Serviços de Domínio do Azure AD e do Active Directory do Azure: Sincronizar? Migrar?

2

Terminologia

Dada a muito terminologia similar, deixe-me definir as duas coisas que eu estou perguntando sobre ...

Em primeiro lugar, Active Directory do Azure . Este é o serviço de diretório que sustenta o365. Você pode sincronizar credenciais nele e usá-lo para SSO via SAML e alguns outros bits, mas é basicamente isso.

Em segundo lugar, os Serviços de Domínio Active Directory do Azure . Isso está muito mais próximo de um ADDS como o conhecemos desde o Windows 2000 (OUs, Diretiva de Grupo, NTLM, etc.), mas fornecido como um serviço . Há um monte de limitações (sem direitos de administrador de domínio, sem extensões de esquema, sem acesso direto aos DCs), mas você pode associar servidores a ele da maneira tradicional.

Seus nomes são tão parecidos que resultam em resultados muito frustrantes do Google ao tentar obter qualquer informação sobre como eles podem interagir, daí a minha pergunta aqui!


Meu objetivo

Meu objetivo é mover o máximo possível para a nuvem. Eu já tenho o Exchange e o SharePoint movidos pelo o365 e tenho a sincronização do AD no local com o Azure AD. Também quero mover todos os meus servidores para o Azure e usar os Serviços de Domínio do Azure AD em vez de criar meus próprios DCs como VMs do Azure. Tudo isso parece realizável.

Meu requisito crítico: Eu quero que um usuário faça logon em sua caixa de correio do o365 com as mesmas credenciais usadas para fazer logon em um servidor (ou serviço em execução em um servidor) que tenha ingressado no domínio do Azure AD Domínio de serviços.


Minha pergunta

Como obtenho esse requisito crítico?

Eu 'estendo' ou 'atualizo'? minha instância do Azure AD para uma instância do Azure AD DS? Não parece haver nenhuma opção para isso.

De alguma forma, sincronizo minha instância do Azure AD e do Azure AD DS? Isso significa construir uma VM para executar a ferramenta AD Connect?


Parece não haver quase nada escrito sobre o tópico (que eu possa encontrar!) e então suas percepções são muito apreciadas!

    
por alifen 28.12.2016 / 11:59

2 respostas

1

Para o requisito crítico:

Sim, isso pode ser obtido depois que você ativar o recurso de serviço do Domínio do Azure AD e aguardar as contas de usuário & os hashes de credenciais foram sincronizados com êxito do domínio gerenciado do Azure AD para o Azure AD DS.

Para as outras duas perguntas:

O recurso Habilitar serviço de domínio do Azure AD está localizado na guia Configurar da página do Azure AD (portal clássico do Azure), como abaixo. Mais detalhes podem ser encontrados nos documentos aqui .

AsincronizaçãododomíniogerenciadodoAzureADparaoAzureADDSéiniciadaautomaticamenteeunidirecionalnoplanodefundo.Maisdetalhes aqui .

Além disso, se seus usuários forem sincronizados do AD local. Não se esqueça de configurar a sincronização de senha (não pode ser feita a sincronização do ADFS aqui) com hashes de credenciais NTLM e Kerberos para garantir que os usuários sincronizados possam usar suas credenciais corporativas para efetuar login nos servidores & serviços no domínio gerenciado. Mais detalhes aqui para referência.

    
por 29.12.2016 / 15:24
1

Não sei sobre sua solução proposta, mas sobre os serviços do Azure AD e do Azure Active Directory Domain.

Se a mesma partição do Azure AD estiver gerenciando a assinatura do Office 365 e do Azure, quando você habilitar os serviços de Domínio do Azure AD, todas as contas de usuário e grupo do AD do Azure estarão disponíveis no domínio recém-criado. eles são criados dentro de uma UO. Assim, as mesmas contas de usuário podem ser usadas para fazer logon em servidores associados ao seu domínio dos Serviços de Domínio do Azure AD.

você pode gerenciar os Serviços de Domínio do Azure AD associando um servidor ao domínio e instalando as ferramentas de Administração do Active Directory.

uma coisa a ser observada é que, se você adicionar usuários à sua Partição do Azure AD, eles aparecerão no domínio dos Serviços de Domínio do Azure AD, mas o inverso não será verdadeiro. se você adicionar usuários diretamente ao seu domínio dos Serviços de Domínio do Azure AD, eles não aparecerão como Usuários do AD do Azure.

    
por 29.12.2016 / 11:58