Mặc dù có thể chuyển nhiều chức năng của bộ điều khiển miền lên đám mây nhưng hầu hết các tổ chức sử dụng Active Directory đều cần cơ sở hạ tầng kết hợp cho phép người dùng truy cập vào tài nguyên đám mây (như OneDrive và Microsoft 365) thông qua Azure Active Directory cũng như trên- cơ sở chia sẻ tệp, máy in và ứng dụng vẫn cần thông tin đăng nhập cục bộ.
Trong những năm qua, Microsoft đã có nhiều công cụ để quản lý danh tính kết hợp và đồng bộ hóa người dùng và nhóm trên đám mây và tại chỗ.
NHÌN THẤY: Khám phá bảng cheat đám mây lai của TechRepublic.
Microsoft Identity Manager, thay thế Forefront Identity Manager, được hỗ trợ cho đến ngày 9 tháng 1 năm 2029 nhưng Trình kết nối Azure AD của nó không được dùng nữa. Máy chủ xác thực đa yếu tố Azure AD cũng không được dùng nữa và sẽ ngừng xử lý các yêu cầu MFA sau ngày 30 tháng 9 năm 2024. Nếu vẫn đang sử dụng các công cụ này, bạn sẽ cần chuyển sang một tùy chọn mới hơn.
Chuyển đến:
Azure AD Connect và những hạn chế của nó
Azure AD Connect đã thay thế các tùy chọn DirSync và Azure AD Sync cũ hơn để đồng bộ hóa người dùng, nhóm và các đối tượng thư mục khác với Azure AD. Nó hỗ trợ:
- Đồng bộ hóa băm mật khẩu: Đồng bộ hóa hàm băm của mỗi mật khẩu AD của người dùng vào Azure AD.
- Xác thực chuyển tiếp: Gửi người dùng tới Azure AD để đăng nhập, sau đó xác thực với AD, để họ có thể sử dụng cùng một mật khẩu trong đám mây và cho các tài nguyên cục bộ mà không cần thiết lập liên kết.
- Dịch vụ liên kết Active Directory sử dụng.
Tuy nhiên, Azure AD Connect yêu cầu thiết lập và duy trì máy chủ trên mạng của bạn, đồng thời một số yêu cầu để chạy máy chủ này không phù hợp với mọi tổ chức, đặc biệt nếu bạn có nhiều “rừng” AD, khiến cho việc làm việc với Azure AD trở nên phức tạp.
“Để sử dụng nó, bạn cần phải ở trong một khu rừng được kết nối; bạn cần phải cài đặt cơ sở dữ liệu,” Joseph Dadzie, giám đốc nhóm nhận dạng của Microsoft cho biết. “Điều đó rất tốn kém để quản lý và triển khai.
“Chúng tôi bắt đầu nhận được phản hồi từ nhiều khách hàng về chi phí triển khai đồng bộ hóa AD Connect và duy trì nó, cũng như một số lỗ hổng về tính năng nếu bạn đang ở trong một khu rừng bị ngắt kết nối hoặc bạn đang ở trong một tổ chức nơi bạn đang cố gắng thực hiện M&A . Vì vậy, chúng tôi bắt đầu xem xét các cách để đơn giản hóa nó.”
Đồng bộ đám mây nhằm mục đích thay thế Azure AD Connect cho đám mây
Kết quả là đồng bộ hóa đám mây Azure AD Connect, bắt đầu như một công cụ để đưa danh tính từ nhiều khu rừng AD bị ngắt kết nối vào một đối tượng thuê Azure AD duy nhất.
Nó vẫn làm được điều đó, nhưng giờ đây nó là một giải pháp thay thế nhẹ cho AD Connect không có nhiều tính năng nhưng thiết lập nhanh hơn nhiều và yêu cầu ít tài nguyên hơn. Điều này là do đồng bộ hóa đám mây di chuyển phần lớn cấu hình vào đám mây, chỉ cần tác nhân cung cấp.
Dadzie nói: “Khi bạn nhìn vào AD Connect, hầu hết tất cả cấu hình đều được thực hiện trong thế giới tại chỗ và nó được lưu trữ trong máy chủ cục bộ đó. “Đối với đồng bộ hóa trên đám mây, ý tưởng là chuyển cấu hình sang dựa trên đám mây và có một tác nhân rất nhẹ trong môi trường của khách hàng để dễ dàng triển khai.
“Mất khoảng 10 megabyte, vì vậy bạn có thể có nhiều thứ trong số này hoạt động cùng nhau để tạo ra các giải pháp có tính sẵn sàng cao; điều gì đó khó thực hiện hơn nếu bạn có khả năng đồng bộ hóa Connect đầy đủ.”
Tính khả dụng cao đó đặc biệt hữu ích nếu bạn đang sử dụng đồng bộ hóa hàm băm mật khẩu được đề xuất của Microsoft.
Tương lai của đồng bộ đám mây
Dadzie nói với chúng tôi rằng đồng bộ hóa đám mây có thể xử lý các nhóm có tối đa 50.000 thành viên, nhưng tính năng này chưa bao gồm mọi thứ bạn có thể làm với đồng bộ hóa AD Connect.
Dadzie nói: “Nếu bạn đã thực hiện rất nhiều tùy chỉnh đối với các thuộc tính trong AD của mình và bạn vẫn sử dụng Exchange tại chỗ, thì vẫn còn một số khả năng khác biệt. “Về lâu dài, chúng tôi muốn nó trở thành sự thay thế hoàn toàn; Chúng tôi vẫn chưa ở đó.”
Hiện tại, nó không thể kết nối với các thư mục LDAP và chưa hỗ trợ cho các đối tượng thiết bị, chỉ có người dùng, nhóm và danh bạ. Có các tùy chọn tùy chỉnh và lọc nâng cao không khả dụng và đồng bộ hóa đám mây không thể xử lý ghi ngược kết hợp Exchange, vì vậy bạn không thể sử dụng nó cho di chuyển kết hợp Exchange.
Liên kết được hỗ trợ nhưng không hỗ trợ Dịch vụ Miền Azure AD hoặc Xác thực Truyền qua, ít nhất là đối với các khu rừng bị ngắt kết nối. Đó là điều mà nhóm AD Connect đang nghiên cứu, Dadzie nói, và tính năng ghi lại cho các nhóm bảo mật cũng đang được phát triển.
Dadzie nói: “Trong năm qua, chúng tôi đã thêm các kịch bản ghi lại mật khẩu tự phục vụ.
Dadzie lưu ý rằng tính năng ghi lại thiết bị cũng đang được phát triển, bởi vì “hầu hết mọi hoạt động triển khai đều bắt đầu bằng việc đưa một số người dùng từ tại chỗ lên đám mây”. Điều này hơi khó hiểu vì cả Azure AS và Windows Hello For Business đều có các dịch vụ có tên là Cloud Kerberos trust, dịch vụ này thực hiện những việc khác nhau nhưng Microsoft cho chúng tôi biết cách đặt tên và tài liệu sẽ trở nên rõ ràng hơn trong tương lai.
Nhóm đồng bộ đám mây cũng đang xem xét các giải pháp thay thế cho việc ghi lại.
Dadzie nói: “Nếu bạn có một ứng dụng tại chỗ và bạn có một người dùng đám mây cần quyền truy cập vào ứng dụng đó, thì làm cách nào để bạn cấp cho người dùng đó quyền truy cập mà không cần có tài khoản trong AD tại chỗ. “Chúng tôi đang xem xét những gì chúng tôi có thể làm trong không gian đó: Có cách nào để tiết lộ một số bí mật để bạn có thể có thông tin đăng nhập của người dùng, nơi người dùng có quyền truy cập tại chỗ mà không cần phải có người dùng đồ vật trong đó?”
Điều đó vẫn còn trong giai đoạn đầu, nhưng có các bản cập nhật thường xuyên cho chức năng đồng bộ đám mây.
Dadzie cho biết: “Cứ mỗi quý đến sáu tháng, chúng tôi lại cập nhật và bổ sung các khả năng mới. “Chúng tôi đang thực hiện sứ mệnh loại bỏ lý do tại sao ai đó vẫn có thể muốn sử dụng đồng bộ hóa AD Connect đầy đủ. Chúng tôi đang thực hiện sứ mệnh tiếp tục bổ sung đồng bộ hóa trên đám mây đến mức cuối cùng chúng tôi sẽ thay thế đồng bộ hóa AD Connect, nhưng chúng tôi vẫn chưa đạt được điều đó.”
Lựa chọn giữa Azure AD Connect và đồng bộ đám mây
Không có gì khẩn cấp về việc chuyển sang đồng bộ hóa đám mây nếu bạn cần tính năng đồng bộ hóa AD Connect, nhưng có một số tình huống trong đó đồng bộ hóa đám mây đã là lựa chọn tốt hơn cũng như ít đòi hỏi hơn.
“Nó hoạt động tốt cho các tổ chức không quá phức tạp hoặc không có nhiều đối tượng; nếu họ có ít hơn 150 nghìn đối tượng trong thư mục của mình, thì việc bắt đầu sử dụng đồng bộ hóa trên đám mây sẽ dễ dàng hơn,” Dadzie nói.
Có một trình hướng dẫn trong trung tâm quản trị Microsoft 365 hướng dẫn bạn cách chọn tùy chọn đồng bộ hóa danh tính phù hợp cũng như hướng dẫn di chuyển từng bước nếu bạn muốn chuyển từ đồng bộ hóa Azure AD Connect sang đồng bộ hóa trên đám mây.
Dazie nói: “Môi trường càng phức tạp thì cách tiếp cận theo từng giai đoạn càng hiệu quả. Nhưng nếu nhu cầu của bạn ít phức tạp hơn và bạn đang bắt đầu với danh tính kết hợp, anh ấy khuyên bạn nên bắt đầu với đồng bộ hóa trên đám mây để đơn giản (Hình A).
Hình A
Trên thực tế, một phần lớn sức hấp dẫn của đồng bộ đám mây là nó được thiết kế để bắt đầu sử dụng dễ dàng hơn nhiều.
“Trong đồng bộ hóa Kết nối, bạn phải tự mình thực hiện tất cả Lập bản đồ lược đồ, trong khi ở đồng bộ hóa đám mây, chúng tôi cố gắng tự động phát hiện chúng cho bạn, vì vậy bạn không cần phải tìm kiếm xung quanh và giúp bạn dễ dàng định cấu hình chúng,” Dadzie nói . “Triết lý chính mà chúng tôi đang cố gắng thực hiện với đồng bộ hóa trên đám mây là làm cho nó trở nên cực kỳ dễ dàng, vì vậy khách hàng không cần phải suy nghĩ kỹ về những điều này.”