Съдържание
- Различните среди на Azure AD и Server AD
- Общите характеристики между Azure AD и Server AD
- Как са различни
- Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
- Azure AD прави живота по-лесен за всички потребители чрез IDaaS
Източник: Rvlsoft / Dreamstime.com
За вкъщи:
В тази статия обсъждаме приликите и разликите между Microsoft Azure и Server AD, както и как Azure AD може да подобри възможностите на вашия локален AD в тази ера на облака и множеството му предложения за услуги.
Разговарях с технологичния директор на обществено училищна система с доста добри размери онзи ден, който предаваше недоволството си от Microsoft Azure Active Directory. Наскоро им беше назначен екип от МСП по този въпрос, който да им помогне да ги насочат към прилагането на Azure AD. След няколко конферентни разговора режисьорът се отказа от партньорството с „експертите“, тъй като разбра, че те не знаят много повече, отколкото той вече. „Мога да чета статиите на TechNet също толкова лесно, колкото те могат“, каза той.
Това не е толкова изненадващо, тъй като има много объркване относно интеграцията на Azure AD и на база AD в хибридна облачна среда. Обикновено първоначалното предположение е, че Azure AD е просто копие версия на традиционния сървър AD, който просто пребивава в облака. Ето защо има толкова много клишета за поемането на неща. (За сравнение на облачните услуги вижте Четирите основни облачни играчи: плюсове и минуси.)
Различните среди на Azure AD и Server AD
Факт е, че тези две версии на AD имат почти толкова разлики, колкото и приликите. Това е така, защото всяка от тях е изградена в различна среда.
Когато ИТ специалистите се позовават на AD, те имат предвид традиционната AD, към която всички сме свикнали през годините, които пребивават във физическия план. Сървър АД е изграден около принципите на организация, управляемост и политика. Ние вземаме нашия домейн и го разделяме на по-малки, по-управляеми организационни единици, в които живеят потребители и компютри, които споделят общо. Може би вашата AD е разделена по физически места или по функция на работа. И потребителите, и съответните им компютри участват в процеса на разрешаване, докато влизат в контролерите на домейни с помощта на LDAP и имат достъп до физически ресурси с помощта на билети Kerberos. Приложенията са създадени от ISO файлове, а груповата политика блокира работните плотове и настройките за потребителите.
И тогава има Azure. Azure е конструиран за облака, което означава, че е създаден специално за поддръжка на уеб услуги. Облакът е свързан с еластичност, гъвкавост и постоянна промяна. Azure е плоска структура, лишена от организационни единици и обекти на груповата политика, структура, в която местоположението е без значение. Всъщност Azure е огромен океан от предмети, всички събрани в един humongous контейнер. Това е място, в което приложенията са услуги, разширения на самите потребители. Приложенията в тази среда са просто присвоени, а не инсталирани. Въпреки че традиционният AD е известен с това, че прави потребителското изпитване възможно най-управлявано и контролирано, Azure AD се стреми да направи потребителското изживяване възможно най-течно.
Общите характеристики между Azure AD и Server AD
Така че, Azure AD не е предназначена да бъде облачната версия на Server AD. Той е създаден, за да го увеличи, тъй като традиционната AD никога не е била изградена в подкрепа на света на уеб-базирани интернет услуги. Нека започнем с приликите между двете.
Подобно на своя предшественик, Azure AD е домакин на потребители и групи. В хибридна облачна среда, AD администраторите могат да създават потребители в локалния локален AD и да ги синхронизират с Azure чрез посреднически инструмент, наречен Azure AD Connect, който предлага някои страхотни добавени функции.
- Синхронизиране с парола - Тъй като потребителите и групите се синхронизират с Azure AD, потребителите могат да влизат както в помещението, така и в облака, тъй като паролите се синхронизират между двете. Тъй като на място е определен авторитетът, Azure AD използва и местната политика за пароли.
- Записване на парола - Потребителите могат да променят паролите си в Azure AD и да ги върнат обратно на място. Това е фантастична функция за организация като училищна система, в която паролата за учители и служители изтича през лятото. Вместо да бъдат заключени извън техния достъп до интернет, докато не могат да се върнат на работа, за да променят паролата си на бюрото си, те могат да го направят от дома си в Azure AD по всяко време.
- Синхронизация на филтрите - Това позволява на администраторите да избират точно кои обекти са синхронизирани в облака и кои не са.
Как са различни
Докато потребителите и групите могат да съществуват едновременно в Azure AD и Server AD, това не е така за компютърните акаунти. Azure не предлага функцията „присъединяване към домейн“, с която сме свикнали. Това е така, защото Azure е свързана с мрежата, обстановка, която е невалидна от традиционните протоколи за удостоверяване като LDAP и Kerberos, но вместо това разчита на уеб протоколи за удостоверяване като SAML, WS, Graph API и OAuth 2.0. Компютрите са свързани с Azure. Това означава, че компютърните акаунти могат да пребивават в помещение или в облака, но не и двете. (За да научите за някои от най-големите проблеми при управлението на Active Directory, вижте Петте най-добри точки за болка при управление на Active Directory.)
Без грешки, без стрес - Вашето стъпка по стъпка ръководство за създаване на софтуер, променящ живота, без да разрушава живота ви
Не можете да подобрите уменията си за програмиране, когато никой не се интересува от качеството на софтуера.
Това обаче не е толкова голяма работа, колкото изглежда, тъй като днес много организации всъщност разполагат с два вида компютърни флоти като настолни компютри и мобилни устройства. В този сценарий мобилните устройства могат да пребивават в Azure, докато настолните компютри пребивават в помещението. K-12 образователни институции, които предлагат осигуряване на лаптоп едно към едно са подходящи за Azure, тъй като хиляди лаптопи се преобразуват в края на всяка година, което ги прави идеални кандидати за Azure.
Както споменахме, Azure AD няма функционалност за групови правила, обаче, устройствата на Azure могат да бъдат управлявани от Microsoft Intune, който предлага функции като управление на актуализациите и отдалечено изтриване, ако устройството се компрометира. Освен това Intune може да бъде интегриран с Microsoft SCCM, за да осигури по-подробно управление на устройството.
Azure AD прави живота по-лесен за всички потребители чрез IDaaS
Долният ред е следният: Server AD е преди всичко решение за обслужване на директории, докато Azure AD, който има някои възможности за обслужване на директории, е решение за идентичност. Управлението на идентичността не беше проблем при създаването на сървъра AD, а е критичен елемент за днешните организации.
Потребителите в почти всяка организация днес използват многобройни облачни приложения като Office 365, Saleforce.com, Dropbox и др. Когато облачните приложения за пръв път се реализираха, потребителите трябваше да се удостоверят във всяко приложение, което се оказа много неефективно и въведе сигурност уязвимости, тъй като потребителите трябваше да управляват множество пароли в някои случаи, тъй като доставчиците на облачни приложения прилагаха различни политики за пароли.
След това дойдоха Federated Services, които предлагаха единична регистрация или SSO. Първоначално това означаваше, че приложението в облака ще пренасочи процеса на удостоверяване обратно към собствения AD на потребителя, където конфигуриран федерален сървър ще удостоверява потребителя според техните местни AD идентификационни данни. Това улесни потребителя, но изискваше много ръчна конфигурация за ИТ екипите, тъй като трябваше да се създаде федеративна връзка за всеки доставчик на приложения.
И тогава се появи Identity като услуга (IDaaS), което е това, което Azure AD представлява.Azure AD се справя с федерацията за стотици приложения, което позволява на потребителите на Azure AD безпроблемно да прескачат от приложение на приложение почти толкова лесно, колкото да обикалят приложения на работния си плот. В известен смисъл Azure AD е център за федерация.
В допълнение, Azure AD предлага на организациите възможността да домакин на виртуален контролер на домейн в облака, предлагайки на потребителите мобилно удостоверяване, както и съкращаване в случай на пълна повреда в помещението. Да, Azure AD и Server AD не възпроизвеждат взаимно услугите си, вместо това ги допълват, предлагайки най-доброто от двата свята на потребителите днес.