Usando o Azure AD para enviar configurações de Diretiva de Grupo

9

Estou tentando usar o Azure Active Directory em vez de usar um controlador de domínio tradicional.

Gostaria de usar o Azure AD para autenticar usuários e enviar configurações de GPO, como redirecionamento de pasta, mapeamentos de unidade e configurações de privacidade do Windows 10.

Eu criei uma conta do Office 365, que eu entendo cria o back-end do AD. Também criei uma conta do Azure e adicionei meu PC Windows 10 de teste ao domínio do Azure usando os detalhes do usuário do O365 / Azure.

Também me inscrevi em uma avaliação premium do Azure AD.

É neste ponto que estou preso. Onde no Azure posso ver o PC que adicionei?

Além disso, posso usar o Azure AD para enviar configurações tradicionais da Diretiva de Grupo para o meu PC de teste e, em caso afirmativo, onde devo fazer isso?

Ou preciso usar algo como o Windows Intune?

windows active-directory group-policy azure azure-active-directory user3580480
fonte

Respostas:

8

O diretório ativo do Azure não pode ser usado assim. Não é um substituto para o Active Directory (bem, pelo menos não é no momento da escrita).

O que você deseja fazer é usar o serviço intune em combinação com o AAD para alcançar o que deseja. Não acredito que você consiga fazer um GPO completo, mas há várias configurações que você pode definir.

CtrlDot
fonte
2
Isso não é inteiramente verdade. Com os serviços do Azure AD Directory, agora você pode associar máquinas ao AD e enviar GPOs (embora com um escopo limitado). No entanto, isso ainda está em pré
Sam Cogan
1
A resposta de @ Sam abaixo é precisa e deve ser considerada.
SturdyErde
1
O Intune não pode gerenciar dispositivos como os GPOs - no entanto, o Intune foi projetado para definir configurações básicas do dispositivo, como implantações de software, antivírus, atualizações do Windows e assim por diante. O redirecionamento de pastas, mapas de unidades e todo tipo de configuração relacionada ao usuário deve ser feito por meio de GPOs. O Intune é proveniente de um histórico do MDM e deve ser visto como uma solução MDM com excelente suporte ao Windows. No entanto, ele ainda é feito para a configuração de dispositivos, em vez das configurações do usuário nesses dispositivos.
Sebastian Werner
5

Os Serviços de Diretório do Azure AD são um novo recurso de visualização que funciona mais como um controlador de domínio como uma oferta de serviço e permite que você envie GPOs. A estrutura do GPO e da OU é mais limitada ao AD clássico, mas pode ser feita. Está na pré-visualização, portanto, lembre-se das consequências do SLA para isso.

Sam Cogan
fonte
Esses recursos podem ser usados ​​apenas em VMs em execução na oferta IaaS do Azure. O AAD DS não pode ser usado para substituir o AD DS clássico no local para o seu cliente Windows 10 médio.
Sebastian Werner
@sebastian não está totalmente correto, se você tiver conectividade de rota expressa à sua Vnet do Azure, poderá ingressar em máquinas prem. Mas eu concordo que não é realmente um substituto para um controlador de domínio completo com máquinas clientes, mas sim para fornecer serviços de AD ao IaaS no Azure.
Sam Cogan 19/07