Inhoud
- De verschillende omgevingen van Azure AD en Server AD
- De gemeenschappelijke elementen tussen Azure AD en Server AD
- Hoe ze anders zijn
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- Azure AD maakt het leven eenvoudiger voor alle gebruikers via IDaaS
Bron: Rvlsoft / Dreamstime.com
Afhaal:
In dit artikel bespreken we de overeenkomsten en verschillen tussen Microsoft Azure en Server AD, en hoe Azure AD de mogelijkheden van uw lokale AD kan verbeteren in dit tijdperk van de cloud en zijn dienstenaanbod.
Ik sprak onlangs met de technologieleider van een redelijk groot openbaar schoolsysteem die zijn frustratie over Microsoft Azure Active Directory uitte. Ze hadden onlangs een team van KMO's toegewezen gekregen om hen te helpen bij een Azure AD-implementatie. Na verschillende telefonische vergaderingen stopte de directeur met de 'experts' omdat hij erachter kwam dat ze niet veel meer wisten dan hij al deed. "Ik kan de TechNet-artikelen net zo gemakkelijk lezen als ze kunnen," grapte hij.
Dit is niet zo verwonderlijk, want er is veel verwarring over de integratie van Azure AD en lokale AD in een hybride cloudomgeving. Gewoonlijk is de aanvankelijke veronderstelling dat Azure AD gewoon een replicaversie is van de traditionele Server AD die zich gewoon in de cloud bevindt. Daarom zijn er zoveel clichés over het aannemen van dingen. (Zie De vier belangrijkste cloudspelers: voor- en nadelen voor een vergelijking van cloudservices.)
De verschillende omgevingen van Azure AD en Server AD
Het feit is dat deze twee versies van AD bijna net zoveel verschillen hebben als overeenkomsten. Dat komt omdat ze elk rond een andere omgeving zijn gebouwd.
Wanneer IT-professionals verwijzen naar AD, verwijzen ze naar de traditionele AD waaraan we in de loop der jaren gewend zijn geraakt die zich op fysiek vlak bevinden. Server AD is gebaseerd op de principes van organisatie, beheerbaarheid en beleid. We nemen ons domein en scheiden het in kleinere, beter beheersbare organisatie-eenheden waar gebruikers en computers die gemeenschappelijke overeenkomsten delen zich bevinden. Misschien is uw AD onderverdeeld op fysieke locaties of op taakfunctie. Zowel gebruikers als hun respectieve computers nemen deel aan het autorisatieproces wanneer ze zich aanmelden bij domeincontrollers met LDAP en toegang krijgen tot fysieke bronnen met Kerberos-tickets. Toepassingen worden geboren uit ISO-bestanden en groepsbeleid vergrendelt desktops en instellingen voor gebruikers.
En dan is er Azure. Azure is gebouwd voor de cloud, wat betekent dat het specifiek is ontworpen om webservices te ondersteunen. De cloud gaat over elasticiteit, behendigheid en voortdurende verandering. Azure is een platte structuur zonder organisatie-eenheden en groepsbeleidsobjecten, een structuur waarbij de locatie niet relevant is. Azure is in feite een enorme oceaan van objecten die allemaal zijn samengebracht in één gigantische container. Het is een plek waar applicaties services zijn, extensies van de gebruikers zelf. Toepassingen in deze omgeving worden eenvoudig toegewezen in plaats van geïnstalleerd. Hoewel traditionele AD bekend staat om de gebruikerservaring zo beheerd en gecontroleerd mogelijk te maken, gaat Azure AD over het zo vloeiend mogelijk maken van de gebruikerservaring.
De gemeenschappelijke elementen tussen Azure AD en Server AD
Azure AD is dus niet bedoeld als de cloudversie van Server AD. Het werd gebouwd om het te vergroten, omdat traditionele AD nooit werd gebouwd om de wereld van webgebaseerde internetdiensten te ondersteunen. Laten we beginnen met de overeenkomsten tussen de twee.
Net als zijn voorganger host Azure AD gebruikers en groepen. In een hybride cloudomgeving kunnen AD-beheerders gebruikers binnen hun lokale AD op locatie maken en ze laten synchroniseren met Azure door een intermediair hulpprogramma genaamd Azure AD Connect dat een aantal geweldige extra functies biedt.
- Wachtwoordsynchronisatie - Omdat gebruikers en groepen worden gesynchroniseerd met Azure AD, kunnen gebruikers zich zowel lokaal als in de cloud aanmelden, omdat wachtwoorden tussen de twee worden gesynchroniseerd. Omdat on-premise wordt aangewezen als de autoriteit, maakt Azure AD ook gebruik van het lokale wachtwoordbeleid.
- Terugschrijven wachtwoord - Gebruikers kunnen hun wachtwoorden binnen Azure AD wijzigen en ter plaatse laten terugschrijven. Dit is een fantastische functie voor een organisatie zoals een schoolsysteem waarbij wachtwoorden van leraren en personeel in de zomer verlopen. In plaats van te worden buitengesloten van hun en internettoegang tot ze weer aan het werk kunnen om hun wachtwoord aan hun bureau te wijzigen, kunnen ze dit op elk gewenst moment vanuit huis in Azure AD doen.
- Filter synchronisatie - Hiermee kunnen beheerders precies kiezen welke objecten worden gesynchroniseerd met de cloud en welke niet.
Hoe ze anders zijn
Hoewel gebruikers en groepen gelijktijdig kunnen bestaan binnen Azure AD en Server AD, is dat niet het geval voor computeraccounts. Azure biedt niet de functie 'domeinlidmaatschap' waaraan we gewend zijn geraakt. Dat komt omdat Azure over het web gaat, een omgeving zonder de traditionele authenticatieprotocollen zoals LDAP en Kerberos, maar in plaats daarvan vertrouwt op webauthenticatieprotocollen zoals SAML, WS, Graph API en OAuth 2.0. Computers zijn verbonden met Azure. Dit betekent dat computeraccounts zowel op locatie als in de cloud kunnen worden opgeslagen, maar niet beide. (Zie De top vijf van Active Directory-beheerpijnpunten voor meer informatie over enkele van de grootste problemen bij het beheer van Active Directory.)
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
Dit is echter niet zo belangrijk als het lijkt, omdat veel organisaties tegenwoordig twee soorten computerparken hebben, zoals desktops en mobiele apparaten. In dit scenario kunnen mobiele apparaten zich in Azure bevinden, terwijl desktops op locatie aanwezig zijn. K – 12 onderwijsinstellingen die een-op-een laptopvoorziening voor studenten aanbieden, passen ook goed bij Azure, omdat aan het einde van elk jaar duizenden laptops opnieuw worden afgebeeld, waardoor ze ideale kandidaten zijn voor Azure.
Zoals gezegd heeft Azure AD geen functionaliteit voor Groepsbeleid, maar Azure-apparaten kunnen worden beheerd door Microsoft Intune, dat functies biedt zoals updatebeheer en extern wissen als een apparaat in gevaar komt. Bovendien kan Intune worden geïntegreerd met Microsoft SCCM voor meer gedetailleerd apparaatbeheer.
Azure AD maakt het leven eenvoudiger voor alle gebruikers via IDaaS
Het komt erop neer: Server AD is eerst en vooral een directoryservice-oplossing, terwijl Azure AD, dat enkele directoryservicemogelijkheden biedt, een identiteitsoplossing is. Identiteitsbeheer was geen probleem toen Server AD werd bedacht, maar is een cruciaal element voor de organisaties van vandaag.
Gebruikers binnen zowat elke organisatie gebruiken tegenwoordig talloze cloud-applicaties zoals Office 365, Saleforce.com, Dropbox, etc. Toen cloud-applicaties voor het eerst tot stand kwamen, moesten gebruikers zich in elke applicatie authenticeren, wat erg inefficiënt bleek en veiligheid introduceerde kwetsbaarheden omdat gebruikers in sommige gevallen meerdere wachtwoorden moesten beheren, omdat leveranciers van cloudtoepassingen een ander wachtwoordbeleid afdwingen.
Toen kwam Federated Services die single sign-on of SSO aanbood. Aanvankelijk betekende dit dat de cloudtoepassing het authenticatieproces zou terugleiden naar de lokale AD waar een geconfigureerde federatieve server de gebruiker zou authenticeren op basis van hun lokale AD-referenties. Dit maakte het eenvoudiger voor de gebruiker, maar vereiste veel handmatige configuratie voor de IT-teams, omdat voor elke leverancier van een applicatie een federatieve relatie moest worden opgezet.
En toen kwam Identity as a Service (IDaaS), dat is waar Azure AD voor staat.Azure AD verzorgt de federatie voor honderden applicaties zelf, waardoor Azure AD-gebruikers bijna net zo gemakkelijk naadloos van applicatie naar applicatie kunnen springen als applicaties op hun bureaublad. In zekere zin is Azure AD een federatiehub.
Bovendien biedt Azure AD organisaties de mogelijkheid om een virtuele domeincontroller in de cloud te hosten, waardoor gebruikers mobiele authenticatie en redundantie bieden in het geval van een totale interne fout. Ja, Azure AD en Server AD repliceren elkaars services niet, maar vullen deze aan en bieden gebruikers het beste van twee werelden.