多奇數位 Azure 部落格

客戶案例

我們輔導客戶使用雲端服務的過程中，許多客戶會問一個問題：「我想讓所有同仁用一組帳號密碼登入電腦、內部系統、雲端服務……等，但我不想多管一台 Windows AD (Active Directory) 伺服器，管理帳號密碼這件事我能否也用雲端服務來做呢?」這一個問題的答案是肯定的，管理帳號密碼這件事可以用雲端服務來做，但實務上必須要進一步確認公司內部的需求才行。

導入前評估

我假設我們的客戶是中小企業 or 新創企業，請先思考下列幾個問題：

1、公司除了做單一登入 (Single Sign On) 之外，有沒有需要統一管理 PC 或伺服器 ? (例如：所有同仁打開瀏覽器的首頁是公司內部的 EIP。)

熟悉 AD 的朋友會馬上聯想到，這個問題就是在問 GPO (Group Policy Object)。 Azure AD 與 Windows AD 最大的差別之一在於 Azure AD 並沒有 GPO。

2、公司的 PC 是否可以升級到 Windows 10 ?

以 Windows PC 為例，目前只支援 Windows 10 的作業系統加入至 Azure AD。 (這的確是微軟一貫的作風。沒辦法，要拼 Windows 10 的全球安裝數量 =_=)

Azure AD 與 Windows AD 的簡易比較表：(在技術上的差異點頗多，像是 Azure AD 就不支援 LDAP，以下列出客戶較常提出的問題。)

	Windows AD	Azure AD
支援 PC	Windows XP 以上	Windows 10
支援 GPO	有	無
支援一般 IT 裝置 join	有	無 (其實並非是無，微軟有提供 API ，但就看 IT 設備的製造商要不要買微軟的帳。但就結果論來說，目前市面上幾乎沒有 IT 設備能 join Azure AD，例如： Synology NAS 可以 join Windows AD，但無法 join Azure AD。)
管理介面	有，是 MMC 的管理工具。	有，是 Web 化的管理工具。
與其它雲端服務做登入整合	有。例如：Windows AD 上的使用者帳號密碼可以用第三方工具同步到 Google Apps。	有，同上述「支援一般 IT 設備的 join」。重點是你要用微軟提供的 API。其實許多國際級的雲端服務業者已經有支援了，例如：Dropbox, Salesforce.
報表	無	有

尚有 2 點常見的注意事項：

1、Windows 10 的版本必須是專業版以上

就像是 Windows 7 家用版無法加入 Windows AD 一樣，這個邏輯也適用在加入 Azure AD 上。

2、Azure AD 有分不同版本

如果您只有統一管理帳號密碼的需求，只要用 Azure AD Free 的版本就夠了，詳細比較請參考官方網站。另外，如果貴公司已經有買了 Office 365 的話，因為 Office 365 本身就是用 Azure AD Free 的版本，所以也可以用 Office 365 的組織帳號直接將您的 Windows 10 PC or NB join 到 Azure AD。

使用 Azure AD 的好處：

單一登入當然是必備的，但在 Windows 10 更提升了單一登入的效率。舉例來說：當您用 Azure AD 的帳號密碼登入 Windows 10 之後，一打開 IE 瀏覽 Office 365 的頁面就會自動用此帳號密碼進行登入。再者，只要會寫 API 不論任何裝置 or 應用程式皆可以用 Azure AD 來做身份驗證，可以想見的未來應該會越來越多 IT 設備、線上和地面上的各式服務都會支援 Azure AD 進行登入。

後記 (如果貴公司是中大型企業)

要使用 Azure AD 前需要做的評估其實還有很多，參考如下：

1、公司內部有沒有需要發 SSL 憑證給各內部服務使用的需求 ?

2、日後是否可以從雲端搬回地面 ?

3、公司內部是否已經有使用 ADFS 來串接外部的服務 ? (例如：使用 ADFS 與 Office 365 做整合。)

4、公司內部是否有任何服務 or 裝置要使用 LDAP 的機制來驗證使用身份 ?

5、公司內部的裝置是否有支援 join Azure AD ? (例如：我在使用公司內部的無線網路資源時，我也希望用 Azure AD 的帳號密碼登入)

6、……等

由於篇幅的關係，上述僅能列出一些評估的問題。最後補充分享一下，最近微軟正在對「Azure ADDS (Azure Directory Domain Service)」進行測試與預覽。竟然可以使用 LDAP 與 GPO，日後我得好好研究一番再與大家分享 Shifty 。