У нашей компании есть небольшой центральный офис, в котором работает около 8 сотрудников, в котором мы управляем 20+ небольшими удаленными магазинами. В каждом удаленном магазине есть 2-3 компьютера под управлением Windows 10. Нам не нужен общий доступ к файлам, поскольку мы используем G Suite. Нам действительно нужен централизованный контроль аутентификации пользователей, групповые политики для блокировки компьютеров, чтобы нельзя было устанавливать или изменять новое программное обеспечение, а также возможность удаленного выпуска программного обеспечения.
Возможно ли это с помощью Azure AD, Azure AD Directory Services или аналогичных служб, или нам понадобится полноценный Windows Server с Active Directory, использующий VPN для подключения всех удаленных магазинов?
Это зависит от того, какой контроль вам нужен. Поскольку вы используете Windows 10, у вас есть возможность присоединить свои машины к Azure AD, это даст вам централизованную аутентификацию.
AAD не поддерживает групповую политику, поэтому у вас есть два варианта. Сначала intune и MDM, если вы можете их использовать и они предоставляют то, что вам нужно, вы можете придерживаться облачного решения. Если это не подходит, вы можете взглянуть на AAD DS, который предоставит вам полные контроллеры домена, работающие в Azure, но помните, что существуют значительные ограничения на то, что вы можете делать с AAD DS. В частности, вы можете развернуть его только в одном регионе, и вы не можете перемещать пользователей, созданных в AAD (или в локальной AD), из подразделения по умолчанию.
Что касается распространения программного обеспечения, вы можете использовать Azure Automation DSC для управления конфигурацией ваших машин или снова взглянуть на AAD DS и групповую политику.