摘要：Windows管理员不能仅仅激发Azure活动目录部署，并期望它模仿传统的AD，但是AzureAD有几个有意义的用途。

      Windows管理员不能仅仅激发Azure活动目录部署，并期望它模仿传统的AD，但是AzureAD有几个有意义的用途。
　　
　　Azure的Active Directory与Windows管理员熟知传统AD相比有了大幅度的飞跃。虽然它留下很多问题，但管理员可以将管理员将AD扩展到云资源，并在知道如何使用应用程序联合后，实现关键连接（如应用程序联合）。
　　
　　大多数Windows管理员使用传统AD来管理用户，配置文件，组策略对象和其他关系。带宽和互操作性在现场很少出现问题。云计算是一个完全不同的命题。云计算中的服务器和服务具有与内部部署不同的需求和要求。Azure Active Directory将传统AD扩展到云环境中，而不是用云教计算版本替换AD。
　　
　　Azure Active Directory与本地AD
　　
　　公共云尽可能与设备无关，这意味着它不是为了计算机和组策略对象而设计的。Azure不需要本地AD的重功能集;它只需要经过身份验证的用户帐户，组和安全信息进入云端。这是管理员使用Azure Active Directory的地方。
　　
　　Azure Active Directory是一种基于Web的系统，可以管理和验证用户对Web服务的认证。它与网络托管的定制应用程序以及集成的第三方Web服务和应用程序配合使用。微软在这个列表中的术语是投资组合。寻找使用AzureActiveDirectory作为Web服务，平台即服务产品和其他产品的易于管理，可扩展的身份服务前端的方法。
　　
　　图1.Azure Active Directory的管理控制台显示用于管理员控制的组件。
　　
　　Azure Active Directory还可以管理Windows设备上的身份和应用程序配置：企业版Windows10系统具有内部或Azure Active Directory的配置选项。但是不要指望它应用组策略对象。
　　
　　Azure Active Directory甚至有自己的Power Shell扩展来管理和配置用户。
　　
　　如何在企业中使用Azure Active Directory
　　
　　AzureActiveDirectory的设置适合具有BYOD程序的公司。Azure Active Directory将基于Microsoft和Android的用户设备作为真正的网络首要事件。一旦经过身份验证，用户可以根据管理员的要求从Azure系统组合中使用应用程序。随着Azure Active Directory框架的增长，其组合支持更多的应用程序。虽然最终用户可以轻松地下载和使用应用程序，但管理员可以保留对本地系统配置有关应用程序仍然有一定的控制权。
　　
　　管理员可以从投资组合中控制应用程序登录Web服务。他们可以让用户指定用户名和密码，选择存储预配置的值或使用联合服务，如Active Directory联合身份验证服务（ADFS）。Azure Active Directory在安装应用程序时传递这些设置。
　　
　　管理员可以通过Azure Active Directory中的向导界面为用户设置和释放应用程序。它们指定组或个人用户，并可以从其他启用AzureActiveDirectory的公司添加用户。在大型环境中，管理员通常会添加这些用户，以便Azure域可以通过ADFS进行身份验证，而不泄漏任何秘密。AzureActiveDirectory中也提供多重身份验证。
　　
　　Azure Active Directory层
　　
　　使用基本的Azure Active Directory设置没有直接的成本。任何人都可以注册一个Azure帐户并浏览Active Directory。
　　
　　高级版本提供了更好的报告用户，基础设施和系统，以及为用户（消费者）定制页面布局和品牌化的能力。
　　
　　管理员应该利用应用内验证功能。这使您能够验证Office365许可证状态和管理，无缝地向OneDrive和SharePoint验证用户，并设置其他路径。
　　
　　将Azure Active Directory与Azure Active Directory Connect一起使用，这是一种将工作与云连接的Microsoft工具。它有助于防止恶意认证提示或恶作剧。组织在内部部署AD控制器上安装Azure AD Connect，以在私有云和公共云中扩展身份验证。
　　
　　具有单个域的简单Active Directory设置的管理员将很容易地扩展到Azure。
　　
　　编辑：Harris