Windows管理員不能僅僅激發(fā)Azure活動目錄部署,并期望它模仿傳統(tǒng)的AD,但是AzureAD有幾個有意義的用途。
Azure的Active Directory與Windows管理員熟知傳統(tǒng)AD相比有了大幅度的飛躍。雖然它留下很多問題,但管理員可以將管理員將AD擴(kuò)展到云資源,并在知道如何使用應(yīng)用程序聯(lián)合后,實現(xiàn)關(guān)鍵連接(如應(yīng)用程序聯(lián)合)。
大多數(shù)Windows管理員使用傳統(tǒng)AD來管理用戶,配置文件,組策略對象和其他關(guān)系。帶寬和互操作性在現(xiàn)場很少出現(xiàn)問題。云計算是一個完全不同的命題。云計算中的服務(wù)器和服務(wù)具有與內(nèi)部部署不同的需求和要求。Azure Active Directory將傳統(tǒng)AD擴(kuò)展到云環(huán)境中,而不是用云教計算版本替換AD。
Azure Active Directory與本地AD
公共云盡可能與設(shè)備無關(guān),這意味著它不是為了計算機(jī)和組策略對象而設(shè)計的。Azure不需要本地AD的重功能集;它只需要經(jīng)過身份驗證的用戶帳戶,組和安全信息進(jìn)入云端。這是管理員使用Azure Active Directory的地方。
Azure Active Directory是一種基于Web的系統(tǒng),可以管理和驗證用戶對Web服務(wù)的認(rèn)證。它與網(wǎng)絡(luò)托管的定制應(yīng)用程序以及集成的第三方Web服務(wù)和應(yīng)用程序配合使用。微軟在這個列表中的術(shù)語是投資組合。尋找使用AzureActiveDirectory作為Web服務(wù),平臺即服務(wù)產(chǎn)品和其他產(chǎn)品的易于管理,可擴(kuò)展的身份服務(wù)前端的方法。
圖1.Azure Active Directory的管理控制臺顯示用于管理員控制的組件。
Azure Active Directory還可以管理Windows設(shè)備上的身份和應(yīng)用程序配置:企業(yè)版Windows10系統(tǒng)具有內(nèi)部或Azure Active Directory的配置選項。但是不要指望它應(yīng)用組策略對象。
Azure Active Directory甚至有自己的Power Shell擴(kuò)展來管理和配置用戶。
如何在企業(yè)中使用Azure Active Directory
AzureActiveDirectory的設(shè)置適合具有BYOD程序的公司。Azure Active Directory將基于Microsoft和Android的用戶設(shè)備作為真正的網(wǎng)絡(luò)首要事件。一旦經(jīng)過身份驗證,用戶可以根據(jù)管理員的要求從Azure系統(tǒng)組合中使用應(yīng)用程序。隨著Azure Active Directory框架的增長,其組合支持更多的應(yīng)用程序。雖然最終用戶可以輕松地下載和使用應(yīng)用程序,但管理員可以保留對本地系統(tǒng)配置有關(guān)應(yīng)用程序仍然有一定的控制權(quán)。
管理員可以從投資組合中控制應(yīng)用程序登錄Web服務(wù)。他們可以讓用戶指定用戶名和密碼,選擇存儲預(yù)配置的值或使用聯(lián)合服務(wù),如Active Directory聯(lián)合身份驗證服務(wù)(ADFS)。Azure Active Directory在安裝應(yīng)用程序時傳遞這些設(shè)置。
管理員可以通過Azure Active Directory中的向?qū)Ы缑鏋橛脩粼O(shè)置和釋放應(yīng)用程序。它們指定組或個人用戶,并可以從其他啟用AzureActiveDirectory的公司添加用戶。在大型環(huán)境中,管理員通常會添加這些用戶,以便Azure域可以通過ADFS進(jìn)行身份驗證,而不泄漏任何秘密。AzureActiveDirectory中也提供多重身份驗證。
Azure Active Directory層
使用基本的Azure Active Directory設(shè)置沒有直接的成本。任何人都可以注冊一個Azure帳戶并瀏覽Active Directory。
高級版本提供了更好的報告用戶,基礎(chǔ)設(shè)施和系統(tǒng),以及為用戶(消費(fèi)者)定制頁面布局和品牌化的能力。
管理員應(yīng)該利用應(yīng)用內(nèi)驗證功能。這使您能夠驗證Office365許可證狀態(tài)和管理,無縫地向OneDrive和SharePoint驗證用戶,并設(shè)置其他路徑。
將Azure Active Directory與Azure Active Directory Connect一起使用,這是一種將工作與云連接的Microsoft工具。它有助于防止惡意認(rèn)證提示或惡作劇。組織在內(nèi)部部署AD控制器上安裝Azure AD Connect,以在私有云和公共云中擴(kuò)展身份驗證。
具有單個域的簡單Active Directory設(shè)置的管理員將很容易地擴(kuò)展到Azure。