Windows 10 控制多個遠端辦公室店面位置

我們公司有一個小型的中央辦公室，約有 8 名員工，我們管理著 20 多家小型遠端商店。每個遠端商店都有 2-3 台執行 Windows 10 的 PC。我們使用 G Suite 時不需要文件共享。我們確實需要集中控制使用者身份驗證、鎖定 PC 的組策略，以便無法安裝或修改新軟體，以及遠端推出軟體的能力。

這是否可以使用 Azure AD 或 Azure AD 目錄服務或類似服務，或者我們是否需要一個帶有 Active Directory 的完整 Windows 伺服器，使用 VPN 來連接所有遠端儲存？

這取決於您需要多少控制。當您使用 Windows 10 時，您可以選擇將您的電腦加入 Azure AD，這將為您提供集中式身份驗證。

AAD 不支持組策略，因此您有兩種選擇。首先 intune 和 MDM，如果您可以使用它們並且它們提供了您需要的東西，那麼您可以堅持使用雲解決方案。如果這不合適，那麼您可以查看 AAD DS，它可以為您提供在 Azure 中執行的完整域控制器，但請記住，您可以使用 AAD DS 做什麼有很大的限制。特別是您只能將其部署在單個區域中，並且您不能將在 AAD（或 Prem AD）中創建的使用者移出預設 OU。

對於軟體分發，您可以查看使用 Azure 自動化 DSC 對您的電腦進行配置管理，或者再次查看 AAD DS 和組策略。

引用自：https://serverfault.com/questions/998203