情況是,我們有多個站點(AWS VPC),每個站點都有自己管理的 ADDS 域,它們之間沒有網路連線(按照設計)。我們需要從 AzureAD 身分自動設定每個網站的 ADDS 用戶,包括密碼寫回(密碼只能從 Azure 變更)。
一個可能的解決方案(我認為)是使用 cron(計劃任務)來查詢 Azure graphapi 中的用戶列表,並使用 powershells new-aduser cmdlet 配置用戶,設定用戶屬性以允許 Azure AD Connect 密碼寫回以確保密碼同步。
然而,上述需要進行更多的調查,並且似乎是一個需要監控的客製化解決方案。
是否有更開箱即用的解決方案(包括第三方?)允許 AzureAD --> 本機 AD 使用者同步?
答案1
沒有現成的解決方案可以滿足您的需求。您的選擇是:重新考慮您的設計、進行客製化開發(腳本)或購買第三方解決方案。
可能滿足您需求的第三方解決方案屬於身分管理(IDM)或者身分治理與管理 (IGA)類別。您可以使用您喜歡的搜尋引擎輕鬆找到產品
順便提一句
設定使用者屬性以允許 Azure AD Connect 密碼寫回以確保密碼同步
這是行不通的,因為 Azure AD Connect 會將使用者和密碼從 AD 同步到 Azure AD,但反之則不然。因此,密碼寫回僅在帳戶來源為 AD 時有效