Azure Active Directory作为Azure虚拟机的域控制器

Question

Azure Active Directory是Azure提供的“即服务”。我见过Microsoft的文档和内容，说明可以用于SSO和其他Web应用程序进行统一身份验证。

是否可以使用Azure Active Directory替换虚拟网络中Azure虚拟机中的Windows Server AD？我看到Azure VM上的Windows Server Active Directory安装涉及从PowerShell和其他东西执行？

Answer 1

NO！ Windows Azure Active Directory不是域控制器。您无法将计算机加入Windows Azure AD。您可以使用它将本地AD与Windows Azure AD同步，以轻松启用Web SSO（单点登录）。您可以使用它来构建企业级Web应用程序。

您可以阅读有关Windows Azure Active Directory here的更多信息。

Answer 2

直到最近，答案还是平淡无奇，但Windows 10已经改变了。

Windows 10设备可以加入Azure Active Directory（AD）域。但它更多的是识别管理而不是传统的Active Directory（AD）服务。但是，您可以结合使用Azure AD和MDM（移动设备管理）来提供以前为AD保留的一些服务。

要记住的一件事是Azure Active Directory（AD）与Windows域控制器提供的类似命名的Active Directory完全不同。 Azure AD不是域控制器，但从Windows 10 Azure AD开始，MDM和Intune可以执行以前只能由AD提供的一些内容。借助Windows 10，Microsoft大大扩展了MDM，并使用MDM管理常规Windows 10台式机和笔记本电脑成为可能。

Active Directory团队博客提供了更多信息。帖子Azure Active Directory and Windows 10: Bringing the cloud to enterprise desktops!列出了它带来的一些好处，包括：

• 企业自有设备的自我配置。
• 使用现有的组织帐户。
• 自动MDM注册。
• 单点登录云中的公司资源。
• 单点登录本地
• 企业级Windows商店。
• 支持现代外形。 Azure AD Join将适用于没有传统域加入功能的设备。
• OS State Roaming。

这不包括AD提供的传统功能。根据帖子Azure AD Join on Windows 10 devices Azure AD，它针对以下三种情况：您的应用和资源主要位于云中，季节性工作者和学生和为本地用户选择您自己的设备。正如您所看到的，Azure AD的目标更多是启用BYOD（自带设备）。 Azure AD支持管理无法加入域的设备，如平板电脑或非Pro版Windows。

来自同一个post：

  

域名加入可为您提供设备上最佳的本地体验   能够进行域加入，而Azure AD连接则针对用户进行了优化   主要访问云资源。 Azure AD Join也很棒   您希望使用MDM而不是使用MDM来管理云中的设备   组策略和SCCM。

Azure现在提供名为Azure Active Directory Domain Services的传统Active Directory服务。这提供了域加入，NTLM和Kerboeros身份验证。您甚至可以使用组策略管理计算机。

Answer 3

使用Azure Active Directory域服务可以实现这一点（请注意与没有域支持的常规Azure Active Directory的区别）

https://azure.microsoft.com/en-us/services/active-directory-ds/