Чи можна використовувати Office365 або Azure AD в якості основного запису для Active Directory?

12

У нас є малий бізнес, і зараз немає потреби в домені в нашому офісі. У нас є основна мережа та один сервер під управлінням Windows Server 2008 R2 з деякими спільними файлами та сторонніми додатками.

Ми використовуємо Office 365 і маємо підписку на Windows Azure. Ці два, схоже, досить добре підтримують Active Directory для нашої організації. (тобто дані виглядають однаково в обох системах)

Усі додатки, які ми працюємо на нашому сервері додатків, підтримують LDAP як постачальник ідентифікаційних даних, але, оскільки ми не запускаємо домен, нам потрібно змусити кожного користувача створити новий логін / пароль для цих служб.

В ідеалі ми хотіли б, щоб цей сервер синхронізувався з Azure / Office 365 і дозволяв користувачам потім аутентифікуватись за допомогою своїх облікових даних Office365.

Уся література, яку я знайшов, розповідає про синхронізацію ВІД в приміщенні до Azure, але ми хотіли б скоріше синхронізувати ВІД Azure / Office 365 з нашим сервером приміщення. Напевно, наш локальний сервер став федеральним провайдером ідентичності для нашого каталогу Office 365 ...

Чи це можливо чи нам потрібен сторонній постачальник LDAP, який може об'єднати особи з Azure або Office 365?

azure single-sign-on microsoft-office-365

— Адріан Хоуп-Бейлі
джерело

Якщо ви працюєте з AD в Azure, ви можете просто запускати запити проти цього постійного струму. Можливо, вам знадобиться VPN, щоб зв’язати вашу мережу з блакитністю.

— Натан C

1

@NathanC є різниця між запуском контролера домену в екземплярі Azure VM (не тим, що робить цей колег) і запуском Azure AD w / DirSync для вашого орендаря O365, про що він говорить.

— MDMarra

@MDMarra Ах, дізнався щось із чужого питання. :)

— Натан C

@NathanC Так, Azure AD - це те, що існує в Azure і є доступним через веб-інтерфейс для управління користувачами, групами та DirSync для використання з Office 365 та Intune. Це не власне сервер, на який ви можете ввійти інтерактивно. Це декілька багатосторонніх варіантів Microsoft AD з певним спеціальним соусом.

— MDMarra

1

Адріане - що ти в кінцевому підсумку робив? Ми розглядаємо подібний маршрут, цікаво, як він закінчився для вас?

— aSkywalker

10

Коротка відповідь: Ні. Однак, як описано @ Nathan-C, ви можете налаштувати необхідні служби за допомогою Azure Iaas (або DC + DirSync + ADFS, або DC + Dircync w / pwd синхронізація), щоб досягти єдиного входу між вашими ваші програми Office365 та додатки. Вам потрібно буде розгорнути VPN-зв’язок між Azure та локальною мережею.

Azure AD НЕ "звичайний" Active Directory.

— Тронд
джерело

1

Дякую, я підозрював, що це було так. Що нам вдалося зробити, це налаштувати більшість наших сторонніх програм для використання OAuth2 для надання ідентичності. Потім ми встановили послугу auth0 з магазину Azure і налаштували наш Azure AD як постачальник ідентифікації підприємства (з'єднання) для служби auth0. Тепер додатки сторонніх розробників використовують auth0 як постачальник ідентифікаторів, який об'єднується з нашою Azure AD. (сподіваюся, що я правильно зрозумів свою термінологію, але в основному додатки використовують OAuth2 для аутентифікації проти auth0, який "проксі" наш Azure AD)

— Адріан Хоуп-Бейлі

Ще один коментар до запропонованого рішення: Ми не хочемо цього робити, оскільки ми 1) любимо використовувати Office 365 для управління нашими користувачами 2) насправді не хочемо змушувати наших користувачів входити в домен, який, я вважаю, реалізує DC залучити

— Адріан Хоуп-Бейлі

4

За допомогою новітньої версії DirSync ви можете встановити її на постійний струм. Раніше це було так, що ви не могли.

— Тронд

3

Однак, починаючи з Windows 10, клієнтські машини можуть приєднатися до домену Azure AD.

— Кевін Тіанью Сю

2

@JPHellemons - Стаття Technet тут пояснює, як його встановити

— Фредерік Нільсен

3

Microsoft нещодавно почала пропонувати фактичні служби Active Directory у Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; якщо вам потрібна лише централізована автентифікація, вони можуть повністю замінити локальну AD.

— Массімо
джерело

2

Вся ця інформація стара, я просто хотів допомогти тому, хто її шукав. Сьогодні 25.10.2016 у мене є 20 ноутбуків Windows 10, які безпосередньо підключаються та працюють із послугами Azure AD. Він інтегрується та чудово працює з o365 та багатьма іншими "хмарними" послугами від Microsoft.

— Хтось, що має значення
джерело

1

Тож ваші сервери можуть приєднатися до домену Azure без локальної AD / DC?

— користувач228546

0

Ні. Azure AD насправді не AD. Він має меншу функціональність, оскільки має більш обмежену схему, і як сервіс його не можна використовувати для автентифікації / управління пристроями, як можна за допомогою реального контролера домену та AD.

У випадку використання, який вони підтримують, використовується Azure AD для управління входами на машинах Windows 10; і ви можете використовувати Microsoft Intune для будь-якого управління (яке ви отримаєте за допомогою політики / управління від "реальної" повної установки AD)

Я застережу, що навіть запропоноване рішення - воно ще не повністю «запечене», і якщо ви спробуєте його, ви будете достроково прийнятим. Це дещо неповна функціональність (наприклад, управління не існує для Macs; ви не можете приєднати Azure AD до ОС X), і це трохи баггі (іноді машини можуть авторизуватися та приєднуватися, іноді мовчки виходять з ладу.)

YMMV

— Дан Р
джерело