ฉันสามารถใช้ Office365 หรือ Azure AD เป็นข้อมูลหลักสำหรับ Active Directory ได้หรือไม่

12

เรามีธุรกิจขนาดเล็กและปัจจุบันไม่จำเป็นต้องมีโดเมนภายในสำนักงานของเรา เรามีเครือข่ายพื้นฐานและเซิร์ฟเวอร์เดียวที่ใช้ Windows Server 2008 R2 พร้อมด้วยไฟล์บางไฟล์และแอพของบุคคลที่สาม

เราใช้ Office 365 และมีการสมัครสมาชิก Windows Azure ดูเหมือนว่าทั้งสองจะรักษา Active Directory ให้กับองค์กรของเราในการซิงค์ค่อนข้างดี (เช่นข้อมูลมีลักษณะเหมือนกันทั้งสองระบบ)

แอปบุคคลที่สามทั้งหมดที่เราเรียกใช้บนเซิร์ฟเวอร์แอปของเรารองรับ LDAP ในฐานะผู้ให้บริการข้อมูลประจำตัว แต่เนื่องจากเราไม่ได้เรียกใช้โดเมนเราจึงต้องให้ผู้ใช้แต่ละคนสร้างชื่อล็อกอิน / รหัสผ่านใหม่สำหรับบริการเหล่านี้

ในอุดมคติแล้วเราต้องการให้เซิร์ฟเวอร์นี้ซิงค์จาก Azure / Office 365 และอนุญาตให้ผู้ใช้รับรองความถูกต้องโดยใช้ข้อมูลประจำตัว Office365

วรรณกรรมทั้งหมดที่ฉันได้พบพูดคุยเกี่ยวกับการซิงโครไนซ์ FROM จากสถานที่กับ Azure แต่เราต้องการซิงค์ FROM Azure / Office 365 กับเซิร์ฟเวอร์บนสถานที่ตั้งของเรา ฉันเดาว่าเซิร์ฟเวอร์ในสถานที่ของเรากลายเป็นผู้ให้บริการข้อมูลแบบติดต่อกับภายนอกสำหรับไดเรกทอรี Office 365 ของเรา ...

เป็นไปได้หรือไม่หรือเราต้องการผู้ให้บริการ LDAP บุคคลที่สามที่สามารถรวมข้อมูลประจำตัวจาก Azure หรือ Office 365 ได้

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
แหล่งที่มา

หากคุณกำลังเรียกใช้โฆษณาใน Azure คุณสามารถเรียกใช้การร้องขอกับ DC นั้นได้ คุณอาจต้องใช้ VPN เพื่อเชื่อมโยงเครือข่ายของคุณด้วยสีฟ้า

— นาธาน C

1

@NathanC มีความแตกต่างระหว่างการใช้ตัวควบคุมโดเมนในอินสแตนซ์ Azure VM (ไม่ใช่สิ่งที่เพื่อนคนนี้กำลังทำ) และการเรียกใช้ Azure AD w / DirSync สำหรับผู้เช่า O365 ของคุณซึ่งเป็นสิ่งที่เขาพูดถึง

— MDMarra

@MDMarra อ่าเรียนรู้บางสิ่งจากคำถามของคนอื่น :)

— นาธาน C

@NathanC yeah Azure AD เป็นสิ่งที่มีอยู่ใน Azure และสามารถเข้าถึงได้แม้ว่าเว็บอินเตอร์เฟสสำหรับการจัดการผู้ใช้กลุ่มและ DirSync สำหรับใช้กับ Office 365 และ Intune ไม่ใช่เซิร์ฟเวอร์จริงที่คุณสามารถเข้าสู่ระบบแบบโต้ตอบ มันเป็นโฆษณา Microsoft multitenant หลายตัวพร้อมกับซอสหน้าพิเศษ

— MDMarra

1

เอเดรีย - คุณทำอะไรลงไป? เรากำลังพิจารณาเส้นทางที่คล้ายกันอยากรู้ว่ามันเป็นอย่างไรบ้างสำหรับคุณ?

— aSkywalker

10

คำตอบสั้น ๆ : ไม่อย่างไรก็ตามเช่น @ Nathan-C ที่อธิบายไว้คุณสามารถยืนบริการที่ต้องการโดยใช้ Azure Iaas (DC + DirSync + ADFS หรือ DC + Dircync w / pwd sync) เพื่อให้การลงชื่อเพียงครั้งเดียวระหว่างคุณ แอป Office365 ของคุณและแอปในบ้านของคุณ คุณจะต้องปรับใช้ลิงค์ VPN ระหว่าง Azure และเครือข่ายท้องถิ่นของคุณ

Azure AD ไม่ใช่ Active Directory "ปกติ"

— Trondh
แหล่งที่มา

1

ขอบคุณฉันสงสัยว่าเป็นกรณีนี้ สิ่งที่เราจัดการที่ต้องทำคือกำหนดค่าแอพของบุคคลที่สามส่วนใหญ่ให้ใช้ OAuth2 สำหรับการระบุตัวตน จากนั้นเราติดตั้งบริการ auth0 จาก Azure store และตั้งค่า Azure AD ของเราในฐานะผู้ให้บริการข้อมูลองค์กร (การเชื่อมต่อ) สำหรับบริการ auth0 ตอนนี้แอพของบุคคลที่สามใช้ auth0 เป็นผู้ให้บริการ ID ซึ่งรวมเข้ากับ Azure AD ของเรา (หวังว่าฉันจะได้คำศัพท์ที่ถูกต้อง แต่โดยทั่วไปแล้วแอพใช้ OAuth2 เพื่อรับรองความถูกต้องกับ auth0 ซึ่ง "ผู้รับมอบฉันทะ" Azure AD ของเรา)

— Adrian Hope-Bailie

ความคิดเห็นอื่นเกี่ยวกับโซลูชันที่เสนอ: เราไม่ต้องการทำเช่นนี้เพราะเรา 1) ชอบใช้ Office 365 เพื่อจัดการผู้ใช้ของเรา 2) ไม่ต้องการบังคับให้ผู้ใช้ของเราเข้าสู่โดเมนที่ฉันคิดว่าจะใช้ DC เกี่ยวข้องกับ

— Adrian Hope-Bailie

4

ด้วย DirSync เวอร์ชันใหม่ล่าสุดคุณสามารถติดตั้งลงใน DC มันเคยเป็นกรณีที่คุณทำไม่ได้

— Trondh

3

อย่างไรก็ตามเริ่มจาก Windows 10 เครื่องไคลเอนต์สามารถเข้าร่วมโดเมนกับ Azure AD

— Kevin Tianyu Xu

2

@JPHellemons - บทความ Technet ที่นี่อธิบายถึงวิธีการตั้งค่า

— Frederik Nielsen

3

Microsoft เพิ่งเริ่มให้บริการ Active Directory จริงใน Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; หากคุณต้องการการตรวจสอบจากส่วนกลางเพียงแค่พวกเขาสามารถแทนที่โฆษณาท้องถิ่น

— มัสซิโม
แหล่งที่มา

2

ข้อมูลทั้งหมดนี้เก่าฉันแค่ต้องการช่วยคนที่กำลังมองหามัน วันนี้ 10/25/2016 ฉันมีแล็ปท็อป windows 20 หรือมากกว่านั้นที่เชื่อมต่อและทำงานกับ Azure AD services โดยตรง มันรวมและทำงานอย่างสมบูรณ์แบบด้วย o365 และบริการ "คลาวด์" อื่น ๆ อีกมากมายจาก Microsoft

— คนที่สำคัญ
แหล่งที่มา

1

ดังนั้นเซิร์ฟเวอร์ของคุณสามารถเข้าร่วมโดเมน Azure โดยไม่ต้องมีโฆษณาท้องถิ่น / DC

— user228546

0

ไม่ Azure AD ไม่ใช่โฆษณาจริงๆ มันมีฟังก์ชั่นการใช้งานน้อยลงเพราะมันมีสคีมาที่ จำกัด มากขึ้นและเป็นบริการที่ไม่สามารถใช้ในการตรวจสอบ / จัดการอุปกรณ์ตามที่คุณสามารถทำได้ด้วย Domain Controller และ AD ที่แท้จริง

กรณีการใช้งานที่รองรับคือการใช้ Azure AD เพื่อจัดการการเข้าสู่ระบบบนเครื่อง Windows 10; และคุณสามารถใช้ Microsoft Intune สำหรับการจัดการใด ๆ (ที่คุณจะได้รับกับนโยบาย / การจัดการจากการติดตั้ง AD แบบ 'ของจริง')

ฉันจะเตือนว่าแม้วิธีการแก้ปัญหาที่เสนอ - ยังไม่ได้อบอย่างเต็มที่และถ้าคุณลองคุณจะเป็นผู้เริ่มต้น มันเป็นฟังก์ชั่นที่ไม่สมบูรณ์ (ตัวอย่างเช่นการจัดการไม่มีอยู่สำหรับ Macs คุณไม่สามารถทำการเข้าร่วม Azure AD บน OS X ได้) และมันค่อนข้างบั๊กเล็กน้อย (บางครั้งเครื่องสามารถรับรองความถูกต้องและเข้าร่วมได้

YMMV

— แดนอาร์
แหล่งที่มา