¿Puedo usar Office365 o Azure AD como registro maestro para Active Directory?

12

Tenemos una pequeña empresa y actualmente no necesitamos un dominio dentro de nuestra oficina. Tenemos una red básica y un único servidor que ejecuta Windows Server 2008 R2 con algunos archivos compartidos y aplicaciones de terceros.

Usamos Office 365 y tenemos una suscripción a Windows Azure. Los dos parecen estar sincronizando bastante bien el Active Directory para nuestra organización. (es decir, los datos se ven iguales en ambos sistemas)

Todas las aplicaciones de terceros que ejecutamos en nuestro servidor de aplicaciones admiten LDAP como proveedor de identidad, pero debido a que no ejecutamos un dominio, tenemos que hacer que cada usuario cree un nuevo nombre de usuario / contraseña para estos servicios.

Idealmente, nos gustaría que este servidor se sincronice desde Azure / Office 365 y permita que los usuarios se autentiquen utilizando sus credenciales de Office365.

Toda la literatura que he encontrado habla de sincronizar FROM in situ a Azure, pero nos gustaría sincronizar FROM Azure / Office 365 a nuestro servidor local. Creo que nuestro servidor local se convirtió en un proveedor de identidad federado para nuestro directorio de Office 365 ...

¿Es esto posible o necesitamos algún proveedor de LDAP de terceros que pueda federar identidades de Azure u Office 365?

azure single-sign-on microsoft-office-365

— Adrian Hope-Bailie
fuente

Si está ejecutando AD en Azure, puede ejecutar solicitudes en ese DC. Sin embargo, es posible que necesite una VPN para vincular su red con azure.

— Nathan C

1

@NathanC hay una diferencia entre ejecutar un controlador de dominio en una instancia de VM de Azure (no lo que está haciendo este compañero) y ejecutar Azure AD con DirSync para su inquilino de O365, de lo que está hablando.

— MDMarra

@MDMarra Ah, aprendí algo de la pregunta de otra persona. :)

— Nathan C

@NathanC, sí, Azure AD es algo que existe en Azure y es accesible a través de una interfaz web para administrar usuarios, grupos y DirSync para usar con Office 365 e Intune. No es un servidor real en el que puede iniciar sesión de forma interactiva. Es una variante de Microsoft AD multiempresa con un poco de salsa especial web front-end.

— MDMarra

1

Adrian, ¿qué terminaste haciendo? Estamos considerando una ruta similar, ¿tiene curiosidad por saber cómo terminó funcionando para usted?

— aSkywalker

10

Respuesta corta: No. Sin embargo, como se describe en @ Nathan-C, puede respaldar los servicios requeridos usando Azure Iaas (DC + DirSync + ADFS o DC + Dircync w / pwd sync) para lograr un inicio de sesión único entre sus sus aplicaciones de Office365 y sus aplicaciones locales. Debería implementar un enlace VPN entre Azure y su red local.

Azure AD NO es Active Directory "regular".

— Trondh
fuente

1

Gracias, sospechaba que este era el caso. Lo que hemos logrado hacer es configurar la mayoría de nuestras aplicaciones de terceros para usar OAuth2 para la provisión de identidad. Luego instalamos el servicio auth0 de la tienda Azure y configuramos nuestro Azure AD como un proveedor de identidad empresarial (conexión) para el servicio auth0. Las aplicaciones de terceros ahora usan auth0 como proveedor de ID que se federa en nuestro Azure AD. (espero haber entendido bien mi terminología, pero básicamente las aplicaciones usan OAuth2 para autenticarse contra auth0 que "representa" nuestro Azure AD)

— Adrian Hope-Bailie

Otro comentario sobre la solución propuesta: no queremos hacer esto porque 1) nos gusta usar Office 365 para administrar a nuestros usuarios 2) en realidad no queremos obligar a nuestros usuarios a iniciar sesión en un dominio que supongo que implementaría un DC involucrar

— Adrian Hope-Bailie

44

Con la versión más reciente de DirSync, puede instalarlo en un DC. Solía ser el caso que no podías.

— Trondh

3

Sin embargo, a partir de Windows 10, las máquinas cliente pueden unirse a Azure AD.

— Kevin Tianyu Xu

2

@JPHellemons - El artículo de Technet aquí explica cómo configurarlo

— Frederik Nielsen

3

Microsoft recientemente comenzó a ofrecer servicios reales de Active Directory en Azure: https://azure.microsoft.com/en-us/services/active-directory-ds ; si solo necesita autenticación centralizada, pueden reemplazar completamente un AD local.

— Massimo
fuente

2

Toda esta información es antigua, solo quería ayudar a alguien que la estaba buscando. Hoy 25/10/2016 tengo aproximadamente 20 computadoras portátiles con Windows 10 que se conectan y funcionan con los servicios de Azure AD directamente. Se integra y funciona perfectamente con o365 y muchos otros servicios "en la nube" de Microsoft.

— Alguien que importa
fuente

1

¿Entonces sus servidores pueden unirse al dominio de Azure sin un AD / DC local?

— user228546

0

No. Azure AD no es realmente AD. Tiene menos funcionalidad, ya que tiene un esquema más limitado y, como servicio, no se puede usar para autenticar / administrar dispositivos como puede hacerlo con un controlador de dominio real y AD.

El caso de uso que admiten es usar Azure AD para administrar los inicios de sesión en máquinas con Windows 10; y puede usar Microsoft Intune para cualquier administración (que obtendría con las políticas / administración de una instalación de AD completa "real")

Advierto que incluso la solución propuesta, aún no está completamente 'horneada', y si la prueba, será uno de los primeros en adoptarla. Es una funcionalidad algo incompleta (por ejemplo, la administración no existe para Mac; no se puede unir Azure AD para OS X), y es un poco defectuoso (a veces las máquinas pueden autenticarse y unirse, a veces fallan silenciosamente).

YMMV

— Dan R
fuente