Posso usar o Office365 ou o Azure AD como registro mestre do Active Directory?

12

Temos uma pequena empresa e, atualmente, não precisamos de um domínio em nosso escritório. Temos uma rede básica e um único servidor executando o Windows Server 2008 R2 com alguns compartilhamentos de arquivos e aplicativos de terceiros.

Usamos o Office 365 e temos uma assinatura do Windows Azure. Os dois parecem manter bastante sincronizado o Active Directory de nossa organização. (ou seja, os dados têm a mesma aparência nos dois sistemas)

Todos os aplicativos de terceiros que executamos em nosso servidor de aplicativos oferecem suporte ao LDAP como provedor de identidade, mas como não administramos um domínio, precisamos que cada usuário crie um novo login / senha para esses serviços.

Idealmente, gostaríamos de sincronizar este servidor no Azure / Office 365 e permitir que os usuários se autentiquem usando suas credenciais do Office365.

Toda a literatura que encontrei fala sobre a sincronização do FROM no local para o Azure, mas gostaríamos de sincronizar o FROM do Azure / Office 365 com o servidor local. Acho que nosso servidor local se tornou um provedor de identidade federada para o diretório do Office 365 ...

Isso é possível ou precisamos de algum provedor LDAP de terceiros que possa federar identidades do Azure ou do Office 365?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
fonte

Se você estiver executando o AD no Azure, poderá executar solicitações nesse DC. Você pode precisar de uma VPN para vincular sua rede ao azure.

— Nathan C

1

@NathanC, há uma diferença entre executar um controlador de domínio em uma instância de VM do Azure (não o que esse sujeito está fazendo) e executar o Azure AD com DirSync para seu inquilino O365, e é disso que ele está falando.

— precisa saber é o seguinte

@MDMarra Ah, aprendi algo com a pergunta de outra pessoa. :)

— Nathan C

@NathanC yeah O Azure AD é algo que existe no Azure e é acessível através de uma interface da web para gerenciar usuários, grupos e DirSync para uso com o Office 365 e Intune. Não é um servidor real no qual você possa se conectar interativamente. É uma variante multitenant do Microsoft AD com um molho especial de front-end da web.

— precisa saber é o seguinte

1

Adrian - o que você acabou fazendo? Estamos pensando em uma rota semelhante, curiosa para saber como acabou dando certo para você?

— aSkywalker

10

Resposta curta: No. seus aplicativos do Office365 e seus aplicativos locais. Você precisaria implantar um link VPN entre o Azure e sua rede local.

O Azure AD NÃO é o Active Directory "regular".

— Trondh
fonte

1

Obrigado, suspeitei que fosse esse o caso. O que conseguimos fazer é configurar a maioria dos nossos aplicativos de terceiros para usar o OAuth2 para fornecimento de identidade. Em seguida, instalamos o serviço auth0 do armazenamento do Azure e configuramos nosso Azure AD como um provedor de identidade corporativa (conexão) para o serviço auth0. Os aplicativos de terceiros agora usam o auth0 como provedor de ID que se associa ao nosso Azure AD. (esperança que eu tenho a minha terminologia correta, mas, basicamente, os aplicativos usam OAuth2 para autenticar contra auth0 que "proxies" nosso anúncio Azure)

— Adrian Hope-Bailie

Outro comentário sobre a solução proposta: não queremos fazer isso porque 1) gostamos de usar o Office 365 para gerenciar nossos usuários 2) não queremos forçar nossos usuários a fazer login em um domínio que eu suponho que implementar um controlador de domínio envolver

— Adrian Hope-Bailie

4

Com a versão mais recente do DirSync, você pode instalá-lo em um controlador de domínio. Costumava ser o caso que você não podia.

— Trondh

3

No entanto, a partir do Windows 10, as máquinas clientes podem ingressar no domínio no Azure AD.

— Kevin Tianyu Xu

2

@JPHellemons - artigo Technet aqui explica como configurá-lo

— Frederik Nielsen

3

A Microsoft começou recentemente a oferecer serviços reais do Active Directory no Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; se você precisar apenas de autenticação centralizada, eles poderão substituir completamente um AD local.

— Massimo
fonte

2

Toda essa informação é antiga, eu só queria ajudar alguém que a estava procurando. Hoje em 25/10/2016 tenho mais ou menos 20 laptops com Windows 10 que se conectam e trabalham diretamente com os serviços do Azure AD. Ele se integra e funciona perfeitamente com o o365 e muitos outros serviços "em nuvem" da Microsoft.

— Alguém que importa
fonte

1

Para que seus servidores possam ingressar no domínio do Azure sem um AD / DC local?

— user228546

0

Não. O Azure AD não é realmente AD. Ele tem menos funcionalidade, pois possui um esquema mais limitado e, como serviço, não pode ser usado para autenticar / gerenciar dispositivos, como é possível com um verdadeiro Controlador de Domínio e AD.

O caso de uso que eles oferecem suporte é usar o Azure AD para gerenciar os logons nas máquinas Windows 10; e você pode usar o Microsoft Intune para qualquer gerenciamento (que você obteria com políticas / gerenciamento de uma instalação completa do AD 'real')

Vou avisar que mesmo a solução proposta - ainda não está totalmente pronta, e se você tentar, será um dos primeiros a adotar. É uma funcionalidade um pouco incompleta (por exemplo, o gerenciamento não existe para Macs; você não pode ingressar no Azure AD no OS X) e é um pouco complicado (às vezes as máquinas podem se autenticar e ingressar, às vezes falha silenciosamente).

YMMV

— Dan R
fonte