Kann ich Office365 oder Azure AD als Stammsatz für Active Directory verwenden?

12

Wir haben ein kleines Unternehmen und benötigen derzeit keine Domain in unserem Büro. Wir haben ein Basisnetzwerk und einen einzelnen Server unter Windows Server 2008 R2 mit einigen Dateifreigaben und Apps von Drittanbietern.

Wir verwenden Office 365 und haben ein Windows Azure-Abonnement. Die beiden scheinen das Active Directory für unsere Organisation ziemlich gut synchron zu halten. (dh die Daten sehen auf beiden Systemen gleich aus)

Alle Drittanbieter-Apps, die wir auf unserem App-Server ausführen, unterstützen LDAP als Identitätsanbieter. Da wir jedoch keine Domain betreiben, muss jeder Benutzer ein neues Login / Passwort für diese Services erstellen.

Im Idealfall möchten wir, dass dieser Server von Azure / Office 365 synchronisiert wird und Benutzer sich dann mit ihren Office365-Anmeldeinformationen authentifizieren können.

Die gesamte Literatur, die ich gefunden habe, befasst sich mit der Synchronisierung von FROM On-Premise mit Azure, aber wir möchten FROM Azure / Office 365 lieber mit unserem On-Premise-Server synchronisieren. Ich schätze, unser On-Premise-Server wird ein Verbundidentitätsanbieter für unser Office 365-Verzeichnis ...

Ist dies möglich oder benötigen wir einen LDAP-Anbieter von Drittanbietern, der Identitäten von Azure oder Office 365 zusammenfassen kann?

azure single-sign-on microsoft-office-365 Adrian Hope-Bailie
quelle
Wenn Sie AD in Azure ausführen, können Sie nur Anforderungen für diesen Domänencontroller ausführen. Möglicherweise benötigen Sie ein VPN, um Ihr Netzwerk mit Azure zu verbinden.
Nathan C
1
@ NathanC Es gibt einen Unterschied zwischen der Ausführung eines Domänencontrollers in einer Azure-VM-Instanz (nicht das, was dieser Mitarbeiter tut) und der Ausführung von Azure AD mit DirSync für Ihren O365-Mandanten, worüber er spricht.
MDMarra
@MDMarra Ah, ich habe etwas aus der Frage eines anderen gelernt. :)
Nathan C
@ NathanC yeah Azure AD ist in Azure vorhanden und über eine Weboberfläche zum Verwalten von Benutzern, Gruppen und DirSync für die Verwendung mit Office 365 und Intune zugänglich. Es ist kein tatsächlicher Server, auf dem Sie sich interaktiv anmelden können. Es handelt sich um eine mandantenfähige Microsoft AD-Variante mit einer speziellen Web-Front-End-Sauce.
MDMarra
1
Adrian - was hast du gemacht? Wir überlegen uns eine ähnliche Route, neugierig, wie es für Sie gelaufen ist?
aSkywalker

Antworten:

10

Kurze Antwort: Nein. Sie können jedoch, wie bei @ Nathan-C beschrieben, die erforderlichen Dienste mithilfe von Azure Iaas (entweder DC + DirSync + ADFS oder DC + Dircync w / pwd sync) bereitstellen, um eine einmalige Anmeldung zwischen Ihren Diensten zu erreichen Ihre Office365-Apps und Ihre On-Prem-Apps. Sie müssen eine VPN-Verbindung zwischen Azure und Ihrem lokalen Netzwerk bereitstellen.

Azure AD ist KEIN "normales" Active Directory.

Trondh
quelle
1
Vielen Dank, ich vermutete, dass dies der Fall war. Wir haben es geschafft, die meisten unserer Apps von Drittanbietern so zu konfigurieren, dass sie OAuth2 für die Identitätsbereitstellung verwenden. Anschließend haben wir den auth0-Dienst aus dem Azure-Speicher installiert und Azure AD als Enterprise Identity Provider (Verbindung) für den auth0-Dienst eingerichtet. Die Apps von Drittanbietern verwenden jetzt auth0 als ID-Anbieter, der sich mit unserem Azure AD verbindet. (Ich hoffe, ich habe meine Terminologie richtig verstanden, aber im Grunde genommen verwenden die Apps OAuth2, um sich gegen auth0 zu authentifizieren, das unsere Azure AD "vertritt")
Adrian Hope-Bailie
Ein weiterer Kommentar zur vorgeschlagenen Lösung: Wir möchten dies nicht tun, weil wir 1) gerne Office 365 zum Verwalten unserer Benutzer verwenden 2) unsere Benutzer nicht dazu zwingen möchten, sich bei einer Domäne anzumelden, von der ich annehme, dass sie einen Domänencontroller implementiert involvieren
Adrian Hope-Bailie
4
Mit der neuesten Version von DirSync können Sie es auf einem DC installieren. Früher war es so, dass man es nicht konnte.
6.
3
Ab Windows 10 können Clientcomputer jedoch einer Domäne mit Azure AD beitreten.
Kevin Tianyu Xu
2
@JPHellemons - Technet Artikel hier erklärt, wie man es einrichtet
Frederik Nielsen
2

All diese Informationen sind alt, ich wollte nur jemandem helfen, der danach suchte. Heute, 25.10.2016, habe ich ungefähr 20 Windows 10-Laptops, die eine direkte Verbindung mit Azure AD-Diensten herstellen und damit arbeiten. Es integriert und funktioniert perfekt mit o365 und vielen anderen "Cloud" -Diensten von Microsoft.

Jemand, der wichtig ist
quelle
1
So können Ihre Server der Azure-Domäne ohne lokales AD / DC beitreten?
user228546
0

Azure AD ist nicht wirklich AD. Die Funktionalität ist insofern geringer, als das Schema eingeschränkt ist. Als Dienst kann er nicht zum Authentifizieren / Verwalten von Geräten verwendet werden, wie dies mit einem echten Domänencontroller und AD möglich ist.

Der von ihnen unterstützte Anwendungsfall ist die Verwendung von Azure AD zum Verwalten der Anmeldungen auf Windows 10-Computern. und Sie können Microsoft Intune für jedes Management verwenden (das Sie mit Richtlinien / Management von einer "echten" vollständigen AD-Installation erhalten würden).

Ich werde darauf hinweisen, dass selbst die vorgeschlagene Lösung noch nicht vollständig „gebacken“ ist, und wenn Sie es versuchen, sind Sie ein früher Anwender. Die Funktionalität ist etwas unvollständig (zum Beispiel gibt es keine Verwaltung für Macs; Sie können keine Azure AD-Verbindung für OS X herstellen), und es ist ein bisschen fehlerhaft (manchmal können Computer sich authentifizieren und verbinden, manchmal schlagen sie unbemerkt fehl).

YMMV

Dan R
quelle