AD pilvessä – Azure AD Domain Services


AD pilvessä – Azure AD Domain Services



cloudhouseAzure Active Directory -tiimi julkaisi erittäin mielenkiintoisen uutuuden nimeltä Azure AD Domain Services.

Azure AD DS  mahdollistaa Azure-virtuaalipalvelimien lisäämisen Azure AD -palveluun perinteisellä tavalla ilman erillisiä domain controller -virtuaalikoneita.  Palvelu mahdollistaa Kerberos- ja NTLM-autentikoinnin, LDAP-protokollan ja jopa Group Policyt Azure-virtuaalipalvelimille.

Noin 90% prosentissa Enterprise-kokoluokan yrityksistä on käytössä perinteinen Active Directory. Näissä yrityksissä on myös miljoonia sovelluksia, jotka pohjautuvat perinteisiin Active Directory -autentikoimismenetelmiin. Nykyinen Azure AD tukee vain moderneja web-pohjaisia OAuth 2.0- ja SAML-autentikointeja, joten Microsoft on vastannut haasteeseen lisäämällä palveluunsa täysin ylläpidetyn Domain Services palvelun. Tämä tulee helpottamaan pilvi-AD:n käyttöönottoa varsinkin SaaS palveluntarjoajilla.

ADDSPalvelu pohjautuu kahteen modifioituun toimialueenohjauspalvelimeen. Domain Servicen  ja Azure AD:n välille on tehty integraatio, jossa Azure AD:n käyttäjät saadaan toimialueen käyttäjiksi. Palvelu toimii pelkän Azure AD:n kanssa ja myös yrityksissä, joissa on käytössä Azure AD:n ja paikallisen AD:n välinen synkronointi. Jälkimmäisessä skenaariossa täytyy kuitenkin huomioida se, että AD DS -palvelu on täysin riippumaton paikallisen ympäristön metsästä  ja näiden palveluiden välille ei ole mahdollista tehdä suoraa integraatiota.  Paikallisesta ympäristöstä voidaan synkronoida perinteiseen tapaan tunnukset Azure Dd:hen, josta sitten AD DS -palvelu löytää käyttäjät.

Käyttöönotto

Palvelun voidaan ottaa käyttöön Azure AD:n hallinnasta. Toimialueen nimeksi palvelu ehdottaa oletuksena .onmicrosoft.com nimeä, mutta tämän voi määrittää itse haluamakseen.  Palvelu on hinnoiteltu AD objektien määrän mukaan. Previewissa on vain yksi paketti tarjolla, eli 5000-25000 objektia. Tämä riittää kyllä suomalaisessa mittapuussa suurimmalle osalle testaukseen.
ADDS hinnasto

 

Palvelun käyttöönotto vaatii myös AAD DC Administrators- ryhmän luonnin Azure AD:hen. Tämän ryhmän jäsenet saavat  rajoitetun järjestelmävalvojan oikeudet AD DS -palveluun. Oikeudet mahdollistavat järjestelmävalvojan tehtäviä toimialueessa, kuten toimialuekoneiden liittämisen ja Group Policyjen luonnin.

Mitä voimme tehdä palvelussa?

Palvelun käyttöönoton jälkeen Azure-virtuaalikone voidaan liittää perinteisellä tavalla toimialueeseen.

ADDS domain liitos

 

Kun asennamme palvelimelle Remote Server Administrator -työkalun pääsemme tutkimaan AD:n rakennetta. Kuten huomaatte, Azure AD DS on luonut kaksi toimialueen ohjauspalvelinta. Oletus-A- rakenteen lisäksi  tulee automaattisesti kaksi OU:ta AADDC Computers ja AADDC Users. Kumpaankaan näistä ei voi tehdä muutoksia. Computers O:hunn ilmestyvät liitetyt koneet ja Users OU:hun tulevat Azure AD -käyttäjät ja -ryhmät. Kaikki ryhmiin lisäämiset ja käyttäjien muokkaukset täytyy tehdä Azure AD:n kautta.

ADDS ADUC

 

Lisäksi rakenteesta löytyy Management Services Account OU. Tämä näyttää olevan ainoa OU johon voi tehdä muutoksia. Käyttäjien lisääminen ei onnistu, mutta ryhmien ja tietokoneiden lisääminen on mahdollista. OU:n tarkoitus jäi hieman hämärän peittoon, mutta nimestä päätellen tätä on tarkoitus käyttää eri palvelutunnuksiin.

ADDS managedserviceaccounts

 

Nimipalveluihin ei ole oikeuksia.

ADDS DNS

 

Ryhmäkäytäntömäärityksiä voidaan tehdä vain ylätasoille, Computers OU:hun ja Users OU:hun. Mitään alirakennetta ei ole mahdollista luoda, eikä  kohdentaa ryhmäkäytäntöjä atribuutteihin tai käyttää WMI-filttereitä. Tämä voi tuottaa ongelmia joillekin, mutta perustason ryhmäkäytännöt riitävät aika pitkälle.

ADDS GPMC

 

Ryhmäkäytännön toimivuuden testausta. GPO:lla määritettiin aloitussivu Internet Exploreriin.

ADDS gpotesti

 

Nyt julkaistu Azure AD Domain Services preview on kauan odotettu palvelu Azure AD:hen.  Nykyisissä ympäristöissä on Kerberos ja NTLM -autentikointia vaativia ohjelmia vielä pitkään,  mutta monille tämä mahdollistaa jo täydellisen poistumisen itse hallittavista toimialuepalvelimista. Kysymys kuulukin, onko tämä siirtymään tarkoitettu palvelu, vai tuleeko tämä integroitumaan tiukemmin Azure AD:n kanssa? Tulevaisuus näyttää mikä tämän palvelun todellinen rooli tulee olemaan.