AD pilvessä - Azure AD Domain Services

Azure Active Directory -tiimi julkaisi erittäin mielenkiintoisen uutuuden nimeltä Azure AD Domain Services.

Azure AD DS mahdollistaa Azure-virtuaalipalvelimien lisäämisen Azure AD -palveluun perinteisellä tavalla ilman erillisiä domain controller -virtuaalikoneita. Palvelu mahdollistaa Kerberos- ja NTLM-autentikoinnin, LDAP-protokollan ja jopa Group Policyt Azure-virtuaalipalvelimille.

Noin 90% prosentissa Enterprise-kokoluokan yrityksistä on käytössä perinteinen Active Directory. Näissä yrityksissä on myös miljoonia sovelluksia, jotka pohjautuvat perinteisiin Active Directory -autentikoimismenetelmiin. Nykyinen Azure AD tukee vain moderneja web-pohjaisia OAuth 2.0- ja SAML-autentikointeja, joten Microsoft on vastannut haasteeseen lisäämällä palveluunsa täysin ylläpidetyn Domain Services palvelun. Tämä tulee helpottamaan pilvi-AD:n käyttöönottoa varsinkin SaaS palveluntarjoajilla.

Palvelu pohjautuu kahteen modifioituun toimialueenohjauspalvelimeen. Domain Servicen ja Azure AD:n välille on tehty integraatio, jossa Azure AD:n käyttäjät saadaan toimialueen käyttäjiksi. Palvelu toimii pelkän Azure AD:n kanssa ja myös yrityksissä, joissa on käytössä Azure AD:n ja paikallisen AD:n välinen synkronointi.

Jälkimmäisessä skenaariossa täytyy kuitenkin huomioida se, että AD DS -palvelu on täysin riippumaton paikallisen ympäristön metsästä ja näiden palveluiden välille ei ole mahdollista tehdä suoraa integraatiota. Paikallisesta ympäristöstä voidaan synkronoida perinteiseen tapaan tunnukset Azure Dd:hen, josta sitten AD DS -palvelu löytää käyttäjät.

Käyttöönotto

Palvelun voidaan ottaa käyttöön Azure AD:n hallinnasta. Toimialueen nimeksi palvelu ehdottaa oletuksena .onmicrosoft.com nimeä, mutta tämän voi määrittää itse haluamakseen. Palvelu on hinnoiteltu AD objektien määrän mukaan. Previewissa on vain yksi paketti tarjolla, eli 5000-25000 objektia. Tämä riittää kyllä suomalaisessa mittapuussa suurimmalle osalle testaukseen.

Palvelun käyttöönotto vaatii myös AAD DC Administrators- ryhmän luonnin Azure AD:hen. Tämän ryhmän jäsenet saavat rajoitetun järjestelmävalvojan oikeudet AD DS -palveluun. Oikeudet mahdollistavat järjestelmävalvojan tehtäviä toimialueessa, kuten toimialuekoneiden liittämisen ja Group Policyjen luonnin.

Mitä voimme tehdä palvelussa?

Palvelun käyttöönoton jälkeen Azure-virtuaalikone voidaan liittää perinteisellä tavalla toimialueeseen.

Kun asennamme palvelimelle Remote Server Administrator -työkalun pääsemme tutkimaan AD:n rakennetta. Kuten huomaatte, Azure AD DS on luonut kaksi toimialueen ohjauspalvelinta. Oletus-A- rakenteen lisäksi tulee automaattisesti kaksi OU:ta AADDC Computers ja AADDC Users.

Kumpaankaan näistä ei voi tehdä muutoksia. Computers O:hunn ilmestyvät liitetyt koneet ja Users OU:hun tulevat Azure AD -käyttäjät ja -ryhmät. Kaikki ryhmiin lisäämiset ja käyttäjien muokkaukset täytyy tehdä Azure AD:n kautta.

Lisäksi rakenteesta löytyy Management Services Account OU. Tämä näyttää olevan ainoa OU johon voi tehdä muutoksia. Käyttäjien lisääminen ei onnistu, mutta ryhmien ja tietokoneiden lisääminen on mahdollista. OU:n tarkoitus jäi hieman hämärän peittoon, mutta nimestä päätellen tätä on tarkoitus käyttää eri palvelutunnuksiin.

Nimipalveluihin ei ole oikeuksia.

Ryhmäkäytäntömäärityksiä voidaan tehdä vain ylätasoille, Computers OU:hun ja Users OU:hun. Mitään alirakennetta ei ole mahdollista luoda, eikä kohdentaa ryhmäkäytäntöjä atribuutteihin tai käyttää WMI-filttereitä. Tämä voi tuottaa ongelmia joillekin, mutta perustason ryhmäkäytännöt riitävät aika pitkälle.

Ryhmäkäytännön toimivuuden testausta. GPO:lla määritettiin aloitussivu Internet Exploreriin.

Nyt julkaistu Azure AD Domain Services preview on kauan odotettu palvelu Azure AD:hen. Nykyisissä ympäristöissä on Kerberos ja NTLM -autentikointia vaativia ohjelmia vielä pitkään, mutta monille tämä mahdollistaa jo täydellisen poistumisen itse hallittavista toimialuepalvelimista. Kysymys kuulukin, onko tämä siirtymään tarkoitettu palvelu, vai tuleeko tämä integroitumaan tiukemmin Azure AD:n kanssa? Tulevaisuus näyttää mikä tämän palvelun todellinen rooli tulee olemaan.

Lapsi sairastaa – miten työt joustavat Sulavalla?

Sulavan etätyöviikko Kreetalla – kustannus vai investointi?

Tekoäly vapauttaa ihmisluovuuden

Microsoft 365 Copilotin syntymäpäiväjuhla -webinaarisarja

Työpaja: Copilot Studio in a Day

Microsoft AI Summit – Vuoden suurin tekoälytapahtuma

Microsoft valitsi Sulavan maailman parhaiden joukkoon tekoälyssä ja koulutuksissa – neljä tunnustusta Partner of The Year -kilpailussa!

Fondia

HUS Helsingin yliopistollinen sairaala

Business Finland

Azure Data Architect / Engineer

Azure Infra -asiantuntija

Avoin hakemus

Haku

Et ole vielä kirjautunut sisään

Kirjaudu

Ostoskori

AD pilvessä – Azure AD Domain Services

Käyttöönotto

Mitä voimme tehdä palvelussa?