本地AD 整合Azure AD身份驗證
當我們考慮移轉服務到雲端Office 365時,如您希望未來在AD部份的管理,依然維持在地端AD主機來管,這是可以做得到的,如下圖的上半部,當您地端有AD主機時,您需要在地端多架一個實體主機或VM,安裝Windows Server 2008R2、2012R2或2016,安裝佈署AAD(Azure AD Connect)將要上傳到雲端的使用者與屬性整理出來放入OU,由Identity Synchronization Services同步到雲端去,此時,他會連同使用者密碼一起同步上去,如此,未來就可由內部AD主機來管理雲端的使用者帳戶,這是單向同步到雲端的做法,未來使用者要更改密碼,要從內部登入網域來改,就不能從Office 365這邊去改密碼了,因為它只會單向由內部AD主機同步到Office 365,這種方式維持Office 365的使用者登入Azure AD做驗證即可。
另一種情況,如您需要將使用者的驗證,導回公司內部AD主機做驗證的話,依下圖下半部,您需要多架一部AD FS主機(AD Federation Server),將雲端的使用者的驗證導回公司驗證,當需要架設AD FS時,需要多考慮一些地端的環境因素,適不適合來佈署AD FS,基礎要穩固些,無論是實體設備、虛擬設備、電力狀況及高可用性等,都要一再的考慮進來。
現在採用Office 365的客戶變多了,這些早期導入Office 365服務的客戶,如想要雲端的帳戶密碼拉回來,由地端的AD主機管,這時的做法會比較複雜些,因現有已在使用Office 365服務了,帳號密碼都在雲端的AAD裡,並不在自家的AD主機中,這種情境,我們需要先客製一段程式將雲端的帳號屬性撈回來,注意!因Office 365 AD與地端AD的屬性名稱是不相同,只有部份資料可以拉回,其他不足處,再人工手動調整即可,在地端AD主機中整理完成後,再進行Identity Synchronization Services同步到雲端去。
