Press "Enter" to skip to content

Azure Active Directory svagheder

Det er ikke meningen at Azure AD DS skal være en erstatning for et on-prem AD, for der er en række svagheder ved Azure Active Directory der begrænser mulighederne i en AD baseret infrastruktur. Det er Microsofts anbefalinger at man altid har et on-premises domain man sync’er til Azure Active Directory.

On-premises Active Directory domains med Azure Active Directory
azure active directory sync

  • Begrænset til et Default domæne og en enkelt Default Domain controller policy. Kunder har ikke adgang til selve Domain controlleren i Azure Active Directory og kan derfor ikke tilføje flere
  • Ingen Domain Admin rettigheder
  • Kerberos Delegation og app proxy Window Auth kan ikke sættes op, da man ikke har den krævede Domain Admin rettighed
  • Azure Active Directory er single region only – så ingen disaster recovery setup i anden region
  • Du kan lave dine egne OU’er, men de lever kun i Azure Active Directory. Hvis du opretter OU’er med brugere kan du ikke se dem i resten af Azure Active Directory
  • Azure Active Directory kræver i øjeblikket et v1 VNET, så hvis du benytter v2 VNET’s kræver det du opretter v1 VNET og joiner dem enten med VNET peering eller VPN

Årsag:
Azure Active Directory Domain Services (AD DS) er lavet for at give kunder en mulighed for en lift-n-shift fremgangsmåde, når de lægger Applikationer og servere i Azure der kræver en LDAP AD server. Det er Microsofts anbefalinger at man altid har et on-premises domain man sync’er this to Azure Active Directory. På den måde opnår man optimale muligheder og sikkerhed på samme måde.