Могу ли я использовать Office365 или Azure AD в качестве основной записи для Active Directory?

12

У нас небольшой бизнес, и в настоящее время нам не нужен домен в нашем офисе. У нас есть базовая сеть и один сервер под управлением Windows Server 2008 R2 с некоторыми общими файлами и сторонними приложениями.

Мы используем Office 365 и имеем подписку Windows Azure. Похоже, что они хорошо синхронизируют Active Directory для нашей организации. (т.е. данные выглядят одинаково в обеих системах)

Все сторонние приложения, которые мы запускаем на нашем сервере приложений, поддерживают LDAP в качестве провайдера идентификации, но поскольку мы не управляем доменом, нам нужно, чтобы каждый пользователь создал новый логин / пароль для этих сервисов.

В идеале мы бы хотели, чтобы этот сервер синхронизировался из Azure / Office 365 и чтобы пользователи могли затем проходить аутентификацию, используя свои учетные данные Office365.

Вся литература, о которой я узнал, рассказывает о синхронизации FROM локально с Azure, но мы бы предпочли синхронизировать FROM Azure / Office 365 с нашим локальным сервером. Я полагаю, что наш локальный сервер стал федеративным поставщиком удостоверений для нашего каталога Office 365 ...

Возможно ли это, или нам нужен какой-нибудь сторонний поставщик LDAP, который может объединять удостоверения из Azure или Office 365?

azure single-sign-on microsoft-office-365 Адриан Хоуп-Бейли
источник
Если вы используете AD в Azure, вы можете просто выполнять запросы к этому DC. Возможно, вам понадобится VPN, чтобы связать вашу сеть с лазурью.
Натан C
1
@NathanC есть разница между запуском контроллера домена в экземпляре виртуальной машины Azure (а не тем, что делает этот сотрудник) и запуском Azure AD с DirSync для вашего клиента O365, о чем он и говорит.
MDMarra
@MDMarra А, узнал кое-что из чужого вопроса. :)
Натан С
@NathanC да Azure AD - это то, что существует в Azure и доступно через веб-интерфейс для управления пользователями, группами и DirSync для использования с Office 365 и Intune. Это не настоящий сервер, на который вы можете войти в интерактивном режиме. Это какой-то мультитенантный вариант Microsoft AD с каким-то особенным веб-интерфейсом.
MDMarra
1
Адриан - что ты в итоге делал? Мы рассматриваем подобный маршрут, интересно, как это сработало для вас?
Скайуокер

Ответы:

10

Краткий ответ: Нет. Однако, как описано в @ Nathan-C, вы можете настроить необходимые службы с помощью Azure Iaas (либо DC + DirSync + ADFS, либо DC + Dircync w / pwd sync), чтобы обеспечить единый вход между вашим ваши приложения Office365 и ваши предварительные приложения. Вам потребуется развернуть канал VPN между Azure и вашей локальной сетью.

Azure AD НЕ является «обычной» Active Directory.

Trondh
источник
1
Спасибо, я подозревал, что это так. Нам удалось настроить большинство наших сторонних приложений на использование OAuth2 для идентификации. Затем мы установили службу auth0 из хранилища Azure и настроили нашу Azure AD в качестве корпоративного поставщика удостоверений (подключения) для службы auth0. Сторонние приложения теперь используют auth0 в качестве поставщика идентификаторов, который интегрируется в нашу Azure AD. (надеюсь, я правильно понял терминологию, но в основном приложения используют OAuth2 для аутентификации на основе auth0, который «прокси» нашего Azure AD)
Адриан Хоуп-Бейли,
Еще один комментарий к предлагаемому решению: мы не хотим этого делать, потому что нам 1) нравится использовать Office 365 для управления нашими пользователями 2) на самом деле не хотим заставлять наших пользователей входить в домен, который, как я полагаю, при реализации DC будет задействовать
Адриан Хоуп-Бейли
4
С новейшей версией DirSync вы можете установить ее на DC. Раньше было так, что ты не мог.
Тронх
3
Однако, начиная с Windows 10, клиентские машины могут присоединяться к домену в Azure AD.
Кевин Тяньюй Сюй
2
@JPHellemons - статья Technet здесь объясняет, как ее настроить
Фредерик Нильсен
2

Вся эта информация старая, я просто хотел помочь тому, кто ее искал. Сегодня 25.10.2016 У меня около 20 ноутбуков с Windows 10, которые подключаются и работают со службами Azure AD напрямую. Он прекрасно интегрируется и работает с o365 и многими другими «облачными» сервисами от Microsoft.

Тот, кто имеет значение
источник
1
То есть ваши серверы могут присоединиться к домену Azure без локального AD / DC?
user228546
0

Нет. Azure AD на самом деле не AD. Он имеет меньшую функциональность в том смысле, что имеет более ограниченную схему, и в качестве службы он не может использоваться для аутентификации / управления устройствами, как вы можете с реальным контроллером домена и AD.

Поддерживаемый ими вариант использования - это использование Azure AD для управления именами входа на компьютерах с Windows 10; и вы можете использовать Microsoft Intune для любого управления (которое вы получите с помощью политик / управления из «реальной» полной установки AD)

Я предупреждаю, что даже предлагаемое решение - оно еще не полностью «испечено», и если вы попробуете его, вы станете одним из первых. Это несколько неполная функциональность (например, управление не существует для Mac; вы не можете использовать Azure AD join для OS X), и оно немного глючит (иногда машины могут авторизоваться и присоединяться, иногда молча отказывают).

YMMV

Дэн Р
источник