术语
鉴于非常相似的术语,让我列出我要问的两件事......
首先,Azure 活动目录。这是支持 o365 的目录服务。您可以将凭据同步到其中,并通过 SAML 和其他一些位将其用于 SSO,但基本上就是这样。
其次,Azure Active Directory 域服务。这更接近于自 Windows 2000 以来我们所知道的 ADDS(OU、组策略、NTLM 等),但提供了as-a-service。有很多限制(没有域管理员权限、没有架构扩展、没有对 DC 的直接访问),但您可以以传统方式将服务器加入域。
他们的名字如此相似,在尝试获取有关他们如何交互的任何信息时,谷歌的结果非常令人沮丧,因此我的问题就在这里!
我的目标
我的目标是尽可能多地迁移到云端。我已经通过 o365 移动了 Exchange 和 SharePoint,并且我的本地 AD 与 Azure AD 同步。我也想将我的所有服务器都迁移到 Azure 并使用 Azure AD 域服务,而不是将我自己的 DC 构建为 Azure VM。这一切似乎都可以实现。
我的关键要求:我希望登录到其 o365 邮箱的用户使用与登录到已加入 Azure AD 域服务域的服务器(或服务器上运行的服务)相同的凭据来执行此操作。
我的问题
我如何实现这一关键要求?!
我是“扩展”还是“升级”?我的 Azure AD 实例到 Azure AD DS 实例?似乎没有任何选择可以这样做。
我是否以某种方式同步我的 Azure AD 和 Azure AD DS 实例?这是否意味着构建一个虚拟机来运行 AD Connect 工具?
似乎几乎没有关于该主题的文章(我可以找到!),因此非常感谢您的见解!
我不知道您提出的解决方案,但关于 Azure AD 和 Azure Active Directory 域服务......
如果同一个 Azure AD 分区同时管理您的 Office 365 和 Azure 订阅,那么当您启用 Azure AD 域服务时,您的所有 Azure AD 用户和组帐户都将在新创建的域中可用。它们被装在一个 OU 中。因此可以使用相同的用户帐户登录到加入您的 Azure AD 域服务域的服务器。
您可以通过将服务器加入域并安装 Active Directory 管理工具来管理 Azure AD 域服务。
不过需要注意的一件事是,如果您将用户添加到您的 Azure AD 分区,他们将出现在您的 Azure AD 域服务域中,但反之则不然。如果将用户直接添加到 Azure AD 域服务域,他们将不会显示为 Azure AD 用户。
对于关键要求:
是的,它可以在您启用 Azure AD 域服务功能并等待用户帐户和凭据哈希从 Azure AD 成功同步到 Azure AD DS 托管域后实现。
对于另外两个问题:
启用 Azure AD 域服务功能位于 Azure AD 页面(Azure 经典门户)的配置选项卡上,如下所示。可以在此处的文档中找到更多详细信息。
从 Azure AD 到 Azure AD DS 托管域的同步是在后台自动启动的,并且是单向/单向的。更多细节在这里。
此外,如果您的用户是从本地 AD 同步的。不要忘记使用 NTLM 和 Kerberos 凭据哈希配置密码同步(此处不能是 ADFS 同步),以确保同步的用户可以使用他们的公司凭据登录托管域中的服务器和服务。更多细节在这里供参考。