Назад | Перейти на главную страницу

Доменные службы Azure AD и Azure Active Directory: синхронизация? Мигрировать?

Терминология

Учитывая очень аналогичная терминология, позвольте мне изложить две вещи, о которых я спрашиваю ...

Во-первых, Azure Active Directory. Это служба каталогов, лежащая в основе o365. Вы можете синхронизировать с ним учетные данные и использовать их для SSO через SAML и несколько других битов, но это в основном все.

Во-вторых, Доменные службы Azure Active Directory. Это намного ближе к ADDS в том виде, в каком мы его знаем со времен Windows 2000 (подразделения, групповая политика, NTLM и т. Д.), Но при условии как услуга. Существует множество ограничений (нет прав администратора домена, нет расширений схемы, нет прямого доступа к контроллерам домена), но вы можете присоединить к нему серверы традиционным способом.

Сходство их имен сильно расстраивает результаты Google при попытке получить любой информация о том, как они могут взаимодействовать, поэтому мой вопрос здесь!


Моя цель

Моя цель - перенести в облако как можно больше. У меня уже есть Exchange и SharePoint, перемещенные через o365, и моя локальная синхронизация AD с Azure AD. Я тоже хочу переместить все свои серверы в Azure и использовать доменные службы Azure AD, а не создавать свои собственные контроллеры домена в качестве виртуальных машин Azure. Все это кажется достижимым.

Мое критическое требование: я хочу, чтобы пользователь, который входит в свой почтовый ящик o365, делал это с теми же учетными данными, которые он использует для входа на сервер (или службу, работающую на сервере), которая присоединена к домену доменных служб Azure AD.


Мой вопрос

Как мне выполнить это важное требование ?!

Я могу «продлить» или «обновить»? мой экземпляр Azure AD в экземпляр Azure AD DS? Похоже, что для этого нет никакой возможности.

Могу ли я как-то синхронизировать свой экземпляр Azure AD и Azure AD DS? Означает ли это создание виртуальной машины для запуска инструмента AD Connect?


Похоже, что по этой теме почти ничего не написано (что я могу найти!), Поэтому мы очень ценим ваше понимание!

Я не знаю о предлагаемом вами решении, но в отношении доменных служб Azure AD и Azure Active Directory ...

Если один и тот же раздел Azure AD управляет подпиской на Office 365 и Azure, то при включении доменных служб Azure AD все учетные записи пользователей и групп Azure AD будут доступны во вновь созданном домене. они помещаются в ящики внутри OU. поэтому одни и те же учетные записи пользователей могут использоваться для входа на серверы, присоединенные к вашему домену доменных служб Azure AD.

вы можете управлять доменными службами Azure AD, присоединив сервер к домену и установив инструменты администрирования Active Directory.

Следует отметить одну вещь: если вы добавите пользователей в раздел Azure AD, они появятся в вашем домене доменных служб Azure AD, но обратное неверно. если вы добавляете пользователей непосредственно в домен доменных служб Azure AD, они не будут отображаться как пользователи Azure AD.

Для критического требования:

Да, это может быть достигнуто после включения функции службы домена Azure AD и ожидания успешной синхронизации учетных записей пользователей и хэшей учетных данных из Azure AD в управляемый домен Azure AD DS.

По двум другим вопросам:

В Включение службы домена Azure AD Эта функция расположена на вкладке «Настроить» на странице Azure AD (классический портал Azure), как показано ниже. Более подробную информацию можно найти в документации. Вот.

Синхронизация из Azure AD в управляемый домен Azure AD DS запускается автоматически и в одностороннем / однонаправленном режиме в фоновом режиме. Подробнее Вот.

Кроме того, если ваши пользователи синхронизируются из локальной AD. Не забудьте настроить синхронизацию паролей (здесь нельзя синхронизировать ADFS) с помощью хэшей учетных данных NTLM и Kerberos, чтобы синхронизированные пользователи могли использовать свои корпоративные учетные данные для входа на серверы и службы в управляемом домене. Подробнее Вот для справки.