Terminología

Dada la terminología muy similar, permítanme exponer las dos cosas sobre las que estoy preguntando ...

En primer lugar, Azure Active Directory . Este es el servicio de directorio que sustenta o365. Puede sincronizar las credenciales en él y usarlo para SSO a través de SAML y algunos otros bits, pero eso es básicamente todo.

En segundo lugar, Azure Active Directory Domain Services . Esto está mucho más cerca de un ADDS como lo conocemos desde Windows 2000 (OU, directiva de grupo, NTLM, etc.) pero se proporciona como servicio . Hay un montón de limitaciones (sin derechos de administrador de dominio, sin extensiones de esquema, sin acceso directo a los controladores de dominio) pero puede unirse a los servidores de dominio de la manera tradicional.

Sus nombres siendo tan similares ha hecho de muy frustrante resultados de Google cuando se trata de obtener cualquier información acerca de cómo podrían interactuar, de ahí mi pregunta aquí!


Mi meta

Mi objetivo es trasladarme tanto como sea posible a la Nube. Ya tengo Exchange y SharePoint movidos a través de o365 y tengo mi AD local sincronizándose con Azure AD. También quiero mover todos mis servidores a Azure y usar Azure AD Domain Services en lugar de crear mis propios DC como máquinas virtuales de Azure. Todo eso parece alcanzable.

Mi requisito fundamental: quiero que un usuario que inicie sesión en su buzón de correo de O365 lo haga con las mismas credenciales que usa para iniciar sesión en un servidor (o servicio que se ejecuta en un servidor) que está unido al dominio de Azure AD Domain Services.


Mi pregunta

¿Cómo logro ese requisito crítico?

¿Puedo "extender" o "actualizar"? mi instancia de Azure AD a una instancia de Azure AD DS? No parece haber ninguna opción para hacerlo.

¿De alguna manera sincronizo mi instancia de Azure AD y Azure AD DS? ¿Significa esto crear una máquina virtual para ejecutar la herramienta AD Connect?


Parece que no hay casi nada escrito sobre el tema (¡que pueda encontrar!) ¡Por lo que sus ideas son muy apreciadas!

answer

Para el requisito crítico:

Sí, se puede lograr después de habilitar la función de servicio de dominio de Azure AD y esperar a que las cuentas de usuario y los hash de credenciales se hayan sincronizado correctamente desde Azure AD al dominio administrado de Azure AD DS.

Para las otras dos preguntas:

La característica Habilitar el servicio de dominio de Azure AD se encuentra en la pestaña Configurar de su página de Azure AD (portal clásico de Azure) como se muestra a continuación. Los más detalles se pueden encontrar en los documentos aquí .

ingrese la descripción de la imagen aquí

La sincronización de Azure AD al dominio administrado de Azure AD DS se inicia automáticamente y unidireccional / unidireccional en segundo plano. Más detalles aquí .

Además, si sus usuarios están sincronizados desde AD local. No olvide configurar la sincronización de contraseña (no se puede sincronizar ADFS aquí) con los hashes de credenciales NTLM y Kerberos para asegurarse de que los usuarios sincronizados puedan usar sus credenciales corporativas para iniciar sesión en los servidores y servicios en el dominio administrado. Más detalles aquí como referencia.

No sé acerca de su solución propuesta, pero con respecto a los servicios de Azure AD y Azure Active Directory Domain .....

Si la misma partición de Azure AD administra tanto su suscripción a Office 365 como a Azure, cuando habilite los servicios de dominio de Azure AD, todas sus cuentas de usuario y grupo de Azure AD estarán disponibles en el dominio recién creado. se embalan dentro de una unidad organizativa. por lo que se pueden usar las mismas cuentas de usuario para iniciar sesión en servidores unidos a su dominio de servicios de dominio de Azure AD.

puede administrar Azure AD Domain Services uniendo un servidor al dominio e instalando las herramientas de administración de Active Directory.

Sin embargo, una cosa a tener en cuenta es que si agrega usuarios a su partición de Azure AD, aparecerán en su dominio de Servicios de dominio de Azure AD, pero lo contrario no es cierto. Si agrega usuarios directamente a su dominio de Servicios de dominio de Azure AD, no aparecerán como Usuarios de Azure AD.