AzureADとAzureActive Directoryドメインサービス:同期しますか?移行しますか?
用語
veryの類似した用語を前提として、私が尋ねている2つのことを説明しましょう...
まず、 Azure Active Directory 。これは、o365を支えるディレクトリサービスです。資格情報を同期して、SAMLおよびその他のいくつかのビットを介してSSOに使用できますが、基本的にはそれだけです。
次に、 Azure Active Directoryドメインサービス 。これは、Windows 2000(OU、グループポリシー、NTLMなど)以降にわかっているように、ADDSにはるかに近いものですが、as-a-serviceとして提供されています。 。たくさんの制限があります(ドメイン管理者権限、スキーマ拡張、DCへの直接アクセスはありません)が、従来の方法でサーバーをドメインに参加させることができます。
それらの名前が非常に似ているため、それらがどのように相互作用するかについてのany情報を取得しようとすると、非常に苛立たしいGoogleの結果になります。
私の目標
私の目標は、可能な限りクラウドに移行することです。すでにExchangeとSharePointをo365経由で移動しており、オンプレミスのADをAzureADと同期しています。独自のDCをAzureVMとして構築するのではなく、すべてのサーバーもAzureに移動し、AzureADドメインサービスを使用したいと考えています。そのすべてが達成可能のようです。
重要な要件:o365メールボックスにログインするユーザーが、Azure ADドメインサービスドメインにドメイン結合されているサーバー(またはサーバー上で実行されているサービス)へのログインに使用するのと同じ資格情報を使用してログインするようにします。
私の質問
その重要な要件をどのように達成しますか?!
「拡張」または「アップグレード」しますか?私のAzureADインスタンスからAzureAD DSインスタンス?そうするためのオプションはないようです。
どういうわけか、AzureADとAzureAD DSインスタンスを同期しますか?これは、ADConnectツールを実行するためにVMを構築することを意味しますか?
このトピックについてはほとんど何も書かれていないようです(私が見つけることができます!)ので、あなたの洞察は大いに感謝されます!
重要な要件の場合:
はい、Azure ADドメインサービス機能を有効にして、ユーザーアカウントと資格情報のハッシュがAzureADからAzureAD DS管理対象ドメインに正常に同期されるのを待つと実現できます。
他の2つの質問の場合:
Azure ADドメインサービスを有効にする機能は、次のようにAzure ADページ(Azureクラシックポータル)の[構成]タブにあります。詳細については、ドキュメント ここ を参照してください。
AzureADからAzureADへの同期DS管理対象ドメインは自動的に開始され、バックグラウンドで一方向/単方向になります。詳細 ここ 。
さらに、ユーザーがオンプレミスのADから同期されている場合。同期されたユーザーが企業の資格情報を使用して管理対象ドメインのサーバーとサービスにログインできるように、NTLMおよびKerberos資格情報ハッシュを使用してパスワード同期(ここではADFS同期はできません)を構成することを忘れないでください。詳細 ここ 参考のために。
提案されたソリューションについてはわかりませんが、AzureADおよびAzureActiveDirectoryドメインサービスについては.....
同じAzureADパーティションがOffice365とAzureサブスクリプションの両方を管理している場合、Azure ADドメインサービスを有効にすると、新しく作成されたドメインですべてのAzureADユーザーアカウントとグループアカウントを使用できるようになります。それらはOU内で作成されます。そのため、同じユーザーアカウントを使用して、AzureADドメインサービスドメインに参加しているサーバーにログインできます。
サーバーをドメインに参加させ、Active Directory管理ツールをインストールすることで、AzureADドメインサービスを管理できます。
ただし、Azure ADパーティションにユーザーを追加すると、ユーザーはAzure ADドメインサービスドメインに表示されますが、その逆は当てはまりません。ユーザーをAzureADドメインサービスドメインに直接追加した場合、そのユーザーはAzureADユーザーとして表示されません。