IT 管理上,少不免的就是部署 Active Directory,其最主要目的是管理好內部使用者存取公司 IT 資源,從而令IT 管理更完善。提到 Active Directory,其實已經不是甚麼新鮮事,相信很多 IT 人也懂,但在雲端大趨勢之下,大家又有沒有想過將 Active Directory 放在 Microsoft Azure 上運作?究竟部署這個方案會為企業帶來什麼好處?
筆者就以上問題,親自申請了一個 30 日試用版本進行測試;除了測試外,還訪問了行內專家 Kenfil 大中華技術總監 – 謝子權先生,當中我們談到了 Microsoft Azure Active Directory 的多個好處,當中想與大家分享的分別有:從 Windows 10 專業版本經由互聯網登入;利用 Azure Active Directory Application 單一登入(Single Sign On)不同系統;以及通過 Active Directory Connect 軟件將企業內部 Active Directory (On-Premise)經由 ADFS 同步帳戶到 Azure Active Directory,方便使用者單一登入存取企業內部資源和 Azure Active Directory Application 內的應用。
Windows 10 無須 VPN 登入 Azure AD
大家有在用 Windows 系統一定會知道其 VPN 可配合 Active Directory 帳戶登入,當員工出外時想存取公司內部資源,他們只需在 Windows 客戶端登入時即可透過 VPN 登入 Active Directory 帳戶。要達到上述效果,傳統上我們需要在背後網絡設施部署 Active Directory 和 VPN 服務,然而這一切往往需花上大量時間及資源去部署及進行維護。
不過採用Microsoft Azure Active Directory 便可十分輕易的在雲端上部署 AD,筆者嘗試過只要幾個配置公司 DNS 域名步驟和等待 5 秒鐘發佈時間即可完成部署!
謝子權先生表示剛推出的 Windows 10 專業版本可配合 Microsoft Azure Active Directory 作登入帳戶認證,即是說員工不用 VPN 也能登入 AD,只要電腦連上互聯網便可,這是一件十分有趣的事情,也可讓 IT 管理員只專注管理 Azure AD 上的使用者。
Azure AD Application 單一登入認證
企業內部部署很多不同類型應用,當中有系統、社交網絡、雲端服務等等,大家應該會想到是否需要使用多個帳戶登入呢?答案是需要的。然而這亦同時衍生出另一個問題,就是員工需要記下多組不同的密碼,久而久之,大多人數都會忘記一些重要的密碼,最終員工需要向 IT 部門索取一組新密碼,這不但大大影響 IT 部門日常工作,同時亦阻礙了公司的其他業務流程。
謝子權先生指出:「Azure AD Application 存放了很多不同廠商應用,因此又名 Marketplace(市集),其主要目的是整合單一認證(Single Sign On),Microsoft 除了整合了自己 Office 365 和 Dynamics CRM 之外,還有整合了其他廠商的應用,例如有 Salesforce、Facebook、Google Apps、Dropbox 等等。IT 管理員只要預先發佈好應用,員工開啟瀏覽器使用 Azure AD 帳戶登入即可點選使用。員工不再需要記住那麼多密碼,令工作更加得心應手。」
企業內部 AD 同步 Azure AD
企業在內部部署 AD 會考慮到災難性問題,所以先租用數據中心,讓兩邊網絡互通需依靠 VPN 或專線接駁,最後在數據中心部署 Existing Domain 同步 Active Directory 資料,達到備援(redundancy)效果。我想大家都有遇過這種情況,由策劃至到完成往往要花上三個月或以上,浪費大量時間和金錢。
謝子權先生說:「企業部署 AD 災難性恢復並不容易,但如果部署 Azure AD 作為災難性方案的話,可在 Windows Server 2008 以上版本安裝 Azure AD Connect 軟件,而這軟件可同步企業內部 AD 帳戶到 Azure AD 內,同時支援 ADFS (Active Directory Federation Services)單一認證,意思是在混合環境下同樣支援 AD 登入策略和 smart card 認證等等。企業再不需要花上時間和金錢部署 AD 災難性恢復方案,IT 部門亦可放下心頭大石。」
5 秒部署 AD!隨時隨地登入 Win 10 無須 VPN
https://www.facebook.com/hkitblog