Назад | Перейти на главную страницу

Могу ли я заменить контроллер домена на Azure Active Directory?

В настоящее время у меня есть небольшая сеть с несколькими серверами и примерно 25 клиентскими ПК. Мы используем Office365 и настроили синхронизацию AD с нашего локального сервера. У нас также есть настройка единого входа с использованием ADFS.

Недавно мы заменили все наши серверы, кроме двух, виртуальными машинами Azure.

Единственное, для чего мы сейчас используем наши внутренние серверы, - это Active Directory и ADFS.

Итак, мой вопрос заключается в следующем ... Могу ли я настроить Azure Active Directory, синхронизировать с ним свой локальный каталог, заставить Office365 взаимодействовать с Azure Active Directory, а затем списать мои локальные серверы?

Будут ли мои локальные клиентские ПК проходить проверку подлинности в Azure Active Directory?

Если ответ «Да», любые предложения о том, как этого добиться, были бы замечательными. Если ответ - «Нет» - немного информации о том, почему бы и нет, было бы здорово!

Спасибо!

Короткий ответ: Нет

Более длинный ответ: Локальные клиенты не могут напрямую связываться с экземпляром Azure AD. Ваши клиентские ПК не смогут использовать его для аутентификации при входе в систему. Azure Active Directory не предназначен для замены локальной Active Directory, это просто способ предоставить службы каталогов другим службам в вашем клиенте Azure, например O365 или Intune.

Редактировать: Этот ответ уже не является точным на 100%. С помощью Azure AD Join для Windows 10 вы можете использовать Azure AD для аутентификации при входе в систему и условного доступа, а также для автоматической регистрации в Intune для управления политиками. Таким образом, хотя присоединение к Azure AD не подходит для большинства организаций, оно отлично подходит для мобильных компаний или компаний, которым может потребоваться улучшенное управление устройствами BYOD.

Еще более длинный ответ: Как говорит MDMArra в своем ответе, локальные клиенты в настоящее время не могут аутентифицироваться с помощью Azure Active Directory (например, они не могут присоединиться к домену). Основываясь на ваших вопросах / комментариях, я считаю, что вам может быть интересно несколько возможностей:

Бегать Синхронизация каталогов с синхронизацией паролей (возможно, вы уже это делаете). Таким образом, Office 365 (и другие онлайн-службы) будут проходить проверку подлинности с помощью AAD, в то время как ваши локальные приложения и клиенты могут продолжать проверку подлинности с помощью локальной AD.

Если вы действительно доверяете своему сетевому подключению, вы также можете настроить виртуальную сеть Azure типа "сеть-сеть" из вашего помещения в Azure и переместите AD и ADFS на виртуальные машины в Azure. Если вы решите пойти по этому пути, я сильно рекомендую вам прочитать Рекомендации по развертыванию Windows Server Active Directory на виртуальных машинах Windows Azure. (Примечание: в этом случае вы можете продолжать использовать Directory Sync с AD на виртуальной машине Azure, как сейчас.)