Доменные службы Azure AD и Azure Active Directory: синхронизация? Перенести?
Терминология
Учитывая очень похожую терминологию, позвольте мне изложить две вещи, о которых я спрашиваю ...
Во-первых, Azure Active Directory . Это служба каталогов, лежащая в основе o365. Вы можете синхронизировать с ним учетные данные и использовать их для SSO через SAML и несколько других битов, но это в основном все.
Во-вторых, Доменные службы Azure Active Directory . Это намного ближе к ADDS в том виде, в каком мы его знаем со времен Windows 2000 (OU, групповая политика, NTLM и т. Д.), Но предоставлял как услугу . Существует множество ограничений (нет прав администратора домена, нет расширений схемы, нет прямого доступа к контроллерам домена), но вы можете присоединить к нему серверы в домене традиционным способом.
Их имена настолько похожи, что сильно расстроили Google результаты при попытке получить любую информацию о том, как они могут взаимодействовать, поэтому мой вопрос здесь!
Моя цель
Моя цель - переместить как можно больше в Облако. У меня уже есть Exchange и SharePoint, перемещенные через o365, и моя локальная синхронизация AD с Azure AD. Я тоже хочу переместить все свои серверы в Azure и использовать доменные службы Azure AD, а не создавать свои собственные контроллеры домена в качестве виртуальных машин Azure. Все это кажется достижимым.
Мое критическое требование: я хочу, чтобы пользователь, который входит в свой почтовый ящик o365, делал это с теми же учетными данными, которые они используют для входа на сервер (или службу, работающую на сервере), которая является доменом- присоединен к домену доменных служб Azure AD.
Мой вопрос
Как мне выполнить это критическое требование ?!
Что делать: «продлить» или «обновить»? мой экземпляр Azure AD в экземпляр Azure AD DS? Кажется, у меня нет возможности сделать это.
Могу ли я как-то синхронизировать свой экземпляр Azure AD и Azure AD DS? Означает ли это создание виртуальной машины для запуска инструмента AD Connect?
Похоже, что по этой теме почти ничего не написано (что я могу найти!), Поэтому мы очень ценим ваше понимание!
Для критического требования:
Да, оно может быть достигнуто после того, как вы включите функцию Azure AD Domain service и дождетесь успешной синхронизации учетных записей и хэшей мандатов пользователей с Azure AD на домен, управляемый Azure AD DS.
Для двух других вопросов:
Функция Enable Azure AD Domain service расположена на вкладке Configure вашей страницы Azure AD (классический портал Azure), как показано ниже. Более подробную информацию можно найти в документации здесь.
Синхронизация с Azure AD на управляемый домен Azure AD DS запускается автоматически и в фоновом режиме в одностороннем/однонаправленном режиме. Более подробная информация здесь.
Кроме того, если ваши пользователи синхронизированы с местной AD. Не забудьте настроить синхронизацию паролей (здесь не может быть синхронизации ADFS) с NTLM и Kerberos хэшами мандатов, чтобы убедиться, что синхронизированные пользователи могут использовать свои корпоративные учетные данные для входа на серверы и службы в управляемом домене. Более подробная информация здесь для справки.
Я не знаю о предлагаемом вами решении, но что касается служб домена Azure AD и Azure Active Directory.....
Если один и тот же раздел Azure AD управляет подпиской Office 365 и Azure, то когда вы включите службы домена Azure AD, все ваши учетные записи пользователей и групп Azure AD будут доступны во вновь созданном домене.
вы можете управлять службами домена Azure AD путем присоединения сервера к домену и установки средств администрирования Active Directory.
Однако следует отметить одну вещь: если вы добавите пользователей на раздел Azure AD, они будут отображаться в вашем домене Azure AD Domain Services, но обратное не верно. если вы добавите пользователей непосредственно в ваш домен Azure AD Domain Services, они не будут отображаться как пользователи Azure AD.
.