Puis-je utiliser Office365 ou Azure AD comme enregistrement principal pour Active Directory?

12

Nous avons une petite entreprise et n'avons actuellement pas besoin d'un domaine au sein de notre bureau. Nous avons un réseau de base et un serveur unique exécutant Windows Server 2008 R2 avec des partages de fichiers et des applications tierces.

Nous utilisons Office 365 et avons un abonnement Windows Azure. Les deux semblent maintenir la synchronisation active d'Active Directory pour notre organisation. (c.-à-d. que les données sont identiques sur les deux systèmes)

Toutes les applications tierces que nous exécutons sur notre serveur d'applications prennent en charge LDAP en tant que fournisseur d'identité, mais comme nous n'exécutons pas de domaine, nous devons obliger chaque utilisateur à créer un nouveau nom d'utilisateur / mot de passe pour ces services.

Idéalement, nous aimerions obtenir la synchronisation de ce serveur à partir d'Azure / Office 365 et permettre aux utilisateurs de s'authentifier ensuite à l'aide de leurs informations d'identification Office365.

Toute la documentation que j'ai trouvée parle de la synchronisation de FROM sur site vers Azure, mais nous aimerions plutôt synchroniser FROM Azure / Office 365 avec notre serveur sur site. Je suppose que notre serveur sur site devient un fournisseur d'identité fédéré pour notre annuaire Office 365 ...

Est-ce possible ou avons-nous besoin d'un fournisseur LDAP tiers capable de fédérer les identités à partir d'Azure ou d'Office 365?

azure single-sign-on microsoft-office-365 Adrian Hope-Bailie
la source
Si vous exécutez AD dans Azure, vous pouvez simplement exécuter des demandes sur ce contrôleur de domaine. Cependant, vous aurez peut-être besoin d'un VPN pour relier votre réseau à Azur.
Nathan C
1
@NathanC, il y a une différence entre exécuter un contrôleur de domaine dans une instance de machine virtuelle Azure (pas ce que fait ce boursier) et exécuter Azure AD avec DirSync pour votre locataire O365, ce dont il parle.
MDMarra
@MDMarra Ah, j'ai appris quelque chose de la question de quelqu'un d'autre. :)
Nathan C
@NathanC ouais Azure AD est quelque chose qui existe dans Azure et est accessible via une interface Web pour gérer les utilisateurs, les groupes et DirSync pour une utilisation avec Office 365 et Intune. Ce n'est pas un serveur réel auquel vous pouvez vous connecter de manière interactive. Il s'agit d'une variante Microsoft AD multi-locataire avec une sauce spéciale Web front-end.
MDMarra
1
Adrian - qu'avez-vous fini par faire? Nous envisageons un itinéraire similaire, curieux de savoir comment cela a fonctionné pour vous?
aSkywalker

Réponses:

10

Réponse courte: Non. Cependant, comme @ Nathan-C décrit, vous pouvez mettre en place les services requis à l'aide d'Azure Iaas (DC + DirSync + ADFS ou DC + Dircync w / pwd sync) afin d'obtenir une connexion unique entre votre vos applications Office365 et vos applications sur site. Vous devez déployer une liaison VPN entre Azure et votre réseau local.

Azure AD n'est PAS Active Directory "normal".

Trondh
la source
1
Merci, je soupçonnais que c'était le cas. Ce que nous avons réussi à faire est de configurer la plupart de nos applications tierces pour utiliser OAuth2 pour la fourniture d'identité. Nous avons ensuite installé le service auth0 à partir du magasin Azure et configuré notre Azure AD en tant que fournisseur d'identité d'entreprise (connexion) pour le service auth0. Les applications tierces utilisent désormais auth0 comme fournisseur d'ID qui se fédère à notre Azure AD. (j'espère avoir bien compris ma terminologie, mais en gros, les applications utilisent OAuth2 pour s'authentifier contre auth0 qui "proxy" notre Azure AD)
Adrian Hope-Bailie
Un autre commentaire sur la solution proposée: nous ne voulons pas le faire parce que nous 1) aimons utiliser Office 365 pour gérer nos utilisateurs 2) ne voulons pas forcer nos utilisateurs à se connecter à un domaine que je suppose implémenter un DC impliquer
Adrian Hope-Bailie
4
Avec la dernière version de DirSync, vous pouvez l'installer sur un DC. Auparavant, c'était impossible.
Trondh
3
Cependant, à partir de Windows 10, les machines clientes peuvent joindre un domaine à Azure AD.
Kevin Tianyu Xu
2
@JPHellemons - Un article Technet explique ici comment le configurer
Frederik Nielsen
2

Toutes ces informations sont anciennes, je voulais juste aider quelqu'un qui les cherchait. Aujourd'hui 25/10/2016, j'ai environ 20 ordinateurs portables Windows 10 qui se connectent et fonctionnent directement avec les services Azure AD. Il s'intègre et fonctionne parfaitement avec o365 et de nombreux autres services "cloud" de Microsoft.

Quelqu'un qui compte
la source
1
Vos serveurs peuvent donc rejoindre le domaine Azure sans AD / DC local?
user228546
0

Non. Azure AD n'est pas vraiment AD. Il a moins de fonctionnalités en ce sens qu'il a un schéma plus limité, et en tant que service, il ne peut pas être utilisé pour authentifier / gérer des périphériques comme vous pouvez le faire avec un vrai contrôleur de domaine et AD.

Le cas d'utilisation qu'ils prennent en charge utilise Azure AD pour gérer les connexions sur les machines Windows 10; et vous pouvez utiliser Microsoft Intune pour n'importe quelle gestion (que vous obtiendriez avec des politiques / gestion à partir d'une «vraie» installation AD complète)

Je vous préviens que même la solution proposée - elle n'est pas encore complètement «cuite», et si vous l'essayez, vous serez un des premiers à adopter. C'est une fonctionnalité quelque peu incomplète (par exemple, la gestion est inexistante pour les Mac; vous ne pouvez pas faire la jointure Azure AD pour OS X), et c'est un peu bogué (parfois les machines peuvent authentifier et rejoindre, parfois échouer silencieusement.)

YMMV

Dan R
la source