Azure AD 和 Azure Active Directory 域服務:同步?遷移?
術語
鑑於非常相似的術語,讓我列出我要問的兩件事……
首先,Azure 活動目錄。這是支持 o365 的目錄服務。您可以將憑據同步到其中,並通過 SAML 和其他一些位將其用於 SSO,但基本上就是這樣。
其次,Azure Active Directory 域服務。這更接近於自 Windows 2000 以來我們所知道的 ADDS(OU、組策略、NTLM 等),但提供了as-a-service。有很多限制(沒有域管理員權限、沒有架構擴展、沒有對 DC 的直接訪問),但您可以以傳統方式將伺服器加入域。
他們的名字如此相似,在嘗試獲取有關他們如何互動的任何資訊時,Google的結果非常令人沮喪,因此我的問題就在這裡!
我的目標
我的目標是盡可能多地遷移到雲端。我已經通過 o365 移動了 Exchange 和 SharePoint,並且我的本地 AD 與 Azure AD 同步。我也想將我的所有伺服器都遷移到 Azure 並使用 Azure AD 域服務,而不是將我自己的 DC 建構為 Azure VM。這一切似乎都可以實現。
我的關鍵要求:我希望登錄到其 o365 郵箱的使用者使用與登錄到已加入 Azure AD 域服務域的伺服器(或在伺服器上執行的服務)相同的憑據來執行此操作。
我的問題
我如何實現這一關鍵要求?!
我是“擴展”還是“升級”?我的 Azure AD 實例到 Azure AD DS 實例?似乎沒有任何選擇可以這樣做。
我是否以某種方式同步我的 Azure AD 和 Azure AD DS 實例?這是否意味著建構一個虛擬機來執行 AD Connect 工具?
似乎幾乎沒有關於該主題的文章(我可以找到!),因此非常感謝您的見解!
對於關鍵要求:
是的,它可以在您啟用 Azure AD 域服務功能並等待使用者帳戶和憑據雜湊從 Azure AD 成功同步到 Azure AD DS 託管域後實現。
對於另外兩個問題:
啟用 Azure AD 域服務功能位於 Azure AD 頁面(Azure 經典門戶)的配置選項卡上,如下所示。可以在此處的文件中找到更多詳細資訊。
從 Azure AD 到 Azure AD DS 託管域的同步是在後台自動啟動的,並且是單向/單向的。更多細節在這裡。
此外,如果您的使用者是從本地 AD 同步的。不要忘記使用 NTLM 和 Kerberos 憑據雜湊配置密碼同步(此處不能是 ADFS 同步),以確保同步的使用者可以使用他們的公司憑據登錄託管域中的伺服器和服務。更多細節在這裡供參考。
