Mida saab ja mida ei saa Microsoft Azure teha, et aidata teie eeldatavat aktiivkataloogi

Autor: Louise Ward
Loomise Kuupäev: 5 Veebruar 2021
Värskenduse Kuupäev: 28 Juunis 2024
Anonim
Mida saab ja mida ei saa Microsoft Azure teha, et aidata teie eeldatavat aktiivkataloogi - Tehnoloogia
Mida saab ja mida ei saa Microsoft Azure teha, et aidata teie eeldatavat aktiivkataloogi - Tehnoloogia

Sisu


Allikas: Rvlsoft / Dreamstime.com

Ära võtma:

Selles artiklis käsitleme sarnasusi ja erinevusi Microsoft Azure'i ja Server AD vahel ning seda, kuidas Azure AD saab teie kohapealse AD-i võimeid pilve ja selle mitmete teenuste pakkumise ajastul parendada.

Rääkisin teisel päeval üsna hea suurusega riigikoolisüsteemi tehnoloogia direktoriga, kes edastas oma pettumust Microsofti Azure Active Directory üle. Neile määrati hiljuti selle teemaga tegelevate VKEde meeskond, kes aitaks neid Azure AD rakendamisel. Pärast mitmeid konverentskõnesid loobus direktor partnerlusest “ekspertidega”, kuna ta arvas, et nad ei tea midagi enamat kui ta juba. "Ma suudan TechNeti artikleid lugeda nii lihtsalt kui võimalik," muheles ta.

See pole nii üllatav, kuna Azure AD ja eeldatava AD integreerimisel hübriidpilve keskkonnas on palju segadust. Tavaliselt on algne eeldus, et Azure AD on lihtsalt tavapärase server AD AD koopiaversioon, mis asub lihtsalt pilves. Seetõttu on asja oletamise kohta nii palju klišeesid. (Pilveteenuste võrdluse kohta vt nelja peamist pilvemängijat: plussid ja miinused.)


Azure AD ja Server AD erinevad keskkonnad

Fakt on see, et neil kahel AD versioonil on peaaegu sama palju erinevusi kui sarnasustel. Põhjus on see, et nad on üles ehitatud erinevas keskkonnas.

Kui IT-spetsialistid viitavad AD-le, viitavad nad traditsioonilisele AD-le, millega me kõik oleme aastate jooksul harjunud, et elada füüsilisel tasandil. Server AD on üles ehitatud organisatsiooni, juhitavuse ja poliitika põhimõtetele. Võtame oma domeeni ja jaotame selle väiksemateks, paremini hallatavateks organisatsiooniüksusteks, kus elavad kasutajad ja arvutid, millel on ühisus. Võib-olla on teie AD jagatud füüsiliste asukohtade või töökoha funktsioonide järgi. Mõlemad kasutajad ja nende vastavad arvutid osalevad autoriseerimisprotsessis, kui nad logivad sisse LDAP-i kasutavad domeenikontrollerid ja pääsevad Kerberose piletite abil juurde füüsilistele ressurssidele. Rakendused on tükeldatud ISO-failidest ja grupipoliitika lukustab kasutajate jaoks töölauad ja seaded.


Ja siis on Azure. Azure loodi pilve jaoks, mis tähendab, et see on mõeldud spetsiaalselt veebiteenuste toetamiseks. Pilve eesmärk on elastsus, paindlikkus ja püsiv muutmine. Azure on tasane struktuur, milles puuduvad organisatsiooni üksused ja grupipoliitika objektid, struktuur, mille asukoht on ebaoluline. Tegelikult on Azure on tohutu objektide ookean, mis on kõik koondatud ühte humaansesse konteinerisse. See on koht, kus rakendused on teenused, kasutajate endi laiendid. Selles keskkonnas olevad rakendused on lihtsalt määratud, mitte installitud. Kuigi traditsiooniline AD on teada, et see muudab kasutajakogemuse võimalikult hallatuks ja kontrollitavaks, siis Azure AD eesmärk on muuta kasutajakogemus võimalikult sujuvaks.

Azure AD ja Server AD vahelised sarnasused

Niisiis, Azure AD ei ole mõeldud Server AD pilveversiooniks. Selle eesmärk oli seda täiendada, kuna traditsiooniline AD ei olnud kunagi loodud veebipõhiste Interneti-teenuste toetamiseks. Alustame siis nende kahe sarnasusest.

Nagu eelkäija, võõrustab Azure AD kasutajaid ja rühmi. Hübriidses pilvekeskkonnas saavad AD-i administraatorid kasutajaid luua kohalikus eeldatava AD-is ja lasta neid Azure'iga sünkroonida Vahendi vahendusel nimega Azure AD Connect, mis pakub häid lisafunktsioone.

  • Parooli sünkroonimine - Kuna kasutajad ja rühmad on Azure AD-iga sünkroonitud, saavad kasutajad sisse logida nii eeldusel kui ka pilves, kuna paroolid on nende kahe vahel sünkroonitud. Kuna asutuseks on määratud eeldus, kasutab Azure AD ka kohalikku paroolipoliitikat.
  • Parooli tagasivõtmine - Kasutajad saavad muuta oma paroole Azure AD-s ja lasta need tagasi eeldusse kirjutada. See on fantastiline funktsioon sellisele organisatsioonile nagu koolisüsteem, kus õpetajate ja töötajate paroolid kaotavad suve jooksul kehtivuse. Selle asemel, et lukustada oma ja Interneti-ühendust, kuni nad saavad oma töölaua parooli muutmiseks tööle naasta, saavad nad seda igal ajal teha kodus Azure AD-s.
  • Filtri sünkroonimine - See võimaldab administraatoritel valida täpselt, millised objektid sünkroonitakse pilvega ja millised mitte.

Kuidas nad erinevad

Ehkki kasutajad ja rühmad võivad Azure AD ja Server AD sees eksisteerida samaaegselt, ei kehti see arvutikontode puhul. Azure ei paku funktsiooni „domeeniga liitumine“, millega oleme harjunud. Sellepärast, et Azure on veebi kohta, traditsiooniliste autentimisprotokollide, nagu LDAP ja Kerberos, tühine keskkond, kuid tugineb selle asemel veebi autentimisprotokollidele nagu SAML, WS, Graph API ja OAuth 2.0. Arvutid on ühendatud Azure'iga. See tähendab, et arvutikontod võivad asuda kohapeal või pilves, kuid mitte mõlemat. (Active Directory haldamisega seotud suurimate probleemide tundmaõppimiseks lugege teemat Viis Active Directory halduse valupunkti.)

Pole vigu ega stressi - teie samm-sammuline juhend elumuutva tarkvara loomiseks ilma oma elu hävitamata

Te ei saa oma programmeerimisoskusi parandada, kui keegi tarkvara kvaliteedist ei hooli.

See pole siiski nii suur asi, kui tundub, kuna paljudel organisatsioonidel on tänapäeval tegelikult kahte tüüpi arvutiparki, näiteks lauaarvuteid ja mobiilseadmeid. Selle stsenaariumi korral võivad mobiilsed seadmed asuda Azure'is, samal ajal kui lauaarvutid asuvad eeldusel. K – 12 õppeasutused, mis pakuvad õpilastele üks-ühele sülearvutiga varustamist, sobivad hästi ka Azure'i jaoks, kuna iga aasta lõpus tehakse tuhandetele sülearvutitele uus pilt, mis teeb neist Azure'i jaoks ideaalsed kandidaadid.

Nagu mainitud, pole Azure AD-l grupipoliitika funktsioone, kuid Azure'i seadmeid saab hallata Microsoft Intune, mis pakub selliseid funktsioone nagu värskenduste haldamine ja kaugpühkimine, kui seade satub ohtu. Lisaks saab Intune'i integreerida Microsoft SCCM-iga, et pakkuda detailsemat seadmehaldust.

Azure AD muudab IDaaS-i abil kõigi kasutajate elu lihtsamaks

Alumine rida on järgmine: Server AD on ennekõike kataloogiteenuse lahendus, samas kui Azure AD, millel on teatavad kataloogiteenuse võimalused, on identiteedi lahendus. Identiteedihaldus ei olnud Server AD väljatöötamisel probleem, kuid see on tänapäeva organisatsioonide jaoks kriitiline element.

Peaaegu kõigi organisatsioonide kasutajad kasutavad tänapäeval arvukalt pilverakendusi, nagu Office 365,, Saleforce.com, Dropbox jne. Kui pilverakendused esmakordselt vilja kandsid, pidid kasutajad autentima iga rakenduse, mis osutus väga ebatõhusaks ja tutvustas turvalisust. haavatavusi, kuna kasutajad pidid mõnel juhul haldama mitut parooli, kuna pilverakenduste müüjad jõustasid erinevaid paroolipoliitikaid.

Siis tulid liitteenused, mis pakkusid ühekordse sisselogimise või SSO-sid. Algselt tähendas see, et pilverakendus suunaks autentimisprotsessi tagasi kasutaja eeldatavale AD-le, kus konfigureeritud ühendatud server autentib kasutajat vastavalt nende kohalikule AD mandaadile. See tegi kasutajale lihtsamaks, kuid nõudis IT-meeskondade jaoks palju käsitsi konfigureerimist, kuna iga rakenduse tarnija jaoks tuli luua fikseeritud suhe.

Ja siis tuli identiteet kui teenus (IDaaS), mis on Azure AD mõte.Azure AD haldab föderatsiooni sadade rakenduste enda jaoks, võimaldades Azure AD kasutajatel sujuvalt liikuda rakendustelt rakendustele peaaegu sama lihtsalt kui rakenduste sirvimine oma töölaual. Teatud mõttes on Azure AD föderatsioonikeskus.

Lisaks pakub Azure AD organisatsioonidele võimalust virtuaalse domeenikontrolleri hostimiseks pilves, pakkudes kasutajatele nii mobiilse autentimise kui ka koondamise kohapealse täieliku tõrke korral. Jah, Azure AD ja Server AD ei kopeeri üksteise teenuseid, vaid täiendavad neid, pakkudes tänapäeval kasutajatele mõlemast maailmast parimat.