Active Directory vs Active Directory Azure

[arne22]

Forsøker å lære meg litt om Active Directroy Directory services + Federation servises (lokalt) + Active Directory Azure. (Prinsipper rundt pålogging til cloudbasert løsning via/vha lokal Activ Directory server.) (Hybrid cloud.)

 

Slik som jeg tolker/forstår tingene så kan man aldri "styre sikkerheten" på en lokal PC via/vha en pålogging på Azure Active Directory (Cloud løsning kan aldri styre sikkerheten på lokale arbeidsstasjoner.) (??)

 

Motsatt så kan man godt logge seg på nettverket via en lokal server Active Directrory Directory Services + Federation Services som er satt opp for videre (automatisk) pålogging på tjenester/servere som kjører under Azure Active Directory.

 

Har jeg forstått dette rett? Stemmer påstandene over?

 

Mulig spørsmålet er "banalt" for den som kan dette, men sitter her og river meg litt i håret for å forstå hvordan en slik "hybridløsning" fungerer mht pålogging og tilganger/rettigheter.

 

Det ville vært veldig kjekt om "noen som har greie på det" kunne lagt et par ord som kommentar.  

Endret 26. mai 2018 av arne22

[xcomiii]

AD = On-premise. AzureAD = Cloud versjon av AD. Du kan enten bruke bare 1 av de, eller begge to i kombinasjon (Hybrid). 
AzureAD kan styre Win10 klienter dersom de er AzureAD joined (via Intune), ikke helt ulikt slik man styrer Windows klienter lokalt i et AD. 
AzureAD og vanlig AD gjør i praksis det samme (Directory database, authentication osv), men er helt forskjellig under panseret. 

ADFS er 1 av 3 autentiseringsvalg for AzureAD, de andre er Password Hash Sync og Pass-Trough-Authentication (PTA). ADFS er kun aktuelt for hybrid (og for store selskaper da det krever mye infrastruktur i bunnen). De 2 andre kan brukes både til hybrid og til AzureAD alene (cloud only scenario). ADFS er en gammel tjeneste som har eksistert før AzureAD, det brukes bl.a til federering mot andre selskaper/tjenester. 

 

I hybrid styrer AD rettigheter lokalt, i AzureAD styrer den alle rettigheter i skyen. Limet i mellom er AAD Connect, som i praksis er en synkroniseringsmotor, som konverterer lokale AD brukere til AzureAD brukere ute i skyen (og mye annet). 

 

Diskusjonen om når man skal benytte hvilken autentiseringsmetode er en omfattende sak...  

[arne22]

Mange takk for oppklarende og interessant svar. Sitter her med en liten testlab og forsøker etter beste evne å finne ut av tingene.

 

Tenkte det at det måtte være "utrolig praktisk" dersom man kunne "styre sikkerheten" på lokale Win 10 maskiner direkte fra "Azure Active Directory", og det forstår nå at det faktisk er mulig.

 

Med andre ord: Hvis man vil "minimere den lokale utstyrsmengden" så kan man faktisk bare abonere på de tjenestene som behøves for å styre sikkerheten på de lokale Windows 10 klientene.

 

Microsoft Intune var/er helt ukjent teknologi, for meg, men jeg fant en video som jeg en link til for senere bruk.

 

[NoTrace]

Klienthåndtering via AzureAD (Intune/EMS) er i vinden om dagen, og er absolutt noe du bør teste/labbe på.

[xcomiii]

Intune i kombinasjon er på vei til å bli standarden for administrasjon av Windows klienter (og mobile enheter). Det finnes relativt store bedrifter (1000+ ansatte) i Norge i dag som kun benytter Intune for Windows klienter og ikke styrer de via lokalt AD. 

 

En skikkelig nyttig funksjon, er AutoPilot i Intune. Det betyr at alle Win10 utgaver (også Home editition) kan automatisk bli administrert og konfigurert via Intune dersom man logger seg på med en bedriftskonto på en helt ren Win10 installasjon. Altså ingen tanking er nødvendig, bare å pakke opp en PC rett fra esken og rett på nett. 

[xcomiii]

Intune i kombinasjon er på vei til å bli standarden for administrasjon av Windows klienter (og mobile enheter). Det finnes relativt store bedrifter (1000+ ansatte) i Norge i dag som kun benytter Intune for Windows klienter og ikke styrer de via lokalt AD. 

 

En skikkelig nyttig funksjon, er AutoPilot i Intune. Det betyr at alle Win10 utgaver (også Home editition) kan automatisk bli administrert og konfigurert via Intune dersom man logger seg på med en bedriftskonto på en helt ren Win10 installasjon. Altså ingen tanking er nødvendig, bare å pakke opp en PC rett fra esken og rett på nett. 

Endret 27. mai 2018 av xcomiii

[NoTrace]

Ja, man tilstreber ofte å gå bort fra tradisjonelt AD for klienthåndtering. Det letter administrasjon, og man slipper voldsomme prosesser med bygging, vedlikehold og installasjon av image på PCen. 

I tillegg kan den settes opp hvor som helst i verden, så lenge det er internett-tilgang.

 

Hele konseptet blir litt mer som når du får en ny mobiltelefon, det er ikke noe poeng i at den skal ligge hos IT-avdelingen i dage-/ukevis.

[arne22]

Mange takk for interessant info. Her er en video som ser ut til å "kaste ennå litt lys" over saken:

 

[arne22]

Link til infoside hos Microsoft:

 

https://docs.microsoft.com/en-us/windows/client-management/manage-windows-10-in-your-organization-modern-management

[arne22]

Og en video som ser ut til å inneholde noe sentral info:

 

https://youtu.be/TEW3QQj-MDU

[Justaman]

Jeg har nylig satt opp mange maskiner med Autopilot/intune, og merker vi enda er i startgropen av denne teknologien. Det var flere ting vi savnet som dukket opp som features nesten underveis i prosjektet.

 

Er veldig glad for at jeg slapp å tanke alle de maskinene

[NoTrace]

Det er mye som mangler, men man havner ofte i fella at man skal konvertere alt det man har fra før.

Ofte krever det at man heller tenker lenger, og begynner å gjøre ting på helt nye måter.

Endret 25. oktober 2018 av NoTrace