管理用户对
Microsoft 365和Cloud Apps
使用Windows Server Active Directory

作者:罗素·史密斯

罗素·史密斯 是一位著名的IT专家,专门研究基于Microsoft的IT系统的管理和安全性。

Windows Server Active Directory(AD)成为身份管理的基石已有20多年了。但是,随着组织在全球卫生大流行期间向远程工作者提供服务方面面临新的挑战,访问业务线应用程序和存储在公共云中的数据已在优先级列表中上移。

在本白皮书中,我们将研究将本地Windows Server Active Directory扩展到Microsoft Azure和Microsoft 365的不同选项 。如今,组织可以保护对云应用程序的访问,而无需更改使用Windows Server Active Directory管理用户身份的方式。

什么是Azure活动目录?

Azure活动目录 是Microsoft的云身份管理平台。当用户登录到Microsoft 365之类的云应用程序时,Azure AD在授予访问权限之前先对用户身份进行身份验证。 Azure AD还可以与第三方云SaaS平台(如Salesforce和ServiceNow)以及内部开发的云应用一起使用。

Azure活动目录不仅仅是将Windows Server Active Directory“提升并转移”到云中。 Azure AD完全是为服务云应用程序而设计的。它不支持Windows Server协议和服务,例如Kerberos / NTLM身份验证,组策略,LDAP和域加入。 Azure活动目录域服务,这是一项可选的托管服务,可以在Azure中部署Windows Server域控制器,为希望将旧版应用程序(例如Internet Information Services(IIS)和内部开发的应用程序)转移到内部的组织添加了对旧版服务和协议的支持。云。

Azure AD使用为云应用程序构建的联合身份管理协议,例如 OAuth 2.0 , SAML , 和 OpenID . Azure AD条件访问Azure身份保护 进一步安全地访问您的云应用程序和数据。 Microsoft定期向Azure AD添加新的安全功能,其中一些可以与Windows Server AD在混合设置中一起使用。

选择单一登录方法和混合拓扑将Windows Server Active Directory扩展到Azure云

由于在本地Windows Server AD上进行了大量投资,因此组织希望继续使用它来管理对云应用程序的身份验证,而不会影响用户或IT操作。为了解决这个问题, Microsoft Azure AD连接 为同时使用云应用程序的Windows Server AD用户启用单点登录(SSO)功能。

什么是Azure AD Connect?

Azure AD连接

Azure AD连接 是一个免费的应用程序,可将Windows Server AD用户帐户同步到Azure AD。您可以选择将用户的Windows Server AD密码哈希同步到Azure AD,或者让Windows Server AD对用户进行身份验证,同时将其密码保留在本地。 两种方法都为用户提供了一种通过单点登录登录云服务的安全方式。

密码哈希同步

Microsoft建议对大多数混合AD环境使用密码哈希同步,因为它易于部署,安全并且支持最广泛的Azure AD功能。为了提高安全性,再次对用户的密码哈希进行哈希处理,然后将其同步到云中。

传递认证

对于不想将密码哈希同步到云,或想要实施Windows Server AD安全和密码策略的组织,传递身份验证(PTA)是密码哈希同步的替代方法。

Azure AD将密码验证请求发送到Windows Server AD。一个或多个PTA代理会在本地部署以简化此过程。如果在不使用密码哈希同步的情况下使用PTA,则PTA不能与Azure AD域服务,Azure AD Connect运行状况或Azure身份保护中的泄漏凭据功能一起使用。

Azure AD连接 与Active Directory联合身份验证服务

Active Directory联合身份验证服务 (ADFS)是Windows Server AD的一个独立的联合身份解决方案。它可以用于为Windows Server AD用户提供Microsoft 365 SSO功能,但是它 复杂的部署和管理。 ADFS需要证书,SQL Server,Windows Server和故障转移群集以实现高可用性。

大多数情况下, ADFS没有提供任何优势 通过Azure AD Connect密码哈希同步或PTA。 Microsoft不再建议使用ADFS,但如果选择使用ADFS,Azure AD Connect可以帮助您安装和配置ADFS。

混合AD拓扑

最常见的Azure AD Connect拓扑将单个林与单个Azure AD租户同步。使用Azure AD Connect中的快速安装选项通过密码哈希同步进行部署很容易。

如果您有多个本地AD林,则可以使用单个Azure AD Connect同步服务器将它们全部同步。 Azure AD Connect将尝试合并本地用户,以便它们在Azure AD中仅代表一次。如果您有多个断开连接的AD林,请使用Azure AD Connect 云供应 代理可以充当桥梁。

管理Windows Server Active Directory和Azure活动目录之间的同步

使用所选的身份验证方法和拓扑配置Azure AD Connect后,它将在后台运行以将本地AD用户同步到Azure AD。默认情况下,仅某些属性被同步。您可以选择Azure AD Connect同步到Azure AD的AD用户帐户属性。例如,您可能希望阻止包含敏感信息(例如个人身份信息)的属性同步到Azure AD。

将Azure活动目录功能与Windows Server Active Directory集成

同步过程是单向的,但是可以对某些属性启用“写回”,因此在云中更新时,它们将同步回本地AD。最常见的示例是密码写回。

Azure AD中的自助式密码重置功能要求在混合部署中将用户的密码写回到Windows Server AD。通过组写回,如果您还具有本地Exchange Server,则可以在本地Active Directory中置备Microsoft 365组。

Azure AD连接 运行状况和高可用性

Azure AD连接 Health使用本地代理将信息发送到云。然后,IT可以使用在线门户监视本地身份基础结构,以维护与Azure的可靠连接。但是,如果选择传递身份验证,Azure AD Connect Health将无法监视PTA代理,这可能会导致可靠性问题。

Microsoft不支持为单个Azure AD租户部署多个Azure AD Connect同步服务器。如果需要高可用性进行同步,则可以在登台模式下部署Azure AD Connect,并在主同步服务器发生故障时将故障转移到登台模式服务器。使用Azure AD Connect向导管理故障转移。

日常用户管理

可以使用当前针对Active Directory的工具来管理用户,例如Active Directory用户和计算机(ADUC)控制台,Active Directory管理中心(ADAC)和PowerShell。创建新的本地AD用户时,Azure AD Connect会在Azure AD中自动创建一个用户对象,以代表Windows Server AD帐户。

然后,用户可以访问您的本地域和云应用程序,而无需IT的任何进一步干预。 Azure AD Connect还可以自动同步您对现有Windows Server AD用户帐户所做的更改,前提是在同步选项中启用了更改的属性。

在混合Exchange Server环境中,Exchange管理中心(EAC)支持创建新的混合云帐户,并自动为云中的新用户设置邮箱。因此,无需在Exchange Online中手动创建邮箱。

轻松将Windows Server AD与Azure集成

Microsoft使您可以轻松地将本地AD林与Azure AD集成。如果选择Microsoft推荐的身份验证方法,即密码哈希同步,则Azure AD Connect的设置很简单。如果您不需要自定义设置,则快速安装选项可以完成所有繁重的工作。 PTA的配置更加复杂,您应该至少部署三个PTA代理以实现高可用性。尽管Azure AD Connect可以帮助简化ADFS的部署,但如果可能的话,您应该考虑使用PTA。

但最好的部分是,Azure AD Connect扩展了Windows Server AD的功能,以为域用户提供无缝的单点登录到云应用程序。 IT可以继续使用熟悉的工具来管理用户身份,同时为组织提供额外的价值。已经将AD与第三方平台集成在一起的组织(例如Oracle Identity Management)可以使用Azure AD Connect将AD与Azure AD同步,同时继续通过Active Directory集中管理用户身份。

用户锁 :使用内部Active Directory身份保护安全的云访问

用户锁 直接与Microsoft Active Directory配合使用,为管理对Office 365和其他云应用程序的访问提供了一种简便的替代方法。 它允许每个用户使用其现有的AD身份仅登录一次,并无缝访问网络资源和多个云服务。

在几分钟内安装在标准Windows Server上,它 继续使用Active Directory作为权威用户目录,同时支持SAML 2.0和OIDC协议,以实现多个云应用程序的联合身份验证。

与UserLock的细粒度相结合 多因素认证,组织现在可以保留Windows Server AD作为其身份管理解决方案,同时将其扩展到与云一起使用。

SSO和MFA不必复杂,昂贵或具有破坏​​性。 UserLock提供了一种解决方案,可以利用您在Active Directory中的投资来提供有效,细粒度和可负担的安全性。

了解有关USERLOCK SSO(测试版)的更多信息

下载本PDF白皮书

PDF版本-290 KB