Стоит ли переходить с Azure AD Connect на Cloud Sync?
3 июня 2023 г.Несмотря на то, что многие функции контроллеров домена могут быть перемещены в облако, большинству организаций, использующих Active Directory, требуется гибридная инфраструктура, которая предоставляет пользователям доступ к облачным ресурсам (например, OneDrive и Microsoft 365) через Azure Active Directory, а также через локальные общие файловые ресурсы, принтеры и приложения, которым по-прежнему требуются локальные учетные данные.
На протяжении многих лет у Microsoft было несколько инструментов для управления гибридной идентификацией и синхронизации облачных и локальных пользователей и групп.
ПОСМОТРЕТЬ: Изучите памятку TechRepublic по гибридному облаку.
Microsoft Identity Manager, пришедший на смену Forefront Identity Manager, поддерживается до 9 января 2029 г., но его Azure AD Connector устарел. Сервер многофакторной идентификации Azure AD также устарел и перестанет обрабатывать запросы MFA после 30 сентября 2024 года. Если вы все еще используете эти инструменты, вам необходимо перейти на более новый вариант.
Перейти к:
- Azure AD Connect и его ограничения
Облачная синхронизация призвана заменить Azure AD Connect для облака
Выбор между Azure AD Connect и облачной синхронизацией
Azure AD Connect и его ограничения
Azure AD Connect заменил старые параметры DirSync и Azure AD Sync для синхронизации пользователей, групп и других объектов каталога с Azure AD. Он поддерживает:
- Синхронизация хэша пароля: синхронизация хэша пароля AD каждого пользователя в Azure AD.
Сквозная проверка подлинности: отправка пользователей в Azure AD для входа, а затем проверка в AD, чтобы они могли использовать один и тот же пароль в облаке и для локальных ресурсов без необходимости настраивать федерацию.
Использование служб федерации Active Directory.
Но Azure AD Connect требует настройки и обслуживания сервера в вашей сети, и некоторые требования для его запуска не работают для каждой организации, особенно если у вас есть несколько «лесов» AD, что усложняет работу с Azure AD.
«Чтобы использовать его, вам нужно находиться в подключенном лесу; вам необходимо установить базу данных», — сказал Джозеф Дадзи, директор группы идентификации Microsoft. «Это дорого в управлении и развертывании.
«Мы начали получать отзывы от многих клиентов о стоимости развертывания синхронизации AD Connect и ее обслуживания, а также о некоторых пробелах в функциях, связанных с тем, что вы находитесь в отключенном лесу или работаете в организации, где пытаетесь осуществить слияние и поглощение. . Поэтому мы решили искать способы упростить его».
Облачная синхронизация призвана заменить Azure AD Connect для облака
Результатом стала облачная синхронизация Azure AD Connect, которая начиналась как инструмент для переноса удостоверений из нескольких разрозненных лесов AD в один клиент Azure AD.
Он по-прежнему делает это, но теперь это облегченная альтернатива AD Connect, в которой не так много функций, но она намного быстрее настраивается и требует меньше ресурсов. Это связано с тем, что облачная синхронизация перемещает большую часть конфигурации в облако, требуя только агентов подготовки.
«Когда вы смотрите на AD Connect, почти вся конфигурация выполняется в локальном мире и хранится на этом локальном сервере», — сказал Дадзи. «Для облачной синхронизации идея состоит в том, чтобы переключить конфигурацию на облачную и иметь очень легкий агент в среде клиента, чтобы его было легко развернуть.
«Это занимает около 10 мегабайт, поэтому вы можете использовать несколько из них вместе для создания решений высокой доступности; то, что сложнее сделать, если у вас есть полная возможность синхронизации Connect».
Эта высокая доступность особенно полезна, если вы используете рекомендуемую Microsoft синхронизацию хэшей паролей.
Будущее облачной синхронизации
Облачная синхронизация может обрабатывать группы до 50 000 участников, но она еще не охватывает все, что вы можете делать с синхронизацией AD Connect, сказал нам Дадзи.
«Если вы выполнили множество настроек атрибутов в AD и по-прежнему используете локальный Exchange, в возможностях все еще есть некоторая разница», — сказал Дадзи. «В долгосрочной перспективе мы хотим, чтобы это была полная замена; мы еще не там».
В настоящее время он не может подключаться к каталогам LDAP и еще не поддерживает объекты устройств, а только пользователей, группы и контакты. Существуют недоступные расширенные параметры настройки и фильтрации, а облачная синхронизация не может обрабатывать гибридную обратную запись Exchange, поэтому вы не можете использовать ее для гибридных миграций Exchange.
Поддерживается федерация, но не доменные службы Azure AD или сквозная проверка подлинности, по крайней мере, для отключенных лесов. По словам Дадзи, над этим работает команда AD Connect, а также разрабатывается функция обратной записи для групп безопасности.
«За последний год мы добавили сценарии самообслуживания с обратной записью паролей, — сказал Дадзи.
Обратная запись устройств также находится в стадии разработки, потому что «почти любое развертывание начинается с переноса некоторых пользователей из локальной среды в облако», — отмечает Дадзи. Это немного сбивает с толку, потому что и в Azure AS, и в Windows Hello For Business есть службы с именем Cloud Kerberos trust, которые выполняют разные функции, но Microsoft сообщает нам, что названия и документация должны стать более понятными в будущем.
Команда облачной синхронизации также ищет альтернативы обратной записи.
«Если у вас есть локальное приложение и у вас есть облачный пользователь, которому нужен доступ к нему, как вы предоставите этому пользователю доступ, не имея учетной записи в локальном AD», — сказал Дадзи. «Мы смотрим, что мы могли бы сделать в этой области: есть ли способ сделать так, чтобы некоторые секреты были скрыты, чтобы вы могли получить учетные данные пользователя, где пользователь получает доступ к локальной сети без необходимости предмет там?»
Это все еще на ранних стадиях, но функциональность облачной синхронизации регулярно обновляется.
«Каждые кварталы или шесть месяцев мы обновляем и добавляем новые возможности, — сказал Дадзи. «Мы стремимся устранить причины, по которым кто-то все еще может захотеть использовать полную синхронизацию AD Connect. Мы стремимся продолжать добавлять облачную синхронизацию до такой степени, что мы в конечном итоге заменим синхронизацию AD Connect, но мы еще не достигли этого».
Выбор между Azure AD Connect и облачной синхронизацией
Нет никакой срочности в переходе на облачную синхронизацию, если вам нужна функция синхронизации AD Connect, но в некоторых сценариях облачная синхронизация уже является лучшим выбором, а также менее требовательна.
«Это хорошо работает для организаций, которые не так сложны или не имеют большого количества объектов; если в их каталоге менее 150 000 объектов, проще начать с облачной синхронизации», — сказал Дадзи.
В центре администрирования Microsoft 365 есть мастер, который поможет вам выбрать правильный вариант синхронизации удостоверений, а также пошаговое руководство по миграции, если вы хотите перейти от синхронизации Azure AD Connect к облачной синхронизации.
Насколько сложной будет эта миграция, зависит от того, насколько сложна ваша среда AD: «Чем сложнее среда, тем более поэтапный подход работает», — сказал Дази. Но если ваши потребности менее сложны и вы начинаете с гибридной идентификации, он предлагает начать с облачной синхронизации для простоты (рис. A).
Рисунок А
На самом деле большая часть привлекательности облачной синхронизации заключается в том, что с ней намного проще начать работу.
«При синхронизации Connect вы должны выполнять все сопоставления схем самостоятельно, тогда как при облачной синхронизации мы пытаемся автоматически обнаружить их для вас, поэтому вам не нужно искать и упрощать их настройку», — сказал Дадзи. . «Основная философия, которую мы пытаемся внедрить в облачную синхронизацию, состоит в том, чтобы сделать ее супер-простой, чтобы клиентам не приходилось думать об этих вещах».
Оригинал