Office365 veya Azure AD'yi Active Directory için ana kayıt olarak kullanabilir miyim?

12

Küçük bir işletmemiz var ve şu anda ofisimizde bir alan adına ihtiyaç duymuyoruz. Bazı dosya paylaşımları ve üçüncü taraf uygulamalarıyla Windows Server 2008 R2 çalıştıran temel bir ağımız ve tek bir sunucumuz var.

Office 365 kullanıyoruz ve bir Windows Azure aboneliğimiz var. İkisi, kuruluşumuz için Active Directory'yi iyi senkronize ediyor gibi görünüyor. (yani veriler her iki sistemde de aynı görünür)

Uygulama sunucumuzda çalıştırdığımız üç taraf uygulamaların tümü kimlik sağlayıcısı olarak LDAP'yi destekliyor, ancak bir alan adı kullanmadığımız için her kullanıcının bu hizmetler için yeni bir kullanıcı adı / şifre oluşturmasını sağlamak zorundayız.

İdeal olarak, bu sunucunun Azure / Office 365'ten senkronize edilmesini ve kullanıcıların Office365 kimlik bilgilerini kullanarak kimlik doğrulaması yapmasını sağlamak istiyoruz.

Tüm literatürü şirket içi FROM ile Azure arasında senkronize etme hakkında konuştuğumu gördüm, ancak Azure / Office 365'ten şirket içi sunucumuzla senkronize etmek istiyoruz. Şirket içi sunucumuzun Office 365 dizinimiz için birleşik kimlik sağlayıcısı olduğunu düşünüyorum ...

Bu mümkün mü veya Azure veya Office 365'ten kimlikleri birleştirebilen bazı üçüncü taraf LDAP sağlayıcılarına ihtiyacımız var mı?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
kaynak

Azure'da AD çalıştırıyorsanız, yalnızca bu DC'ye karşı istekleri çalıştırabilirsiniz. Yine de ağınızı masmavi ile bağlamak için bir VPN'e ihtiyacınız olabilir.

— Nathan C

1

@NathanC, bir Azure VM örneğinde bir etki alanı denetleyicisi çalıştırmak (bu adamın ne yaptığını değil) ile O365 kiracınız için Azure AD w / DirSync'i çalıştırmak arasında bir fark var.

— MDMarra

@MDMarra Ah, başkasının sorusundan bir şeyler öğrendi. :)

— Nathan C

@NathanC evet Azure AD, Azure'da bulunan bir şeydir ve Office 365 ve Intune ile kullanım için kullanıcıları, grupları ve DirSync'i yönetmek için bir web arayüzü üzerinden erişilebilir. Etkileşimli olarak oturum açabileceğiniz gerçek bir sunucu değil. Bazı web ön uç özel soslu bazı çok kullanıcılı Microsoft AD varyantı.

— MDMarra

1

Adrian - sonunda ne yaptın? Benzer bir rota düşünüyoruz, bunun sizin için nasıl çalıştığını merak ediyor musunuz?

— aSkywalker

10

Kısa cevap: Hayır. Bununla birlikte, @ Nathan-C'nin açıkladığı gibi, aralarınız arasında tek oturum açmayı sağlamak için Azure Iaas'ı (DC + DirSync + ADFS veya DC + Dircync w / pwd senkronizasyonu) kullanarak gerekli hizmetleri kullanabilirsiniz. Office365 uygulamalarınız ve şirket içi uygulamalarınız. Azure ile yerel ağınız arasında bir VPN bağlantısı dağıtmanız gerekir.

Azure AD, "normal" Active Directory DEĞİLDİR.

— Trondh
kaynak

1

Teşekkürler, böyle olduğundan şüphelendim. Yapmayı başardığımız, üçüncü taraf uygulamalarımızın çoğunu kimlik sağlamak için OAuth2 kullanacak şekilde yapılandırmak. Daha sonra auth0 hizmetini Azure mağazasından yükledik ve Azure AD'mizi auth0 hizmeti için bir kurumsal kimlik sağlayıcısı (bağlantı) olarak kurduk. Üçüncü taraf uygulamalar artık Azure AD'mize katılan kimlik sağlayıcısı olarak auth0 kullanıyor. (benim terminoloji doğru var umarım ama temelde uygulamalar OAuth2 kullanarak Azure AD bizim "vekil" auth0 karşı kimlik doğrulaması için)

— Adrian Hope-Bailie

Önerilen çözümle ilgili başka bir yorum: Bunu yapmak istemiyoruz çünkü 1) kullanıcılarımızı yönetmek için Office 365'i kullanmaktan hoşlanıyoruz 2) aslında kullanıcılarımızı DC uygulayacağımı düşündüğüm bir alana giriş yapmaya zorlamak istemiyoruz içerir

— Adrian Hope-Bailie

4

DirSync'in en yeni sürümüyle bir DC'ye kurabilirsiniz. Eskiden yapamayacağın durum buydu.

— Trondh

3

Ancak, Windows 10'dan başlayarak, istemci makineler Azure AD'ye etki alanına katılabilir.

— Kevin Tianyu Xu

2

@JPHellemons - Technet makale burada kurmak açıklar

— Frederik Nielsen

3

Microsoft kısa bir süre önce Azure'da gerçek Active Directory hizmetleri sunmaya başladı: https://azure.microsoft.com/en-us/services/active-directory-ds ; yalnızca merkezi kimlik doğrulamaya ihtiyacınız varsa, yerel bir AD'nin yerini tamamen alabilirler.

— Massimo
kaynak

2

Tüm bu bilgiler eski, sadece onu arayan birine yardım etmek istedim. Bugün 10/25/2016 Azure AD hizmetlerine doğrudan bağlanan ve doğrudan çalışan 20 kadar Windows 10 dizüstü bilgisayarım var. Microsoft'un o365 ve diğer birçok "bulut" hizmetiyle mükemmel bir şekilde bütünleşir ve çalışır.

— Önemli biri
kaynak

1

Sunucularınız yerel bir AD / DC olmadan Azure etki alanına katılabilir mi?

— user228546

0

Hayır. Azure AD gerçekten AD değil. Daha sınırlı bir şemaya sahip olması nedeniyle daha az işlevselliğe sahiptir ve bir hizmet olarak gerçek bir Etki Alanı Denetleyicisi ve AD ile cihazların kimlik doğrulaması / yönetimi için kullanılamaz.

Destekledikleri kullanım durumu, Windows 10 makinelerde oturum açma işlemlerini yönetmek için Azure AD'yi kullanmaktır; ve herhangi bir yönetim için Microsoft Intune'u kullanabilirsiniz ('gerçek' tam AD kurulumundan politikalar / yönetim ile elde edersiniz)

Önerilen çözümün bile - henüz tam olarak 'pişmiş' olmadığını ve bunu denerseniz, erken benimseyen biri olacağınıza dikkat edeceğim. Biraz eksik işlevsellik (örneğin, yönetim Mac'ler için mevcut değildir; OS X için Azure AD birleştirmesini yapamazsınız) ve biraz buggy (bazen makineler doğrulayabilir ve katılabilir, bazen sessizce başarısız olabilir).

YMMV

— Dan R
kaynak