Azure Active Directory, de vervanger van Server ADDS?

Ik ben de laatste tijd lekker bezig met Azure, en wat begon als een leuk platform voor test/dev omgevingen en websites, werd met de jaren iets waar je opeens SQL databases kon hosten, waar ineens productieservers geplaatst konden worden, waar je opeens virtuele netwerken met je eigen netwerk kon verbinden, en waar je op een gegeven moment Azure AD kreeg waarmee je gebruikers in Intune, O365 en SharePoint Online mee kon beheren. Ik zat gisteren even wat video's te bekijken van Ignite waarin een Azure Active Directory device join werd gedemonstreerd met Windows 10. En daarmee kan Azure AD weer een stukje meer, namelijk devices management.

Dat gaat ongeveer zo (ik wou het zelf ook ff proberen):


In Azure zet je Device Join aan...


Je pakt een Windows 10 machine, en doet "Connect to Cloud". Je logt in met een account uit Azure AD.


Vervolgens verschijnt mn testbak in Azure


En na een reboot kan je inloggen met het account uit Azure AD, met het wachtwoord wat je daarvoor gebruikt. Vervolgens krijg je de mogelijkheid om in plaats van het device te locken met een network secret, een local secret te gebruiken, net zoals op een telefoon.

De technische uitleg zit wat verder in deze video, ergens bij 24 minuten:
http://channel9.msdn.com/Events/Ignite/2015/BRK2339

Als je vervolgens Outlook wilt openen zie je direct dat het account uit Azure AD (wat in de praktijk ook voor o365 word gebruikt) klaar staat, je hoeft alleen maar op Done te klikken en je bent klaar met Outlook configureren. Met Office zie je hetzelfde, documenten opslaan op de OneDrive is een fluitje van een cent omdat al deze systemen gebruik maken van hetzelfde account.

Als ik al deze integratie mogelijkheden zie, kan ik mij haast niet voorstellen dat dit voor een hoop bedrijven (met name kleine omgevingen) ideaal is, omdat dit in beheer en integratie zoveel makkelijker is dan een normaal domein. Daarom ben ik wel benieuwd wat jullie hiervan vinden, wat voor mogelijkheden of onmogelijkheden jullie zien, en of dit een waardige "opvolger" kan zijn voor Windows Server Active Directory

Meekoh schreef op vrijdag 08 mei 2015 @ 12:08:
Nou ten eerste Azure AD is een aangepaste versie van Windows Server AD, maar dan geschikt gemaakt voor multi-tanancy. Dus in theorie kan het alles wat gewoon AD kan en iets meer, maar ook weer niet.

Volgens mij zitten er wel wat meer verschillen in Azure AD en on-prem AD on-prem authentiseert met Kerberos, je kan er mee praten met LDAP, het heeft een X.500 hierarchie, je hebt dingen als GPO's en OU's, en dat leeft in domeinen en forests, welke je kan verbinden met trusts. In Azure AD heb je ook domeinen en gebruikers, maar anders dan on-prem AD. Je hebt geen forests, geen trusts, geen GPO;s, geen OU's, geen FSMO rollen, zelfs geen domain controllers. De protocollen en API's zijn ook totaal anders. Authenticatie gaat ineens met SAML, WS-Federation en OAuth, en je kan queries loslaten op Rest API. Het word uitgelegd in deze cartoon (die overigens wel enigszins gedateerd is):

http://blogs.msdn.com/b/p...ve-directory-cartoon.aspx

De reden dat ik dit zo interessant vind is dat ik de laatste tijd oplossingen met AAD heb gebruikt bij klanten die op zoek zijn naar manieren om hun IT te "versimpelen", met name MKB omgevingen. Die hebben geen zin in serverracks met duur spul waar de hele dag een beheerder bovenop moet zitten, en wat afschrijft in een aantal jaar, waarna je weer met migraties zit. Dat kon eerst al met Azure IaaS door je VM's in Azure te gooien zodat je niet met servers in racks zat, maar nu Azure AD een steeds completere PaaS oplossing word voor identity management, vraag ik me af hoelang we nog met on-prem AD blijven werken. En dat de discussie die ik een beetje tot leven wil wekken in dit topic