%20%E7%9A%84%E8%BF%9C%E7%A8%8B%E5%B7%A5%E4%BD%9C%E4%BA%BA%E5%91%98.png)
我们希望彻底摆脱我们的内部部署基础设施。
我们希望我们的员工在家中拥有一台公司笔记本电脑,可以通过 AAD DS 进行身份验证,并由我们的 IT 人员通过 GPO/Intune 进行管理。
我看到的文档总是假设使用 AAD DS 时有一个本地 AD 可以同步。但我们的情况并非如此。我们希望机器加入 AAD DS 域并从那里进行管理,而无需任何本地 DC。
这样可行吗?或者在这种情况下仅使用 AAD DS 会有一些限制吗?
答案1
您可以让 AADDS 仅在云模式下运行,而无需本地基础设施:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/scenarios#azure-ad-ds-for-cloud-only-organizations
AADDS 旨在支持仅限云的工作负载,并非旨在取代本地 AD 设置,您应该注意一些限制:https://docs.microsoft.com/en-us/azure/active-directory-domain-services/compare-identity-solutions
主要是,您需要使用 VPN 在您的笔记本电脑和 AADDS 之间建立视线。
如果您已经在使用 Intune,我会放弃 AADDS 的想法,而只使用 AAD 进行现代身份验证并使用 Intune 进行设备管理。