Microsoft Azure可以做什么来帮助您的本地Active Directory

作者: Louise Ward
创建日期: 5 二月 2021
更新日期: 28 六月 2024
Anonim
Azure Learning #001 Active Directory 竟然有三種 | Azure AD #001
视频: Azure Learning #001 Active Directory 竟然有三種 | Azure AD #001

内容


资料来源:Rvlsoft / Dreamstime.com

带走:

在本文中,我们将讨论Microsoft Azure与Server AD之间的异同,以及Azure AD如何在此云时代及其多种服务产品中增强本地AD的功能。

前几天,我正在与一家规模相当不错的公立学校系统的技术总监交谈,他在传达他对Microsoft Azure Active Directory的不满。他们最近被分配了一个针对此主题的中小型企业团队,以帮助指导他们完成Azure AD实施。在几次电话会议之后,主管放弃了与“专家”的合作关系,因为他发现他们对自己的了解不多。他打趣道:“我可以尽可能轻松地阅读TechNet文章。”

这并不令人感到意外,因为在混合云环境中有关Azure AD和本地AD的集成存在很多困惑。通常,最初的假设是Azure AD只是传统Server AD的副本版本,而传统Server AD仅驻留在云中。这就是为什么这么多关于陈词滥调的陈词滥调的原因。 (有关云服务的比较,请参阅“四大云播放器:优缺点”。)

Azure AD和Server AD的不同环境

事实是,这两个版本的AD具有几乎相同的差异。那是因为它们各自围绕不同的环境构建。

当IT专业人员指的是AD时,他们指的是多年来我们都习惯于驻留在物理平面上的传统AD。 Server AD是围绕组织,可管理性和策略的原则构建的。我们将我们的域划分为更小,更易于管理的组织单位,共享共同性的用户和计算机驻留在这些组织单位中。也许您的广告按照地理位置或工作职能进行了划分。用户和他们各自的计算机都将参与授权过程,因为他们使用LDAP登录到域控制器并使用Kerberos票证访问物理资源。应用程序源于ISO文件,并且组策略锁定了用户的桌面和设置。

然后是Azure。 Azure是为云而构建的,这意味着它是专门为支持Web服务而设计的。云是关于弹性,敏捷性和永久变更的。 Azure是一个平面结构,没有组织单位和组策略对象,该结构中的位置无关紧要。实际上,Azure是一个巨大的海洋,所有对象都聚集到一个巨大的容器中。在这里,应用程序就是服务,是用户本身的扩展。在此环境中的应用程序只是分配而不是安装。传统的AD以使用户体验尽可能受管理和控制而闻名,而Azure AD则是要使用户体验尽可能地流畅。


Azure AD和Server AD之间的共性

因此,Azure AD不能用作Server AD的云版本。它的构造是为了增强它的功能,因为传统的AD从来没有为支持基于Web的Internet服务而构建。因此,让我们从两者之间的相似之处开始。

与其前身一样,Azure AD托管用户和组。在混合云环境中,AD管理员可以在其本地本地AD中创建用户,并通过称为Azure AD Connect的中介工具将其同步到Azure,该工具提供了一些出色的附加功能。

  • 密码同步 –由于用户和组已同步到Azure AD,因此用户可以在内部和云中登录,因为两者之间的密码是同步的。由于内部部署被指定为授权机构,因此Azure AD也利用本地密码策略。
  • 密码写回 –用户可以在Azure AD中更改其密码,并将其写回到本地。对于学校系统这样的组织来说,这是一项了不起的功能,在该组织中,教师和工作人员的密码会在夏季到期。他们可以在家里随时在Azure AD中进行操作,而不必等到他们可以返回工作以在办公桌前更改密码时才被锁定并无法访问Internet。
  • 过滤器同步 –这使管理员可以准确选择哪些对象同步到云,哪些没有同步。

他们有何不同

尽管用户和组可以同时在Azure AD和Server AD中共存,但计算机帐户却不是这样。 Azure不提供我们已经习惯的“域加入”功能。这是因为Azure与Web有关,该环境没有传统的身份验证协议(例如LDAP和Kerberos),而是依赖于Web身份验证协议(例如SAML,WS,Graph API和OAuth 2.0)。计算机已连接到Azure。这意味着计算机帐户可以驻留在本地或云中,但不能两者都驻留。 (要了解管理Active Directory的一些最大问题,请参阅“ Active Directory管理的五个最痛点”。)

没有错误,没有压力-在不破坏生活的情况下创建可改变生活的软件的分步指南

当没有人关心软件质量时,您就无法提高编程技能。


不过,这似乎并不重要,因为当今许多组织实际上拥有两种计算机机队,例如台式机和移动设备。在这种情况下,移动设备可以驻留在Azure内,而桌面驻留在本地。为学生提供一对一笔记本电脑配置的K-12教育机构也非常适合Azure,因为每年年底都会对数千台笔记本电脑进行重新映像,因此它们是Azure的理想选择。

如前所述,Azure AD不具有组策略功能,但是,Azure设备可以由Microsoft Intune进行管理,Microsoft Intune提供了诸如更新管理和在设备受到威胁时进行远程擦除的功能。此外,Intune可以与Microsoft SCCM集成以提供更精细的设备管理。

Azure AD通过IDaaS使所有用户的生活更加轻松

底线是:服务器AD首先是目录服务解决方案,而具有某些目录服务功能的Azure AD是身份解决方案。构想Server AD时,身份管理不是问题,但对于当今的组织来说,这是至关重要的元素。

如今,几乎任何组织中的用户都使用大量的云应用程序,例如Office 365,Saleforce.com,Dropbox等。当云应用程序首次出现时,用户必须对每个应用程序进行身份验证,这证明效率很低并且引入了安全性由于在某些情况下用户必须管理多个密码,因此存在漏洞,因为云应用程序供应商实施了不同的密码策略。

然后是提供单点登录或SSO的联合服务。最初,这意味着云应用程序会将身份验证过程转移回用户的本地AD,在此AD中,已配置的联合服务器将根据其本地AD凭据对用户进行身份验证。这使用户更容易,但由于必须为每个应用程序供应商建立联盟关系,因此IT团队需要大量手动配置。

然后是身份即服务(IDaaS),这就是Azure AD的全部意义。Azure AD本身处理数百个应用程序的联合身份,使Azure AD用户能够像遍历其桌面上的应用程序一样轻松地从一个应用程序无缝跳转到另一个应用程序。从某种意义上说,Azure AD是联盟中心。

此外,Azure AD使组织能够在云中托管虚拟域控制器,从而为用户提供移动身份验证以及在完全内部部署故障情况下的冗余性。是的,Azure AD和Server AD不复制彼此的服务,而是对它们进行补充,为当今的用户提供两全其美的服务。