Indhold
- De forskellige miljøer i Azure AD og Server AD
- Almindelighederne mellem Azure AD og Server AD
- Hvordan de er forskellige
- Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
- Azure AD gør livet lettere for alle brugere gennem IDaaS
Kilde: Rvlsoft / Dreamstime.com
Tag væk:
I denne artikel diskuterer vi lighederne og forskellene mellem Microsoft Azure og Server AD, og hvordan Azure AD kan forbedre kapaciteterne på dit lokale AD i denne tidsalder i skyen og dens flere servicetilbud.
Jeg talte med teknologidirektøren for et forholdsvis godt offentligt skolesystem forleden, der formidlede sin frustration over Microsoft Azure Active Directory. De havde for nylig fået tildelt et team af SMV'er om emnet til at hjælpe dem med at gennemføre en Azure AD-implementering. Efter flere konferenceopkald opgav direktøren partnerskabet med ”eksperterne”, da han regnede ud, at de ikke vidste meget mere, end han allerede gjorde. ”Jeg kan læse TechNet-artiklerne lige så let som de kan,” sagde han.
Dette er ikke så overraskende, da der er meget forvirring med hensyn til integrationen af Azure AD og lokal-AD i et hybrid skymiljø. Normalt er den indledende antagelse, at Azure AD simpelthen er en kopi-version af den traditionelle Server AD, der simpelthen er bosiddende i skyen. Derfor er der så mange klichéer om at antage ting. (For en sammenligning af skytjenester, se De fire store skyafspillere: fordele og ulemper.)
De forskellige miljøer i Azure AD og Server AD
Faktum er, at disse to versioner af AD har næsten lige så mange forskelle, som de gør ligheder. Det er fordi de hver især er bygget omkring et andet miljø.
Når it-fagfolk henviser til AD, henviser de til den traditionelle AD, som vi alle er vant til i årenes løb, der bor på det fysiske plan. Server AD er bygget op omkring principperne om organisering, håndterbarhed og politik. Vi tager vores domæne og adskiller det til mindre, mere håndterbare organisatoriske enheder, hvor brugere og computere, der deler fælles, bor. Måske er din annonce opdelt efter fysiske placeringer eller efter jobfunktion. Både brugere og deres respektive computere deltager i godkendelsesprocessen, når de logger på domænecontrollere ved hjælp af LDAP og får adgang til fysiske ressourcer ved hjælp af Kerberos-billetter. Programmer er født fra ISO-filer, og gruppepolitikken låser desktops og indstillinger for brugere.
Og så er der Azure. Azure blev konstrueret til skyen, hvilket betyder, at den er designet specifikt til at understøtte webtjenester. Skyen handler om elasticitet, smidighed og evig ændring. Azure er en flad struktur tom for organisatoriske enheder og gruppepolitiske objekter, en struktur, hvor placering er irrelevant. Faktisk er Azure et stort hav af genstande, der alle samles i en humongøs container. Det er et sted, hvor applikationer er tjenester, udvidelser af brugerne selv. Programmer i dette miljø tildeles simpelthen snarere end installeret. Mens traditionel AD er kendt for at gøre brugeroplevelsen så styret og kontrolleret som muligt, handler Azure AD om at gøre brugeroplevelsen så flydende som muligt.
Almindelighederne mellem Azure AD og Server AD
Så Azure AD er ikke beregnet til at være skyversionen af Server AD. Det blev konstrueret til at udvide det, da traditionel e.Kr. aldrig blev bygget til at understøtte verdenen af webbaserede internettjenester. Så lad os starte med lighederne mellem de to.
Som sin forgænger er Azure AD vært for brugere og grupper. I et hybrid skymiljø kan AD-administratorer oprette brugere inden for deres lokale lokal-AD og få dem synkroniseret til Azure af et mellemværktøj kaldet Azure AD Connect, der tilbyder nogle gode tilføjede funktioner.
- Adgangskodssynkronisering - Da brugere og grupper er synkroniseret med Azure AD, kan brugerne logge på både på stedet og i skyen, da adgangskoder synkroniseres mellem de to. Da stedet er udpeget som myndighed, bruger Azure AD også den lokale adgangskodepolitik.
- Password Writeback - Brugere kan ændre deres adgangskoder inden for Azure AD og få dem skrevet tilbage til stedet. Dette er en fantastisk funktion for en organisation såsom et skolesystem, hvor lærere og personalets adgangskoder udløber i løbet af sommeren. I stedet for at blive låst uden for deres internetadgang, indtil de kan vende tilbage til arbejde for at ændre deres adgangskode ved deres skrivebord, kan de når som helst gøre det hjemmefra i Azure AD.
- Filtrersynkronisering - Dette giver administratorer mulighed for at vælge nøjagtigt, hvilke objekter der skal synkroniseres med skyen, og hvilke der ikke er.
Hvordan de er forskellige
Mens brugere og grupper kan sameksistere i Azure AD og Server AD på samme tid, er det ikke tilfældet for computerkonti. Azure tilbyder ikke funktionen "domænedeltagelse", som vi er vant til. Dette skyldes, at Azure handler om nettet, et miljø, der er ugyldigt for de traditionelle autentificeringsprotokoller, såsom LDAP og Kerberos, men i stedet er afhængig af webautentificeringsprotokoller som SAML, WS, Graph API og OAuth 2.0. Computere er forbundet til Azure. Hvad dette betyder er, at computerkonti enten kan opholde sig på stedet eller i skyen, men ikke begge dele. (Se The Top Five Active Directory Management Pain Points for at lære om nogle af de største problemer med styring af Active Directory.)
Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.
Dette er ikke så stort, som det ser ud til, da mange organisationer i dag faktisk har to typer computerflåder såsom desktops og mobile enheder. I dette scenarie kunne mobile enheder opholde sig i Azure, mens desktops bor på stedet. K – 12-uddannelsesinstitutioner, der tilbyder en-til-en-laptop-levering til studerende, passer også godt til Azure, da tusinder af bærbare computere genanvendes i slutningen af hvert år, hvilket gør dem til ideelle kandidater til Azure.
Som nævnt har Azure AD ingen Group Policy-funktionalitet, men Azure-enheder kan dog administreres af Microsoft Intune, der tilbyder funktioner såsom opdateringsstyring og fjernsletning, hvis en enhed bliver kompromitteret. Desuden kan Intune integreres med Microsoft SCCM for at give mere granuleret enhedsstyring.
Azure AD gør livet lettere for alle brugere gennem IDaaS
Den nederste linje er denne: Server AD er først og fremmest en katalogtjenesteløsning, mens Azure AD, som har nogle katalogtjenestefunktioner, er en identitetsløsning. Identitetsstyring var ikke et problem, da Server AD blev undfanget, men er et kritisk element for dagens organisationer.
Brugere inden for næsten enhver organisation i dag bruger adskillige cloud-applikationer som Office 365, Saleforce.com, Dropbox osv. Da cloud-applikationer først kom i brug, måtte brugerne autentificere sig i hver applikation, hvilket viste sig at være meget ineffektivt og indførte sikkerhed sårbarheder, da brugere i nogle tilfælde måtte administrere flere adgangskoder, da leverandører af cloud-applikationer håndhævede forskellige adgangskodepolitikker.
Derefter kom Federated Services, der tilbød single sign-on eller SSO. Oprindeligt betød dette, at skyapplikationen ville omdanne godkendelsesprocessen tilbage til brugerens lokal-AD, hvor en konfigureret fødereret server ville autentificere brugeren i henhold til deres lokale AD-legitimationsoplysninger. Dette gjorde det lettere for brugeren, men krævede en masse manuel konfiguration for IT-holdene, da der skulle etableres et fødereret forhold for hver eneste applikationsleverandør.
Og så kom Identity as a Service (IDaaS), som Azure AD handler om.Azure AD håndterer føderationen for hundreder af applikationer i sig selv, hvilket giver Azure AD-brugere mulighed for problemfrit at hoppe fra applikation til applikation næsten lige så let som at krydse applikationer på deres desktop. På en måde er Azure AD et føderationsknutepunkt.
Derudover tilbyder Azure AD organisationer muligheden for at være vært for en virtuel domænekontroller i skyen og tilbyder brugerne mobilgodkendelse såvel som redundans i tilfælde af en total lokalbedømmelse. Ja, Azure AD og Server AD replikerer ikke hinandens tjenester, de supplerer i stedet for det, der tilbyder det bedste fra begge verdener til brugerne i dag.