сервер синхронизации Microsoft Entra Connect должен быть присоединен к домену и доступен из всех лесов. Дополнительные сведения см. в разделе "Предварительные требования для Microsoft Entra Connect".
Note
В этой топологии не используйте отдельные серверы синхронизации Microsoft Entra Connect для подключения каждого локального леса к одному клиенту Microsoft Entra. Эта конфигурация может привести к дублированию удостоверяющей информации в Microsoft Entra ID, если пользователи присутствуют в нескольких лесах.
Несколько лесов, отдельные топологии: Эта топология объединяет идентификационную информацию из отдельных лесов в один клиент Microsoft Entra и рассматривает все леса как отдельные сущности. Эта топология полезна, если вы объединяете леса из разных организаций, а идентификационная информация для каждого пользователя хранится только в одном лесе.
Note
Если глобальные списки адресов в каждом лесу синхронизированы, пользователь в одном лесу может присутствовать в другом в качестве контакта. Это может произойти, если ваша организация реализовала GALSync с Forefront Identity Manager 2010 или Microsoft Identity Manager 2016. В этом сценарии можно указать, что пользователи должны быть определены атрибутом Mail . Вы также можете сопоставить удостоверения с помощью атрибутов ObjectSID и msExchMasterAccountSID . Этот подход полезен, если у вас есть один или несколько ресурсных лесов, у которых отключены учетные записи.
Промежуточный сервер: В этой конфигурации вы запускаете второй экземпляр сервера синхронизации Microsoft Entra Connect параллельно с первым. Эта структура поддерживает следующие сценарии:
Высокая доступность
Тестирование и развертывание новой конфигурации сервера синхронизации Microsoft Entra Connect
Знакомство с новым сервером и выводом из эксплуатации старой конфигурации
В этих сценариях второй экземпляр выполняется в промежуточном режиме. Сервер записывает импортированные объекты и данные синхронизации в базе данных, но не передает данные идентификатору Microsoft Entra. Если отключить промежуточный режим, сервер начинает записывать данные в идентификатор Microsoft Entra. Он также начинает выполнять обратную запись паролей в локальные каталоги, где это необходимо. Дополнительные сведения см. в разделе Microsoft Entra Connect Sync: операционные задачи и рекомендации.
Несколько каталогов Microsoft Entra: Обычно для организации создается один каталог Microsoft Entra. Но могут возникнуть сценарии, в которых необходимо секционировать сведения по отдельным каталогам Microsoft Entra. В этом случае избегайте проблем с синхронизацией и обратной записью паролей, гарантируя, что каждый объект из локального леса отображается только в одном каталоге Microsoft Entra. Чтобы реализовать этот сценарий, настройте отдельные серверы синхронизации Microsoft Entra Connect для каждого каталога Microsoft Entra и используйте фильтрацию, чтобы каждый сервер синхронизации Microsoft Entra Connect работал на взаимоисключаемом наборе объектов.
Дополнительные сведения об этих топологиях см. в разделе "Топологии" для Microsoft Entra Connect.
Настройка метода проверки подлинности пользователей
По умолчанию сервер синхронизации Microsoft Entra Connect настраивает синхронизацию хэша паролей между локальным доменом и идентификатором Microsoft Entra. Служба Microsoft Entra предполагает, что пользователи проходят проверку подлинности, предоставляя тот же пароль, который они используют локально. Для многих организаций эта стратегия подходит, но следует учитывать существующие политики и инфраструктуру вашей организации. Обратите внимание на следующие факторы:
Политика безопасности вашей организации может запретить синхронизацию хэшей паролей с облаком. В этом случае ваша организация должна рассмотреть возможность сквозной проверки подлинности.
Вам может потребоваться надежный единый вход для пользователей для доступа к облачным ресурсам с компьютеров, входящих в домен, в корпоративной сети.
У вашей организации, возможно, уже развернуты службы федерации Active Directory (AD FS) или федеративный поставщик, не относящийся к Microsoft. Вы можете настроить идентификатор Microsoft Entra, чтобы использовать эту инфраструктуру для реализации проверки подлинности и единого входа, а не с помощью сведений о пароле, удерживаемых в облаке.
Дополнительные сведения об этом см. в параметрах входа пользователя Microsoft Entra Connect.
Настройка прокси приложения Microsoft Entra
Используйте идентификатор Microsoft Entra для предоставления доступа к локальным приложениям.
Откройте доступ к вашим локальным веб-приложениям с помощью соединителей прокси, управляемых компонентом прокси приложения Microsoft Entra. Соединитель прокси приложения открывает исходящее сетевое подключение к прокси-серверу приложения Microsoft Entra. Запросы удаленных пользователей направляются обратно из идентификатора Microsoft Entra через это прокси-подключение к веб-приложениям. Эта конфигурация удаляет необходимость открывать входящие порты в локальном брандмауэре и уменьшает область атаки, доступную вашей организацией.
Дополнительные сведения см. в статье "Публикация приложений с помощью прокси приложения Microsoft Entra".
Настройка синхронизации объектов Microsoft Entra
Конфигурация по умолчанию для Microsoft Entra Connect синхронизирует объекты из локального каталога Active Directory на основе правил, указанных в Microsoft Entra Connect Sync: общие сведения о конфигурации по умолчанию. Объекты, соответствующие этим правилам, синхронизируются, а остальные игнорируются. Рассмотрим следующие примеры правил:
Пользовательские объекты должны иметь уникальный атрибут sourceAnchor , а атрибут accountEnabled должен быть заполнен.
Пользовательские объекты должны иметь атрибут sAMAccountName и не могут начинаться с текста Azure AD_ или MSOL_.
Microsoft Entra Connect применяет несколько правил к объектам User, Contact, Group, ForeignSecurityPrincipal и Computer. Используйте редактор правил синхронизации, установленный с помощью Microsoft Entra Connect, если необходимо изменить набор правил по умолчанию.
Вы также можете определить собственные фильтры, чтобы ограничить объекты, которые будут синхронизироваться в домене или подразделении. Кроме того, можно реализовать более сложную настраиваемую фильтрацию.
Настройка агентов мониторинга
Следующие агенты, установленные локально, выполняют мониторинг работоспособности:
Microsoft Entra Connect устанавливает агент, который записывает сведения о операциях синхронизации. Используйте панель "Работоспособность Microsoft Entra Connect" в портале Azure для мониторинга состояния и производительности. Дополнительные сведения см. в разделе "Использование Microsoft Entra Connect Health для синхронизации".
Чтобы отслеживать работоспособность доменов и каталогов AD DS из Azure, установите агент Microsoft Entra Connect Health для AD DS на компьютере в локальном домене. Используйте панель Microsoft Entra Connect Health в портале Azure для мониторинга работоспособности. Дополнительные сведения см. в статье "Использование Microsoft Entra Connect Health с AD DS".
Установите агент Microsoft Entra Connect Health для AD FS, чтобы отслеживать работоспособность служб, работающих в локальной среде, и используйте колонку Microsoft Entra Connect Health на портале Azure для мониторинга AD FS. Дополнительные сведения см. в статье "Использование Microsoft Entra Connect Health с AD FS".
Дополнительные сведения см. в статье об установке агента Microsoft Entra Connect Health.
Considerations
Эти рекомендации реализуют основные принципы Azure Well-Architected Framework, которые являются набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в Хорошо спроектированной архитектурной модели.
Reliability
Надежность помогает гарантировать, что ваше приложение может выполнять обязательства, которые вы выполняете для клиентов. Дополнительные сведения см. в контрольном списке проверки проекта на надежность.
Служба Microsoft Entra географически распределена и работает в нескольких центрах обработки данных по всему миру с автоматическим переключением на резервный ресурс. Если центр обработки данных становится недоступным, Microsoft Entra ID гарантирует, что данные вашего каталога доступны для доступа к экземпляру минимум в двух дополнительных географически распределенных центрах обработки данных.
Note
Соглашение об уровне обслуживания (SLA) для служб Microsoft 365 Apps AD и Premium гарантирует по крайней мере 99,9% доступность. Для бесплатного уровня Microsoft Entra ID отсутствует соглашение об уровне обслуживания. Дополнительные сведения см. в разделе об уровне обслуживания для идентификатора Microsoft Entra.
Рассмотрите возможность подготовки второго экземпляра сервера синхронизации Microsoft Entra Connect в промежуточном режиме для повышения доступности.
Если вы не используете экземпляр SQL Server Express LocalDB, который поставляется с Microsoft Entra Connect, рассмотрите возможность использования кластеризации SQL для обеспечения высокой доступности. Microsoft Entra Connect не поддерживает такие решения, как зеркальное отображение и AlwaysOn.
Дополнительные сведения о достижении высокого уровня доступности сервера синхронизации Microsoft Entra Connect и о том, как восстановиться после сбоя, см. в статье Microsoft Entra Connect Sync: операционные задачи и рекомендации по аварийному восстановлению.
Security
Безопасность обеспечивает гарантии от преднамеренного нападения и неправильного использования ценных данных и систем. Для получения дополнительной информации см. контрольный список проверки проектирования для безопасности.
Используйте элемент управления условным доступом Microsoft Entra, чтобы запретить запросы проверки подлинности из непредвиденных источников:
Активируйте многофакторную проверку подлинности (MFA) Microsoft Entra , если пользователь пытается подключиться из ненадежного расположения, например из Интернета вместо доверенной сети.
Используйте тип платформы устройств пользователя, например iOS, Android или Windows, для определения политики доступа к приложениям и функциям.
Запишите включенное или отключенное состояние устройств пользователей. Включите эти сведения в проверки политики доступа. Например, если телефон пользователя потерян или украден, его следует записать как отключенный, чтобы предотвратить использование телефона для получения доступа.
Управляйте доступом пользователя к ресурсам на основе членства в группе. Используйте правила динамического членства Microsoft Entra, чтобы упростить администрирование групп.
Используйте политики на основе рисков условного доступа с защитой идентификаторов, чтобы обеспечить расширенную защиту на основе необычных действий входа или других событий.
Дополнительные сведения см. в политиках доступа на основе рисков.
Оптимизация затрат
Оптимизация затрат фокусируется на способах сокращения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в контрольном списке для проверки проекта по оптимизации затрат.
Для оценки затрат используйте калькулятор цен Azure.
Рассмотрим следующие рекомендации по затратам:
Microsoft Entra Connect: Функция синхронизации Microsoft Entra Connect доступна во всех выпусках идентификатора Microsoft Entra.
Дополнительные требования к лицензии для использования Microsoft Entra Connect отсутствуют. Она включена в подписку Azure.
Сведения о ценах на издания Microsoft Entra ID см. на странице Microsoft Entra pricing.
Виртуальные машины для приложения уровня N: Сведения о затратах на эти ресурсы см. в рекомендациях по архитектуре для виртуальных машин Azure и масштабируемых наборов.
Операционное превосходство
Операционное совершенство охватывает процессы, которые обеспечивают развертывание приложения и его работу в производственной среде. Дополнительные сведения см. в контрольном списке для оценки операционной эффективности.
Manageability
Существует два аспекта управления идентификатором Microsoft Entra:
- Администрирование идентификатора Microsoft Entra в облаке
- Обслуживание серверов синхронизации Microsoft Entra Connect
Идентификатор Microsoft Entra предоставляет следующие параметры для управления доменами и каталогами в облаке:
Модуль Microsoft Graph PowerShell используется для сценариев распространенных административных задач Microsoft Entra, таких как управление пользователями, управление доменами и настройка единого входа.
Колонка управления Microsoft Entra на портале Azure предоставляет интерактивное представление управления каталогом. Он также позволяет управлять и настраивать большинство аспектов идентификатора Microsoft Entra.
Microsoft Entra Connect устанавливает следующие средства для обслуживания служб синхронизации Microsoft Entra Connect на локальных компьютерах:
Консоль Microsoft Entra Connect позволяет изменить конфигурацию сервера синхронизации Microsoft Entra Connect, настроить способ синхронизации, включить или отключить промежуточный режим и переключить режим входа пользователя. Вы можете включить вход AD FS с помощью локальной инфраструктуры.
Диспетчер синхронизации использует вкладку "Операции " в этом средстве для управления процессом синхронизации и обнаружения сбоя каких-либо частей процесса. Синхронизацию можно активировать вручную с помощью этого средства. Вкладка "Соединители" позволяет управлять подключениями к доменам, к которым подключен механизм синхронизации.
Редактор правил синхронизации позволяет настроить преобразование объектов при их копировании между локальным каталогом и идентификатором Microsoft Entra. Это средство позволяет указать дополнительные атрибуты и объекты для синхронизации. Затем он реализует фильтры, чтобы определить, какие объекты должны или не должны быть синхронизированы. Дополнительные сведения см. в разделе "Синхронизация Microsoft Entra Connect": сведения о конфигурации по умолчанию и синхронизации Microsoft Entra Connect: рекомендации по изменению конфигурации по умолчанию.
DevOps
Рекомендации по DevOps см. в статье "Операционное превосходство" в развертывании AD DS в виртуальной сети Azure.
Эффективность производительности
Эффективность производительности — это способность рабочей нагрузки эффективно масштабироваться в соответствии с требованиями пользователей. Для получения дополнительной информации см. контрольный список проверки проектного решения на эффективность производительности .
Служба Microsoft Entra поддерживает масштабируемость на основе реплик. Она имеет одну первичную реплику, которая обрабатывает операции записи и несколько вторичных реплик только для чтения. Идентификатор Microsoft Entra ID прозрачно перенаправляет попытки записи с вторичных реплик на основную реплику и обеспечивает конечную согласованность. Все изменения в основной реплике распространяются на вторичные. Эта архитектура эффективно масштабируется, так как большинство операций, выполняемых с идентификатором Microsoft Entra, считываются вместо операций записи. Дополнительные сведения см. в статье об архитектуре Microsoft Entra.
Для сервера синхронизации Microsoft Entra Connect определите, сколько объектов, которые вы, скорее всего, синхронизируете из локального каталога. Если у вас менее 100 000 объектов, можно использовать программное обеспечение SQL Server Express LocalDB по умолчанию, предоставленное Microsoft Entra Connect. Если у вас больше объектов, установите рабочую версию SQL Server. Затем выполните пользовательскую установку Microsoft Entra Connect и укажите, что он должен использовать существующий экземпляр SQL Server.
Contributors
Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.
Основной автор:
- Эрик Вудрафф | Технический специалист по продуктам
Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.
Дальнейшие шаги
- Просмотрите Топологии Microsoft Entra Connect с целью проверки, что гибридная топология Microsoft Entra Connect развернута в проверенной конфигурации.
- Узнайте, как использовать развертывание условного доступа для защиты доступа к приложениям.
- Изучите руководство по интеграции локальной среды AD с Microsoft Entra ID, чтобы получить дополнительные сведения о реализации AD DS в Azure в качестве инфраструктуры.
- Просмотрите прокси приложения Microsoft Entra , если вы планируете предоставлять интеграции Microsoft Entra с локальной или облачной инфраструктурой в качестве приложений-служб.
- Ознакомьтесь с рекомендациями по управлению удостоверениями , так как удостоверение является новым уровнем управления для обеспечения безопасности.
- Проверьте защищенный привилегированный доступ , так как для развертывания этого решения требуются учетные записи с высоким уровнем привилегий.