Azure AD和Azure Active Directory域服务:Sync? 迁移?
术语
鉴于术语非常相似,让我列出我所问的两件事情…
首先, Azure Active Directory 。 这是支持o365的目录服务。 您可以将凭证同步到其中,并通过SAML和其他一些位将其用于SSO,但基本上是这样。
其次, Azure Active Directory域服务 。 从Windows 2000(OU,组策略,NTLM等)开始,我们就知道它比ADDS更接近实际的服务 。 有一些限制(没有域pipe理权限,没有模式扩展,没有直接访问数据中心),但你可以以传统的方式域服务器join它。
- Dynamics CRM与Windows Essentials AD + Azure AD
- 运行Microsoft Azure Active Directory Connect有哪些风险?
- Azure AD Connect身份validation例外
- 在Office 365的Outlook中自动configuration和validation电子邮件帐户
- 通过Windows Azure Active Directory进行IAM / AWS访问控制
他们的名字如此相似,当试图获得任何有关他们如何互动的信息时,Google的结果令人非常沮丧,因此我的问题在这里!
我的目标
我的目标是尽可能地向云端移动。 我已经通过o365移动了Exchange和SharePoint,并使我的内部部署AD与Azure AD同步。 我想将我所有的服务器移动到Azure,并使用Azure AD Domain Services,而不是将自己的DC构build为Azure VM。 所有这些似乎都可以实现。
我的关键要求是:我希望login到o365邮箱的用户使用与login到joinAzure AD Domain Services域的服务器(或服务器上运行的服务)相同的凭据执行此操作。
我的问题
我如何达到这个关键要求?
我是否“延期”或“升级?” 我的Azure AD实例添加到Azure AD DS实例? 似乎没有任何select这样做。
我是否以某种方式同步我的Azure AD和Azure AD DS实例? 这是否意味着构build一个VM来运行AD Connect工具?
似乎几乎没有写在这个话题上(我可以find!),所以你的见解非常感谢!
对于关键要求:
是的,可以在启用Azure AD Domain服务function后实现,并等待用户帐户和凭据散列已经成功地从Azure AD同步到Azure AD DS受pipe域。
对于另外两个问题:
“ 启用Azure AD域服务”function位于Azure AD页面(Azure经典门户)的“configuration”选项卡上,如下所示。 更多的细节可以在这里find文档。
从Azure AD到Azure AD DS托pipe域的同步将自动启动,并在后台单向/单向。 更多细节在这里 。
此外,如果您的用户从本地AD同步。 不要忘记使用NTLM和Kerberos凭据散列来configuration密码同步(不能是ADFS同步),以确保同步的用户可以使用其公司凭据login受pipe域中的服务器和服务。 更多细节在这里供参考。
我不知道您提出的解决scheme,但有关Azure AD和Azure Active Directory域服务…..
如果相同的Azure AD分区同时pipe理Office 365和Azure订阅,那么当您启用Azure AD Domain服务时,所有Azure AD用户和组帐户将在新创build的域中可用。 他们在一个OU里面被装箱。 因此可以使用相同的用户帐户login到join到您的Azure AD域服务域的服务器。
您可以通过将服务器join域并安装Active Directorypipe理工具来pipe理Azure AD域服务。
需要注意的一点是,如果将用户添加到Azure AD分区,则他们将显示在Azure AD域服务域中,但反之不然。 如果将用户直接添加到Azure AD域服务域,则不会显示为Azure AD用户。