Доменные службы Azure AD и клиентские компьютеры
Я провел много времени в Интернете, знакомясь с доменными службами Azure AD, и теперь я знаю, что в основном развертывает пару виртуальных машин Windows в работающем домене Azure. контроллеры, которые администрируются Microsoft.
Итак, это настоящий «домен AD», к которому у меня ограниченный доступ. Мне нужно выполнить настройки DNS в моей виртуальной сети в Azure и т. Д.
Мой большой вопрос в том, разработан ли / можно ли использовать AAD DS для клиентских ПК в офисе клиента? Или мне нужно сначала настроить VPN типа «сеть-сеть» из офиса в подсеть AAD DS?
Я нашел несколько статей, в которых упоминается, что AAD DS предназначен для управления виртуальными машинами Windows Server в Azure, а не для клиентских ПК , но эти статьи несколько устарели.
Мы знаем, что можем присоединить ПК с Windows 10 к Azure AD с помощью присоединения к домену Azure, но это не дает нам «управленческих возможностей», как настоящий домен с его GPO. Мы пробовали Intune, но я считаю, что он очень ограничен.
Не мог бы кто-нибудь объяснить мне, является ли AAD DS хорошим решением для управления клиентом Windows 10 вместо таких продуктов, как Intune, или он действительно предназначен для использования для управления «другими» виртуальными машинами в Azure?
У меня большой вопрос, разработан ли / можно ли использовать AAD DS для клиентских ПК на офис клиентов? Или мне нужно настроить VPN типа "сеть-сеть" из офис в подсеть AAD DS?
Да, мы можем подключить локальный клиентский компьютер к AAD DS, но мы должны настроить VPN типа «сеть-сеть».
Я нашел несколько статей, в которых упоминается, что AAD DS является предназначен для управления Виртуальные машины Windows Server в Azure, а не для клиентских ПК, а эти статьи несколько устарели.
Вы правы, AAD DS отличается от on-prem DS. локальная DS лучше, чем AAD DS для управления компьютерами.
Мы знаем, что можем присоединить ПК с Windows 10 к Azure AD с доменом Azure присоединиться, но это не дает нам "управленческой власти", как настоящая домен с его GPO делает. Мы пробовали Intune, но я считаю, что это очень ограничено.
У AAD нет такой же функции, как у GPO, но у AAD DS есть.
Не мог бы кто-нибудь объяснить мне, является ли AAD DS хорошим решением для управлять клиентом Windows 10 вместо таких продуктов, как Intune, или это действительно предназначено для управления "другими" виртуальными машинами внутри Azure?
Нет, AAD DS используется для управления виртуальными машинами Azure (сервером), а не Intune.
С технической точки зрения, да, вы можете создать VPN соединение с Azure, и если ваши клиентские машины будут подключены к домену AAD DS, это заработает.
Однако, вы должны тщательно обдумать, правильно ли это. AAD DS был создан в качестве решения для подъема и перемещения приложений с premesis на Azure, для работы которых требовалось полное доменное подключение AD Domain. Ожидалось, что машины, получающие доступ к AAD DS, будут находиться в Azure в сети Azure, поэтому подключение не было проблемой.
Если мы затем присоединим машины в помещениях к AAD DS, то теперь вы будете полагаться на свое VPN соединение (и интернет подключение, которое оно использует) или ExpressRoute для аутентификации. Если это произойдет, ваша пользовательская аутентификация не будет работать (за исключением некоторых кэшированных входов). Вам нужно быть уверенным в том, что либо ваше соединение с Azure надежно, либо что если оно выйдет из строя, вы сможете с этим справиться, прежде чем рассматривать использование этого решения.
.