我们公司有一个小型中央办公室,大约有 8 名员工,我们在那里管理 20 多家小型远程商店。每个远程商店都有 2-3 台运行 Windows 10 的 PC。我们不需要文件共享,因为我们使用 G Suite。我们确实需要集中控制用户身份验证、锁定 PC 的组策略,这样就无法安装或修改任何新软件,以及远程推出软件的能力。
是否可以使用 Azure AD 或 Azure AD 目录服务或类似服务来实现这一点,或者我们是否需要使用 VPN 的带有 Active Directory 的完整 Windows Server 来连接所有远程存储?
答案1
这取决于您需要多少控制。当您使用 Windows 10 时,您可以选择将您的机器加入 Azure AD,这将为您提供集中式身份验证。
AAD 不支持组策略,因此您有两个选择。首先是 intune 和 MDM,如果您可以使用它们并且它们提供您所需的内容,那么您可以坚持使用云解决方案。如果这不合适,那么您可以查看 AAD DS,它将为您提供在 Azure 中运行的完整域控制器,但请记住,您使用 AAD DS 可以做的事情有很大的限制。特别是,您只能在单个区域中部署它,并且您不能将在 AAD(或本地 AD)中创建的用户移出默认 OU。
对于软件分发,您可以考虑使用 Azure Automation DSC 对机器进行配置管理,或者再次查看 AAD DS 和组策略。