Bisakah saya menggunakan Office365 atau Azure AD sebagai master record untuk Active Directory?

12

Kami memiliki bisnis kecil dan saat ini tidak membutuhkan domain di kantor kami. Kami memiliki jaringan dasar dan satu server yang menjalankan Windows Server 2008 R2 dengan beberapa file saham dan aplikasi pihak ke-3.

Kami menggunakan Office 365 dan memiliki langganan Windows Azure. Keduanya tampaknya menjaga Active Directory untuk organisasi kami dalam sinkronisasi dengan cukup baik. (Yaitu, data terlihat sama di kedua sistem)

Semua aplikasi pihak ketiga yang kami jalankan di server aplikasi kami mendukung LDAP sebagai penyedia identitas tetapi karena kami tidak menjalankan domain, kami harus membuat setiap pengguna membuat login / kata sandi baru untuk layanan ini.

Idealnya kami ingin agar server ini disinkronkan dari Azure / Office 365 dan memungkinkan pengguna untuk kemudian mengautentikasi menggunakan kredensial Office365 mereka.

Semua literatur yang saya temukan berbicara tentang menyinkronkan FROM di tempat ke Azure tetapi kami lebih suka menyinkronkan DARI Azure / Office 365 ke server di tempat kami. Saya kira server lokal kami menjadi penyedia identitas gabungan untuk direktori Office 365 kami ...

Apakah ini mungkin atau kita perlu penyedia LDAP pihak ketiga yang dapat menggabungkan identitas dari Azure atau Office 365?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
sumber

Jika Anda menjalankan AD di Azure, Anda bisa menjalankan permintaan terhadap DC itu. Anda mungkin memerlukan VPN untuk menautkan jaringan Anda dengan azure.

— Nathan C

1

@NathanC ada perbedaan antara menjalankan pengontrol domain dalam instance Azure VM (bukan apa yang dilakukan orang ini) dan menjalankan Azure AD dengan DirSync untuk penyewa O365 Anda, yang merupakan apa yang ia bicarakan.

— MDMarra

@MDMarra Ah, belajar sesuatu dari pertanyaan orang lain. :)

— Nathan C

@NathanC yeah Azure AD adalah sesuatu yang ada di Azure dan dapat diakses melalui antarmuka web untuk mengelola pengguna, grup, dan DirSync untuk digunakan dengan Office 365 dan Intune. Ini bukan server aktual yang dapat Anda masuki secara interaktif. Ini adalah varian Microsoft AD multitenant dengan beberapa saus khusus front-end web.

— MDMarra

1

Adrian - apa yang akhirnya Anda lakukan? Kami sedang mempertimbangkan rute yang sama, penasaran bagaimana akhirnya berhasil bagi Anda?

— aSkywalker

10

Jawaban singkat: Tidak. Namun, seperti yang dijelaskan oleh @ Nathan-C, Anda dapat menahan layanan yang diperlukan menggunakan Azure Iaas (baik DC + DirSync + ADFS atau DC + Dircync dengan sinkronisasi pwd) untuk mencapai sistem masuk tunggal antara Anda aplikasi Office365 Anda dan aplikasi di tempat Anda. Anda perlu menggunakan tautan VPN antara Azure dan jaringan lokal Anda.

Azure AD BUKAN Direktori Aktif "biasa".

— Trondh
sumber

1

Terima kasih, saya curiga inilah masalahnya. Apa yang berhasil kami lakukan adalah mengonfigurasi sebagian besar aplikasi pihak ketiga kami untuk menggunakan OAuth2 untuk penyediaan identitas. Kami kemudian menginstal layanan auth0 dari Azure store dan mengatur Azure AD kami sebagai penyedia identitas perusahaan (koneksi) untuk layanan auth0. Aplikasi pihak ke-3 sekarang menggunakan auth0 sebagai penyedia ID yang bergabung dengan Azure AD kami. (Saya harap terminologi saya benar tetapi pada dasarnya aplikasi menggunakan OAuth2 untuk mengotentikasi terhadap auth0 yang "proksi" Azure AD kami)

— Adrian Hope-Bailie

Komentar lain tentang solusi yang diusulkan: Kami tidak ingin melakukan ini karena kami 1) suka menggunakan Office 365 untuk mengelola pengguna kami 2) tidak benar-benar ingin memaksa pengguna kami untuk masuk ke domain yang saya anggap menerapkan DC akan melibatkan

— Adrian Hope-Bailie

4

Dengan versi terbaru DirSync, Anda dapat menginstalnya ke DC. Dulu Anda tidak bisa melakukannya.

— Trondh

3

Namun, mulai dari Windows 10, mesin klien dapat bergabung dengan domain ke Azure AD.

— Kevin Tianyu Xu

2

@JPHellemons - Artikel Technet di sini menjelaskan cara mengaturnya

— Frederik Nielsen

3

Microsoft baru-baru ini mulai menawarkan layanan Active Directory aktual di Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; jika Anda hanya membutuhkan otentikasi terpusat, mereka sepenuhnya dapat menggantikan AD lokal.

— Massimo
sumber

2

Semua informasi ini sudah tua, saya hanya ingin membantu seseorang yang mencarinya. Hari ini 10/25/2016 Saya memiliki 20 atau lebih windows 10 laptop yang terhubung dan bekerja dengan layanan Azure AD secara langsung. Ia terintegrasi dan bekerja sempurna dengan o365 dan banyak layanan "cloud" lainnya dari Microsoft.

— Seseorang yang penting
sumber

1

Jadi server Anda dapat bergabung dengan domain Azure tanpa AD / DC lokal?

— user228546

0

Tidak. Azure AD tidak benar-benar AD. Ini memiliki lebih sedikit fungsi karena memiliki skema yang lebih terbatas, dan sebagai layanan tidak dapat digunakan untuk mengotentikasi / mengelola perangkat yang Anda bisa dengan Pengontrol Domain dan AD yang sebenarnya.

Kasus penggunaan yang mereka dukung menggunakan Azure AD untuk mengelola login di mesin Windows 10; dan Anda dapat menggunakan Microsoft Intune untuk manajemen apa pun (yang akan Anda dapatkan dengan kebijakan / manajemen dari instalasi AD penuh 'nyata')

Saya akan mengingatkan bahwa bahkan solusi yang diusulkan - itu belum sepenuhnya 'dipanggang', dan jika Anda mencobanya, Anda akan menjadi pengadopsi awal. Fungsinya agak tidak lengkap (misalnya, manajemen tidak ada untuk Mac; Anda tidak dapat melakukan Azure AD bergabung untuk OS X), dan agak buggy (kadang-kadang mesin dapat auth dan bergabung, kadang gagal secara diam-diam.)

YMMV

— Dan R
sumber