我目前有一个小型网络,其中有几台服务器和大约 25 台客户端 PC。我们使用 Office365,并从我们的本地服务器设置了 AD 同步。我们还使用 ADFS 设置了单点登录。
我们最近用 Azure 虚拟机替换了除 2 台之外的所有服务器。
我们现在使用内部服务器的唯一用途是 Active Directory 和 ADFS。
所以 - 我的问题是...我可以设置一个 Azure Active Directory,将我的内部部署目录同步到它,让 Office365 与 Azure Active Directory 对话,然后停用我的内部部署服务器吗?
我的本地客户端电脑是否会根据 Azure Active Directory 进行身份验证?
如果答案是“是”——那么任何关于如何实现这一目标的建议都非常好。如果答案是“否”——那么提供一些关于为什么不这样做的信息也非常好!
谢谢!
答案1
简短回答:不
较长的答案:本地客户端无法直接与 Azure AD 实例通信。您的客户端 PC 将无法使用它进行登录身份验证。Azure Active Directory 并非旨在替代本地 Active Directory,它只是一种向 Azure 租户中的其他服务(例如 O365 或 Intune)提供目录服务的方式。
编辑:这个答案不再是 100% 准确的。使用适用于 Windows 10 的 Azure AD Join,您可以使用 Azure AD 进行登录身份验证和条件访问,以及自动注册到 Intune 进行策略管理。因此,虽然 Azure AD Join 不适合大多数组织,但它非常适合高度移动的公司或可能需要增强对 BYOD 设备的管理的公司。
答案2
更长的答案:正如 MDMArra 在他的回答中所说,本地客户端目前无法使用 Azure Active Directory 进行身份验证(例如,它们无法加入域)。根据您的问题/评论,我相信您可能对以下几种可能性感兴趣:
跑步目录同步与密码同步(您可能已经这样做了)。这样,Office 365(和其他在线服务)将针对 AAD 进行身份验证,而您的本地应用程序和客户端可以继续针对本地 AD 进行身份验证。
如果你确实信任你的网络连接,你也可以设置站点到站点 Azure 虚拟网络从您的本地迁移到 Azure,并将 AD 和 ADFS 迁移到 Azure 中的虚拟机。如果您选择采用这种方式,我强烈建议你阅读在 Windows Azure 虚拟机上部署 Windows Server Active Directory 的指南. (注意:在这种情况下,您可以继续在 Azure VM 上使用 Directory Sync 与 AD,就像现在一样。)