术语
鉴于非常类似的术语,让我阐述一下我要问的两件事……
首先,Azure Active Directory。这是支撑 o365 的目录服务。您可以将凭据同步到其中,并通过 SAML 和其他一些功能将其用于 SSO,但基本上就是这样。
第二,Azure Active Directory 域服务。这更接近于我们自 Windows 2000 以来所了解的 ADDS(OU、组策略、NTLM 等),但提供了即服务。存在许多限制(没有域管理员权限、没有架构扩展、不能直接访问 DC),但您可以按照传统方式将服务器加入域。
他们的名字太相似了,所以在谷歌上搜索时,搜索结果非常令人沮丧任何关于它们如何互动的信息,因此我在这里提出问题!
我的目标
我的目标是尽可能多地迁移到云。我已经通过 o365 迁移了 Exchange 和 SharePoint,并将我的本地 AD 与 Azure AD 同步。我还想将所有服务器迁移到 Azure,并使用 Azure AD 域服务,而不是将自己的 DC 构建为 Azure VM。所有这些似乎都可以实现。
我的关键要求:我希望登录其 o365 邮箱的用户使用与登录加入 Azure AD 域服务域的服务器(或在服务器上运行的服务)相同的凭据来执行此操作。
我的问题
我如何才能满足这一关键要求?!
我是否要将我的 Azure AD 实例“扩展”或“升级”为 Azure AD DS 实例?似乎没有任何选项可以这样做。
我是否能以某种方式同步我的 Azure AD 和 Azure AD DS 实例?这是否意味着构建一个 VM 来运行 AD Connect 工具?
关于这个主题似乎几乎没有什么文章(我能找到的!),因此非常感谢您的见解!
答案1
对于关键要求:
是的,您可以在启用 Azure AD 域服务功能并等待用户帐户和凭据哈希从 Azure AD 成功同步到 Azure AD DS 托管域后实现此目的。
对于另外两个问题:
这启用 Azure AD 域服务功能位于 Azure AD 页面(Azure 经典门户)的“配置”选项卡上,如下所示。更多详细信息请参阅文档这里。
从 Azure AD 到 Azure AD DS 托管域的同步在后台自动启动,并且是单向的。更多详细信息这里。
此外,如果您的用户是从本地 AD 同步的。不要忘记使用 NTLM 和 Kerberos 凭据哈希配置密码同步(此处不能是 ADFS 同步),以确保同步的用户可以使用他们的公司凭据登录托管域中的服务器和服务。更多详细信息这里以供参考。
答案2
我不知道您提出的解决方案,但关于 Azure AD 和 Azure Active Directory 域服务.....
如果同一个 Azure AD 分区同时管理您的 Office 365 和 Azure 订阅,那么当您启用 Azure AD 域服务时,您的所有 Azure AD 用户和组帐户都将在新创建的域中可用。它们被创建在 OU 内。因此,可以使用相同的用户帐户登录加入您的 Azure AD 域服务域的服务器。
您可以通过将服务器加入域并安装 Active Directory 管理工具来管理 Azure AD 域服务。
但需要注意的一点是,如果您将用户添加到 Azure AD 分区,他们将出现在您的 Azure AD 域服务域中,但反之则不然。如果您将用户直接添加到 Azure AD 域服务域,他们将不会显示为 Azure AD 用户。