|
09.11.2022., 01:21 | #1 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,390
|
Active Directory alternativa u cloudu
Tražim neko kvalitetno rješenje za upravljanje user accountima i PC-ima za ljude koji rade od kuće i praktički nikad ih nema u preduzeću. Cilj je imati neku kontrolu nad aplikacijama i postavkama operativnog sustava, da ne mogu instalirati što hoće, a da ujedno admini udaljeno mogu instalirati aplikacije potrebne za posao. S tim stvarima nemam nikakvog iskustva pa gledam što mi je najbolje. Je li Intune namijenjen za to ili je on više kao SCCM u cloudu? Ako ne Intune, možda je Azure Active Directory bolje rješenje? Ili ako netko ima iskustva s third party LDAP rješenjima tipa JumpCloud, SambaBox ili nekim trećim? Zasad nam treba za 15-ak ljudi koji rade od kuće s naznakom povećanja na možda 50 ili čak i više. Ako nam se rješenje svidi, onda bi kompletno prešli na cloud ili hybrid cloud. U firmi inače imamo on-prem Microsoft AD za oko 150 ljudi koji rade samo u uredu i to bi se onda sve migriralo u cloud uz dodatnu pomoć ZeroTiera. Hvala.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
Zadnje izmijenjeno od: domy_os. 09.11.2022. u 13:56. |
09.11.2022., 08:23 | #2 |
Premium
Datum registracije: Feb 2006
Lokacija: Zagreb
Postovi: 332
|
ADFS? Pa napraviš federaciju za remote korisnike. Da se mogu logirati, ali da tvoj on premise AD odrađuje autentikaciju i autorizaciju korisnika. InTune je više sličan SCCM-u i može ti pomoći oko managementa uređaja i korisnika, no ne baš oko autorizacije i autentikacije. Btw. Obišao sam ponešto ozbiljnijih poslovnih okruženja u zadnjih 10-tak godina i po HR i po EU, apsolutno nitko još nije spreman prebaciti AD skroz u cloud. Iako na prvu zvuči kao idealna priča. |
|
|
Oglas
|
|
09.11.2022., 09:26 | #3 |
Premium
Datum registracije: May 2006
Lokacija: München/Varaždin
Postovi: 3,336
|
Prijateljski savjet - drzi se MS AD-a. AD je jedna od stvari koje je MS jebeno dobro rijesio i svaki pokusaj zamjene sa necim drugim koji sam imao prilike vidjeti je zavrsio sa glavoboljama. Ako trebas administrirat Windows klijente i korisnike - MS AD je najbolje rijesenje. Sve ostalo su kemijanja di se kad-tad ispostavi da nesto ipak ne sljaka kak treba...a onda nemozes rikverc. |
09.11.2022., 09:43 | #4 |
Tehničar
Datum registracije: Dec 2011
Lokacija: Rijeka
Postovi: 1,004
|
intune i azure ad rade jedno s drugim. Intune je za device managment, azure za user management (mozes u azure neke stvari na uređajima hendlat, al manje nego preko intune portala). Mi koristimo tu kombinaciju u firmi i radi ok. Preko intune mozes pushat policy i konfiguracije, podržani su windows, mac i nešto malo linux, linux je u preview, malo je limitiran funkcijama. Preko azure složiš korisnike, podesiš mfa, security grupe, koje onda u intune koristis za pushat policy i konfiguracije. Dobra je stvar šta se odmah kod onboardinga uređaja sve povuče i spusti na uređaj i ready to go je u kratko vrijeme...problematično je ako user ima lošu konekciju koja puca, onda to zna zblesirat onboarding, pa treba par puta to prelazit. Preporučio bi da na microsoft learn prođeš par beginner tečajeva da vidiš kako to funkcionira, čisto da se upoznaš sa tematikom i vidiš mogućnosti i limitacije |
09.11.2022., 09:43 | #5 |
Nikad sit, uvijek žedan
Datum registracije: Jun 2005
Lokacija: Vallis Aurea / ZG
Postovi: 7,999
|
Ako već imate dolje AD, što te usere koji rade od kuće sprječava da koriste AD? VPN ili DirectAccess i bok Ali da, imaš AAD + Intune + Autopilot. Ne moraju ti useri nikada doći u firmu, niti PC ikad mora doći u firmu.
__________________
Sent from AS/400. |
09.11.2022., 13:50 | #8 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,390
|
Pošto je već bilo kasno, nisam se svega sjetio. Dakle, to što radimo za remote usere bi bio kao neki testni poligon i samim time oni NE SMIJU biti povezani s postojećim produkcijskim AD-om, preventivno. Ako to bude ferceralo, onda ured lagano prebacujemo na hybrid i postupno ukidamo on-prem kako nam ostale licence i ugovori budu isticali, a ovi i dalje ostaju odvojeni na drugoj domeni. Dalje, od stvari koje bi radili na remote mašinama su recimo upravljanje Windows Updateima, upravljanje SRP-om, kompletno blokiranje Storea i Live accounta, promjena mrežnih postavki ovisno o lokaciji i departmentu, zabrana USB storagea (svi imaju MS 365 cloud za prebacivanje projekata i kolaboraciju), upravljanje Defenderom, zabrana instalacije Win 11 i slično. Svi imaju Windows na laptopima i poneki imaju Android tablete i mobitele. Također me zanima sama komunikacija server - client u slučaju AAD-a. Pretpostavljam da se novi policy automatski spusti kada client bude online? Kod JumpClouda nam je to sad problem jer treba pecati kada se netko spoji na internet pa aktivirati skriptu ili nešto.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
Zadnje izmijenjeno od: domy_os. 09.11.2022. u 13:56. |
09.11.2022., 18:57 | #10 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,390
|
Politika firme, to je gomila contractora koji koriste našu opremu, rade u drugoj državi s drugom domenom i bezveze nam je spajati ih u isti AD forest.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
|
|
Oglas
|
|
09.11.2022., 19:21 | #11 | ||
Tehničar
Datum registracije: Dec 2011
Lokacija: Rijeka
Postovi: 1,004
|
Citiraj:
imas ovdje popis nekih stvari koje se mogu konfat, kako pise na pocetku ovo nisu sve opcije. Mozes i sam slozit powershell scripte za neke stvari koje mozda jos nisu podrzane i njih syncat na uređaje. https://learn.microsoft.com/en-us/me...ons-windows-10 Ima i android konektor al ga ne koristim pa neznam koliko je toga podrzano Citiraj:
btw imamo i mi podosta contraktora, drzimo ih "razdvojene" od raznih servisa i aplikacija preko security grupa i policya, ali accounti su nam na istom tenantu kao i nasi... Zadnje izmijenjeno od: kiki86. 09.11.2022. u 19:29. |
||
08.01.2023., 21:48 | #12 |
EMP moderator
Datum registracije: Apr 2005
Lokacija: Osijek
Postovi: 18,390
|
Red bi bio javiti što sam na kraju implementirao. Odluka je pala na Microsoft 365 + Intune + Autopilot. Full Azure nam zasad ne treba dok se interno ne dogovorimo, a u M365 Business Premium već imamo Azure AD. Moram priznati da sam najviše vremena izgubio oko izrade domene i povezivanja s novim M365 portalom. To mi nije jača strana, zapravo ništa oko weba i hostinga. Osim toga, na starom portalu gdje je već 200 ljudi je Teams bio krivo složen i nije se moglo kontaktirati nikoga izvan organizacije. U GUI je sve bilo poklikano, ali preko PowerShella je trebalo uključiti AllowAllKnownDomains. Jako sam zadovoljan kako sve radi i kako je sve organizirano. Za mene koji nisam imao iskustva s ovim se sve čini dosta jednostavno, a za zahtjevnije stvari, tu je MS learn site i web općenito. Za početak sam prebacio 20-ak usera sa starog portala, napravio nekoliko device i user grupa, nešto policya i aplikacija za deploy te Autopilot u koji se automatski šalje HW info. Mogli bi ukinuti on-prem servere brže nego što sam mislio.
__________________ "Kako su krojači novog svjetskog poretka uspjeli u tako kratko vrijeme slomiti intelektualne sposobnosti društva, uništiti kritičku svijest i ljudima nametnuti izvrnutu logiku?"
|
|
|
Oglas
|
|
Uređivanje | |
|
|