azure - Azure Active Directory 作为 Azure 虚拟机的域控制器

Question

Azure Active Directory 是 Azure 的“即服务”产品。我已经看到来自 Microsoft 的文档和内容，说明可用于 SSO 和其他 Web 应用程序以进行统一身份验证。

是否可以使用 Azure Active Directory 作为虚拟网络中 Azure 虚拟机中的 Windows Server AD 的替代品？我看到 Azure VM 上的 Windows Server Active Directory 安装涉及从 powershell 和其他东西执行？

Answer 1

不！Windows Azure Active Directory 不是域控制器。您不能将计算机加入 Windows Azure AD。您可以使用它将本地 AD 与 Windows Azure AD 同步，以轻松启用 Web SSO（单点登录）。您可以使用它来构建企业级 Web 应用程序。

您可以在此处阅读有关 Windows Azure Active Directory的更多信息。

Answer 2

直到最近，答案都是否定的，但随着 Windows 10 的出现，情况发生了变化。

Windows 10 设备可以加入 Azure Active Directory (AD) 域。但它更多的是关于身份管理，而不是传统的 Active Directory (AD) 服务。但是您可以结合使用 Azure AD 和 MDM（移动设备管理）来提供一些过去为 AD 保留的服务。

要记住的一件事是，Azure Active Directory (AD) 与 Windows 域控制器提供的名称相似的 Active Directory 完全不同。Azure AD 不是域控制器，但从 Windows 10 Azure AD 开始，MDM 和 Intune 可以做一些以前只能由 AD 提供的事情。借助 Windows 10，Microsoft 极大地扩展了 MDM，并使得使用 MDM 管理常规 Windows 10 台式机和笔记本电脑成为可能。

Active Directory 团队博客有更多信息。Azure Active Directory 和 Windows 10：将云带入企业桌面！列出它带来的一些好处，包括：

• 企业自有设备的自我配置。
• 使用现有的组织帐户。
• 自动 MDM 注册。
• 单点登录到云中的公司资源。
• 本地单点登录
• 企业级 Windows 商店。
• 支持现代外形尺寸。Azure AD Join 将适用于不具备传统域加入功能的设备。
• 操作系统状态漫游。

这不包括 AD 提供的传统功能。根据Windows 10 设备 Azure AD 上的 Azure AD 加入帖子，它针对以下三个场景：您的应用程序和资源主要位于云中、季节性工作人员和学生以及为本地用户选择您自己的设备。如您所见，Azure AD 的目标更多是启用 BYOD（自带设备）。Azure AD 支持管理无法加入域的设备，例如平板电脑或非专业版 Windows。

从同一篇文章：

域加入可让你在能够加入域的设备上获得最佳本地体验，而 Azure AD 加入针对主要访问云资源的用户进行了优化。如果您想使用 MDM 而不是使用组策略和 SCCM 从云中管理设备，Azure AD Join 也很棒。

---

Azure 现在提供称为Azure Active Directory 域服务的传统 Active Directory 服务。这提供了域加入、NTLM 和 Kerboeros 身份验证。您甚至可以使用组策略管理机器。

Answer 3

这可以使用 Azure Active Directory 域服务（注意与没有域支持的常规 Azure Active Directory 的区别）

https://azure.microsoft.com/en-us/services/active-directory-ds/