Utilisation d'Azure AD pour pousser les paramètres de stratégie de groupe

9

J'essaie d'utiliser Azure Active Directory au lieu d'utiliser un contrôleur de domaine traditionnel.

Je souhaite utiliser Azure AD pour authentifier les utilisateurs et pousser les paramètres GPO, tels que la redirection de dossiers, les mappages de lecteurs et les paramètres de confidentialité de Windows 10.

J'ai créé un compte Office 365, qui, je crois, crée le backend AD. J'ai également créé un compte Azure et ajouté mon PC Windows 10 de test au domaine Azure en utilisant les détails de l'utilisateur O365 / Azure.

J'ai également souscrit à un essai premium Azure AD.

C'est à ce stade que je suis coincé. Où dans Azure puis-je voir le PC que j'ai ajouté?

De plus, puis-je utiliser Azure AD pour transférer les paramètres de stratégie de groupe traditionnels vers mon PC de test, et si oui, où dois-je procéder pour le configurer?

Ou dois-je utiliser quelque chose comme Windows Intune?

windows active-directory group-policy azure azure-active-directory user3580480
la source

Réponses:

8

Azure Active Directory ne peut pas être utilisé comme ceci. Il ne remplace pas Active Directory (enfin, au moins, il ne l'est pas au moment de la rédaction).

Ce que vous voulez faire, c'est utiliser le service Intune en combinaison avec AAD pour réaliser ce que vous voulez. Je ne pense pas que vous pourrez faire un GPO complet, mais il y a une tonne de paramètres que vous pouvez configurer.

CtrlDot
la source
2
Ce n'est pas tout à fait vrai. Avec les services d'annuaire Azure AD, vous pouvez désormais joindre des machines à AD et pousser des objets de stratégie de groupe (bien qu'avec une portée limitée). Ceci est cependant toujours en avant
Sam Cogan
1
La réponse de @ Sam ci-dessous est exacte et doit être prise en compte.
SturdyErde
1
Intune ne peut pas gérer les appareils comme les GPO - cependant, Intune est conçu pour configurer les paramètres de base des appareils, comme les déploiements de logiciels, les antivirus, les mises à jour Windows, etc. La redirection de dossiers, les mappages de lecteurs et toutes sortes de configurations liées à l'utilisateur doivent être effectuées via des GPO. Intune provient d'un historique MDM et doit être considéré comme une solution MDM avec une excellente prise en charge de Windows. Cependant, il est toujours fait pour configurer les appareils, plutôt que pour les paramètres utilisateur sur ces appareils.
Sebastian Werner
5

Azure AD Directory Services est une nouvelle fonctionnalité d'aperçu qui fonctionne davantage en tant que contrôleur de domaine en tant qu'offre de service et vous permet de pousser les objets de stratégie de groupe. La structure GPO et OU est plus limitée à AD classique, mais cela peut être fait. Il est en avant-première, alors gardez à l'esprit les conséquences du SLA pour cela.

Sam Cogan
la source
Ces fonctionnalités ne peuvent être utilisées que dans les machines virtuelles exécutées sur l'offre Azure IaaS. AAD DS ne peut pas être utilisé pour remplacer les AD DS classiques sur site pour votre client Windows 10 moyen.
Sebastian Werner
@sebastian n'est pas entièrement correct, si vous avez une connectivité de route express vers votre Azure Vnet, vous pouvez rejoindre des machines prem. Mais je conviens que ce n'est pas vraiment destiné à remplacer un contrôleur de domaine complet avec des machines clientes, mais plutôt à fournir des services AD à IaaS dans Azure.
Sam Cogan