Um pouco do que estou tentando fazer, mas não estou tendo sorte por vários motivos:Windows 2016 Server no domínio do site ingressa no Azure AD
Depois de receber alguns comentários de meus colegas, talvez não tenha tempo ou assistência da TI para pesquisar e integrar esse sistema (Azure AD --> vNet --> Express Route --> Windows Server 2016 local). Foi isso que concluí ser a melhor opção para Single-Sign para fins escaláveis, mas estou recebendo algumas críticas. O que queremos essencialmente é um servidor em nossa própria intranet para mapear uma unidade de rede e hospedar vídeos por meio de um navegador.
O que eu gostaria de saber agora é o que acontecerá se eu instalar o Active Directory no servidor local, criar um domínio e depois criar contas para nossos usuários. Temos uma conta estabelecida e vinculada ao AzureAD. Tudo o que fazemos está vinculado a essa conta.
Posso duplicar essas contas no AD local? O que acontecerá se eu mudar nosso Grupo de Trabalho (GRUPO DE TRABALHO) para um domínio em todas as nossas máquinas, adicionando o domínio local à nossa máquina? Perderemos a capacidade de nos autenticarmos no Azure AD?
Não quero dizer: "Ei, quando você quiser adicionar algo ao compartilhamento, saia, mude para o domínio, faça login com a nova conta de domínio e tente fazer upload". Talvez eu esteja pensando demais nisso!
Nunca trabalhei com uma infraestrutura híbrida e todos os documentos parecem ser inversos (no local para o Azure, e não o contrário). Meu maior medo é que a instalação de um domínio local e a mudança de nossas máquinas para esse domínio percam a capacidade de usar outros aplicativos e fazer login porque nossos usuários e dispositivos já estão no Azure AD.
Responder1
No cenário que você está propondo, parece que você está falando em usar um domínio local com as mesmas contas do Azure AD, mas sem sincronização entre os dois?
Se for esse o caso, você não perderá o acesso às suas contas e aplicativos do Azure AD, mas seus usuários terão duas contas separadas. Se você não conseguir nenhum logon único, os usuários terão que fazer login em suas máquinas e, em seguida, novamente em seus aplicativos AAD. Além disso, se as senhas forem diferentes (o que acontecerá quase sempre após a primeira rodada de expirações), eles precisarão se lembrar de dois conjuntos de credenciais.
Se o seu objetivo aqui é ter um conjunto preliminar de máquinas nas quais você possa fazer logon com contas de domínio e usar essas mesmas contas para se conectar ao Azure AD, então realmente acho que você precisa dar um passo atrás e fazer isso corretamente. Configure um AD local, sincronize-o com o AAD e use essas novas contas para autenticação local e AAD. Sim, haverá interrupções para os usuários, eles precisarão migrar para novas contas, mas isso é uma dor curta em comparação com tentar viver permanentemente com uma solução incompleta.