Posso usare Office365 o Azure AD come record principale per Active Directory?

12

Abbiamo una piccola impresa e al momento non abbiamo bisogno di un dominio nel nostro ufficio. Abbiamo una rete di base e un singolo server che esegue Windows Server 2008 R2 con alcune condivisioni di file e app di terze parti.

Usiamo Office 365 e disponiamo di un abbonamento a Windows Azure. I due sembrano mantenere l'Active Directory per la nostra organizzazione in sincronia abbastanza bene. (ovvero i dati sembrano uguali su entrambi i sistemi)

Tutte le app di terze parti che eseguiamo sul nostro server di app supportano LDAP come provider di identità, ma poiché non gestiamo un dominio dobbiamo convincere ogni utente a creare un nuovo login / password per questi servizi.

Idealmente vorremmo far sincronizzare questo server da Azure / Office 365 e consentire agli utenti di autenticarsi usando le loro credenziali di Office365.

Tutta la letteratura che ho trovato parla della sincronizzazione di FROM on-premise in Azure, ma vorremmo piuttosto sincronizzare FROM Azure / Office 365 con il nostro server on premise. Immagino che il nostro server on-premise diventi un provider di identità federato per la nostra directory di Office 365 ...

È possibile o è necessario un provider LDAP di terze parti in grado di federare le identità da Azure o Office 365?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
fonte

Se stai eseguendo AD in Azure, puoi semplicemente eseguire richieste contro quel controller di dominio. Tuttavia, potresti aver bisogno di una VPN per collegare la tua rete con azzurro.

— Nathan C

1

@NathanC c'è una differenza tra l'esecuzione di un controller di dominio in un'istanza di VM di Azure (non quello che sta facendo questo collega) e l'esecuzione di Azure AD con DirSync per il tenant di O365, di cui sta parlando.

— MDMarra,

@MDMarra Ah, ho imparato qualcosa dalla domanda di qualcun altro. :)

— Nathan C

@NathanC sì, Azure AD è qualcosa che esiste in Azure ed è accessibile tramite un'interfaccia Web per la gestione di utenti, gruppi e DirSync da usare con Office 365 e Intune. Non è un vero server al quale puoi accedere in modo interattivo. È una variante multi-tenant di Microsoft AD con un po 'di salsa speciale sul web.

— MDMarra,

1

Adrian - cosa sei finito a fare? Stiamo prendendo in considerazione un percorso simile, curioso di sapere come è andata a finire per te?

— aSkywalker il

10

Risposta breve: No. Tuttavia, come descritto da @ Nathan-C, puoi alzare i servizi richiesti usando Azure Iaas (DC + DirSync + ADFS o DC + Dircync con sincronizzazione pwd) per ottenere l'accesso Single Sign-On tra le tue app Office365 e le tue app locali. Dovresti distribuire un collegamento VPN tra Azure e la tua rete locale.

Azure AD NON è Active Directory "normale".

— Trondh
fonte

1

Grazie, sospettavo che fosse così. Quello che siamo riusciti a fare è configurare la maggior parte delle nostre app di terze parti per utilizzare OAuth2 per la fornitura di identità. Abbiamo quindi installato il servizio auth0 dall'archivio di Azure e configurato Azure AD come provider di identità aziendale (connessione) per il servizio auth0. Le app di terze parti ora usano auth0 come provider di ID che si associa al nostro Azure AD. (spero di aver capito bene la mia terminologia, ma fondamentalmente le app usano OAuth2 per autenticarsi contro auth0 che "procura" il nostro Azure AD)

— Adrian Hope-Bailie,

Un altro commento sulla soluzione proposta: non vogliamo farlo perché 1) ci piace usare Office 365 per gestire i nostri utenti 2) in realtà non vogliamo forzare i nostri utenti ad accedere a un dominio che presumo implementando un controller di dominio coinvolgere

— Adrian Hope-Bailie il

4

Con la versione più recente di DirSync, è possibile installarlo su un controller di dominio. In passato non si poteva.

— Trondh,

3

Tuttavia, a partire da Windows 10, i computer client possono unire il dominio ad Azure AD.

— Kevin Tianyu Xu,

2

@JPHellemons - L'articolo Technet qui spiega come configurarlo

— Frederik Nielsen,

3

Di recente Microsoft ha iniziato a offrire servizi di Active Directory in Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; se hai solo bisogno di un'autenticazione centralizzata, possono sostituire completamente un annuncio locale.

— Massimo
fonte

2

Tutte queste informazioni sono vecchie, volevo solo aiutare qualcuno che le stava cercando. Oggi 25/10/2016 Ho circa 20 laptop Windows 10 che si connettono e funzionano direttamente con i servizi di Azure AD. Si integra e funziona perfettamente con o365 e molti altri servizi "cloud" di Microsoft.

— Qualcuno che conta
fonte

1

Quindi i tuoi server sono in grado di unirsi al dominio Azure senza un AD / DC locale?

— user228546

0

No. Azure AD non è realmente AD. Ha meno funzionalità in quanto ha uno schema più limitato e come servizio non può essere utilizzato per autenticare / gestire i dispositivi come è possibile con un vero controller di dominio e AD.

Il caso d'uso che supportano sta usando Azure AD per gestire gli accessi su macchine Windows 10; e puoi usare Microsoft Intune per qualsiasi gestione (che otterresti con i criteri / la gestione da un'installazione AD reale "reale")

Ti avvertirò che anche la soluzione proposta non è ancora completamente "cotta" e, se la provi, diventerai presto uno che adotta. È una funzionalità un po 'incompleta (ad esempio, la gestione è inesistente per Mac; non è possibile unire Azure AD per OS X), ed è un po' difettoso (a volte le macchine possono eseguire l'autenticazione e la partecipazione, a volte non riescono silenziosamente).

YMMV

— Dan R
fonte