Uso de Azure AD para impulsar la configuración de la directiva de grupo

9

Estoy tratando de usar Azure Active Directory en lugar de usar un controlador de dominio tradicional.

Me gustaría usar Azure AD para autenticar a los usuarios e impulsar la configuración de GPO, como la redirección de carpetas, las asignaciones de unidades y la configuración de privacidad de Windows 10.

He creado una cuenta de Office 365, que entiendo crea el backend de AD. También he creado una cuenta de Azure y agregué mi PC con Windows 10 de prueba al dominio de Azure usando los detalles de usuario de O365 / Azure.

También me he suscrito a una prueba premium de Azure AD.

Es en este punto que estoy atascado. ¿En qué parte de Azure puedo ver la PC que agregué?

Además, ¿puedo usar Azure AD para enviar la configuración tradicional de la directiva de grupo a mi PC de prueba, y si es así, ¿dónde debo configurar esto?

¿O necesito usar algo como Windows Intune?

windows active-directory group-policy azure azure-active-directory usuario3580480
fuente

Respuestas:

8

El directorio activo de Azure no se puede usar así. No es un reemplazo para Active Directory (bueno, al menos no lo es al momento de escribir).

Lo que desea hacer es utilizar el servicio intune en combinación con AAD para lograr lo que desea. No creo que pueda hacer GPO completo, pero hay un montón de configuraciones que puede configurar.

CtrlDot
fuente
2
Esto no es enteramente verdad. Con los servicios de Azure AD Directory ahora puede unir máquinas a AD y enviar GPO (aunque con un alcance limitado). Sin embargo, esto todavía está en vista previa
Sam Cogan
1
La respuesta de @ Sam a continuación es precisa y debe considerarse.
SturdyErde
1
Intune no puede administrar dispositivos como los GPO, sin embargo, Intune está diseñado para configurar los ajustes básicos del dispositivo, como implementaciones de software, antivirus, actualizaciones de Windows, etc. La redirección de carpetas, los mapas de unidades y todo tipo de configuración relacionada con el usuario se deben realizar a través de GPO. Intune proviene de un historial de MDM y debe verse como una solución de MDM con excelente soporte de Windows. Sin embargo, todavía está hecho para configurar dispositivos, en lugar de configuraciones de usuario en esos dispositivos.
Sebastian Werner
5

Azure AD Directory Services es una nueva característica de vista previa que funciona más como un controlador de dominio como una oferta de servicio y le permite impulsar los GPO. La estructura de GPO y OU está más limitada al AD clásico, pero se puede hacer. Está en vista previa, así que tenga en cuenta las consecuencias de SLA para eso.

Sam Cogan
fuente
Estas características solo se pueden usar en máquinas virtuales que se ejecutan en la oferta de IaaS de Azure. AAD DS no se puede usar para reemplazar AD DS clásico en premisa para su cliente promedio de Windows 10.
Sebastian Werner
@sebastian no es del todo correcto, si tiene conectividad de ruta rápida a su Azure Vnet, entonces puede unirse en máquinas prem. Pero estoy de acuerdo que en realidad no está destinado a reemplazar un DC completo con máquinas cliente, sino que está más destinado a proporcionar servicios de AD a IaaS en Azure.
Sam Cogan