前几天,我正在与一个规模相当大的公立学校系统的技术总监交谈,他表达了他对 Microsoft Azure Active Directory 的失望。他们最近被分配了一个 SME 团队来帮助指导他们完成 Azure AD 实施。在几次电话会议之后,导演放弃了与“专家”的合作,因为他发现他们知道的并不比他多。 “我可以像他们一样轻松地阅读 TechNet 文章,”他打趣道。
这并不奇怪,因为在混合云环境中集成 Azure AD 和本地 AD 存在很多混淆。通常最初的假设是 Azure AD 只是简单驻留在云中的传统服务器 AD 的复制版本。这就是为什么有这么多关于假设的陈词滥调。 (有关云服务的比较,请参阅四大云服务提供商:优缺点。)
Azure AD 和 Server AD 的不同环境
事实上,这两个版本的 AD 的不同之处几乎与相似之处一样多。那是因为它们各自围绕不同的环境构建。
当 IT 专业人员提到 AD 时,他们指的是多年来我们都已经习惯的驻留在物理平面上的传统 AD。 Server AD 是围绕组织、可管理性和策略的原则构建的。我们将我们的域分成更小、更易于管理的组织单元,共享共同点的用户和计算机驻留在这些单元中。也许您的 AD 是按实际位置或工作职能划分的。当用户和他们各自的计算机使用 LDAP 登录到域控制器并使用 Kerberos 票证访问物理资源时,他们都会参与授权过程。应用程序从 ISO 文件中诞生,组策略锁定用户的桌面和设置。
然后是 Azure。 Azure 是为云构建的,这意味着它是专门为支持 Web 服务而设计的。云是关于弹性、敏捷性和永久变更的。 Azure 是一个没有组织单元和组策略对象的平面结构,在这个结构中位置无关紧要。事实上,Azure 是一个巨大的对象海洋,所有对象都聚集在一个巨大的容器中。在这里,应用程序是服务,是用户自身的扩展。此环境中的应用程序只是分配而不是安装。传统 AD 以尽可能管理和控制用户体验而著称,而 Azure AD 则旨在让用户体验尽可能流畅。
Azure AD 和服务器 AD 之间的共性
因此,Azure AD 无意成为 Server AD 的云版本。它的构建是为了增强它,因为传统的 AD 从未被构建为支持基于 Web 的互联网服务的世界。因此,让我们从两者之间的相似之处开始。
与其前身一样,Azure AD 托管用户和组。在混合云环境中,AD 管理员可以在本地本地 AD 中创建用户,并通过名为 Azure AD Connect 的中介工具将他们同步到 Azure,该工具提供了一些很棒的附加功能。
密码同步——由于用户和组同步到 Azure AD,用户可以登录本地和云端,因为密码在两者之间同步。由于内部部署被指定为授权机构,因此 Azure AD 也使用本地密码策略。
密码写回——用户可以在 Azure AD 中更改密码并将其写回本地。对于教师和教职员工密码在夏季到期的学校系统等组织而言,这是一项了不起的功能。他们可以随时在家中的 Azure AD 中更改密码,而不是在他们可以返回工作岗位更改密码之前被锁定在电子邮件和 Internet 访问之外。
过滤器同步——这允许管理员准确选择哪些对象同步到云,哪些不同步。
他们有何不同
虽然用户和组可以同时在 Azure AD 和 Server AD 中共存,但计算机帐户并非如此。 Azure 不提供我们已经习以为常的“域加入”功能。这是因为 Azure 是关于 Web 的,一个没有 LDAP 和 Kerberos 等传统身份验证协议的环境,而是依赖于 SAML、WS、Graph API 和 OAuth 2.0 等 Web 身份验证协议。计算机已连接到 Azure。这意味着计算机帐户可以驻留在本地或云端,但不能同时驻留在两者中。 (要了解管理 Active Directory 的一些最大问题,请参阅 Active Directory 管理的前五个痛点。)
然而,这并不像看起来那么重要,因为当今许多组织实际上拥有两种类型的计算机群,例如台式机和移动设备。 在这种情况下,移动设备可以驻留在 Azure 中,而桌面驻留在本地。 为学生提供一对一笔记本电脑配置的 K-12 教育机构也非常适合 Azure,因为每年年底都会重新映像数千台笔记本电脑,使它们成为 Azure 的理想选择。
如前所述,Azure AD 没有组策略功能,但是,Azure 设备可以由 Microsoft Intune 管理,它提供更新管理和远程擦除等功能,以防设备受到威胁。 此外,Intune 可以与 Microsoft SCCM 集成以提供更精细的设备管理。
Azure AD 通过 IDaaS 让所有用户的生活更轻松
底线是这样的:Server AD 首先是一个目录服务解决方案,而具有一些目录服务功能的 Azure AD 是一个身份解决方案。在构思 Server AD 时,身份管理不是问题,但却是当今组织的关键要素。
如今,几乎任何组织内的用户都使用大量云应用程序,例如 Office 365、Facebook、Saleforce.com、Dropbox 等。当云应用程序首次实现时,用户必须对每个应用程序进行身份验证,这被证明是非常低效的,并且引入了安全漏洞,因为在某些情况下用户必须管理多个密码,因为云应用程序供应商强制执行不同的密码策略。
然后是提供单点登录或 SSO 的联合服务。最初这意味着云应用程序会将身份验证过程转移回用户的本地 AD,其中配置的联合服务器将根据用户的本地 AD 凭据对用户进行身份验证。这使用户更容易,但需要 IT 团队进行大量手动配置,因为必须为每个应用程序供应商建立联合关系。
然后是身份即服务 (IDaaS),这就是 Azure AD 的全部内容。 Azure AD 本身处理数百个应用程序的联合,使 Azure AD 用户能够无缝地从一个应用程序跳到另一个应用程序,几乎就像在桌面上遍历应用程序一样容易。从某种意义上说,Azure AD 是一个联合中心。
此外,Azure AD 为组织提供了在云中托管虚拟域控制器的能力,为用户提供移动身份验证以及在完全内部部署故障的情况下的冗余。是的,Azure AD 和 Server AD 不会相互复制彼此的服务,相反,它们相互补充,为当今的用户提供两全其美的服务。
