Un poco de historia de lo que estoy tratando de hacer, pero no tengo suerte por varias razones:Unión de dominio en el sitio de Windows 2016 Server con Azure AD
Después de recibir algunos comentarios de mis colegas, es posible que no tenga el tiempo o la asistencia de TI para investigar e integrar ese sistema (Azure AD --> vNet --> Express Route --> Windows Server 2016 local). Esto es lo que concluí que era la mejor opción para Single-Sign en propósitos que son escalables, pero estoy recibiendo cierto rechazo. Básicamente, lo que queremos es un servidor en nuestra propia intranet para mapear una unidad de red y alojar videos a través de un navegador.
Lo que me gustaría saber ahora es qué pasará si instalo Active Directory en el servidor local, creo un dominio y luego creo cuentas para nuestros usuarios. Tenemos una cuenta establecida y está vinculada a AzureAD. Todo lo que hacemos está ligado a esa cuenta.
¿Puedo duplicar esas cuentas en el AD local? ¿Qué pasará si cambio nuestro grupo de trabajo (GRUPO DE TRABAJO) a un dominio en todas nuestras máquinas y agrego el dominio local a nuestra máquina? ¿Perderemos la capacidad de autenticarnos con Azure AD?
No quiero decir: "Oye, cuando quieras agregar algo al recurso compartido, cierra sesión, cambia al dominio, inicia sesión con la nueva cuenta de dominio y luego intenta cargar". ¡Quizás ya estoy pensando demasiado en esto!
Nunca he trabajado con una infraestructura híbrida y todos los documentos parecen estar al revés (en las instalaciones de Azure, no al revés). Mi mayor temor es que al instalar un dominio local y cambiar nuestras máquinas a ese dominio perdamos nuestra capacidad de usar otras aplicaciones e iniciar sesión porque nuestros usuarios y dispositivos ya están en Azure AD.
Respuesta1
En el escenario que está proponiendo, parece que está hablando de usar un dominio local con las mismas cuentas que Azure AD, pero ¿no hay sincronización entre los dos?
Si ese es el caso, entonces no perderá el acceso a sus cuentas y aplicaciones de Azure AD, pero sus usuarios tendrán dos cuentas separadas. No obtendrá ningún inicio de sesión único, los usuarios tendrán que iniciar sesión en su máquina y luego nuevamente en sus aplicaciones AAD. Además, si las contraseñas difieren (lo que casi siempre sucederá después de la primera ronda de vencimientos), entonces deben recordar dos conjuntos de credenciales.
Si su objetivo aquí es tener un conjunto predeterminado de máquinas en las que pueda iniciar sesión con cuentas de dominio y luego usar estas mismas cuentas para conectarse a Azure AD, entonces realmente creo que debe dar un paso atrás y hacerlo correctamente. Configure un AD local, sincronícelo con AAD y use estas nuevas cuentas para la autenticación local y de AAD. Sí, habrá interrupciones para los usuarios, tendrán que migrar a nuevas cuentas, pero esto es un dolor breve en comparación con tratar de vivir permanentemente con una solución a medias.