使用Azure AD推送组策略设置

9

我正在尝试使用Azure Active Directory而不是使用传统的域控制器。

我想使用Azure AD对用户进行身份验证并推送GPO设置,例如文件夹重定向,驱动器映射和Windows 10隐私设置。

我已经创建了一个Office 365帐户,据我所知创建了AD后端。我还创建了一个Azure帐户,并使用O365 / Azure用户详细信息将测试的Windows 10 PC添加到了Azure域。

我还订阅了Azure AD高级试用版。

在这一点上,我被困住了。我可以在Azure中哪里看到添加的PC?

此外,我可以使用Azure AD将传统的组策略设置推送到我的测试PC上吗?如果可以,我应该在哪里进行配置?

还是我需要使用Windows Intune之类的工具?

windows  active-directory  group-policy  azure  azure-active-directory 
用户名
source

Answers:

8

不能像这样使用Azure活动目录。它不能替代Active Directory(至少在撰写本文时还不是)。

您要做的是将Intune服务与AAD结合使用以实现您想要的。我不相信您将能够执行完整的GPO,但是您可以配置很多设置。

CtrlDot
source
2
这并非完全正确。借助Azure AD Directory服务,您现在可以将计算机连接到AD并推送GPO(尽管范围有限)。但是,这仍处于预览阶段
Sam Cogan
1
@Sam在下面的回答是准确的,应予以考虑。
SturdyErde
1
Intune无法像GPO一样管理设备-但是,Intune旨在配置基本设备设置,例如软件部署,防病毒,Windows更新等。文件夹重定向,驱动器映射和所有与用户相关的配置都必须通过GPO完成。Intune来自MDM历史,应被视为具有强大的Windows支持的MDM解决方案。但是,仍然是用于配置设备,而不是配置这些设备上的用户设置。
塞巴斯蒂安·韦纳
5

Azure AD目录服务是一项新的预览功能,它更多地用作域控制器即服务产品,并允许您推送GPO。GPO和OU结构更多地限于经典AD,但是可以做到。它处于预览阶段,因此请记住SLA的后果。

山姆·科根
source
这些功能只能在Azure IaaS产品上运行的VM中使用。对于普通的Windows 10客户端,不能使用AAD DS替代内部前提的经典AD DS。
塞巴斯蒂安·沃纳
@sebastian并不完全正确,如果您具有到Azure Vnet的快速路由连接,则可以加入Prem机器。但是我同意这并不是要用客户端计算机代替完整的DC,而是要为Azure中的IaaS提供AD服务。
Sam Cogan
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.