Innehåll
- De olika miljöerna i Azure AD och Server AD
- Commonalities mellan Azure AD och Server AD
- Hur de är annorlunda
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- Azure AD gör livet lättare för alla användare genom IDaaS
Källa: Rvlsoft / Dreamstime.com
Hämtmat:
I den här artikeln diskuterar vi likheterna och skillnaderna mellan Microsoft Azure och Server AD, och hur Azure AD kan förbättra kapaciteten för ditt lokala AD i den här eran av molnet och dess flera tjänsteerbjudanden.
Jag pratade med teknologidirektören för ett ganska bra offentligt skolsystem häromdagen som förmedlade sin frustration över Microsoft Azure Active Directory. De hade nyligen tilldelats ett team av små och medelstora företag om ämnet för att hjälpa dem genom en Azure AD-implementering. Efter flera konferenssamtal övergav regissören partnerskapet med "experterna" eftersom han tänkte att de inte visste mycket mer än han redan gjorde. "Jag kan läsa TechNet-artiklarna lika lätt som de kan," sade han.
Detta är inte så överraskande eftersom det finns en hel del förvirring kring integrationen av Azure AD och on-premise AD i en hybrid molnmiljö. Vanligtvis är det första antagandet att Azure AD helt enkelt är en replikversion av den traditionella Server AD som helt enkelt finns i molnet. Det är därför det finns så många klichéer om att anta saker. (För en jämförelse av molntjänster, se The Four Major Cloud Players: Pros and Cons.)
De olika miljöerna i Azure AD och Server AD
Faktum är att dessa två versioner av AD har nästan lika många skillnader som de gör likheter. Det beror på att de är byggda runt en annan miljö.
När IT-proffsen hänvisar till AD hänvisar de till den traditionella AD som vi alla har vant oss vid under åren som finns på det fysiska planet. Server AD bygger på principerna om organisation, hanterbarhet och policy. Vi tar vår domän och segregerar den till mindre, mer hanterbara organisatoriska enheter där användare och datorer som delar gemensamhet bor. Kanske är din annons uppdelad efter fysiska platser eller efter jobbfunktion. Både användare och deras respektive datorer deltar i godkännandeprocessen när de loggar in på domänkontrollanter som använder LDAP och får åtkomst till fysiska resurser med hjälp av Kerberos-biljetter. Ansökningar föds från ISO-filer och grupppolicy låser ned skrivbord och inställningar för användare.
Och så finns det Azure. Azure konstruerades för molnet, vilket betyder att det är utformat specifikt för att stödja webbtjänster. Molnet handlar om elasticitet, smidighet och evig förändring. Azure är en platt struktur tom för organisatoriska enheter och grupppolitiska objekt, en struktur där platsen är irrelevant. I själva verket är Azure ett stort hav av föremål som alla samlas i en humongös behållare. Det är en plats där applikationer är tjänster, tillägg för användarna själva. Program i denna miljö tilldelas helt enkelt istället för att installeras. Medan traditionell AD är känd för att göra användarupplevelsen så hanterad och kontrollerad som möjligt, handlar Azure AD om att göra användarupplevelsen så flytande som möjligt.
Commonalities mellan Azure AD och Server AD
Så Azure AD är inte avsett att vara molnversionen av Server AD. Det konstruerades för att förstärka det eftersom traditionell AD aldrig byggdes för att stödja världen av webbaserade internettjänster. Så låt oss börja med likheterna mellan de två.
Liksom föregångaren är Azure AD värd för användare och grupper. I en hybridmolnmiljö kan AD-administratörer skapa användare inom deras lokala lokala AD och få dem synkroniserade till Azure med ett mellanhandverktyg som heter Azure AD Connect som erbjuder några fantastiska funktioner.
- Lösenordssynkronisering - Eftersom användare och grupper är synkroniserade med Azure AD, kan användare logga in både på plats och i molnet, eftersom lösenord synkroniseras mellan de två. Eftersom lokalt anges som myndighet använder Azure AD också den lokala lösenordspolicyn.
- Lösenord Writeback - Användare kan ändra sina lösenord inom Azure AD och få dem tillbaka till platsen. Detta är en fantastisk funktion för en organisation som ett skolsystem där lösenord för lärare och personal löper ut under sommaren. I stället för att vara låst ur deras och internetåtkomst tills de kan återvända till jobbet för att ändra sitt lösenord vid sitt skrivbord, kan de göra det hemifrån i Azure AD när som helst.
- Filtrer synkronisering - Detta gör att administratörer kan välja exakt vilka objekt som ska synkroniseras med molnet och vilka inte.
Hur de är annorlunda
Medan användare och grupper kan samexistera inom Azure AD och Server AD samtidigt, är detta inte fallet för datorkonton. Azure erbjuder inte funktionen "domain join" som vi har vant oss vid. Det beror på att Azure handlar om webben, en miljö som är tom för de traditionella autentiseringsprotokollen som LDAP och Kerberos, men förlitar sig istället på webbautentiseringsprotokoll som SAML, WS, Graph API och OAuth 2.0. Datorer är anslutna till Azure. Vad detta betyder är att datorkonton antingen kan ligga på plats eller i molnet, men inte båda. (För information om några av de största problemen med hantering av Active Directory, se Topp fem Active Directory Management Pain Points.)
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Det här är inte så mycket som det verkar, eftersom många organisationer idag faktiskt har två typer av datorflottor som stationära datorer och mobila enheter. I det här scenariot kan mobila enheter vara bosatta i Azure medan stationära datorer ligger på plats. K – 12-utbildningsinstitutioner som erbjuder en-till-en-datoranpassning för studenter passar också bra för Azure, eftersom tusentals bärbara datorer återanvändas i slutet av varje år, vilket gör dem till ideala kandidater för Azure.
Som nämnts har Azure AD ingen Group Policy-funktionalitet, men Azure-enheter kan hanteras av Microsoft Intune, som erbjuder funktioner som uppdateringshantering och fjärrstrykning om en enhet komprometteras. Dessutom kan Intune integreras med Microsoft SCCM för att ge mer granulerad enhetshantering.
Azure AD gör livet lättare för alla användare genom IDaaS
I första hand är detta: Server AD är först och främst en katalogtjänstlösning medan Azure AD, som har vissa katalogtjänstfunktioner, är en identitetslösning. Identitetshantering var inte ett problem när Server AD utformades, utan är ett kritiskt element för dagens organisationer.
Användare inom nästan alla organisationer idag använder många molnapplikationer som Office 365, Saleforce.com, Dropbox, etc. När molnapplikationer först började genomföras, måste användarna verifiera alla applikationer, vilket visade sig vara mycket ineffektivt och införde säkerhet sårbarheter eftersom användare i vissa fall måste hantera flera lösenord, eftersom leverantörer av molnapplikationer verkställde olika lösenordspolicyer.
Sedan kom Federated Services som erbjöd enkel inloggning eller SSO. Ursprungligen innebar detta att molnapplikationen skulle vidarebefordra autentiseringsprocessen tillbaka till användarens lokala AD, där en konfigurerad federerad server skulle autentisera användaren enligt deras lokala AD-referenser. Detta underlättade för användaren, men krävde en hel del manuell konfiguration för IT-teamen, eftersom ett federalt förhållande måste upprättas för varje applikationsleverantör.
Och sedan kom Identity as a Service (IDaaS) vilket är vad Azure AD handlar om.Azure AD hanterar federationen för hundratals applikationer själv, vilket gör att Azure AD-användare kan smidigt hoppa från applikation till applikation nästan lika enkelt som att korsa applikationer på skrivbordet. På ett sätt är Azure AD ett federationsnav.
Dessutom erbjuder Azure AD organisationer möjligheten att vara värd för en virtuell domänkontroller i molnet, och erbjuder användare mobil autentisering såväl som redundans i fallet av ett totalt lokalt fel. Ja, Azure AD och Server AD replikerar inte varandras tjänster, de kompletterar dem istället och erbjuder det bästa av båda världar till användare idag.