Могу ли я использовать Office365 или Azure AD в качестве основной записи для Active Directory?

12

У нас небольшой бизнес, и в настоящее время нам не нужен домен в нашем офисе. У нас есть базовая сеть и один сервер под управлением Windows Server 2008 R2 с некоторыми общими файлами и сторонними приложениями.

Мы используем Office 365 и имеем подписку Windows Azure. Похоже, что они хорошо синхронизируют Active Directory для нашей организации. (т.е. данные выглядят одинаково в обеих системах)

Все сторонние приложения, которые мы запускаем на нашем сервере приложений, поддерживают LDAP в качестве провайдера идентификации, но поскольку мы не управляем доменом, нам нужно, чтобы каждый пользователь создал новый логин / пароль для этих сервисов.

В идеале мы бы хотели, чтобы этот сервер синхронизировался из Azure / Office 365 и чтобы пользователи могли затем проходить аутентификацию, используя свои учетные данные Office365.

Вся литература, о которой я узнал, рассказывает о синхронизации FROM локально с Azure, но мы бы предпочли синхронизировать FROM Azure / Office 365 с нашим локальным сервером. Я полагаю, что наш локальный сервер стал федеративным поставщиком удостоверений для нашего каталога Office 365 ...

Возможно ли это, или нам нужен какой-нибудь сторонний поставщик LDAP, который может объединять удостоверения из Azure или Office 365?

azure single-sign-on microsoft-office-365

— Адриан Хоуп-Бейли
источник

Если вы используете AD в Azure, вы можете просто выполнять запросы к этому DC. Возможно, вам понадобится VPN, чтобы связать вашу сеть с лазурью.

— Натан C

1

@NathanC есть разница между запуском контроллера домена в экземпляре виртуальной машины Azure (а не тем, что делает этот сотрудник) и запуском Azure AD с DirSync для вашего клиента O365, о чем он и говорит.

— MDMarra

@MDMarra А, узнал кое-что из чужого вопроса. :)

— Натан С

@NathanC да Azure AD - это то, что существует в Azure и доступно через веб-интерфейс для управления пользователями, группами и DirSync для использования с Office 365 и Intune. Это не настоящий сервер, на который вы можете войти в интерактивном режиме. Это какой-то мультитенантный вариант Microsoft AD с каким-то особенным веб-интерфейсом.

— MDMarra

1

Адриан - что ты в итоге делал? Мы рассматриваем подобный маршрут, интересно, как это сработало для вас?

— Скайуокер

10

Краткий ответ: Нет. Однако, как описано в @ Nathan-C, вы можете настроить необходимые службы с помощью Azure Iaas (либо DC + DirSync + ADFS, либо DC + Dircync w / pwd sync), чтобы обеспечить единый вход между вашим ваши приложения Office365 и ваши предварительные приложения. Вам потребуется развернуть канал VPN между Azure и вашей локальной сетью.

Azure AD НЕ является «обычной» Active Directory.

— Trondh
источник

1

Спасибо, я подозревал, что это так. Нам удалось настроить большинство наших сторонних приложений на использование OAuth2 для идентификации. Затем мы установили службу auth0 из хранилища Azure и настроили нашу Azure AD в качестве корпоративного поставщика удостоверений (подключения) для службы auth0. Сторонние приложения теперь используют auth0 в качестве поставщика идентификаторов, который интегрируется в нашу Azure AD. (надеюсь, я правильно понял терминологию, но в основном приложения используют OAuth2 для аутентификации на основе auth0, который «прокси» нашего Azure AD)

— Адриан Хоуп-Бейли,

Еще один комментарий к предлагаемому решению: мы не хотим этого делать, потому что нам 1) нравится использовать Office 365 для управления нашими пользователями 2) на самом деле не хотим заставлять наших пользователей входить в домен, который, как я полагаю, при реализации DC будет задействовать

— Адриан Хоуп-Бейли

4

С новейшей версией DirSync вы можете установить ее на DC. Раньше было так, что ты не мог.

— Тронх

3

Однако, начиная с Windows 10, клиентские машины могут присоединяться к домену в Azure AD.

— Кевин Тяньюй Сюй

2

@JPHellemons - статья Technet здесь объясняет, как ее настроить

— Фредерик Нильсен

3

Microsoft недавно начала предлагать реальные службы Active Directory в Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; если вам нужна только централизованная аутентификация, они могут полностью заменить локальную AD.

— Massimo
источник

2

Вся эта информация старая, я просто хотел помочь тому, кто ее искал. Сегодня 25.10.2016 У меня около 20 ноутбуков с Windows 10, которые подключаются и работают со службами Azure AD напрямую. Он прекрасно интегрируется и работает с o365 и многими другими «облачными» сервисами от Microsoft.

— Тот, кто имеет значение
источник

1

То есть ваши серверы могут присоединиться к домену Azure без локального AD / DC?

— user228546

0

Нет. Azure AD на самом деле не AD. Он имеет меньшую функциональность в том смысле, что имеет более ограниченную схему, и в качестве службы он не может использоваться для аутентификации / управления устройствами, как вы можете с реальным контроллером домена и AD.

Поддерживаемый ими вариант использования - это использование Azure AD для управления именами входа на компьютерах с Windows 10; и вы можете использовать Microsoft Intune для любого управления (которое вы получите с помощью политик / управления из «реальной» полной установки AD)

Я предупреждаю, что даже предлагаемое решение - оно еще не полностью «испечено», и если вы попробуете его, вы станете одним из первых. Это несколько неполная функциональность (например, управление не существует для Mac; вы не можете использовать Azure AD join для OS X), и оно немного глючит (иногда машины могут авторизоваться и присоединяться, иногда молча отказывают).

YMMV

— Дэн Р
источник