是否可以让多个 Azure 租户引用相同的本地 Active Directory
Is it possible to have multiple Azure tenants that reference the same on premises Active Directory
想象一下,一家拥有多家子公司的大公司。共享 IT 公司为所有子公司集中管理 Active Directory(以及几乎所有其他 IT 服务)。目前还存在一个连接到本地 Active Directory 的 Azure 租户,但是关于谁controls/owns哪些资源员工不能使用这个 Azure 租户的问题。
其中一家子公司决定创建自己的 Azure 租户,以便推进其开发工作。然而,该公司被告知 "Only a single federation to an Azure tenant is currently supported per Active Directory Domain".
我找到了这个 document。如果公司由 Contoso 实施组成,那么假设它仍然可以将 2 个 azure 租户联合到单个本地 Active Directory 是否合理?是否有任何原因可以解释为什么本地 Active Directory 的一种实现能够实现此功能而另一种则不能。
是的,你可以这样做,但每个租户只能有一个 AD Connect 实例,因为 Azure AD Connect Sync 服务器和 Azure AD 租户之间存在 1:1 关系。因此,您需要使用本地 Active Directory 为每个租户注册三个单独的 UPN 后缀,并使用三个单独的同步服务器(每个租户一个)。您需要在为每个租户同步 AD 用户时应用过滤。
想象一下,一家拥有多家子公司的大公司。共享 IT 公司为所有子公司集中管理 Active Directory(以及几乎所有其他 IT 服务)。目前还存在一个连接到本地 Active Directory 的 Azure 租户,但是关于谁controls/owns哪些资源员工不能使用这个 Azure 租户的问题。
其中一家子公司决定创建自己的 Azure 租户,以便推进其开发工作。然而,该公司被告知 "Only a single federation to an Azure tenant is currently supported per Active Directory Domain".
我找到了这个 document。如果公司由 Contoso 实施组成,那么假设它仍然可以将 2 个 azure 租户联合到单个本地 Active Directory 是否合理?是否有任何原因可以解释为什么本地 Active Directory 的一种实现能够实现此功能而另一种则不能。
是的,你可以这样做,但每个租户只能有一个 AD Connect 实例,因为 Azure AD Connect Sync 服务器和 Azure AD 租户之间存在 1:1 关系。因此,您需要使用本地 Active Directory 为每个租户注册三个单独的 UPN 后缀,并使用三个单独的同步服务器(每个租户一个)。您需要在为每个租户同步 AD 用户时应用过滤。