Active Directory alternativa u cloudu

[domy_os]

Tražim neko kvalitetno rješenje za upravljanje user accountima i PC-ima za ljude koji rade od kuće i praktički nikad ih nema u preduzeću. Cilj je imati neku kontrolu nad aplikacijama i postavkama operativnog sustava, da ne mogu instalirati što hoće, a da ujedno admini udaljeno mogu instalirati aplikacije potrebne za posao.

S tim stvarima nemam nikakvog iskustva pa gledam što mi je najbolje. Je li Intune namijenjen za to ili je on više kao SCCM u cloudu? Ako ne Intune, možda je Azure Active Directory bolje rješenje? Ili ako netko ima iskustva s third party LDAP rješenjima tipa JumpCloud, SambaBox ili nekim trećim?

Zasad nam treba za 15-ak ljudi koji rade od kuće s naznakom povećanja na možda 50 ili čak i više. Ako nam se rješenje svidi, onda bi kompletno prešli na cloud ili hybrid cloud. U firmi inače imamo on-prem Microsoft AD za oko 150 ljudi koji rade samo u uredu i to bi se onda sve migriralo u cloud uz dodatnu pomoć ZeroTiera.

Hvala.

[Slow]

ADFS?
Pa napraviš federaciju za remote korisnike. Da se mogu logirati, ali da tvoj on premise AD odrađuje autentikaciju i autorizaciju korisnika.
InTune je više sličan SCCM-u i može ti pomoći oko managementa uređaja i korisnika, no ne baš oko autorizacije i autentikacije.

Btw. Obišao sam ponešto ozbiljnijih poslovnih okruženja u zadnjih 10-tak godina i po HR i po EU, apsolutno nitko još nije spreman prebaciti AD skroz u cloud. Iako na prvu zvuči kao idealna priča.

[tomek@vz]

Prijateljski savjet - drzi se MS AD-a. AD je jedna od stvari koje je MS jebeno dobro rijesio i svaki pokusaj zamjene sa necim drugim koji sam imao prilike vidjeti je zavrsio sa glavoboljama. Ako trebas administrirat Windows klijente i korisnike - MS AD je najbolje rijesenje. Sve ostalo su kemijanja di se kad-tad ispostavi da nesto ipak ne sljaka kak treba...a onda nemozes rikverc.

[kiki86]

intune i azure ad rade jedno s drugim. Intune je za device managment, azure za user management (mozes u azure neke stvari na uređajima hendlat, al manje nego preko intune portala). Mi koristimo tu kombinaciju u firmi i radi ok.

Preko intune mozes pushat policy i konfiguracije, podržani su windows, mac i nešto malo linux, linux je u preview, malo je limitiran funkcijama. Preko azure složiš korisnike, podesiš mfa, security grupe, koje onda u intune koristis za pushat policy i konfiguracije.

Dobra je stvar šta se odmah kod onboardinga uređaja sve povuče i spusti na uređaj i ready to go je u kratko vrijeme...problematično je ako user ima lošu konekciju koja puca, onda to zna zblesirat onboarding, pa treba par puta to prelazit.


Preporučio bi da na microsoft learn prođeš par beginner tečajeva da vidiš kako to funkcionira, čisto da se upoznaš sa tematikom i vidiš mogućnosti i limitacije

[Pupo]

Ako već imate dolje AD, što te usere koji rade od kuće sprječava da koriste AD? VPN ili DirectAccess i bok


Ali da, imaš AAD + Intune + Autopilot. Ne moraju ti useri nikada doći u firmu, niti PC ikad mora doći u firmu.

[kiki86]

imas i hibridni nacin di mozes koristit on prem i azure ad simultano, al s tim nisam imao kontakta

[mrva_zg]

Citiraj:

Autor kiki86

imas i hibridni nacin di mozes koristit on prem i azure ad simultano, al s tim nisam imao kontakta

Ovo mi koristimo i radi super ibez problema

[domy_os]

Pošto je već bilo kasno, nisam se svega sjetio. Dakle, to što radimo za remote usere bi bio kao neki testni poligon i samim time oni NE SMIJU biti povezani s postojećim produkcijskim AD-om, preventivno. Ako to bude ferceralo, onda ured lagano prebacujemo na hybrid i postupno ukidamo on-prem kako nam ostale licence i ugovori budu isticali, a ovi i dalje ostaju odvojeni na drugoj domeni.

Dalje, od stvari koje bi radili na remote mašinama su recimo upravljanje Windows Updateima, upravljanje SRP-om, kompletno blokiranje Storea i Live accounta, promjena mrežnih postavki ovisno o lokaciji i departmentu, zabrana USB storagea (svi imaju MS 365 cloud za prebacivanje projekata i kolaboraciju), upravljanje Defenderom, zabrana instalacije Win 11 i slično.

Svi imaju Windows na laptopima i poneki imaju Android tablete i mobitele.

Također me zanima sama komunikacija server - client u slučaju AAD-a. Pretpostavljam da se novi policy automatski spusti kada client bude online? Kod JumpClouda nam je to sad problem jer treba pecati kada se netko spoji na internet pa aktivirati skriptu ili nešto.

[Pupo]

Koji je razlog da ne smiju biti povezani?

[domy_os]

Politika firme, to je gomila contractora koji koriste našu opremu, rade u drugoj državi s drugom domenom i bezveze nam je spajati ih u isti AD forest.

[kiki86]

Citiraj:

Autor domy_os

Dalje, od stvari koje bi radili na remote mašinama su recimo upravljanje Windows Updateima, upravljanje SRP-om, kompletno blokiranje Storea i Live accounta, promjena mrežnih postavki ovisno o lokaciji i departmentu, zabrana USB storagea (svi imaju MS 365 cloud za prebacivanje projekata i kolaboraciju), upravljanje Defenderom, zabrana instalacije Win 11 i slično.

Upravljanje SRPom šta bi bilo? Store mozes blokirat ili mozes limitirat sta useri vide u njemu, tipa stavit samo od firme aplikacije ili sta zelis. Neznam sta bi mjenjao od mreznih postavki? VPN? Ovo sve ostalo imamo i mi konfigurirano i radi ok.
imas ovdje popis nekih stvari koje se mogu konfat, kako pise na pocetku ovo nisu sve opcije. Mozes i sam slozit powershell scripte za neke stvari koje mozda jos nisu podrzane i njih syncat na uređaje.
https://learn.microsoft.com/en-us/me...ons-windows-10

Citiraj:

Autor domy_os

Svi imaju Windows na laptopima i poneki imaju Android tablete i mobitele.

Ima i android konektor al ga ne koristim pa neznam koliko je toga podrzano

Citiraj:

Autor domy_os

Također me zanima sama komunikacija server - client u slučaju AAD-a. Pretpostavljam da se novi policy automatski spusti kada client bude online? Kod JumpClouda nam je to sad problem jer treba pecati kada se netko spoji na internet pa aktivirati skriptu ili nešto.

Policy/konfa se automatski spusta cim se klijent spoji na internet, nekad mu treba par minuta da se synca nekad par sati al se uvijek synca. Mozes i forsat sync sa intune strane i sa strane uređaja.

btw imamo i mi podosta contraktora, drzimo ih "razdvojene" od raznih servisa i aplikacija preko security grupa i policya, ali accounti su nam na istom tenantu kao i nasi...

[domy_os]

Red bi bio javiti što sam na kraju implementirao. Odluka je pala na Microsoft 365 + Intune + Autopilot. Full Azure nam zasad ne treba dok se interno ne dogovorimo, a u M365 Business Premium već imamo Azure AD.

Moram priznati da sam najviše vremena izgubio oko izrade domene i povezivanja s novim M365 portalom. To mi nije jača strana, zapravo ništa oko weba i hostinga. Osim toga, na starom portalu gdje je već 200 ljudi je Teams bio krivo složen i nije se moglo kontaktirati nikoga izvan organizacije. U GUI je sve bilo poklikano, ali preko PowerShella je trebalo uključiti AllowAllKnownDomains.

Jako sam zadovoljan kako sve radi i kako je sve organizirano. Za mene koji nisam imao iskustva s ovim se sve čini dosta jednostavno, a za zahtjevnije stvari, tu je MS learn site i web općenito. Za početak sam prebacio 20-ak usera sa starog portala, napravio nekoliko device i user grupa, nešto policya i aplikacija za deploy te Autopilot u koji se automatski šalje HW info.

Mogli bi ukinuti on-prem servere brže nego što sam mislio.