Şirket içi Active Directory'nize Yardımcı Olmak İçin Microsoft Azure Ne Yapabilir ve Yapamaz?

Yazar: Louise Ward
Yaratılış Tarihi: 5 Şubat 2021
Güncelleme Tarihi: 28 Haziran 2024
Anonim
Şirket içi Active Directory'nize Yardımcı Olmak İçin Microsoft Azure Ne Yapabilir ve Yapamaz? - Teknoloji
Şirket içi Active Directory'nize Yardımcı Olmak İçin Microsoft Azure Ne Yapabilir ve Yapamaz? - Teknoloji

İçerik


Kaynak: Rvlsoft / Dreamstime.com

Paket servisi:

Bu makalede, Microsoft Azure ve Server AD arasındaki benzerlikleri ve farklılıkları ve Azure AD'nin, bu bulut çağındaki şirket içi AD'nizin ve çoklu hizmet olanaklarının özelliklerini nasıl geliştirebileceğini tartışıyoruz.

Geçen gün Microsoft Azure Active Directory üzerindeki hayal kırıklığını dile getiren oldukça iyi boyutta bir devlet okulu sisteminin teknoloji direktörüyle konuşuyordum. Kısa bir süre önce, Azure AD uygulamasıyla kendilerine rehberlik etmeleri için konuyla ilgili bir KOBİ ekibine atandılar. Birkaç konferans görüşmesinden sonra, yönetmen daha önce bilmediklerinden daha fazlasını bilmediklerini düşündüğü şekilde “uzmanlarla” ortaklığı terk etti. “TechNet makalelerini olabildiğince kolay okuyabilirim” dedi.

Azure AD ve şirket içi AD'nin bir hibrit bulut ortamına entegrasyonuyla ilgili çok fazla karışıklık olduğu için bu şaşırtıcı değildir. Genellikle ilk varsayım, Azure AD'nin yalnızca geleneksel Sunucu AD'nin basit bir şekilde bulutta bulunan bir kopyası olduğudur. Bu yüzden bir şeyleri varsaymakla ilgili çok klişe var. (Bulut hizmetlerinin karşılaştırması için, bkz. Dört Büyük Bulut Oyuncusu: Avantaj ve Dezavantajları.)


Azure AD ve Sunucu AD'nin Farklı Ortamları

Gerçek şu ki, AD'nin bu iki sürümü benzerliklerinde olduğu kadar neredeyse farklılıklar gösteriyor. Bunun nedeni, her birinin farklı bir çevre etrafında inşa edilmiş olmasıdır.

BT uzmanları AD'ye başvurduğunda, hepimiz fiziksel düzlemde yaşayan yıllar boyunca alıştığımız geleneksel AD'ye atıfta bulunuyorlar. Sunucu AD, organizasyon, yönetilebilirlik ve politika ilkeleri etrafında inşa edilmiştir. Etki alanımızı alıp ortaklığı paylaşan kullanıcıların ve bilgisayarların bulunduğu daha küçük, daha yönetilebilir kurumsal birimlere ayırıyoruz. Belki de AD’niz fiziksel konumlara veya iş işlevine göre bölünmüştür. Hem kullanıcılar hem de kendi bilgisayarları, LDAP kullanarak etki alanı denetleyicilerinde oturum açtıkları ve Kerberos biletlerini kullanarak fiziksel kaynaklara eriştikleri için yetkilendirme işlemine katılırlar. Uygulamalar ISO dosyalarından doğar ve Grup İlkesi, masaüstlerini ve kullanıcılar için ayarları kilitler.


Ve sonra Azure var. Azure, bulut için oluşturuldu, yani web hizmetlerini desteklemek için özel olarak tasarlandı. Bulut, esneklik, çeviklik ve sürekli değişim hakkındadır. Azure, kuruluş birimlerinin ve Grup İlkesi nesnelerinin geçersiz olduğu, yapının yerinin önemsiz olduğu bir yapı olan düz bir yapıdır. Aslında, Azure, hepsi tek bir kaba konteynerde toplanan geniş bir nesne okyanusu. Uygulamaların hizmet olduğu, kullanıcıların kendi uzantılarının bulunduğu bir yer. Bu ortamdaki uygulamalar, yüklenmek yerine, basitçe atanır. Geleneksel AD, kullanıcı deneyimini mümkün olduğu kadar yönetilen ve kontrol ettiği için bilinirken, Azure AD, kullanıcı deneyimini olabildiğince akışkan kılmakla ilgilidir.

Azure AD ile Sunucu AD Arasındaki Ortaklıklar

Bu nedenle, Azure AD, Sunucu AD'nin bulut sürümü olarak tasarlanmamıştır. Geleneksel AD olarak web tabanlı internet servislerinin dünyasını desteklemek için asla inşa edilmediğini artırmak için inşa edilmiştir. Öyleyse, ikisi arasındaki benzerlikler ile başlayalım.

Selefi gibi, Azure AD kullanıcıları ve grupları barındırır. Karma bir bulut ortamında, AD yöneticileri, yerel şirket içi AD'leri içinde kullanıcılar oluşturabilir ve Azure AD Connect adlı bir aracı aracıyla Azure ile senkronize etmelerini sağlayabilir.

  • Şifre Senkronizasyonu - Kullanıcılar ve gruplar Azure AD ile eşitlendiğinden, kullanıcılar ikisi arasında eşitlendiği için hem şirket içi hem de bulutta oturum açabilir. Şirket içi otorite otorite olarak belirlendiğinden, Azure AD, yerel parola politikasını da kullanır.
  • Şifre Yazma - Kullanıcılar şifrelerini Azure AD'de değiştirebilir ve şirket içi yeniden yazmasını sağlayabilir. Bu, öğretmenler ve personel şifrelerinin yaz boyunca sona ermesi gibi bir okul sistemi gibi bir organizasyon için harika bir özellik. Şifrelerini değiştirmek için işe geri dönene kadar masalarında ve internet erişiminin kilitlenmesi yerine, istedikleri zaman Azure AD'deki evden yapabilirler.
  • Filtre Senkronizasyonu - Bu, yöneticilerin tam olarak hangi nesnelerin buluta senkronize edileceğini ve hangilerinin olmadığını seçmelerini sağlar.

Nasıl Farklılar?

Kullanıcılar ve gruplar aynı anda Azure AD ve Server AD içinde bir arada bulunabilirken, bilgisayar hesapları için durum böyle değildir. Azure, alıştığımız “etki alanına katılma” özelliğini sunmuyor. Bunun nedeni, Azure web ile ilgili olduğu için, LDAP ve Kerberos gibi geleneksel kimlik doğrulama protokollerinin geçersiz olduğu, ancak bunun yerine SAML, WS, Graph API ve OAuth 2.0 gibi web kimlik doğrulama protokollerine dayanan bir ortamdır. Bilgisayarlar Azure'a bağlı. Bunun anlamı, bilgisayar hesaplarının şirket içinde veya bulutta bulunabileceği, ancak her ikisinde de bulunamayacağıdır. (Active Directory'yi yönetmedeki en büyük sorunlardan bazıları hakkında bilgi edinmek için, bkz. İlk Beş Active Directory Yönetimi Ağrı Noktası.)

Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz

Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.

Bu, göründüğü kadar büyük bir mesele değil, ancak günümüzde pek çok kuruluşun aslında masaüstü bilgisayarlar ve mobil cihazlar gibi iki tür bilgisayar filosu vardır. Bu senaryoda, mobil cihazlar Azure bünyesinde bulunabilirken, masaüstü bilgisayarlar da yerinde bulunabilir. Öğrencilere birebir dizüstü bilgisayar hizmeti sunan K – 12 eğitim kurumları, Azure için de uygun bir seçimdir, çünkü her yıl sonunda binlerce dizüstü bilgisayar yeniden kullanılabilir ve bu sayede Azure için ideal adaylar haline gelir.

Belirtildiği gibi, Azure AD'nin Grup İlkesi işlevi yoktur, ancak Azure aygıtları, bir aygıtın tehlikeye girmesi durumunda güncelleme yönetimi ve uzaktan silme gibi özellikler sunan Microsoft Intune tarafından yönetilebilir. Ayrıca, Intune, daha ayrıntılı aygıt yönetimi sağlamak için Microsoft SCCM ile tümleştirilebilir.

Azure AD, IDaaS ile Tüm Kullanıcılar İçin Hayatı Kolaylaştırıyor

Alt satırda bu: Sunucu AD'si her şeyden önce bir dizin hizmeti çözümü iken, bazı dizin hizmeti özelliklerine sahip olan Azure AD bir kimlik çözümüdür. Kimlik yönetimi, Sunucu AD tasarlandığında bir sorun değildi, ancak günümüz organizasyonları için kritik bir unsur.

Bugün hemen hemen herhangi bir kuruluştaki kullanıcılar, Office 365, Saleforce.com, Dropbox, vb. Gibi sayısız bulut uygulamasını kullanmaktadır. Bulut uygulamaları ilk kez meyve vermeye başladığında, kullanıcıların her bir uygulama için kimliklerini doğrulamak zorunda kaldılar; bulut uygulama satıcıları farklı şifre politikaları uyguladıkları için, bazı durumlarda kullanıcıların birden fazla şifreyi yönetmesi gibi güvenlik açıkları.

Ardından, tek oturum açma veya SSO sunan Federasyon Hizmetleri geldi. Başlangıçta bu, bulut uygulamasının, kimlik doğrulama işlemini, yapılandırılmış bir federe sunucunun, kullanıcıyı yerel AD kimlik bilgilerine göre doğrulayacağı yerde, şirket içi AD'ye geri yönlendireceği anlamına geliyordu. Bu, kullanıcı için kolaylık sağladı, ancak her bir uygulama satıcısı için bir federasyon ilişkisi kurulması gerektiğinden, BT ekipleri için büyük miktarda manuel yapılandırma gerekliydi.

Ve sonra Azure AD'nin konusu olan bir Hizmet Olarak Kimlik (IDaaS) geldi.Azure AD, yüzlerce uygulamanın federasyonu için federasyonu yönetir ve Azure AD kullanıcılarının uygulamalarından uygulamaya sorunsuz bir şekilde, masaüstlerindeki travers uygulamaları kadar kolayca atlamalarını sağlar. Bir anlamda, Azure AD bir federasyon merkezidir.

Ek olarak, Azure AD kuruluşlara bulutta sanal bir etki alanı denetleyicisini barındırma yeteneği sunarak kullanıcılara mobil kimlik doğrulaması ve toplam bir şirket içi hata durumunda yedeklilik sunar. Evet, Azure AD ve Sunucu AD, birbirlerinin hizmetlerini çoğaltmaz; bunun yerine, her iki dünyanın da en iyisini kullanıcılara sunmak için bunları tamamlarlar.