Active DirectoryのマスターレコードとしてOffice365またはAzure ADを使用できますか？

12

私たちは中小企業であり、現在、オフィス内にドメインは必要ありません。基本的なネットワークと、Windows Server 2008 R2を実行する単一のサーバーと、いくつかのファイル共有とサードパーティアプリがあります。

Office 365を使用し、Windows Azureサブスクリプションを持っています。2つは、組織のActive Directoryの同期をかなりうまく維持しているようです。（つまり、データは両方のシステムで同じに見えます）

アプリサーバーで実行するサードパーティアプリはすべて、アイデンティティプロバイダーとしてLDAPをサポートしていますが、ドメインを実行しないため、各ユーザーにこれらのサービスの新しいログイン/パスワードを作成させる必要があります。

このサーバーをAzure / Office 365から同期し、ユーザーがOffice365資格情報を使用して認証できるようにすることが理想です。

FROMオンプレミスをAzureに同期することに関する話を見つけましたが、FROM Azure / Office 365をオンプレミスサーバーに同期したいのです。オンプレミスサーバーは、Office 365ディレクトリのフェデレーションIDプロバイダーになると思います...

これは可能ですか、またはAzureまたはOffice 365のIDをフェデレートできるサードパーティのLDAPプロバイダーが必要ですか？

azure single-sign-on microsoft-office-365

— エイドリアン・ホープ・ベイリー
ソース

AzureでADを実行している場合は、そのDCに対してリクエストを実行するだけです。ただし、ネットワークをAzureとリンクするにはVPNが必要になる場合があります。

— ネイサンC

1

@NathanCは、Azure VMインスタンスでドメインコントローラーを実行すること（このフェローが実行していることではありません）と、O365テナントでAzure AD w / DirSyncを実行することとの違いがあります。

— MDマーラ

@MDMarraああ、誰かの質問から何かを学びました。:)

— ネイサンC

@NathanCはい、Azure ADはAzureに存在し、ユーザー、グループ、およびOffice 365とIntuneで使用するDirSyncを管理するためのWebインターフェイスからアクセスできます。インタラクティブにログインできる実際のサーバーではありません。これは、Webフロントエンドの特別なソースを備えたマルチテナントMicrosoft ADバリアントです。

— MDマーラ

1

エイドリアン-あなたは何をしましたか？似たようなルートを検討していますが、どのようにうまくいったのでしょうか？

— スカイウォーカー14年

10

簡単な答え：いいえ。ただし、説明した@ Nathan-Cのように、Azure Iaas（DC + DirSync + ADFSまたはDC + Dircync w / pwd sync）を使用して必要なサービスを立ち上げて、 Office365アプリとオンプレミスアプリ。Azureとローカルネットワークの間にVPNリンクを展開する必要があります。

Azure ADは「通常の」Active Directoryではありません。

— トロンド
ソース

1

おかげで、私はこれが事実だと疑った。なんとかできたのは、ほとんどのサードパーティ製アプリを設定して、IDプロビジョニングにOAuth2を使用することです。次に、Azureストアからauth0サービスをインストールし、Azure ADをauth0サービスのエンタープライズIDプロバイダー（接続）としてセットアップしました。サードパーティアプリは、Azure ADにフェデレートするIDプロバイダーとしてauth0を使用するようになりました。（用語が正しいことを願っていますが、基本的にアプリはOAuth2を使用して、Azure ADを「プロキシ」するauth0に対する認証を行います）

— Adrian Hope-Bailie

提案されたソリューションに関する別のコメント：1）Office 365を使用してユーザーを管理するのが好きである2）ユーザーにDCの実装が想定されるドメインにユーザーを強制的にログインさせたくないため、これを行いたくない関与

— エイドリアン・ホープ・ベイリー

4

DirSyncの最新バージョンでは、DCにインストールできます。以前は不可能だったことがあります。

— Trondh

3

ただし、Windows 10以降、クライアントコンピューターはAzure ADにドメイン参加できます。

— ケビンTianyu Xu

2

@JPHellemons - TechNetの記事ここではそれを設定する方法を説明します

— フレデリック・ニールセン

3

Microsoftは最近、Azureで実際のActive Directoryサービスの提供を開始しました：https : //azure.microsoft.com/en-us/services/active-directory-ds ; 集中認証のみが必要な場合は、ローカルADを完全に置き換えることができます。

— マッシモ
ソース

2

この情報はすべて古いもので、探している人を助けたかっただけです。2016年10月25日現在、Azure ADサービスに直接接続して動作する20台ほどのWindows 10ラップトップがあります。o365やMicrosoftの他の多くの「クラウド」サービスと統合して完全に動作します。

— 重要な人
ソース

1

サーバーはローカルAD / DCなしでAzureドメインに参加できますか？

— user228546

0

いいえ。AzureADは実際にはADではありません。スキーマがより制限されているという点で機能が少なく、サービスとして、実際のドメインコントローラーとADでできるようにデバイスを認証/管理するために使用することはできません。

彼らがサポートするユースケースは、Azure ADを使用してWindows 10マシンのログインを管理することです。また、あらゆる管理にMicrosoft Intuneを使用できます（「実際の」完全なADインストールからポリシー/管理を取得します）

提案されたソリューションでさえ、まだ完全に「焼き付け」られていないことを警告します。試してみると、早期導入者になります。それはやや不完全な機能です（たとえば、Macの管理は存在しません。OSXでAzure ADに参加することはできません）。

YMMV

— ダン・R
ソース