我目前有一个小型的networking,只有几台服务器和大约25台客户端电脑。 我们正在使用Office365,并从我们的内部部署服务器进行AD同步设置。 我们也使用ADFS进行单点login设置。
我们最近用Azure虚拟机取代了我们所有的服务器。
我们现在唯一使用内部服务器的是Active Directory和ADFS。
所以 – 我的问题是这样的…我可以设置一个Azure活动目录,同步我的内部部署目录,让Office365与Azure活动目录对话,然后停用我的内部部署服务器?
我的本地客户端PC是否会针对Azure Active Directory进行身份validation?
如果答案是“是”,那么对于如何实现这一目标的任何build议都会很好。 如果答案是“不” – 一些信息为什么不会很好!
谢谢!
简答:不
较长的答案:本地客户端无法直接与Azure AD实例进行通信。 您的客户端电脑将无法将其用于login身份validation。 Azure Active Directory并不意味着替代本地Active Directory,它只是一种为Azure租户中的其他服务(如O365或Intune)提供目录服务的方法。
编辑:这个答案不再100%准确。 借助适用于Windows 10的Azure ADjoin,您可以使用Azure AD进行login身份validation和条件访问,以及自动注册到Intune中进行策略pipe理。 因此,尽pipeAzure AD Join对于大多数组织来说并不合适,但对于高度移动的公司或公司来说,这可能需要对BYOD设备进行一些增强pipe理。
甚至更长答案 :就像MDMArra在他的回答中所说,本地客户端目前无法使用Azure Active Directory进行身份validation(例如,他们不能域join)。 根据你的问题/评论,我相信你可能会对几种可能性感兴趣:
使用密码同步运行目录同步 (您可能已经在这样做)。 这样,Office 365(和其他在线服务)将针对AAD进行身份validation,而您的本地应用程序和客户端可以继续对本地AD进行身份validation。
如果您确实信任您的networking连接,则还可以将Azure虚拟networking从您的场所设置为Azure,然后将AD和ADFS移到Azure中的虚拟机。 如果您select走这条路,我强烈build议您阅读关于在Windows Azure虚拟机上部署Windows Server Active Directory的准则 。 (注意:在这种情况下,您可以继续在Azure虚拟机上使用与AD的Directory Sync,就像现在一样。)