Использование Azure AD для изменения параметров групповой политики

9

Я пытаюсь использовать Azure Active Directory вместо использования традиционного контроллера домена.

Я хотел бы использовать Azure AD для аутентификации пользователей и установки параметров GPO, таких как перенаправление папок, сопоставления дисков и параметры конфиденциальности Windows 10.

Я создал учетную запись Office 365, которая, как я понимаю, создает серверную часть AD. Я также создал учетную запись Azure и добавил свой тестовый компьютер с Windows 10 в домен Azure, используя данные пользователя O365 / Azure.

Я также подписался на пробную версию Azure AD Premium.

Именно в этот момент я застрял. Где в Azure можно увидеть компьютер, который я добавил?

Кроме того, могу ли я использовать Azure AD, чтобы перенести традиционные параметры групповой политики на мой тестовый ПК, и если да, то куда мне это настроить?

Или мне нужно использовать что-то вроде Windows Intune?

windows active-directory group-policy azure azure-active-directory user3580480
источник

Ответы:

8

Активный каталог Azure нельзя использовать таким образом. Это не замена Active Directory (ну, по крайней мере, на момент написания статьи).

То, что вы хотите сделать, это использовать сервис Intune в сочетании с AAD для достижения того, что вы хотите. Я не верю, что вы сможете сделать полный GPO, но есть множество настроек, которые вы можете настроить.

CtrlDot
источник
2
Это не совсем правда. С помощью служб Azure AD Directory вы можете теперь присоединять компьютеры к AD и выдвигать объекты групповой политики (хотя и с ограниченной областью). Это все еще в предварительном просмотре
Сэм Коган
1
@ Ответ Сэма ниже точен и должен быть рассмотрен.
SturdyErde
1
Intune не может управлять такими устройствами, как объекты групповой политики, однако Intune предназначена для настройки основных параметров устройства, таких как развертывание программного обеспечения, антивирус, обновления Windows и т. Д. Перенаправление папок, карты накопителей и все виды пользовательских настроек должны выполняться через объекты групповой политики. Intune происходит из истории MDM и должна рассматриваться как решение MDM с великолепной поддержкой Windows. Тем не менее, он по-прежнему предназначен для настройки устройств, а не пользовательских настроек на этих устройствах.
Себастьян Вернер
5

Службы каталогов Azure AD - это новая функция предварительного просмотра, которая больше функционирует как контроллер домена в качестве предложения службы и позволяет вам выдвигать объекты групповой политики. Структура GPO и OU более ограничена классическим AD, но это возможно. Это в предварительном просмотре, так что имейте в виду последствия SLA для этого.

Сэм Коган
источник
Эти функции могут использоваться только на виртуальных машинах, работающих в предложении Azure IaaS. AAD DS нельзя использовать для замены классических локальных AD DS для обычного клиента Windows 10.
Себастьян Вернер
@sebastian не совсем правильно, если у вас есть экспресс-подключение к вашему Vure Azure, то вы можете присоединиться к прем машинам. Но я согласен, что на самом деле он не предназначен для замены полноценного контроллера домена с клиентскими компьютерами, он больше предназначен для предоставления служб AD для IaaS в Azure.
Сэм Коган