Vraag Kan ik Office365 of Azure AD gebruiken als stamrecord voor Active Directory?


We hebben een klein bedrijf en hebben op dit moment geen behoefte aan een domein binnen ons kantoor. We hebben een basisnetwerk en een enkele server met Windows Server 2008 R2 met enkele bestandsshares en apps van derden.

We gebruiken Office 365 en hebben een Windows Azure-abonnement. De twee lijken de Active Directory voor onze organisatie goed gesynchroniseerd te houden. (d.w.z. De gegevens zien er op beide systemen hetzelfde uit)

Alle thrid party-apps die we op onze app-server uitvoeren, ondersteunen LDAP als identiteitsprovider, maar omdat we geen domein uitvoeren, moeten we elke gebruiker vragen een nieuwe gebruikersnaam / wachtwoord voor deze services te maken.

In het ideale geval willen we deze server laten synchroniseren vanuit Azure / Office 365 en toestaan ​​dat gebruikers zich vervolgens verifiëren met hun Office365-inloggegevens.

Alle literatuur die ik heb gevonden, heeft betrekking op de synchronisatie van FROM on premise naar Azure, maar we willen liever FROM Azure / Office 365 synchroniseren met onze on premise-server. Ik denk dat onze lokale server een federatieve identiteitsprovider wordt voor onze Office 365-directory ...

Is dit mogelijk of hebben we een LDAP-provider van een derde partij nodig die identiteiten kan federeren vanuit Azure of Office 365?


8
2017-11-04 16:13


oorsprong


Als u AD in Azure gebruikt, kunt u alleen verzoeken tegen dat DC uitvoeren. Mogelijk hebt u een VPN nodig om uw netwerk met azuur te verbinden. - Nathan C
@NathanC er is een verschil tussen het uitvoeren van een domeincontroller in een Azure VM-instantie (niet wat deze collega doet) en het uitvoeren van Azure AD met DirSync voor uw O365-tenant, daar heeft hij het over. - MDMarra
@MDMarra Ah, heb iets geleerd van de vraag van iemand anders. :) - Nathan C
@NathanC ja Azure AD is iets dat in Azure bestaat en wel toegankelijk is via een webinterface voor het beheer van gebruikers, groepen en DirSync voor gebruik met Office 365 en Intune. Het is geen echte server waar je interactief op kunt inloggen. Het is een multitenant Microsoft AD-variant met een speciale front-end speciale saus. - MDMarra
Adrian - wat ben je uiteindelijk aan het doen? We overwegen een vergelijkbare route, nieuwsgierig hoe het uiteindelijk voor jou is gelukt? - aSkywalker


antwoorden:


Kort antwoord: Nee. Zoals beschreven door @ Nathan-C, kunt u echter de vereiste services gebruiken met Azure Iaas (DC + DirSync + ADFS of DC + Dircync w / pwd sync) om eenmalige aanmelding te bereiken tussen uw Office365-apps en uw on-prem apps. U moet een VPN-verbinding tussen Azure en uw lokale netwerk implementeren.

Azure AD is GEEN 'normale' Active Directory.


9
2017-11-04 17:06



Bedankt, ik vermoedde dat dit het geval was. Wat we hebben kunnen doen, is het configureren van de meeste van onze apps van derden om OAuth2 te gebruiken voor identiteitsbesteding. Vervolgens hebben we de auth0-service geïnstalleerd in de Azure-winkel en onze Azure AD ingesteld als een onderneming-identiteitsprovider (verbinding) voor de auth0-service. De apps van derden gebruiken nu auth0 als ID-provider die federeert naar onze Azure AD. (ik hoop dat ik mijn terminologie goed begrijp, maar eigenlijk gebruiken de apps OAuth2 om te authenticeren tegen auth0 die onze Azure AD "proxeert") - Adrian Hope-Bailie
Nog een opmerking over de voorgestelde oplossing: we willen dit niet doen omdat we 1) graag Office 365 gebruiken om onze gebruikers te beheren 2) onze gebruikers niet echt willen laten inloggen op een domein waarvan ik aanneem dat het implementeren van een DC zou bij betrekken - Adrian Hope-Bailie
Met de nieuwste versie van DirSync kunt u het op een DC installeren. Vroeger kon dat niet. - Trondh
Vanaf Windows 10 kunnen clientcomputers echter een domein toevoegen aan Azure AD. - Kevin Tianyu Xu
@JPHellemons - Technet-artikel hier legt uit hoe je het moet instellen - Frederik Nielsen


Al deze informatie is oud, ik wilde gewoon iemand helpen die ernaar op zoek was. Vandaag 25/10/2016 Ik heb 20 of zo Windows 10-laptops die rechtstreeks verbinding maken met en werken met Azure AD-services. Het integreert en werkt perfect met o365 en vele andere "cloud" -services van Microsoft.


2
2017-10-25 14:54



Dus uw servers kunnen lid worden van het Azure-domein zonder een lokale AD / DC? - user228546


Nee. Azure AD is niet echt AD. Het heeft minder functionaliteit omdat het een beperkter schema heeft en als een dienst kan het niet worden gebruikt om apparaten te authenticeren / beheren zoals je kunt met een echte domeincontroller en AD.

Het gebruik dat ze ondersteunen, gebruikt Azure AD om de aanmeldingen op Windows 10-machines te beheren; en u kunt Microsoft Intune gebruiken voor elk beheer (dat u zou krijgen met beleid / beheer van een 'echte' volledige AD installatie)

Ik zal waarschuwen dat zelfs de voorgestelde oplossing - het is nog niet helemaal 'gebakken' en als je het probeert, ben je een vroege adoptant. Het is een enigszins onvolledige functionaliteit (het beheer is bijvoorbeeld niet beschikbaar voor Macs, je kunt Azure AD niet gebruiken voor OS X), en het is een beetje buggy (soms kunnen machines autorichten en meedoen, soms stil falen.)

YMMV


0
2017-12-05 16:56