Gå til innhold

Active Directory vs Active Directory Azure


Anbefalte innlegg

Forsøker å lære meg litt om Active Directroy Directory services + Federation servises (lokalt) + Active Directory Azure. (Prinsipper rundt pålogging til cloudbasert løsning via/vha lokal Activ Directory server.) (Hybrid cloud.)

 

Slik som jeg tolker/forstår tingene så kan man aldri "styre sikkerheten" på en lokal PC via/vha en pålogging på Azure Active Directory (Cloud løsning kan aldri styre sikkerheten på lokale arbeidsstasjoner.) (??)

 

Motsatt så kan man godt logge seg på nettverket via en lokal server Active Directrory Directory Services + Federation Services som er satt opp for videre (automatisk) pålogging på tjenester/servere som kjører under Azure Active Directory.

 

Har jeg forstått dette rett? Stemmer påstandene over?

 

Mulig spørsmålet er "banalt" for den som kan dette, men sitter her og river meg litt i håret for å forstå hvordan en slik "hybridløsning" fungerer mht pålogging og tilganger/rettigheter.

 

Det ville vært veldig kjekt om "noen som har greie på det" kunne lagt et par ord som kommentar.  

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse

AD = On-premise. AzureAD = Cloud versjon av AD. Du kan enten bruke bare 1 av de, eller begge to i kombinasjon (Hybrid). 
AzureAD kan styre Win10 klienter dersom de er AzureAD joined (via Intune), ikke helt ulikt slik man styrer Windows klienter lokalt i et AD. 
AzureAD og vanlig AD gjør i praksis det samme (Directory database, authentication osv), men er helt forskjellig under panseret. 

ADFS er 1 av 3 autentiseringsvalg for AzureAD, de andre er Password Hash Sync og Pass-Trough-Authentication (PTA). ADFS er kun aktuelt for hybrid (og for store selskaper da det krever mye infrastruktur i bunnen). De 2 andre kan brukes både til hybrid og til AzureAD alene (cloud only scenario). ADFS er en gammel tjeneste som har eksistert før AzureAD, det brukes bl.a til federering mot andre selskaper/tjenester. 

 

I hybrid styrer AD rettigheter lokalt, i AzureAD styrer den alle rettigheter i skyen. Limet i mellom er AAD Connect, som i praksis er en synkroniseringsmotor, som konverterer lokale AD brukere til AzureAD brukere ute i skyen (og mye annet). 

 

Diskusjonen om når man skal benytte hvilken autentiseringsmetode er en omfattende sak...  

Lenke til kommentar

Mange takk for oppklarende og interessant svar. Sitter her med en liten testlab og forsøker etter beste evne å finne ut av tingene.

 

Tenkte det at det måtte være "utrolig praktisk" dersom man kunne "styre sikkerheten" på lokale Win 10 maskiner direkte fra "Azure Active Directory", og det forstår nå at det faktisk er mulig.

 

Med andre ord: Hvis man vil "minimere den lokale utstyrsmengden" så kan man faktisk bare abonere på de tjenestene som behøves for å styre sikkerheten på de lokale Windows 10 klientene.

 

Microsoft Intune var/er helt ukjent teknologi, for meg, men jeg fant en video som jeg en link til for senere bruk.

 

Lenke til kommentar

Intune i kombinasjon er på vei til å bli standarden for administrasjon av Windows klienter (og mobile enheter). Det finnes relativt store bedrifter (1000+ ansatte) i Norge i dag som kun benytter Intune for Windows klienter og ikke styrer de via lokalt AD. 

 

En skikkelig nyttig funksjon, er AutoPilot i Intune. Det betyr at alle Win10 utgaver (også Home editition) kan automatisk bli administrert og konfigurert via Intune dersom man logger seg på med en bedriftskonto på en helt ren Win10 installasjon. Altså ingen tanking er nødvendig, bare å pakke opp en PC rett fra esken og rett på nett. 

Lenke til kommentar

Intune i kombinasjon er på vei til å bli standarden for administrasjon av Windows klienter (og mobile enheter). Det finnes relativt store bedrifter (1000+ ansatte) i Norge i dag som kun benytter Intune for Windows klienter og ikke styrer de via lokalt AD. 

 

En skikkelig nyttig funksjon, er AutoPilot i Intune. Det betyr at alle Win10 utgaver (også Home editition) kan automatisk bli administrert og konfigurert via Intune dersom man logger seg på med en bedriftskonto på en helt ren Win10 installasjon. Altså ingen tanking er nødvendig, bare å pakke opp en PC rett fra esken og rett på nett. 

Endret av xcomiii
Lenke til kommentar

Ja, man tilstreber ofte å gå bort fra tradisjonelt AD for klienthåndtering. Det letter administrasjon, og man slipper voldsomme prosesser med bygging, vedlikehold og installasjon av image på PCen. 

I tillegg kan den settes opp hvor som helst i verden, så lenge det er internett-tilgang.

 

Hele konseptet blir litt mer som når du får en ny mobiltelefon, det er ikke noe poeng i at den skal ligge hos IT-avdelingen i dage-/ukevis.

Lenke til kommentar
  • 4 måneder senere...

Jeg har nylig satt opp mange maskiner med Autopilot/intune, og merker vi enda er i startgropen av denne teknologien. Det var flere ting vi savnet som dukket opp som features nesten underveis i prosjektet.

 

Er veldig glad for at jeg slapp å tanke alle de maskinene :)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...