我花了很多时间在互联网上了解 Azure AD 域服务,现在我知道它基本上是将几个 Windows VM 部署到运行域控制器的 Azure,由 Microsoft 管理。
所以,这是一个真正的“AD 域”,我对其的访问权限有限。我需要在 Azure 中的 VNET 中进行 DNS 设置等。
我最大的疑问是,AAD DS 是否专为客户办公室的客户端 PC 设计/可用?还是我需要先从办公室到 AAD DS 子网设置站点到站点 VPN?
我确实发现一些文章提到 AAD DS 旨在用于管理 Azure 中的 Windows Server VM,而不是用于客户端 PC,但这些文章有些过时。
我们知道,我们可以通过 Azure 域加入将 Windows 10 PC 连接到 Azure AD,但这并不能像真正的域及其 GPO 那样给予我们“管理权”。我们尝试了 Intune,但我发现它非常有限。
有人可以向我解释一下 AAD DS 是否是管理 Windows 10 客户端(而不是 Intune 之类的产品)的好解决方案,或者它是否真的打算用于管理 Azure 中的“其他”VM?
答案1
我最大的疑问是,AAD DS 是否专为客户办公室的客户端 PC 设计/可用?还是我需要先从办公室到 AAD DS 子网设置站点到站点 VPN?
是的,我们可以将本地客户端 PC 加入 AAD DS,但我们应该设置站点到站点的 VPN。
我确实发现一些文章提到 AAD DS 旨在用于管理 Azure 中的 Windows Server VM,而不是用于客户端 PC,但这些文章有些过时。
你说得对,AAD DS 与 on-prem DS 不同。on-prem DS 比 AAD DS 更适合管理 PC。
我们知道,我们可以通过 Azure 域加入将 Windows 10 PC 连接到 Azure AD,但这并不能像真正的域及其 GPO 那样给予我们“管理权”。我们尝试了 Intune,但我发现它非常有限。
AAD 不具备与 GPO 相同的功能,但 AAD DS 具有。
有人可以向我解释一下 AAD DS 是否是管理 Windows 10 客户端(而不是 Intune 之类的产品)的好解决方案,或者它是否真的打算用于管理 Azure 中的“其他”VM?
不,AAD DS 用于管理 Azure VM(服务器),与 Intune 不同。
答案2
从技术角度来看,是的,您可以创建与 Azure 的 VPN 连接并将您的客户端计算机加入到 AAD DS 域,它将起作用。
但是,您应该仔细考虑这是否是正确的做法。AAD DS 旨在作为一种解决方案,用于将应用程序从本地迁移到 Azure,这需要完整的 AD 域才能使用。预计访问 AAD DS 的计算机将位于 Azure 网络上的 Azure 中,因此连接不是问题。
如果我们将本地计算机加入 AAD DS,您现在将依赖 VPN 连接(以及它正在使用的互联网连接)或 ExpressRoute 进行身份验证。如果发生故障,您的用户身份验证也会中断(显然除了一些缓存的登录之外)。在考虑使用此解决方案之前,您需要确信您与 Azure 的连接是可靠的,或者如果它中断,您可以应对。