Плюсы и минусы присоединения к Azure AD
Active Directory — это основа для безопасного доступа пользователей, служб и подключенных устройств к корпоративным ресурсам. Это достигается за счет предоставления возможностей управления идентификацией, таких как проверка подлинности, авторизация и контроль доступа, для защиты ресурсов вашего бизнеса или организации. Active Directory можно внедрить локально с помощью хорошо известных доменных служб Windows Server Active Directory (AD DS) или использовать Azure Active Directory (Azure AD), который является многопользовательским облачным каталогом и удостоверением Майкрософт. служба управления, размещенная в Microsoft Azure. Или вы можете сделать и то, и другое, используя Azure AD Connect (AAD Connect), чтобы создать гибридную среду Active Directory, которая обеспечивает лучшее из обоих миров, объединив вашу локальную среду AD DS с Azure AD и другими облачными платформами Microsoft, такими как Office 365.
Гибридный подход популярен во многих компаниях, так что пока сосредоточимся на нем. Настроив инфраструктуру Active Directory, вы можете зарегистрировать свои устройства с Windows 10 либо с помощью присоединения к домену, при котором устройства с Windows 10, присоединенные к домену, автоматически регистрируются в Azure AD, либо вы можете использовать более новый способ присоединения к Azure AD., где вы регистрируете свои устройства напрямую в Azure AD, не присоединяя их к локальному домену AD DS. Последний вариант звучит довольно красиво, но вам нужно знать плюсы и минусы этого подхода, прежде чем пытаться его реализовать.
Понимание плюсов
Отличительной чертой Azure AD Join является то, что она предоставляет пользователям возможность самостоятельного присоединения своих устройств к сети компании. Напротив, присоединение компьютера к локальному домену Active Directory выполняется либо администратором, либо встроено в процесс создания образа при создании корпоративных образов для установки Windows.
А поскольку Azure AD Join реализует модель самообслуживания, она позволяет пользователям присоединять свои устройства к Active Directory из любого места, если у них есть подключение к Интернету. Это может быть полезно, если в вашей компании много мобильных пользователей, которые путешествуют и используют различные устройства с Windows 10 для выполнения своей работы.
С точки зрения администратора, присоединение к Azure AD также имеет ряд связанных с ним плюсов. Например, в традиционной локальной реализации Active Directory стандартным методом управления устройствами является использование групповой политики, зрелой технологии, которая позволяет администраторам задавать управляемые конфигурации для пользователей и компьютеров на предприятии вместе с System Center Configuration Manager ( SCCM), комплексное решение для управления изменениями и конфигурациями, входящее в семейство продуктов System Center от Microsoft.
Хотя сочетание групповой политики и SCCM является эффективным, его также может быть сложно внедрить и поддерживать, и когда вам нужно управлять современными устройствами под управлением Windows 10 в мобильных сценариях, когда среда находится в состоянии постоянного изменения, это похоже на попытку прихлопнуть муху кувалдой (или, говоря более красиво, это слишком хорошо).
В этом случае вы, вероятно, захотите использовать подход управления мобильными устройствами (MDM) вместо метода групповой политики или SCCM, и присоединение к Azure AD отлично подходит, если вы планируете управлять устройствами своих пользователей с помощью MDM. Кроме того, администраторы могут настроить политики условного доступа, которые могут гарантировать, что только соответствующие устройства получат доступ к корпоративным приложениям и службам в облаке. А с помощью присоединения к Azure AD администраторы могут не только разрешать пользователям присоединяться к Azure AD с работающего устройства, но и разрешать присоединение к Azure AD на этапе подготовки к работе при настройке нового устройства Windows 10 для пользователя.
Наконец, использование Azure AD Join автоматически позволяет пользователям пользоваться всеми дополнительными преимуществами, которые дает использование Azure AD в первую очередь, включая корпоративное перемещение пользовательских настроек между устройствами, присоединенными к домену, единый вход (SSO) в приложения Azure AD даже когда ваше устройство не подключено к корпоративной сети, возможность доступа к Магазину Windows для бизнеса с использованием вашей учетной записи Active Directory и т. д. Чтобы понять все преимущества и то, как все работает под капотом с Azure AD и Azure AD Join, можно начать с некоторых сообщений в блоге Хайро Кадены, руководителя программы в подразделении Identity Services Division в Microsoft, который много и подробно написал об этих технологиях.
Признание минусов
Однако не все так радужно, как кажется на первый взгляд, когда вы начинаете думать об использовании Azure AD Join в своей среде. Во-первых, это вопрос намерения, поскольку целевым сценарием для реализации Azure AD Join являются предприятия, использующие парадигму инфраструктуры, ориентированной на облако или только на облако. По сути, это означает, что Azure AD Join предназначен в основном для предприятий малого и среднего бизнеса, которые не имеют (и не собираются иметь) локальную инфраструктуру Active Directory, построенную на Windows Server.
Это не означает, что присоединение к Azure AD запрещено крупным предприятиям, которые годами используют AD DS для аутентификации пользователей и управления доступом к корпоративным ресурсам. На самом деле эти предприятия могли бы внедрить присоединение к Azure AD, например, чтобы пользователи могли аутентифицировать свои собственные мобильные устройства с возможностью использования собственных устройств (BYOD) для доступа к корпоративной сети, даже если эти устройства не поддерживают традиционное присоединение к домену. Предприятия также могут использовать Azure AD Join для группы пользователей, которым нужен доступ к Office 365 только для чтения электронной почты в пути. Но важно понимать, что добавление возможности присоединения Azure AD к инфраструктуре Active Directory крупного предприятия также добавляет еще один уровень сложности управления к работе по администрированию этой инфраструктуры.
По сути, все зависит от того, насколько ваша организация привержена переходу в облако. И с любым крупным предприятием всегда связано больше вопросов соответствия и регулирования по сравнению с тем, с чем обычно приходится иметь дело малому и среднему бизнесу. В результате может быть технически просто предоставить новые облачные удостоверения для пользователей в Microsoft Azure, в то время как по причинам, основанным на политике, может потребоваться наличие только локальных учетных записей, которые можно поддерживать локально в вашем каталоге AD DS.
Наконец, нужно понимать, что Azure AD (к которому Azure AD Join позволяет легко присоединиться) на самом деле не является полноценной корпоративной службой каталогов во всех смыслах этого слова. Я имею в виду, что традиционная служба каталогов, такая как AD DS, использующая для аутентификации облегченный протокол доступа к каталогам (LDAP), также включает в себя другие элементы, такие как сетевые политики, политики безопасности и т. д. Azure AD, с другой стороны, в основном (по крайней мере, в его текущей версии) предоставляет только возможности управления идентификацией (с использованием REST вместо LDAP), что означает, что Azure AD в основном предназначен для запуска приложений в облаках «программное обеспечение как услуга» (SaaS).. С другой стороны, Azure AD и Azure AD Join продолжают развиваться в рамках стратегии Microsoft, ориентированной на облако и мобильные устройства, которую отстаивает генеральный директор Сатья Наделла, поэтому крупные традиционные предприятия должны следить за этим, в то время как небольшие компании прыгают в поезд и наслаждаются Поездка.