Azure AD и доменные службы Azure Active Directory: синхронизировать? Перенести?
терминология
Учитывая очень похожую терминологию, позвольте мне изложить две вещи, о которых я спрашиваю...
Во-первых, Azure Active Directory. Это служба каталогов, которая лежит в основе o365. Вы можете синхронизировать учетные данные в нем и использовать его для единого входа через SAML и несколько других битов, но это в основном так.
Во-вторых, доменные службы Azure Active Directory. Это гораздо ближе к ADDS, как мы его знаем со времен Windows 2000 (подразделения, групповая политика, NTLM и т. Д.), Но предоставляется как услуга. Существует множество ограничений (нет прав администратора домена, нет расширений схемы, нет прямого доступа к контроллерам домена), но вы можете присоединить к нему серверы доменов традиционным способом.
Их имена настолько похожи, что очень разочаровывает результаты Google, когда я пытаюсь получить какую-либо информацию о том, как они могут взаимодействовать, поэтому мой вопрос здесь!
Моя цель
Моя цель - перенести как можно больше в Облако. У меня уже есть Exchange и SharePoint, перенесенные через o365, и моя локальная AD синхронизируется с Azure AD. Я хочу перенести все свои серверы в Azure и использовать доменные службы Azure AD, а не создавать свои собственные контроллеры домена в качестве виртуальных машин Azure. Все это кажется достижимым.
Мое критическое требование: я хочу, чтобы пользователь, который входит в свой почтовый ящик o365, делал это с теми же учетными данными, которые он использует для входа на сервер (или службу, работающую на сервере), присоединенную к домену в домене доменных служб Azure AD.
Мой вопрос
Как мне достичь этого критического требования?!
"Продлить" или "обновить?" мой экземпляр Azure AD для экземпляра Azure AD DS? Кажется, нет никакой возможности сделать это.
Должен ли я каким-либо образом синхронизировать свои экземпляры Azure AD и Azure AD DS? Означает ли это создание виртуальной машины для запуска инструмента AD Connect?
Похоже, по этой теме почти ничего не написано (что я могу найти!), И поэтому ваши идеи очень ценятся!
2 ответа
Для критического требования:
Да, это может быть достигнуто после включения функции службы домена Azure AD и ожидания успешной синхронизации учетных записей пользователей и хэшей учетных данных из Azure AD в управляемый домен Azure AD DS.
Для двух других вопросов:
Функция службы " Включить домен Azure AD" находится на вкладке "Настройка" вашей страницы Azure AD (классический портал Azure), как показано ниже. Более подробную информацию можно найти в документации здесь.
Синхронизация из Azure AD в управляемый домен Azure AD DS запускается автоматически и односторонняя / однонаправленная в фоновом режиме. Подробнее здесь.
Кроме того, если ваши пользователи синхронизируются из локальной AD. Не забудьте настроить синхронизацию паролей (здесь не может быть синхронизации ADFS) с хэшами учетных данных NTLM и Kerberos, чтобы синхронизированные пользователи могли использовать свои корпоративные учетные данные для входа на серверы и службы в управляемом домене. Подробнее здесь для справки.
Я не знаю о вашем предлагаемом решении, но о службах Azure AD и Azure Active Directory Domain.....
Если один и тот же раздел Azure AD управляет как подпиской на Office 365, так и подпиской Azure, то при включении служб домена Azure AD все учетные записи пользователей и групп Azure AD будут доступны во вновь созданном домене. они упакованы внутри OU. поэтому одни и те же учетные записи могут использоваться для входа на серверы, присоединенные к вашему домену доменных служб Azure AD.
Вы можете управлять доменными службами Azure AD, присоединив сервер к домену и установив средства администрирования Active Directory.
Однако следует отметить, что если вы добавите пользователей в свой раздел Azure AD, они появятся в вашем доменном домене Azure AD, но обратное неверно. если вы добавите пользователей непосредственно в домен доменных служб Azure AD, они не будут отображаться как пользователи Azure AD.