Cosa può fare e non può fare Microsoft Azure per aiutare il tuo Active Directory locale

Autore: Louise Ward
Data Della Creazione: 5 Febbraio 2021
Data Di Aggiornamento: 28 Giugno 2024
Anonim
Cosa può fare e non può fare Microsoft Azure per aiutare il tuo Active Directory locale - Tecnologia
Cosa può fare e non può fare Microsoft Azure per aiutare il tuo Active Directory locale - Tecnologia

Contenuto


Fonte: Rvlsoft / Dreamstime.com

Porta via:

In questo articolo discutiamo delle somiglianze e delle differenze tra Microsoft Azure e Server AD e di come Azure AD può migliorare le capacità del tuo AD on-premise in questa era del cloud e delle sue molteplici offerte di servizi.

L'altro giorno stavo parlando con il direttore della tecnologia di un sistema scolastico di dimensioni abbastanza buone che stava trasmettendo la sua frustrazione su Microsoft Azure Active Directory. Recentemente sono stati assegnati a un team di PMI in materia per guidarli attraverso un'implementazione di Azure AD. Dopo diverse teleconferenze, il regista ha abbandonato la collaborazione con gli "esperti" mentre ha capito che non sapevano molto di più di quanto già sapesse. "Riesco a leggere gli articoli TechNet nel modo più semplice possibile", ha scherzato.

Ciò non sorprende in quanto vi è molta confusione riguardo all'integrazione di Azure AD e AD on-premise all'interno di un ambiente cloud ibrido. Di solito il presupposto iniziale è che Azure AD è semplicemente una versione replica del Server AD tradizionale che risiede semplicemente nel cloud. Questo è il motivo per cui ci sono così tanti cliché sull'assumere le cose. (Per un confronto tra i servizi cloud, vedere I quattro principali giocatori cloud: Pro e contro.)


I diversi ambienti di Azure AD e Server AD

Il fatto è che queste due versioni di AD hanno quasi tante differenze quante somiglianze. Questo perché sono ciascuno costruito attorno a un ambiente diverso.

Quando i professionisti IT fanno riferimento all'AD, si riferiscono all'AD tradizionale a cui tutti ci siamo abituati negli anni che risiedono sul piano fisico. Server AD è basato sui principi di organizzazione, gestibilità e politica. Prendiamo il nostro dominio e lo separiamo in unità organizzative più piccole e più gestibili in cui risiedono utenti e computer che condividono la condivisione. Forse il tuo annuncio è diviso per posizioni fisiche o per funzione lavorativa. Sia gli utenti che i rispettivi computer prendono parte al processo di autorizzazione mentre accedono ai controller di dominio utilizzando LDAP e accedono alle risorse fisiche utilizzando i ticket Kerberos. Le applicazioni nascono da file ISO e Criteri di gruppo blocca desktop e impostazioni per gli utenti.


E poi c'è Azure. Azure è stato creato per il cloud, il che significa che è progettato specificamente per supportare i servizi Web. Il cloud riguarda l'elasticità, l'agilità e l'alterazione perpetua. Azure è una struttura piatta vuota di unità organizzative e oggetti Criteri di gruppo, una struttura in cui la posizione è irrilevante. In effetti, Azure è un vasto oceano di oggetti tutti riuniti in un enorme contenitore. È un luogo in cui le applicazioni sono servizi, estensioni degli utenti stessi. Le applicazioni in questo ambiente vengono semplicemente assegnate anziché installate. Mentre AD tradizionale è noto per rendere l'esperienza utente il più gestita e controllata possibile, Azure AD mira a rendere l'esperienza utente il più fluida possibile.

I punti in comune tra Azure AD e Server AD

Pertanto, Azure AD non è destinato a essere la versione cloud di Server AD. È stato costruito per aumentarlo poiché l'AD tradizionale non è mai stato costruito per supportare il mondo dei servizi Internet basati sul web. Quindi iniziamo con le somiglianze tra i due.

Come il suo predecessore, Azure AD ospita utenti e gruppi. In un ambiente cloud ibrido, gli amministratori di AD possono creare utenti nel proprio AD locale locale e sincronizzarli con Azure tramite uno strumento intermedio chiamato Azure AD Connect che offre alcune straordinarie funzionalità aggiuntive.

  • Sincronizzazione password - Poiché utenti e gruppi sono sincronizzati con Azure AD, gli utenti possono accedere sia in locale che nel cloud, poiché le password sono sincronizzate tra i due. Poiché la locale è designata come autorità, Azure AD usa anche i criteri password locali.
  • Scrittura password - Gli utenti possono modificare le password in Azure AD e riportarle in sede. Questa è una caratteristica fantastica per un'organizzazione come un sistema scolastico in cui le password degli insegnanti e del personale scadono durante l'estate. Anziché essere bloccati al di fuori del loro e dell'accesso a Internet fino a quando non possono tornare al lavoro per modificare la password sulla propria scrivania, possono farlo da casa in Azure AD in qualsiasi momento.
  • Sincronizzazione del filtro - Ciò consente agli amministratori di scegliere esattamente quali oggetti sono sincronizzati con il cloud e quali no.

Come sono diversi

Mentre utenti e gruppi possono coesistere contemporaneamente in Azure AD e Server AD, non è il caso degli account dei computer. Azure non offre la funzionalità di "aggiunta dominio" a cui ci siamo abituati. Questo perché Azure riguarda il Web, un ambiente privo dei protocolli di autenticazione tradizionali come LDAP e Kerberos, ma si basa invece su protocolli di autenticazione Web come SAML, WS, Graph API e OAuth 2.0. I computer sono connessi ad Azure. Ciò significa che gli account dei computer possono risiedere on-premise o nel cloud, ma non entrambi. (Per conoscere alcuni dei maggiori problemi nella gestione di Active Directory, vedere I primi cinque punti critici della gestione di Active Directory.)

Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita

Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.

Questo non è un grosso problema come sembra, tuttavia, poiché molte organizzazioni oggi hanno effettivamente due tipi di flotte di computer come desktop e dispositivi mobili. In questo scenario, i dispositivi mobili potrebbero risiedere in Azure mentre i desktop risiedono on-premise. Gli istituti di istruzione K-12 che offrono il provisioning di laptop one-to-one per gli studenti sono adatti anche per Azure, poiché migliaia di laptop vengono reinventati alla fine di ogni anno, rendendoli candidati ideali per Azure.

Come accennato, Azure AD non ha funzionalità di Criteri di gruppo, tuttavia, i dispositivi Azure possono essere gestiti da Microsoft Intune, che offre funzionalità come la gestione degli aggiornamenti e la cancellazione remota in caso di compromissione di un dispositivo. Inoltre, Intune può essere integrato con Microsoft SCCM per fornire una gestione più granulare dei dispositivi.

Azure AD semplifica la vita a tutti gli utenti tramite IDaaS

La linea di fondo è questa: Server AD è innanzitutto una soluzione di servizio di directory mentre Azure AD, che ha alcune funzionalità di servizio di directory, è una soluzione di identità. La gestione dell'identità non era un problema quando è stato concepito Server AD, ma è un elemento critico per le organizzazioni di oggi.

Gli utenti all'interno di qualsiasi organizzazione oggi utilizzano numerose applicazioni cloud come Office 365,, Saleforce.com, Dropbox, ecc. Quando le applicazioni cloud sono state realizzate per la prima volta, gli utenti hanno dovuto autenticarsi in ogni singola applicazione, che si è rivelata molto inefficiente e ha introdotto la sicurezza vulnerabilità poiché gli utenti dovevano gestire più password in alcuni casi, poiché i fornitori di applicazioni cloud applicavano criteri di password diversi.

Poi sono arrivati ​​i servizi federati che offrivano Single Sign-On o SSO. Inizialmente ciò significava che l'applicazione cloud avrebbe reindirizzato il processo di autenticazione all'AD locale dell'utente dove un server federato configurato avrebbe autenticato l'utente in base alle credenziali AD locali. Ciò ha reso più semplice per l'utente, ma ha richiesto molta configurazione manuale per i team IT, poiché è stato necessario stabilire una relazione federata per ogni fornitore di applicazioni.

E poi è arrivata Identity as a Service (IDaaS) che è ciò di cui Azure AD si occupa.Azure AD gestisce la federazione per centinaia di applicazioni stesse, consentendo agli utenti di Azure AD di passare facilmente da un'applicazione all'altra quasi con la stessa facilità con cui si spostano le applicazioni sul desktop. In un certo senso, Azure AD è un hub federativo.

Inoltre, Azure AD offre alle organizzazioni la possibilità di ospitare un controller di dominio virtuale nel cloud, offrendo agli utenti l'autenticazione mobile e la ridondanza nel caso di un errore on-premise totale. Sì, Azure AD e Server AD non si replicano reciprocamente i servizi, invece li completano, offrendo oggi il meglio di entrambi i mondi agli utenti.