내가하려는 일에 대한 약간의 배경 지식이 있지만 여러 가지 이유로 운이 좋지 않습니다.Azure AD를 사용한 사이트 도메인 가입의 Windows 2016 Server
동료들로부터 피드백을 받은 후에는 해당 시스템(Azure AD --> vNet --> Express Route --> 온프레미스 Windows Server 2016)을 연구하고 통합할 시간이나 IT의 지원이 없을 수도 있습니다. 이것이 확장 가능한 단일 서명 목적에 가장 적합한 옵션이라고 결론을 내렸지만 약간의 반발을 받고 있습니다. 우리가 본질적으로 원하는 것은 브라우저를 통해 네트워크 드라이브를 매핑하고 비디오를 호스팅하는 자체 인트라넷의 서버입니다.
지금 알고 싶은 것은 온프레미스 서버에 Active Directory를 설치하고 도메인을 만든 다음 사용자를 위한 계정을 만들면 어떻게 되는지입니다. 우리는 하나의 계정을 설정했으며 이는 AzureAD에 연결되어 있습니다. 우리가 하는 모든 일은 해당 계정과 연결되어 있습니다.
온프레미스 AD에서 해당 계정을 복제할 수 있나요? 작업 그룹(WORKGROUP)을 모든 컴퓨터의 도메인으로 변경하고 온프레미스 도메인을 컴퓨터에 추가하면 어떻게 되나요? Azure AD로 자신을 인증하는 기능을 잃게 되나요?
"야, 공유에 뭔가 추가하고 싶으면 로그아웃하고 도메인으로 전환하고 새 도메인 계정으로 로그인한 다음 업로드해 보세요."라고 말하고 싶지 않습니다. 어쩌면 나는 이것을 생각하는 것이 끝났습니다!
저는 하이브리드 인프라를 사용해 본 적이 없으며 모든 문서가 반대인 것 같습니다(온프레미스에서 Azure로, 그 반대는 아님). 가장 큰 두려움은 온프레미스에 도메인을 설치하고 컴퓨터를 해당 도메인으로 변경하면 사용자와 장치가 이미 Azure AD에 있기 때문에 다른 앱을 사용하고 로그인할 수 없게 된다는 것입니다.
답변1
제안하는 시나리오에서는 Azure AD와 동일한 계정으로 로컬 도메인을 사용하는 것에 대해 이야기하고 있지만 둘 사이에 동기화가 없는 것처럼 들리나요?
이 경우 Azure AD 계정 및 앱에 대한 액세스 권한을 잃지는 않지만 사용자는 두 개의 별도 계정을 갖게 됩니다. Single Sign On을 사용하지 않을 경우 사용자는 컴퓨터에 로그인한 다음 AAD 앱에 다시 로그인해야 합니다. 또한 암호가 다른 경우(첫 번째 만료 이후 거의 항상 발생함) 두 개의 자격 증명 세트를 기억해야 합니다.
여기서 목표가 도메인 계정으로 로그온한 다음 동일한 계정을 사용하여 Azure AD에 연결할 수 있는 사전 컴퓨터 세트를 갖는 것이라면 한 걸음 물러서서 이 작업을 올바르게 수행해야 한다고 생각합니다. 로컬 AD를 설정하고 이를 AAD에 동기화한 후 온프레미스 및 AAD 인증에 이러한 새 계정을 사용합니다. 예, 사용자에게 혼란이 발생하고 새 계정으로 마이그레이션해야 하지만 이는 절반만 구운 솔루션으로 영구적으로 살려고 시도하는 것에 비해 짧은 일회성 고통입니다.