私がやろうとしていることの背景を少し説明しますが、さまざまな理由でうまくいきません。Azure AD を使用した Windows 2016 Server のサイト ドメイン参加
同僚からフィードバックを受けた後、そのシステム (Azure AD --> vNet --> Express Route --> オンプレミスの Windows Server 2016) を調査して統合するための時間や IT 部門からの支援がない可能性があります。これが、スケーラブルなシングル サインオンの目的に最適なオプションであると結論付けましたが、反対意見も出ています。基本的に必要なのは、ネットワーク ドライブをマップし、ブラウザー経由でビデオをホストする、独自のイントラネット上のサーバーです。
私が今知りたいのは、オンプレミス サーバーに Active Directory をインストールし、ドメインを作成してから、ユーザーのアカウントを作成した場合に何が起こるかということです。 1 つのアカウントが設定されており、それが AzureAD に関連付けられています。 私たちが行うすべてのことは、そのアカウントに関連付けられています。
オンプレミス AD でこれらのアカウントを複製できますか? すべてのマシンでワークグループ (WORKGROUP) をドメインに変更し、オンプレミス ドメインをマシンに追加するとどうなりますか? Azure AD で認証する機能は失われますか?
「共有に何かを追加したいときは、ログアウトしてドメインに切り替え、新しいドメイン アカウントでログインしてからアップロードしてください」とは言いたくありません。考えすぎなのかもしれません。
私はハイブリッド インフラストラクチャを使用したことがなく、すべてのドキュメントが逆になっているようです (オンプレミスから Azure へ、その逆ではありません)。私の最大の懸念は、オンプレミスにドメインをインストールし、マシンをそのドメインに変更すると、ユーザーとデバイスが既に Azure AD にあるため、他のアプリを使用したりログインしたりすることができなくなることです。
答え1
提案されているシナリオでは、Azure AD と同じアカウントを持つローカル ドメインを使用することを話しているようですが、2 つのドメイン間で同期は行われないのでしょうか?
その場合、Azure AD アカウントとアプリへのアクセスは失われませんが、ユーザーは 2 つの別個のアカウントを持つことになります。シングル サインオンは利用できず、ユーザーは自分のマシンにログインしてから、AAD アプリに再度ログインする必要があります。また、パスワードが異なる場合 (最初の有効期限切れ後はほぼ必ず異なります)、ユーザーは 2 セットの認証情報を覚えておく必要があります。
ここでの目標が、ドメイン アカウントでログオンできるオンプレミスのマシン セットを用意し、同じアカウントを使用して Azure AD に接続することである場合、一歩下がってこれを適切に実行する必要があると思います。ローカル AD をセットアップし、これを AAD と同期して、これらの新しいアカウントをオンプレミスと AAD 認証に使用します。確かに、ユーザーには混乱が生じ、ユーザーは新しいアカウントに移行する必要がありますが、中途半端なソリューションで永続的に使用しようとすることに比べれば、これは一時的な苦痛です。