A situação é que temos vários sites (AWS VPCs), cada um com seus próprios domínios ADDS autogerenciados, sem conectividade de rede entre eles (por design). Precisamos provisionar usuários ADDS de cada site automaticamente a partir de identidades do AzureAD, incluindo write-back de senha (as senhas só devem ser alteradas no Azure).
Uma solução possível (acredito) é usar um cron (tarefa agendada) para consultar o gráfico do Azure em busca de uma lista de usuários e provisionar usuários usando cmdlets powershells new-aduser, definindo atributos de usuário para permitir o write-back de senha do Azure AD Connect para garantir a senha sincronização.
No entanto, o que foi dito acima precisa de muito mais investigação e parece ser uma solução personalizada que requer monitoramento.
Existe uma solução mais pronta para uso (incluindo terceiros?) Que permite AzureAD -> sincronização de usuário AD local?
Responder1
Não existe uma solução pronta para uso que possa atender às suas necessidades. Suas opções são: repensar seu design, fazer desenvolvimento personalizado (scripts) ou adquirir soluções de terceiros.
Soluções de terceiros que podem atender às suas necessidades se enquadramGerenciamento de Identidade (IDM)ouGovernança e Administração de Identidade (IGA)categorias. Você pode encontrar produtos facilmente usando seu mecanismo de pesquisa favorito
POR FALAR NISSO
definir atributos de usuário para permitir o write-back de senha do Azure AD Connect para garantir a sincronização de senha
Isso não vai funcionar, porque o Azure AD Connect sincroniza usuários e senhas do AD para o Azure AD, mas não o contrário. Portanto, o write-back de senha só funciona quando a origem da conta é AD