Azure AD gyakorlatban

 ( zoldnap | 2019. május 20., hétfő - 9:14 )

Sziasztok,

Egy 10 gépes irodai környezetben szeretnék központilag megvalósítani userek/groupok managelését, fájlmegosztást, authentikációt.

Két alternatíva merült fel:
1. Samba 4 Active directory
2. Azure AD

Azon gondolkodom, hogy a samba4-el ugyan gyorsan megvan a domainbe léptetés és a fájlkezelés, így is lehet pár buktató, például hogy oldom meg, hogyha egy munkatárs otthonról szeretné elérni az egyik file share-t. Persze, VPN-el, tűzfal állítgatással és hasonlókkal ezt is meg lehet oldani, de pl kevésbé érzem biztonságosnak, hogy egységsugarú userek az otthoni gépükről a teljes helyi hálózatra rálátnak. Javítsatok ki ha tévedek, de nem láttam még webes vagy egyéb szinkronizáló eszközt sambahoz amivel megoldható lenne VPN nélkül ez a feladat.

Ezért elgondolkodtam az Azure AD használatán, a filesharek pedig O365-el lennének megvalósítva. Örülnék, ha valaki leírná a tapasztalatait, hogy Samba4-hez képest ez a kombináció a gyakorlatban hogyan üzemel.

Van néhány konkrét kérdésem is:

1. Árazás: jól látom, hogy az Azure AD free tier az ténylegesen ingyenes, csak a 2FA-ért (1.4USD/hó/user) illetve a Basic tier-re való upgradért kell fizetni (1USD/hó/user)? Tehát így az O365-el együtt felhasználónként valahol 4-5-6-7 EUR
2. A deviceok számára nincs limitáció? Például néhány felhasználó az irodai gépről is bejelentkezne, a mobilján olvasna emaileket és az otthoni notebookjáról is használna pl onedrive-t.
3. Ha ideiglenesen nincs internet elérés az irodában, akkor mi történik? Be tudnak jeletnkezni a userek cachelt authentikációs adatok segítségével?
4. Lehetséges helyi web alkalmazásokban az Azure AD-t használni authentikációnak?
5. A 10 apps/user a free tierben mennyire problémás a gyakorlatban? Feltételezem az O365 egy alkalmazásnak minősül..
6. Az otthoni felhasználók a saját gépeiken gondolom nem lépnek be az Azure AD-be, csak az O365-be? Tehat az Azure AD login működik mint O365 belépési azonosító? Ha nem, az problémás lehet, mert a felhasználó otthoni win7-ére nem biztos, h felmegy az Azure AD, vagy egyáltalán akarja-e domainhez csatlakoztatni.

Előre is köszönöm a hozzálszólásokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

"1. Árazás: jól látom, hogy az Azure AD free tier az ténylegesen ingyenes, csak a 2FA-ért (1.4USD/hó/user) illetve a Basic tier-re való upgradért kell fizetni (1USD/hó/user)? Tehát így az O365-el együtt felhasználónként valahol 4-5-6-7 EUR"

Igen.

"2. A deviceok számára nincs limitáció? Például néhány felhasználó az irodai gépről is bejelentkezne, a mobilján olvasna emaileket és az otthoni notebookjáról is használna pl onedrive-t."

Nincs ilyen limitáció.

"3. Ha ideiglenesen nincs internet elérés az irodában, akkor mi történik? Be tudnak jeletnkezni a userek cachelt authentikációs adatok segítségével?"

Ha nincs internet, akkor a userek nem fogják elérni a cloud szolgáltatásokat, a gépekre történő bejelentkezésre az on-prem AD még rendelkezésre fog állni.

"4. Lehetséges helyi web alkalmazásokban az Azure AD-t használni authentikációnak?"

Persze, a fizikai lokációnak nincs szerepe.

"6. Az otthoni felhasználók a saját gépeiken gondolom nem lépnek be az Azure AD-be, csak az O365-be? Tehat az Azure AD login működik mint O365 belépési azonosító? Ha nem, az problémás lehet, mert a felhasználó otthoni win7-ére nem biztos, h felmegy az Azure AD, vagy egyáltalán akarja-e domainhez csatlakoztatni."

Az otthoni gépnek nem kell domain tagnak lennie, hogy el tudjon érni egy Azure AD-t használó service-t.

AAD esetleg elerheto ldap(s) -en is? csak hogy ele csattinthassak egy radiust...

1: Az alap igen, bármi kicsit is komolyabb feature-t szeretnél használni, már keményen fizetős. (domain registered gépen windows hello kikapcsolás -> intune előfizu; AD-ban rendszergazda csoport, akik tudnak a gépeken jogot szerezni -> AD E1 vagy E3 előfizu; stb. stb.)

6: 3 verzióban lehet AD accountot használni:
- csak böngészőben/alkalmazásban, semmi AD accountot nem adsz hozzá a géphez. Ilyenkor az általad vázolt szitu van, az O365, meg a connected alkalmazás használja az AD-t auth backendként.
- AD joined vs. AD registered: https://blogs.technet.microsoft.com/trejo/2016/04/09/azure-ad-join-vs-azure-ad-device-registration/
itt már megjelennek az eszközök AD-ben.