O que o Microsoft Azure pode e não pode fazer para ajudar seu Active Directory local

Autor: Louise Ward
Data De Criação: 5 Fevereiro 2021
Data De Atualização: 28 Junho 2024
Anonim
O que o Microsoft Azure pode e não pode fazer para ajudar seu Active Directory local - Tecnologia
O que o Microsoft Azure pode e não pode fazer para ajudar seu Active Directory local - Tecnologia

Contente


Fonte: Rvlsoft / Dreamstime.com

Leve embora:

Neste artigo, discutimos as semelhanças e diferenças entre o Microsoft Azure e o Server AD e como o Azure AD pode aprimorar os recursos do seu AD no local nesta era da nuvem e suas múltiplas ofertas de serviços.

Eu estava conversando com o diretor de tecnologia de um sistema escolar público de tamanho bastante bom outro dia, que estava transmitindo sua frustração pelo Microsoft Azure Active Directory. Eles receberam recentemente uma equipe de PME sobre o assunto para ajudar a orientá-las na implementação do Azure AD. Após várias teleconferências, o diretor abandonou a parceria com os "especialistas", pois descobriu que eles não sabiam muito mais do que ele já sabia. "Eu posso ler os artigos do TechNet da maneira mais fácil possível", ele brincou.

Isso não é tão surpreendente, pois há muita confusão sobre a integração do Azure AD e do AD local em um ambiente de nuvem híbrida. Geralmente, a suposição inicial é que o Azure AD é simplesmente uma versão de réplica do Server AD tradicional que simplesmente reside na nuvem. É por isso que existem tantos clichês sobre assumir coisas. (Para uma comparação dos serviços em nuvem, consulte Os quatro principais participantes da nuvem: prós e contras.)


Os diferentes ambientes do Azure AD e Server AD

O fato é que essas duas versões do AD têm quase tantas diferenças quanto semelhanças. Isso ocorre porque eles são construídos em torno de um ambiente diferente.

Quando os profissionais de TI se referem ao AD, estão se referindo ao AD tradicional com o qual todos nos acostumamos ao longo dos anos que residem no plano físico. O Server AD é construído em torno dos princípios de organização, capacidade de gerenciamento e política. Pegamos nosso domínio e o separamos em unidades organizacionais menores e mais gerenciáveis, onde residem usuários e computadores que compartilham pontos em comum. Talvez o seu AD esteja dividido por locais físicos ou por função. Os usuários e seus respectivos computadores participam do processo de autorização ao fazer logon nos controladores de domínio usando LDAP e acessar recursos físicos usando tíquetes Kerberos. Os aplicativos nascem de arquivos ISO e a Diretiva de Grupo bloqueia as áreas de trabalho e as configurações dos usuários.


E depois há o Azure. O Azure foi construído para a nuvem, o que significa que ele foi projetado especificamente para oferecer suporte a serviços da Web. A nuvem trata de elasticidade, agilidade e alteração permanente. O Azure é uma estrutura plana sem unidades organizacionais e objetos de Diretiva de Grupo, uma estrutura na qual o local é irrelevante. De fato, o Azure é um vasto oceano de objetos, todos reunidos em um recipiente enorme. É um local em que aplicativos são serviços, extensões dos próprios usuários. Os aplicativos nesse ambiente são simplesmente atribuídos em vez de instalados. Embora o AD tradicional seja conhecido por tornar a experiência do usuário o mais gerenciada e controlada possível, o Azure AD é sobre tornar a experiência do usuário o mais fluida possível.

As comunalidades entre o Azure AD e o Server AD

Portanto, o Azure AD não pretende ser a versão em nuvem do Server AD. Foi construído para aumentá-lo, já que o AD tradicional nunca foi construído para oferecer suporte ao mundo dos serviços de Internet baseados na Web. Então, vamos começar com as semelhanças entre os dois.

Como seu antecessor, o Azure AD hospeda usuários e grupos. Em um ambiente de nuvem híbrida, os administradores do AD podem criar usuários no AD local local e sincronizá-los com o Azure por uma ferramenta intermediária chamada Azure AD Connect, que oferece alguns recursos adicionais excelentes.

  • Sincronização de senha - Como usuários e grupos são sincronizados com o Azure AD, os usuários podem fazer logon no local e na nuvem, pois as senhas são sincronizadas entre os dois. Como o local é designado como autoridade, o Azure AD também usa a política de senha local.
  • Gravação de senha - Os usuários podem alterar suas senhas no Azure AD e escrevê-las novamente no local. Esse é um recurso fantástico para uma organização como um sistema escolar em que as senhas de professores e funcionários expiram no verão. Em vez de ficarem bloqueados no acesso a eles e à Internet, até que possam voltar ao trabalho para alterar sua senha na mesa, eles podem fazê-lo em casa no Azure AD a qualquer momento.
  • Sincronização de filtro - Isso permite que os administradores escolham exatamente quais objetos serão sincronizados com a nuvem e quais não.

Como eles são diferentes

Embora usuários e grupos possam coexistir no Azure AD e no Server AD simultaneamente, esse não é o caso das contas de computador. O Azure não oferece o recurso "ingresso no domínio" ao qual nos acostumamos. Isso ocorre porque o Azure é sobre a Web, um ambiente vazio dos protocolos de autenticação tradicionais, como LDAP e Kerberos, mas depende de protocolos de autenticação da Web, como SAML, WS, Graph API e OAuth 2.0. Os computadores estão conectados ao Azure. O que isso significa é que as contas de computador podem residir no local ou na nuvem, mas não as duas. (Para aprender sobre alguns dos maiores problemas no gerenciamento do Active Directory, consulte Os cinco principais pontos problemáticos de gerenciamento do Active Directory.)

Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida

Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.

No entanto, isso não é tão importante quanto parece, pois muitas organizações atualmente têm dois tipos de frotas de computadores, como desktops e dispositivos móveis. Nesse cenário, os dispositivos móveis podem residir no Azure enquanto as áreas de trabalho residem no local. As instituições de ensino fundamental e médio que oferecem provisionamento individual de laptop para os alunos também se adaptam ao Azure, pois milhares de laptops são recriados em imagens no final de cada ano, tornando-os candidatos ideais para o Azure.

Como mencionado, o Azure AD não possui funcionalidade de Diretiva de Grupo; no entanto, os dispositivos do Azure podem ser gerenciados pelo Microsoft Intune, que oferece recursos como gerenciamento de atualizações e limpeza remota caso um dispositivo seja comprometido. Além disso, o Intune pode ser integrado ao Microsoft SCCM para fornecer gerenciamento de dispositivos mais granular.

O Azure AD facilita a vida de todos os usuários por meio do IDaaS

A linha inferior é a seguinte: o Server AD é antes de tudo uma solução de serviço de diretório, enquanto o Azure AD, que possui alguns recursos de serviço de diretório, é uma solução de identidade. O gerenciamento de identidades não foi um problema quando o Server AD foi concebido, mas é um elemento crítico para as organizações de hoje.

Atualmente, os usuários de praticamente qualquer organização utilizam numerosos aplicativos em nuvem, como Office 365, Saleforce.com, Dropbox, etc. Quando os aplicativos em nuvem foram concretizados, os usuários tiveram que se autenticar em todos os aplicativos, o que se mostrou muito ineficiente e introduziu segurança vulnerabilidades, pois os usuários precisavam gerenciar várias senhas em alguns casos, pois os fornecedores de aplicativos em nuvem aplicavam políticas de senha diferentes.

Depois vieram os Serviços Federados, que ofereciam logon único ou SSO. Inicialmente, isso significava que o aplicativo em nuvem desviaria o processo de autenticação para o AD local do usuário, onde um servidor federado configurado autentica o usuário de acordo com suas credenciais locais do AD. Isso tornou mais fácil para o usuário, mas exigia uma grande configuração manual para as equipes de TI, pois era necessário estabelecer um relacionamento federado para cada fornecedor de aplicativos.

E então veio a Identidade como Serviço (IDaaS), que é o que é o Azure AD.O Azure AD lida com a federação para centenas de aplicativos em si, permitindo que os usuários do Azure AD possam saltar de um aplicativo para outro de maneira quase tão fácil quanto atravessar aplicativos na área de trabalho. De certa forma, o Azure AD é um hub de federação.

Além disso, o Azure AD oferece às organizações a capacidade de hospedar um controlador de domínio virtual na nuvem, oferecendo aos usuários autenticação móvel e redundância na instância de uma falha total no local. Sim, o Azure AD e o Server AD não replicam os serviços um do outro; eles os complementam, oferecendo o melhor dos dois mundos para os usuários hoje.