適合組織計劃開始使用 Microsoft 雲端服務參考, 但是不是絕對的答案, 僅我個人以往的經驗提供給大家。
概述
組織計劃導入 Microsoft Azure 或 Microsoft 365 等 Microsoft 雲端服務時, 大家可能會面臨如何使用 Azure Active Directory (Azure AD) 的問題。
我將以過往的經驗分享給大家, 供大家參考, 但是項目沒有絕對, 主要是提供大家有另一個想法可以在開始前思考到, 避免事後花費精力與耗時進行架構調整。
前行提要
Azure Active Directory (Azure AD) 是與 Tenant (目錄) 共存。
使用 Microsoft 雲端服務時, 基本都需要與 Microsoft 進行註冊組織。
註冊組織後都會提供一個 Tenant, Tenant 都會搭配 Azure AD 作為使用。
我們採購的 Microsoft Azure 與 Microsoft 365 等 Subscription (訂閱) 都將放在 Tenant 底下進行管理。
假如組織有使用大量授權的服務, Microsoft 都會搭配一個 Tenant, 但是需要完成Domain (網域) 驗證,
我們只需可開啟 Microsoft 365 Portal 與登入大量授權的管理帳號即可看到驗證提示。
除此之外, 我們假如有使用 Microsoft 雲端服務 (如 Power BI) 測試, 官方也將會直接建立一個新的 Tenant。
以上狀況都將會有 Azure AD, 大家可能需要留意, 以下我們將進入正題。
內容
採購時, 如已有 Azure AD, 我建議加購 Subscription 即可, 不建議使用新的組織進行採購。
原因為
1. Domain (網域) 只能被驗證在一個 Azure AD 下, 無法驗證至多個 Azure AD;
2. 不同的環境下, 我們需要使用不同的帳號登入管理或使用 Guest (來賓) 的方式進行管理;
3. 技術上如需要使用 LDAP 驗證, 不同的環境您需要建立 VPN 的方式或者建立兩套 Azure Active Directory Domain Service (Azure ADDS) 以提供驗證。
採購時, 如沒有 Azure AD, 我建議需要考慮以下狀況:
如有 On-Premise Active Directory (AD)
需不需要使用 Azure Active Directory Connect (Azure AD Connect) 將 AD 內的帳號同步至 Azure AD 內?
原因為如 Azure AD 已建立帳號, On-Premise AD 內亦有相同的帳號, 並且再使用 Azure AD Connect 同步 AD 內的帳號至 Azure AD 。
預設情況下, 系統將會認為這兩者為不同的帳號並且以其他的帳號名稱建立在 Azure AD。
如沒有 On-Premise Active Directory (AD)
需不需要預先建立 AD 環境?
原因為混合使用 Azure AD 與 AD 將提供帳號驗證最大化, 並且節省組織內部的頻寬流量與提供較穩定的帳號驗證
如 On-Premise 環境內的服務與硬體裝置將在組織內部進行帳號驗證, 外部服務將使用 Single Sign-On (SSO) 的方式進行驗證。
以上狀況我個人覺得都需要被考慮, 但是做法沒有絕對, 主要提供給大家在導入前有另一種參考, 大家可以在開始後避免再耗時與精力進行調整架構。
參考資料
- Microsoft Organization, Tenant, Subscription, Service
- Azure Active Directory Domain Service (Azure ADDS)
- Azure Active Directory Connect
- Azure AD Single Sign-On
謝謝