Tôi có thể sử dụng Office365 hoặc Azure AD làm bản ghi chính cho Active Directory không?

12

Chúng tôi có một doanh nghiệp nhỏ và hiện không có nhu cầu về tên miền trong văn phòng của chúng tôi. Chúng tôi có một mạng cơ bản và một máy chủ duy nhất chạy Windows Server 2008 R2 với một số chia sẻ tệp và ứng dụng của bên thứ 3.

Chúng tôi sử dụng Office 365 và có đăng ký Windows Azure. Cả hai dường như đang giữ Active Directory cho tổ chức của chúng tôi đồng bộ hóa khá tốt. (tức là dữ liệu trông giống nhau trên cả hai hệ thống)

Tất cả các ứng dụng bên thrid chúng tôi chạy trên máy chủ ứng dụng của chúng tôi đều hỗ trợ LDAP với tư cách là nhà cung cấp nhận dạng nhưng vì chúng tôi không chạy tên miền nên chúng tôi phải yêu cầu mỗi người dùng tạo thông tin đăng nhập / mật khẩu mới cho các dịch vụ này.

Lý tưởng nhất là chúng tôi muốn máy chủ này đồng bộ hóa từ Azure / Office 365 và cho phép người dùng xác thực bằng thông tin đăng nhập Office365 của họ.

Tất cả các tài liệu tôi đã tìm thấy nói về việc đồng bộ hóa TỪ tiền đề với Azure nhưng chúng tôi muốn đồng bộ hóa TỪ Azure / Office 365 với máy chủ tiền đề của chúng tôi. Tôi đoán máy chủ tại chỗ của chúng tôi trở thành nhà cung cấp nhận dạng được liên kết cho thư mục Office 365 của chúng tôi ...

Điều này có thể hay chúng ta cần một số nhà cung cấp LDAP bên thứ 3 có thể liên kết các danh tính từ Azure hoặc Office 365?

azure single-sign-on microsoft-office-365

— Hy vọng
nguồn

Nếu bạn đang chạy AD trong Azure, bạn chỉ có thể chạy các yêu cầu đối với DC đó. Bạn có thể cần một VPN để liên kết mạng của bạn với azure, mặc dù.

— Nathan C

1

@NathanC có một sự khác biệt giữa việc chạy bộ điều khiển miền trong phiên bản Azure VM (không phải những gì đồng nghiệp này đang làm) và chạy Azure AD w / DirSync cho người thuê O365 của bạn, đó là những gì anh ta đang nói.

— MDMarra

@MDMarra Ah, đã học được điều gì đó từ câu hỏi của người khác. :)

— Nathan C

@NathanC yeah Azure AD là thứ tồn tại trong Azure và có thể truy cập được mặc dù giao diện web để quản lý người dùng, nhóm và DirSync để sử dụng với Office 365 và Intune. Đây không phải là một máy chủ thực tế mà bạn có thể đăng nhập tương tác. Đó là một số biến thể Microsoft AD đa dạng với một số nước sốt đặc biệt trên web.

— MDMarra

1

Adrian - cuối cùng bạn đã làm gì? Chúng tôi đang xem xét một tuyến đường tương tự, tò mò làm thế nào nó kết thúc với bạn?

— aSkywalker

10

Câu trả lời ngắn: Không. Tuy nhiên, như @ Nathan-C đã mô tả, bạn có thể thực hiện các dịch vụ cần thiết bằng Azure Iaas (đồng bộ hóa DC + DirSync + ADFS hoặc DC + Dircync) để đạt được đăng nhập một lần giữa bạn ứng dụng Office365 và ứng dụng tại chỗ của bạn. Bạn sẽ cần triển khai một liên kết VPN giữa Azure và mạng cục bộ của bạn.

Azure AD KHÔNG phải là "Thư mục hoạt động" thông thường.

— Trondh
nguồn

1

Cảm ơn, tôi nghi ngờ đây là trường hợp. Những gì chúng tôi đã quản lý để làm là định cấu hình hầu hết các ứng dụng bên thứ 3 của chúng tôi để sử dụng OAuth2 để cung cấp danh tính. Sau đó, chúng tôi đã cài đặt dịch vụ auth0 từ cửa hàng Azure và thiết lập Azure AD của chúng tôi làm nhà cung cấp nhận dạng doanh nghiệp (kết nối) cho dịch vụ auth0. Các ứng dụng của bên thứ 3 hiện sử dụng auth0 làm nhà cung cấp ID liên kết với Azure AD của chúng tôi. (hy vọng tôi hiểu đúng thuật ngữ của mình nhưng về cơ bản, các ứng dụng sử dụng OAuth2 để xác thực với auth0, "proxy" Azure AD của chúng tôi)

— Adrian Hope-Bailie

Một nhận xét khác về giải pháp được đề xuất: Chúng tôi không muốn làm điều này bởi vì chúng tôi 1) thích sử dụng Office 365 để quản lý người dùng của mình 2) không thực sự muốn buộc người dùng của mình đăng nhập vào một miền mà tôi cho rằng việc triển khai DC sẽ liên quan

— Adrian Hope-Bailie

4

Với phiên bản mới nhất của DirSync, bạn có thể cài đặt nó lên DC. Nó từng là trường hợp mà bạn không thể.

— Trondh

3

Tuy nhiên, bắt đầu từ Windows 10, các máy khách có thể tham gia vào Azure AD.

— Kevin Tianyu Xu

2

@JPHellemons - Bài viết về Technet ở đây giải thích cách thiết lập nó

— Frederik Nielsen

3

Microsoft gần đây đã bắt đầu cung cấp các dịch vụ Active Directory thực tế trong Azure: https://azure.microsoft.com/en-us/service/active-directory-ds ; nếu bạn chỉ cần xác thực tập trung, họ hoàn toàn có thể thay thế một AD cục bộ.

— Massimo
nguồn

2

Tất cả những thông tin này đều cũ, tôi chỉ muốn giúp đỡ ai đó đang tìm kiếm nó. Hôm nay 25/10/2016 tôi có khoảng 20 máy tính xách tay windows 10 kết nối và làm việc trực tiếp với các dịch vụ Azure AD. Nó tích hợp và hoạt động hoàn hảo với o365 và nhiều dịch vụ "đám mây" khác của Microsoft.

— Một người quan trọng
nguồn

1

Vì vậy, máy chủ của bạn có thể tham gia miền Azure mà không cần AD / DC cục bộ?

— dùng228546

0

Không. Azure AD không thực sự là AD. Nó có ít chức năng hơn ở chỗ nó có lược đồ hạn chế hơn và vì là một dịch vụ nên nó không thể được sử dụng để xác thực / quản lý thiết bị như bạn có thể với Bộ điều khiển miền và AD thực.

Trường hợp sử dụng mà họ hỗ trợ đang sử dụng Azure AD để quản lý thông tin đăng nhập trên máy Windows 10; và bạn có thể sử dụng Microsoft Intune cho bất kỳ quản lý nào (mà bạn sẽ nhận được với các chính sách / quản lý từ bản cài đặt AD đầy đủ 'thực')

Tôi sẽ cảnh báo rằng ngay cả giải pháp được đề xuất - nó vẫn chưa hoàn toàn 'nướng' và nếu bạn thử nó, bạn sẽ là người áp dụng sớm. Chức năng có phần chưa hoàn chỉnh (ví dụ: quản lý không tồn tại đối với máy Mac; bạn không thể tham gia Azure AD cho OS X) và đó là một lỗi nhỏ (đôi khi máy có thể tự động xác thực và tham gia, đôi khi âm thầm thất bại.)

YMMV

— Dân R
nguồn