외부 사용자가 건물/네트워크 외부에 있지만 컴퓨터가 도메인에 있는 다음과 같은 시나리오에서 원격 사용자가 AD에 동기화하도록 허용하려면 어떤 옵션이 있는지 궁금합니다.
우리는 몇 명의 외부 사용자를 갖게 될 예정입니다. 우리는 이것을 테스트해왔고, 우리가 테스트한 첫 번째 외부 사용자는 웹 메일을 통해 AD 비밀번호를 변경할 때 AD에서 컴퓨터로 전파되지 않는다는 것을 발견했습니다. AD 서버에 연결할 수 있는 수단이 없기 때문에 이는 의미가 있습니다. 이 문제를 해결하는 표준 방법이 궁금합니다. 다음은 가능하다고 생각되는 몇 가지 방법입니다. 누군가가 어떤 방법이 가능하고 어떤 방법이 가능하지 않은지 말해 줄 수 있기를 바랍니다. 다른 옵션도 매우 환영합니다.
우리는 최근 Office 365 클라우드 서비스를 사용하기 시작했고, Azure AD Connect를 사용하고 있습니다. 컴퓨터에서 비밀번호를 재설정하고 전체 AD 환경에 전파할 수 있는 "클라우드" AD에 도달할 수 있는 방법이 있습니까? 분명히 말씀드리자면 저는 실제 Azure AD 포털을 사용한 적이 없으며 AD Connect를 통해서만 암호와 사용자 동기화를 실행했습니다.
AD에 대한 외부 인증을 허용하기 위해 방화벽에 구멍을 뚫는 것이 정상입니까? 이것은 당신이 확실히하고 싶지 않은 일처럼 보이지만 나는 멍청한 사람이고 틀릴 수도 있습니다.
VPN이 있지만 간단히 말해서 ISP가 형편없고 믿을 수 없을 정도로 불안정합니다. VPN에 가입하려는 시도의 약 1/5이 성공했다고 말하고 싶습니다. 우리는 그들과 협력하고 있지만 규모가 매우 작아서 요청을 처리하는 데 어려움을 겪고 있습니다.
다른 것? 다른 옵션이 있나요?
인터넷 검색을 통해 VPN이 여기에서 가장 일반적인 방법인 것처럼 보이지만 우리 VPN이 너무 형편없기 때문에 1번이 가능할 것이라고 기대했습니다.
답변1
Azure AD는 다음과 같은 기능을 지원합니다.비밀번호 쓰기 저장, 이를 통해 사용자는 인터넷에서 비밀번호를 변경하거나 재설정한 다음 AD Connect를 통해 온프레미스 AD와 동기화할 수 있습니다.
비밀번호 쓰기 저장을 사용하려면 다음 사전 요구 사항을 완료해야 합니다.
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
기존 Office 365 구독이 있는 경우 이미 Azure AD 테넌트가 있는 것입니다! 다음에 로그인할 수 있습니다.Azure 포털O365 계정으로 Azure AD 사용을 시작하세요.
그런데 Azure AD 조인 기능이 포함된 Windows 10을 사용하더라도 여전히 비밀번호 쓰기 저장을 활성화해야 합니다.
또한 다음을 사용할 수 있습니다.바로 연결원격 사용자가 비밀번호를 변경하거나 재설정할 수 있도록 합니다.
다음은 아래 블로그에서 가져온 섹션입니다.
첫 번째는 원격 사용자의 비밀번호 재설정입니다.암호를 잊어버렸거나 원격 중에 잠긴 사용자는 헬프데스크에 전화하게 되지만, 사용자가 도메인 컨트롤러를 볼 수 없는 경우 Active Directory에서 암호 재설정을 수행하면 사용자가 내부 네트워크에 접속하지 않는 한 도움이 되지 않습니다. . 로그인할 수 없기 때문에 VPN을 불러올 수 없는 사용자는 VPN을 사용하여 연결할 수 없습니다. 그러나 DirectAccess를 사용하면 사용자는 CTRL-ALT-DEL 프롬프트에서 바로 도메인 컨트롤러를 볼 수 있으므로 헬프데스크에서 재설정한 암호가 최종 사용자에게 즉시 표시됩니다. 사용자가 인터넷을 로밍하는 동안 자신의 암호를 재설정할 수도 있도록 DirectAccess 인프라 터널을 통해 Forefront Identity Manager 셀프 서비스 암호 재설정 포털을 노출할 수도 있어야 합니다.
두 번째는 원격 사용자의 비밀번호 변경입니다.OWA에서 암호를 변경하는 로밍 랩톱 사용자는 이 암호 변경 내용을 Active Directory로 보내게 됩니다. 하지만 노트북에 캐시된 자격 증명에는 영향을 미치지 않습니다. 다음 번에 사용자가 로그온하여 "새 암호"를 사용하려고 하면 랩톱이 인트라넷에 직접 연결되어 있지 않으면 랩톱에 캐시된 자격 증명에 대한 로그온이 실패합니다. DirectAccess를 사용하면 사용자는 언제든지 CTRL-ALT-DEL 프롬프트에서 바로 암호를 변경할 수 있습니다.
또한 기본적으로 30일마다 발생하는 컴퓨터 계정 암호 변경은 VPN을 거의 실행하지 않는 사용자의 경우에도 DirectAccess 지원 노트북에서 올바르게 작동합니다. 이렇게 하면 내부 IT 전문가가 실행할 수 있는 AD 정리 활동으로 인해 합법적인 컴퓨터 계정이 정리되는 것을 방지할 수 있습니다.
답변2
Azure AD 셀프 서비스 암호 재설정은 하나의 옵션입니다. 직접 또는 EMS(Enterprise Mobility Suite)와 같은 다른 패키지를 통해 Azure AD 프리미엄이 필요합니다. 이를 통해 Azure에서 암호를 재설정하고 Azure AD 연결을 통해 온-프레미스 AD에 다시 쓸 수 있습니다.