สวัสดีครับทุกท่าน สำหรับบทความนี้ผมตั้งใจนำเอาเรื่องราวเกี่ยวกับการบริหารและจัดการ Identity ซึ่งจะเกี่ยวข้อง Services ต่างๆ เช่น Active Directory Domain Service (AD DS) ที่หลายๆ ท่านรู้จักและคุ้นเคยกันเป็นอย่างดี หรือ Microsoft Entra ID ที่มาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365 เป็นต้น และเหตุผลนึงที่ผมอยากจะนำเสนอเรื่องราวดังกล่าวนี้ก็เพราะว่า ช่วงสัปดาห์ที่ผ่านมาผมมีโอกาสให้คำปรึกษาเกี่ยวกับ Active Directory Domain Service (AD DS) และ Microsoft Configuration Manager (MCM) กับลูกค้า
โดยลูกค้ามีคำถามต่างๆ มาสอบถามและขอคำปรึกษาและหนึ่งในหลายๆ คำถามที่น่าสนใจและเป็นเหตุผลที่ผมนำมาเป็นจุดเริ่มต้นของการเขียนบทความนี้ คือ คำถามนี้ครับ เริ่มด้วยทางลูกค้าอยากจะปรับปรุงเรื่องของการบริหารจัดการ Identity ใน On-Premise ซึ่งกรณีนี้ทางลูกค้าใช้ Active Directory Domain Service (AD DS) ที่อยู่ใน On-Premise โดยโครงสร้างจะเป็นแบบ Single Forest/Domain แต่ครอบคลุมหลายๆ Locations อีกทั้งยังมีการทำ Hybrid Identity Scenario (ต้องการ SSO) การปรับปรุงที่ว่านี้คือทางลูกค้าสนใจอยากที่จะขยาย Active Directory Domain Service (AD DS) ที่มีอยู่แล้วใน On-Premise ขยายไปทำงานบน Cloud (Microsoft Azure) ด้วยรวมถึงกำลังพิจารณาที่จะทำการ Deploy Applications/Services ที่ต้องทำงานร่วมกับ AD DS ไปบน Cloud นอกจากนี้แล้วลูกค้ายังให้ความสนใจ Service นึงใน Microsoft Azure ที่ชื่อว่า "Microsoft Entra Domain Services" ทางลูกค้าเลยอยากขอปรึกษาว่าจากความต้องการข้างต้นควรจะทำอย่างไร? ตลอดจนยังมีความสงสัยเกี่ยวกับ Microsoft Entra Domain Services ว่าสามารถนำเอาไปประยุกต์ใช้งานตามความต้องการที่อยู่ในคำถามนี้ได้หรือไม่?
และจากคำถามนี้ ผมขอเริ่มอธิบายในรายละเอียดดังนี้ครับ โดยเริ่มจากเรื่องราวของ "Active Directory-Based Identity Solutions" ครับ
ภาพรวมของ Active Directory-Based Identity Solutions นั้นมีอยู่ด้วยกัน 3 แบบ:
1. Active Directory Domain Service (AD DS) เป็น Role นึงใน Windows Server ตั้งแต่ Windows Server 2000 จนถึงปัจจุบันคือ Windows Server 2025 ครับ โดย Role (AD DS) ดังกล่าวนี้ถ้าเรานำไปติดตั้งที่ Windows Server ตัวใดก็ตาม เราจะเรียก Windows Server ตัวนั้นๆ ว่า "Domain Controller" หรือเรียกสั้นๆ ว่า DC ครับ โดย DC จะทำหน้าที่ในการ Authentication, Authorization, และอื่นๆ ครับ หรืออธิบายให้เข้าใจง่ายๆ คือ DC หรือ AD DS จะเข้ามาทำหน้าที่ในการบริหารจัดการ Identity ครับ และถ้าพูดถึงโครงสร้างของ AD DS (AD DS Structure) จะมีลักษณะเป็น Hierarchical Structure ซึ่งประกอบไปด้วย Forest, Tree, Domain, และ Organizational Unit (OU) ครับ และจะมี Protocols ต่างๆ เข้ามาเกี่ยวข้องกับการทำงานของ AD DS เช่น Kerberos, LDAP, เป็นต้น นอกจากนี้แล้ว AD DS ยังมาพร้อมกับฟีเจอร์ต่างๆ เช่น Group Policy, Forest Trust, และอื่นๆ ทั้งนี้ขึ้นอยู่กับเวอร์ชั่นและ Editions ของ Windows Server ที่ทำหน้าที่เป็น DC
2. Microsoft Entra ID หรือชื่อเดิมคือ Azure Active Directory (Azure AD) เป็น Service ที่ให้บริการเกี่ยวกับ Identity and Access Management (IAM) โดยตัวของ Microsoft Entra ID นั้นจะมาพร้อมกับ Cloud Services ของ Microsoft เช่น Microsoft Azure, Microsoft 365, เป็นต้น ถ้ามองในเรื่องของโครงสร้างของ Microsoft Entra ID จะมีโครงสร้างในลักษณะที่เป็น Flat Structure โดยเริ่มจาก Microsoft Entra Tenant (หรือเรียกสั้นๆ ว่า Tenant), และ Accounts ซึ่งใน Microsoft Entra ID supported Accounts อยู่ 2 ชนิด คือ User และ Group Accounts หรือจะเรียกว่า Identity ก็ได้ครับ ในส่วนของ Protocols ที่เกี่ยวข้องกับ Microsoft Entra ID มีหลาย Protocols ครับ เช่น OAuth, OpenID, SAML, และอื่นๆ นอกจากนี้แล้วตัวของ Microsoft Entra ID มีความสามารถในการไป Integrate ทำงานร่วมกับ Cloud/SaaS Apps, ,การบริหารจัดการ Devices, สามารถ Integrate กับ Active Directory Domain Service (AD DS) เพื่อทำ Hybrid Identity Scenario, และอื่นๆ
3. Microsoft Entra Domain Services หรือชื่อเดิม Azure AD Domain Services เป็น Service นึงใน Microsoft Azure ที่ให้บริการในส่วนของ "Managed Domain Services" และมาพร้อมกับฟีเจอร์บางส่วนของ Active Directory Domain Service (AD DS) ปรกติที่เราใช้งานกันใน On-Premise ครับ ยกตัวอย่าง เช่น
- Domain Join
- Group Policy
- LDAP
- Kerberos/NTLM Authentication Protocols
และในบทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services ครับ แต่ก่อนจะไปที่ Microsoft Entra Domain Services มีเรื่องหนึ่งที่อยากจะอธิบายให้ทุกท่านได้ทราบและเข้าใจก่อนครับ นั่นก็คือ หากเกิดกรณีที่เราหรือองค์กรใดก็ตามมีความต้องการที่จะวางแผนและดำเนินการในเรื่องราวเกี่ยวกับการบริหารจัดการ Identity และแน่นอนจะต้องเกี่ยวข้องกับ Active Directory-Based Identity Solutions ที่ผมได้อธิบายไปก่อนหน้านี้ครับ โดยในกรณีดังกล่าวนี้สมมติว่า ถ้าเรามี Applications หรือ Services ที่ต้องทำงานร่วมกับ AD DS แต่อยากจะ Deploy Applications/Services ดังกล่าวนี้บน Cloud เช่น Microsoft Azure คำถามคือเราจะต้องดำเนินการอย่างไร? จากกรณีดังกล่าวนี้เรามีสิ่งหนึ่งที่จะต้องดำเนินการแน่ๆ นั่นก็คือ จะต้องเอา Applications ดังกล่าวนี้มา Join เข้ากับ AD DS (ซึ่งโดยปรกติอยู่ใน On-Premise) มี 2 ทางเลือกสำหรับกรณีดังกล่าวนี้สำหรับการวางแผนเกี่ยวกับ AD DS ที่จะทำงานบน Cloud นั่นก็ คือ:
- A Self-Manage Domain, คือ การที่เราจะดำเนินการ AD DS ในรูปแบบของ IaaS นั่นก็คือ เราจะต้องไปทำการสร้าง VM (Azure VM), ติดตั้ง OS (Windows Server), และทำการ Promote Additional DCs และแน่นอนจะต้องมีการเชื่อมต่อกับ DCs ตัวอื่นๆ ก่อนหน้านี้ที่อยู่ใน On-Premise จากนั้นก็นำ Applications ที่รันอยู่ใน VM (Azure VM) มาทำการ Join เข้ากับ Domain (AD DS) สำหรับแนวทางนี้ผมเชื่อว่าหลายๆ ท่านน่าจะคุ้นเคยกันอยู่แล้ว โดยเฉพาะใน IT Environment ที่มีลัษณะเป็น Multiple Locations หรือมีหลายๆ ที่นั่นเองครับ
- A Managed Domain, คือ การที่เรานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานแทนแนวทางแรกครับ
จากทั้ง 2 แนวทางจากกรณีตัวอย่างที่ผมยกมาข้างต้น คือ สิ่งที่ทุกท่านจะต้องทำการพิจารณาครับว่า ถ้ามีความต้องการที่จะขยายหรือ Extend Active Directory Domain Service (AD DS) ไปใช้งานบน Cloud (Microsoft Azure) เพื่อที่รองรับกับการทำงานของ Applications/Services ที่ยังคงต้องการทำงานกับ AD DS นี่คือเรื่องนึงที่จะต้องถูกนำมาพิจารณาเพื่อดำเนินการวางแผนและออกแบบต่อไปครับ
และจากที่ผมได้แจ้งไว้ก่อนหน้านี้ว่า บทความนี้ผมจะเน้นไปที่ Microsoft Entra Domain Services เรามาทำความรู้จัก Microsoft Entra Domain Services กันครับ
โดยขอเริ่มจากสิ่งที่ Microsoft Entra Domain Services ให้บริการเราจะเรียกว่า "Managed Domain Services" ซึ่งจะมาพร้อมกับฟีเจอร์บางส่วนของ AD DS ปรกติตามที่ผมได้อธิบายไว้ข้างต้นครับ นอกจากนี้แล้วการที่เราพิจารณาแล้วว่าเราต้องการนำเอา Microsoft Entra Domain Services มาใช้งานก็เพราะว่า เราไม่อยากใช้งาน AD DS ในรูปแบบเดิม คือ ต้องมี Server (VM) ที่ทำหน้าที่เป็น DC เพราะเราจะต้องคอยมาดูแล DCs เหล่านี้ เช่น การ Deploy, Manage, และการ Patch DCs เหล่านี้ เป็นต้น นั่นหมายความว่า Microsoft Entra Domain Services ที่ให้บริการ Managed Domain Services จะเข้ามาจัดการเรื่องราวนี้แทนเราหรือผู้ดูแลระบบเองครับ และยังสามารถนำเอา Applications/Services ที่ยังคงต้องการทำงานร่วมกับ AD DS สำหรับในกรณีคือ Microsoft Entra Domain Services โดยการที่เราสามารถทำการ Join Applications/Services (VMs) มายัง Microsoft Entra Domain Services ได้เหมือนกับ AD DS ปรกติครับ ซึ่งถือว่าเป็นวัตถุประสงค์นึงที่เราพิจารณานำเอา Microsoft Entra Domain Services มาประยุกต์ใช้งานครับ
นอกจากนี้แล้วตัวของ Microsoft Entra Domain Services ยัง Integrate ทำงานร่วมกับ Microsoft Entra ID โดยการ Integrate เพื่อทำงานร่วมกันนี้ส่งผลทำให้ผู้ใช้งานที่ทำการ Sign-In เข้ามาเพื่อเข้าใช้งาน Applications/Services ที่เชื่อมต่อกับ Managed Domain โดยใช้ Credentials ที่มีอยู่แล้วทำให้องค์กรดังกล่าวได้รับ Benefits นึง นั่นก็คือ Single Sign-On หรือ SSO ครับ
และเมื่อเราตัดสินใจแล้วจะเริ่มใช้งาน Microsoft Entra Domain Services นั่นหมายความว่าเราได้ทำความเข้าใจตลอดจนวางแผนและเตรียมความพร้อมทุกอย่างเรียบร้อย สิ่งแรกที่จะต้องดำเนินการในตัวของ Microsoft Entra Domain Services คือ การสร้าง Domain Services ขึ้นมาและจะต้องกำหนด Namespace ครับ จากนั้นสิ่งที่จะเกิดขึ้นเบื้องหลังคือ Microsoft Entra Domain Services จะทำการสร้างและ Deploy 2 Domain Controllers ไปยัง Azure Regions ที่เรากำหนดครับ โดยการ Deploy DCs ดังกล่าวนี้จะถูกเรียกว่า "Replica Set" ครับ และที่สำคัญคือ เราไม่ต้องไป Manage, Configure, รวมถึงการ Update DCs เหล่านี้เลยครับ เพราะ Microsoft จะไปคนที่มาทำสิ่งเหล่านี้ให้เรา และจากจุดนี้เองก็จะแสดงให้เห็นว่าถ้าเราต้องการใช้ AD DS ที่อยู่ใน On-Premise และต้องการขยายไปบน Cloud (Microsoft Azure) เรามีทางเลือกเพิ่มเติมจากทางเลือกเดิม คือ ทำการ Deploy VM (Azure VM) แล้วทำการ Promote Additional DC ซึ่งทางเลือกดังกล่าวนี้เราจะต้องจัดการและดูแลทุกอย่างเอง ซึ่งแตกต่างจากทางเลือกที่เราใช้ Microsoft Entra Domain Services นอกจากนี้แล้ว Microsoft ยังเข้ามาจัดการ DCs หรือ Replica Set ซึ่งถือเป็นส่วนประกอบหนึ่งของ Managed Domain Services ใน Microsoft Entra Domain Services เพิ่มเติมอีก เช่น Backups และ Encryption (โดยใช้ Azure Disk Encryption)
Managed Domain ที่เราสร้างขึ้นมาจะถูก Configured ให้ทำ One-Way Synchronization กับ Microsoft Entra ID โดยมีการ Sync Users, Groups, และอื่นๆ เราสามารถสร้าง Resources ต่างๆ ภายใน Managed Domain ได้ครับ เพียงแต่ว่ามันจะไม่มีการ Sync กลับไปยัง Microsoft Entra ID และใน Hybrid Cloud Environment, ที่ได้มีการ Implemented Hybrid Identity Scenario ก็จะทำงานร่วมกับ Managed Domain (Microsoft Entra Domain Services) ดังรูปครับ
ต่อเนื่องจากรูปด้านบน Microsoft Entra Domain Services จะทำการ Replicates Identity จาก Microsoft Entra ID รวมถึงการทำงานร่วมกับ Microsoft Entra Tenant (Microsoft Entra ID) โดย Microsoft Entra ID ก็จะทำการ Sync กับ On-Premise AD DS ครับ และสิ่งทีผมได้อธิบายจากรูปด้านบนเป็นเพียงคอนเซปและแนวทางการนำเอา AD DS หรือ Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services เท่านั้นครับ ในการทำงานจริงเราจะต้องพิจารณาเพิ่มเติมด้วยว่าเราจะนำเอา Domain Services มาใช้งานผ่านทาง Microsoft Entra Domain Services อย่างไร? โดยมีให้เลือก 2 Options ครับ:
Option 1: Domain Service for Hybrid Organizations จะพิจารณา Option นี้หมายความว่าองค์กรดังกล่าวมี Hybrid Identity Scenario ใช้งานอยู่ เราต้องการนำเอา Microsoft Entra Domain Services มา Integrate ทำงานด้วยครับ
Option 2: Domain Service for Cloud-Only Organizations จะพิจาณา Option นี้หมายความว่าองค์กรดังกล่าวไม่มี AD DS ใน On-Premise แต่ต้องการสร้างและใช้งาน AD DS บน Cloud (Microsoft Azure) เพื่อนำเอา Applications/Services ที่ต้องการทำงานร่วมกับ AD DS มาทำการ Join กับ AD DS ผ่านทาง Managed Domain Services ของ Microsoft Entra Domain Services ครับ
เมื่อมาถึงจุดนี้ เราสามารถสรุปและทำความเข้าใจกับ Microsoft Entra Domain Services ได้ว่า Microsoft Entra Domain Services เป็น Service ที่เข้ามาเป็นทางเลือกในการพิจารณาในเรื่องของการที่เราจะขยายการบริหารจัดการ AD DS ตลอดจนการนำเอา Applications/Services ที่ต้องการติดต่อและทำงานร่วมกับ AD DS ดังกล่าวไปนี้ไปบน Cloud (Microsoft Azure) จึงต้องการความสามารถหรือฟีเจอร์ต่างๆ เช่น Domain Join และฟีเจอร์อื่นๆ (ความสามารถหรือฟีเจอร์เหล่านี้มีอยู่ใน AD DS ปรกติอยู่แล้ว) เพื่อที่จะทำให้ผู้ใช้งานสามารถเข้าถึง Applications/Services ดังกล่าวนี้ ตลอดจน Resources อื่นๆ ได้ แต่ไม่อยากจะใช้ AD DS ในรูปแบบเดิม (VMs) เพราะจะต้องคอยมาจัดการอะไรต่างๆ ตามที่ผมได้อธิบายไปก่อนหน้านี้ สิ่งที่เราจะต้องทำความเข้าใจเพิ่มเติมอีกก็คือ Microsoft Entra Domain Services มีความสามารถแค่บางส่วนของ Active Directory Domain Service (AD DS) เท่านั้นครับ
เพราฉะนั้นเราจึงจำเป็นที่จะต้องทำความเข้าใจคอนเซปตลอดจนรายละเอียดต่างๆ ที่เกี่ยวข้องกับการบริหารจัดการ Identity ว่าเป็นอย่างไร รวมถึงทำความเข้าใจกับ Active Directory-Based Identity Solutions ว่าเป็นอย่างไร จากนั้นย้อนกลับไปดู Existing IT Environment ขององค์กรของเราเองว่าปัจจุบันเรื่องของการบริหารจัดการ Identity เป็นอย่างไร บวกกับความต้องการเพิ่มเติมที่เกี่ยวข้องกับเรื่องดังกล่าวนี้ นำทั้งหมดมาพิจารณา, วิเคราะห์, และทำการวางแผน & ออกแบบ เพื่อดำเนินการต่อไปครับผม .....
ไม่มีความคิดเห็น:
แสดงความคิดเห็น