我在互联网上花了很多时间来了解Azure AD域服务,现在我知道,基本上部署了一些Windows虚拟机到Azure运行由微软pipe理的域控制器。
所以,这是一个真正的“AD域”,我有限的访问权限。 我需要在Azure的VNET中执行DNS设置等等。
我的大问题是,AAD DS是否为客户办公室的客户端PCdevise/使用? 或者,我是否需要首先从办公室到AAD DS子网build立站点到站点的VPN?
我发现一些文章提到AAD DS是为了pipe理Azure中的Windows Server VM,而不是客户端PC,但是这些文章已经过时了。
我们知道,我们可以通过Azure域join将Windows 10 PCjoin到Azure AD中,但是这并不能像GPO那样为我们提供像“真正的域”一样的“pipe理能力”。 我们尝试了Intune,但是我觉得它非常有限。
有人请向我解释一下,如果AAD DS是pipe理Windows 10客户端而不是像Intune这样的产品的好解决scheme,还是真的打算用于pipe理Azure中的“其他”虚拟机?
我的大问题是,AAD DS是否为客户办公室的客户端PCdevise/使用? 或者,我是否需要首先从办公室到AAD DS子网build立站点到站点的VPN?
是的,我们可以将本地客户端PCjoinAAD DS,但是我们应该build立一个站点到站点的VPN。
我发现一些文章提到AAD DS是为了pipe理Azure中的Windows Server VM,而不是客户端PC,但是这些文章已经过时了。
你说得对,AAD DS与本地DS不同。 本地DS比AAD DS更好地pipe理PC。
我们知道,我们可以通过Azure域join将Windows 10 PCjoin到Azure AD中,但是这并不能像GPO那样为我们提供像“真正的域”一样的“pipe理能力”。 我们尝试了Intune,但是我觉得它非常有限。
AAD不具有与GPO相同的function,但AAD DS具有。
有人请向我解释一下,如果AAD DS是pipe理Windows 10客户端而不是像Intune这样的产品的好解决scheme,还是真的打算用于pipe理Azure中的“其他”虚拟机?
不,用于pipe理Azure VM(服务器)的AAD DS与Intune不同。
从技术angular度来看,是的,您可以创build一个到Azure的VPN连接,并将您的客户端计算机join到AAD DS域,这将起作用。
但是,您应该仔细考虑这是否是正确的做法。 AAD DS被devise为解决scheme,用于将应用程序从premesis升级到Azure,这需要完整的AD域来处理。 预计访问AAD DS的计算机将位于Azurenetworking的Azure上,因此连接不成问题。
如果我们再将场所计算机join到AAD DS,您现在依赖于您的VPN连接(以及连接它的互联网)或ExpressRoute进行身份validation。 如果发生这种情况,您的用户身份validation将会停止(显然,某些cachinglogin除外)。 您需要确信,在使用此解决scheme之前,您与Azure的连接可靠,或者如果出现故障,您可以应对。