Microsoft Azure สามารถทำอะไรได้บ้างเพื่อช่วยเหลือ Active Directory ในสถานที่ของคุณ

วิดีโอ: Azure Files SMB Access with Windows AD

เนื้อหา

สภาพแวดล้อมที่แตกต่างกันของ Azure AD และ AD Server
Commonalities ระหว่าง Azure AD และ Server AD
พวกเขาต่างกันอย่างไร
ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ
Azure AD ทำให้ชีวิตง่ายขึ้นสำหรับผู้ใช้ทุกคนด้วย IDaaS

ที่มา: Rvlsoft / Dreamstime.com

Takeaway:

ในบทความนี้เราได้พูดถึงความคล้ายคลึงและความแตกต่างระหว่าง Microsoft Azure และ Server AD และวิธีที่ Azure AD สามารถปรับปรุงความสามารถของโฆษณาในสถานที่ของคุณในยุคคลาวด์และบริการที่หลากหลาย

ฉันพูดคุยกับผู้อำนวยการเทคโนโลยีของระบบโรงเรียนสาธารณะขนาดค่อนข้างดีในวันอื่น ๆ ที่สื่อความไม่พอใจให้กับ Microsoft Azure Active Directory พวกเขาเพิ่งได้รับมอบหมายให้ทีมงาน SMEs ในเรื่องช่วยแนะนำพวกเขาผ่านการใช้งาน Azure AD หลังจากการประชุมหลายครั้งผู้กำกับได้ยกเลิกความร่วมมือกับ“ ผู้เชี่ยวชาญ” ในขณะที่เขาพบว่าพวกเขาไม่รู้จักอะไรมากไปกว่าที่เขาเคยทำมาแล้ว “ ฉันสามารถอ่านบทความ TechNet ได้อย่างง่ายดายเท่าที่ทำได้” เขากล่าว

สิ่งนี้ไม่น่าแปลกใจนักเนื่องจากมีความสับสนมากมายเกี่ยวกับการรวม Azure AD และ AD ในสถานที่ตั้งในสภาพแวดล้อมคลาวด์ไฮบริด โดยทั่วไปแล้วข้อสันนิษฐานเบื้องต้นคือ Azure AD เป็นเพียงแค่แบบจำลองของ AD Server แบบดั้งเดิมที่อยู่ในคลาวด์ นี่คือเหตุผลที่มีความคิดโบราณมากมายเกี่ยวกับการสมมติสิ่งต่าง ๆ (สำหรับการเปรียบเทียบบริการคลาวด์โปรดดู The Four Major Cloud Players: ข้อดีข้อเสีย)

สภาพแวดล้อมที่แตกต่างกันของ Azure AD และ AD Server

ความจริงก็คือโฆษณาทั้งสองรุ่นนี้มีความแตกต่างกันมากพอ ๆ กับความคล้ายคลึงกัน นั่นเป็นเพราะแต่ละตัวสร้างขึ้นในสภาพแวดล้อมที่แตกต่างกัน

เมื่อผู้เชี่ยวชาญด้านไอทีอ้างถึงโฆษณาพวกเขาอ้างถึงโฆษณาดั้งเดิมที่เราคุ้นเคยกันมานานหลายปีซึ่งอยู่ในระนาบทางกายภาพ Server AD นั้นสร้างขึ้นตามหลักการขององค์กรการจัดการและนโยบาย เราใช้โดเมนของเราและแยกโดเมนออกเป็นหน่วยขององค์กรที่เล็กกว่าและจัดการได้มากกว่าซึ่งผู้ใช้และคอมพิวเตอร์ที่ใช้ชีวิตร่วมกันอยู่ บางทีโฆษณาของคุณอาจถูกแบ่งตามที่ตั้งทางกายภาพหรือตามหน้าที่งาน ทั้งผู้ใช้และคอมพิวเตอร์ที่เกี่ยวข้องมีส่วนร่วมในกระบวนการอนุญาตเมื่อพวกเขาเข้าสู่ระบบควบคุมโดเมนโดยใช้ LDAP และเข้าถึงทรัพยากรทางกายภาพโดยใช้ตั๋ว Kerberos แอปพลิเคชั่นเกิดจากไฟล์ ISO และนโยบายกลุ่มล็อคเดสก์ท็อปและการตั้งค่าสำหรับผู้ใช้

แล้วก็มีสีฟ้า สีฟ้าถูกสร้างขึ้นสำหรับคลาวด์ซึ่งหมายความว่ามันถูกออกแบบมาโดยเฉพาะเพื่อรองรับบริการบนเว็บคลาวด์นั้นเกี่ยวกับความยืดหยุ่นความคล่องตัวและการเปลี่ยนแปลงตลอดเวลา Azure เป็นโครงสร้างที่ว่างเปล่าเป็นโมฆะของหน่วยองค์กรและวัตถุนโยบายกลุ่มซึ่งเป็นโครงสร้างที่ไม่เกี่ยวข้องกับตำแหน่ง ในความเป็นจริง Azure เป็นมหาสมุทรที่กว้างใหญ่ของวัตถุทั้งหมดรวมตัวกันในภาชนะขนาดใหญ่ เป็นสถานที่ซึ่งแอปพลิเคชันเป็นบริการส่วนขยายของผู้ใช้เอง แอปพลิเคชันในสภาพแวดล้อมนี้ได้รับมอบหมายเพียงแค่แทนที่จะติดตั้ง ในขณะที่โฆษณาแบบดั้งเดิมเป็นที่รู้จักกันในการทำให้ประสบการณ์การใช้งานของผู้ใช้เป็นจัดการและควบคุมได้มากที่สุด Azure AD นั้นเกี่ยวกับการทำให้ประสบการณ์ผู้ใช้เป็นไปอย่างราบรื่น

Commonalities ระหว่าง Azure AD และ Server AD

ดังนั้น Azure AD ไม่ได้มีวัตถุประสงค์เพื่อให้เป็น Server AD รุ่นคลาวด์ มันถูกสร้างขึ้นเพื่อเพิ่มมันเป็นโฆษณาแบบดั้งเดิมไม่เคยสร้างขึ้นเพื่อรองรับโลกของการให้บริการอินเทอร์เน็ตบนเว็บ ดังนั้นให้เริ่มต้นด้วยความคล้ายคลึงกันระหว่างคนทั้งสอง

เช่นเดียวกับรุ่นก่อน Azure AD โฮสต์ผู้ใช้และกลุ่ม ในสภาพแวดล้อมคลาวด์แบบไฮบริดผู้ดูแลระบบ AD สามารถสร้างผู้ใช้ภายในโฆษณาในพื้นที่ของพวกเขาและทำให้พวกเขาซิงโครไนซ์กับ Azure โดยเครื่องมือตัวกลางที่เรียกว่า Azure AD Connect ซึ่งมีคุณสมบัติที่ยอดเยี่ยมมากมาย

การซิงโครไนซ์รหัสผ่าน - เนื่องจากผู้ใช้และกลุ่มมีการซิงโครไนซ์กับ Azure AD ผู้ใช้สามารถเข้าสู่ระบบได้ทั้งในสถานที่และในระบบคลาวด์เนื่องจากรหัสผ่านจะถูกซิงโครไนซ์ระหว่างทั้งสอง เนื่องจากสถานที่ตั้งถูกกำหนดให้เป็นหน่วยงานที่รับผิดชอบ Azure AD จึงใช้นโยบายรหัสผ่านท้องถิ่นเช่นกัน
รหัสผ่านเขียนกลับ - ผู้ใช้สามารถเปลี่ยนรหัสผ่านของพวกเขาภายใน Azure AD และให้พวกเขาเขียนกลับไปยังสถานที่ นี่เป็นคุณสมบัติที่ยอดเยี่ยมสำหรับองค์กรเช่นระบบโรงเรียนที่ครูและเจ้าหน้าที่รหัสผ่านหมดอายุในช่วงฤดูร้อน แทนที่จะถูกล็อคไม่ให้เข้าใช้งานและอินเทอร์เน็ตจนกว่าพวกเขาจะสามารถกลับไปทำงานเพื่อเปลี่ยนรหัสผ่านที่โต๊ะทำงานได้พวกเขาสามารถทำได้จากที่บ้านใน Azure AD ได้ตลอดเวลา
การประสานตัวกรอง - สิ่งนี้ช่วยให้ผู้ดูแลระบบเลือกวัตถุที่จะซิงโครไนซ์กับคลาวด์และวัตถุใดไม่ถูกต้อง

พวกเขาต่างกันอย่างไร

ในขณะที่ผู้ใช้และกลุ่มสามารถอยู่ร่วมกันภายใน Azure AD และ Server AD พร้อมกันนั่นไม่ใช่กรณีสำหรับบัญชีคอมพิวเตอร์ สีฟ้าไม่ได้เสนอคุณสมบัติ“ การเข้าร่วมโดเมน” ที่เราคุ้นเคย นั่นเป็นเพราะ Azure เป็นเรื่องเกี่ยวกับเว็บสภาพแวดล้อมที่เป็นโมฆะของโปรโตคอลการตรวจสอบแบบดั้งเดิมเช่น LDAP และ Kerberos แต่ต้องอาศัยโปรโตคอลการตรวจสอบเว็บเช่น SAML, WS, กราฟ API และ OAuth 2.0 คอมพิวเตอร์เชื่อมต่อกับ Azure สิ่งนี้หมายความว่าบัญชีคอมพิวเตอร์สามารถอยู่ในสถานที่หรือในระบบคลาวด์ แต่ไม่ใช่ทั้งสองอย่าง (หากต้องการเรียนรู้เกี่ยวกับปัญหาที่ใหญ่ที่สุดบางอย่างในการจัดการ Active Directory ให้ดูจุดปวดการจัดการไดเรกทอรีที่ใช้งานสูงสุดห้าอันดับแรก)

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

นี่ไม่ใช่ข้อตกลงที่ยิ่งใหญ่อย่างที่เห็นในขณะนี้เนื่องจากหลายองค์กรในปัจจุบันมีกองยานคอมพิวเตอร์สองประเภทเช่นเดสก์ท็อปและอุปกรณ์มือถือ ในสถานการณ์สมมตินี้อุปกรณ์มือถือสามารถอยู่ภายใน Azure ในขณะที่เดสก์ท็อปอยู่ในสถานที่ สถาบันการศึกษา K – 12 ที่เสนอการจัดหาแล็ปท็อปแบบหนึ่งต่อหนึ่งสำหรับนักเรียนเป็นแบบที่ดีเช่นกันสำหรับ Azure เนื่องจากแล็ปท็อปหลายพันเครื่องได้รับการปรับใหม่ในตอนท้ายของทุกปีทำให้เหมาะสำหรับ Azure

ตามที่กล่าวไว้ Azure AD ไม่มีฟังก์ชั่นนโยบายกลุ่มอย่างไรก็ตามอุปกรณ์ Azure สามารถจัดการได้โดย Microsoft Intune ซึ่งมีคุณสมบัติเช่นการจัดการการอัปเดตและการลบจากระยะไกลหากอุปกรณ์ถูกบุกรุก นอกจากนี้ Intune ยังสามารถผนวกรวมกับ Microsoft SCCM เพื่อให้การจัดการอุปกรณ์ละเอียดยิ่งขึ้น

Azure AD ทำให้ชีวิตง่ายขึ้นสำหรับผู้ใช้ทุกคนด้วย IDaaS

บรรทัดล่างคือ: AD ของเซิร์ฟเวอร์เป็นอันดับแรกและสำคัญที่สุดในการแก้ปัญหาบริการไดเรกทอรีในขณะที่ Azure AD ซึ่งมีความสามารถในการบริการไดเรกทอรีบางส่วนเป็นโซลูชั่นเอกลักษณ์ การจัดการข้อมูลผู้ใช้จะไม่เป็นปัญหาเมื่อมีการโฆษณาเซิร์ฟเวอร์ แต่เป็นองค์ประกอบที่สำคัญสำหรับองค์กรในปัจจุบัน

ผู้ใช้ภายในองค์กรเกือบทุกวันนี้ใช้แอพพลิเคชั่นคลาวด์มากมายเช่น Office 365, Saleforce.com, Dropbox เป็นต้นเมื่อแอพพลิเคชั่นคลาวด์มาถึงการบรรลุผลผู้ใช้จะต้องรับรองความถูกต้องในแต่ละแอพพลิเคชั่น ช่องโหว่เนื่องจากผู้ใช้จำเป็นต้องจัดการรหัสผ่านหลายครั้งในบางกรณีเนื่องจากผู้ขายแอปพลิเคชันคลาวด์บังคับใช้นโยบายรหัสผ่านที่แตกต่างกัน

จากนั้นสหพันธรัฐบริการที่เสนอการลงชื่อเพียงครั้งเดียวหรือ SSO เริ่มแรกนั่นหมายความว่าแอปพลิเคชันคลาวด์จะเบี่ยงเบนกระบวนการตรวจสอบกลับไปยังโฆษณาในสถานที่ของผู้ใช้ที่เซิร์ฟเวอร์รวมที่กำหนดค่าไว้จะตรวจสอบผู้ใช้ตามข้อมูลประจำตัวโฆษณาท้องถิ่นของพวกเขา สิ่งนี้ทำให้ผู้ใช้ง่ายขึ้น แต่ต้องการการกำหนดค่าด้วยตนเองจำนวนมากสำหรับทีมไอทีเนื่องจากต้องสร้างความสัมพันธ์ร่วมกับผู้จำหน่ายแอปพลิเคชันทุกราย

แล้ว Identity as a Service (IDaaS) ซึ่งเป็นสิ่งที่ Azure AD เป็นเรื่องเกี่ยวกับAzure AD จัดการกับสหพันธรัฐสำหรับแอปพลิเคชั่นหลายร้อยตัวเองทำให้ผู้ใช้ Azure AD สามารถกระโดดจากแอปพลิเคชันไปยังแอปพลิเคชันได้อย่างราบรื่นเกือบจะง่ายดายเหมือนแอปพลิเคชันที่เคลื่อนที่บนเดสก์ท็อป เรียกอีกอย่างหนึ่งว่า Azure AD เป็นศูนย์กลางการรวม

นอกจากนี้ Azure AD ยังนำเสนอความสามารถในการโฮสต์ตัวควบคุมโดเมนเสมือนในคลาวด์โดยมอบการรับรองความถูกต้องผู้ใช้มือถือรวมถึงความซ้ำซ้อนในอินสแตนซ์ของความล้มเหลวในสถานที่ทั้งหมด ใช่ Azure AD และ Server AD ไม่ได้จำลองบริการของกันและกัน แต่จะเสริมบริการให้ดีที่สุดแก่ผู้ใช้ทั้งโลก