不是活动目录的Azure活动目录！

摘要

在现代云时代的大环境下，云服务的概念已经是无人不知无人不晓了。像阿里云、谷歌云、AWS、Azure等等已经深入日常的方方面面。那对于云中的身份，我们今天特别的介绍一下Azure Active Directory（AAD）的概念，希望可以帮助您了解的更加清晰。Azure活动目录是一种新的现代化身份验证提供程序，但它不是云中的活动目录。AAD的操作不像您所知道和钟爱的活动目录，而且我们并没必要把这两种服务放在一起进行比较，因为它是一项完全不同的云服务。

 

关于微软的云服务Azure，如果您已经使用了一段时间，我相信您应该已经知道Azure活动目录，不过我相信还是有大多数的人会认为Azure Active Directory 和on-premise active directory没有太大的不同，它们两个功能应该一样。那就大错特错了，因为Azure Active Directory根本不是Active Directory的云版本，它与本地的Active Directory名称完全没有任何相似之处。

在我们准备让业务上Azure云之前，我们都会面临一个现实问题，即“如何将服务器加入Azure Active Directory？” 。非常多的人满怀期望能够像以前一样使用本地Active Directory一样使用Azure Active Directory，毫无疑问您可能会碰壁或者在一些旧功能上为什么不支持而失望。所以，如果您是Azure的新手、并且想了解什么是Azure AD、它是如何工作的以及如何与Active Directory（或不与Active Directory进行比较），希望本文章能够帮到您。

1. 什么是Active Directory？

一种目录服务，在Windows server2000后支持，当环境需要域服务时可以随时添加。可以非常方便的帮助管理所有在域种的对象。假设您很有可能已经知道Active Directory（AD）是什么，也已经使用了多年，现在您正在寻求迁移到云中并了解AAD是什么。为确保我们可以将AD（尤其是AD的域服务部分）与AAD进行比较，以下快速列出了构成AD的基本功能：

• 安全对象存储，包括用户，计算机和组
• 对象组织使用OU，域和林
• 通用身份验证和授权提供者
• LDAP，NTLM，Kerberos
• 组策略
• 可定制的架构

 

除了域服务外，我们还具有诸如证书服务，联合身份验证服务和特权访问管理之类的组件。

1. 什么是Azure Active Directory？

如果知道什么是Active Directory，那么它与Azure Active Directory有何不同？真正的答案是名字很相似，两者关系不是很紧密。我们可以想象AAD的命名只是仅仅为了让Azure中多了一种类似AD的目录服务，不过功能已经相差万千。也许更多是营销的手段，而不是纯粹的技术设计。实际上云中的AAD一直是为PaaS和SaaS服务作为默认选择而设计的，针对云中的IaaS它却无能为力。

Azure Active Directory是一个安全的身份验证存储，它也可以包含用户和组，但也仅仅只是这么一点的相似之处。Azure Active Directory是用于现代应用程序的基于云的身份管理存储。Azure Active Directory旨在允许您创建使用现代身份验证机制（例如SAML和OAuth）的用户，组和应用程序。

应用程序是Azure Active Directory中存在的对象，一种全新支持的功能，这在AD中不存在。应用程序的设计可以允许您为应用程序在Azure Active Directory中创建一个标识，以此为基础向用户授予访问权限，并允许您向用户授予对他人拥有的应用程序的访问权限。方便、快捷的开发数据和访问分离的接口，高效的移植代码加速开发进程。

 

 

AAD不提供的是用户管理之外的任何AD服务。

• 您无法像使用AD那样将计算机加入Azure AD域。这是迁移到Azure时最常见的问题之一。有一种叫做Azure AD Join的东西，但这是另一种野兽，我们将在以后讨论。这意味着您的AD中没有计算机对象可以将GPO等应用到这些对象，也不能集中控制这些计算机上的用户权限。
• 没有组策略。Azure AD具有一些策略工具（如条件访问），但它更侧重于授予或不授予对应用程序的访问。
• 不支持LDAP，目录查询全部使用REST API，Graph或PowerShell / CLI
• 不支持NTLM或Kerberos。AAD仅是现代身份验证协议
• 您无权访问或修改架构
• 扁平结构，没有OU，域或林

 

这几个定义可以很清楚地展示Azure AD与AD完全不同。Azure Active Directory用于云中的用户标识，组和应用程序管理。如果您使用PaaS或SaaS并使用现代身份验证协议构建所有的新服务，则建议应该全部使用Azure Active Directory。反之，如果您使用的是Azure中IAAS服务，也希望云中的计算机加入传统AD域，然后创建GPO来批量管理，就不要对Azure Active Directory抱有直接的奢望，因为您需要您需要采用AAD DS模式管理。那是另外一种方案。

云中的AD

针对以上的Azure Active Directory描述希望您现在能够明白什么是Azure Active Directory，什么不是。如果您正在计划构建云中的应用程序，而Azure Active Directory的功能可以满足您的需求，我想您应该已经知道怎么选择了。否则，如果您用的是Azure中的IaaS路由上，而您仍然需要AD域的服务，是否有什么方案可以选择呢？

加入Azure AD

AAD Join仅限于Windows 10计算机并提供有限的功能，当然没有像完整的AD Join那样的功能。加入Azure AD后，便可以使用Azure AD用户帐户登录计算机。也可以应用RBAC条件访问策略，该策略要求在访问资源或应用程序之前将计算机加入Azure Active Directory。这就是一种在Windows 10计算机之间提供通用用户帐户管理的方法。

Azure AD域服务

如果您不仅需要用户管理，还可以使用Azure AD域服务扩展Azure AD以提供更多基于AD的服务。AAD DS是您在云中的虚拟网络上可以选择启用的Azure产品，该产品部署两个由Azure平台管理并与您的Azure AD租户同步的域控制器。这使您可以向Azure Active Directory租户中的用户授予计算机访问权限，还可以实现自定义OU，组策略，LDAP查询，NTLM和Kerberos之类的像本地 Active Directory具有的功能。而且这是由Azure平台管理的域，因此您不必担心域控损坏后的修复和保证它7x24小时的运行。只不过是无法完全控制域。例如，您没有域管理员权限，只有足够的权限来执行Microsoft允许的任务。

IaaS域控制器

如果您想在Azure中部署一些虚拟机并将其变成域控制器，这中操作是支持的，这种做法已经被许多人应用并享受到了传统Active directory的全部功能。

不过，这种方法也有缺点，就是是需要自己进行管理：需要打补丁、更新服务器、备份域以及进行任何其他的系统维护。最最重要的是关于这个域控的高可用性、灾难恢复策略等等都要自力更生。这样做的回报就是AD提供了所有功能，也许这是一个不错的选择，但是如果您想要的只是让云标识用户登录计算机，那就有点太浪费了。

访问您的本地域

最后，您还可以将现有的本地域扩展到Azure。使用ExpressRoute或VPN这两种网络架构，可以方便的将本地网络连接到Azure 虚拟网络vNet并直接访问域控制器。

这篇文章简单介绍了以下Azure Active Directory和传统Active Directory的异同之处，并且特别介绍了什么情况下可以利用云中的Azure Active Directory。希望可以帮到您。