如果我有Office 365了，还需要微软AD吗？

不少企业可能会有这种疑问，如果将业务迁移上云并使用了微软的Office 365，那么还需要 Active Directory（AD）吗？

当您的公司业务向云端迁移时，不需要继续使用微软 AD。您可以通过下面两种方法来重新构建 IT 基础架构，以便满足现代化的 IT 要求：

● 使身份成为新的边界

● 使设备成为访问资源的安全网关

云迁移可能是一个令人困惑的话题，而且 IT 领域变化也颇大。微软的身份管理计划和 license 的核心是 Azure Active Directory（AAD），它是Office 365 （O365）的用户管理底层，而微软也更倾向于使用其平台进行基于云的身份认证。

本文概述了微软目录的商业模式和 open directory 开放目录的方法，并分析 IT 团队如何从 O365 和微软迁移中受益，以供 IT 团队选择最适合自己的订阅服务。

1、发展中的AD和Office 365

Active Directory（AD）是微软的本地身份管理软件，从2000年初发布至今已有约20年的历史。它在 Windows 设备的环境中占据了主导地位，也使得微软借此在市场上有了强有力的控制权。因此，AD 成了许多 IT 管理员唯一熟悉的目录服务。

微软开发 AAD 是为了应对云计算趋势。AAD 和 AD 的架构不同，AAD 主要是作为现有本地 AD 的补充。AAD 最贵的高级计划用身份保护和治理来扩展 AD，它的两个高级层级都将云身份与传统的 Windows 应用整合在了一起。混合集成可能会满足对 AD 有需求的中小企业，不过，它也将中小企业深度绑定进了微软的生态环境里。

抛开 AD 也是可以的。AAD 本就不是 AD 的替代品，但当它与 Azure 的附加服务或 Microsoft 365 一起使用时，它可以作为一个独立的目录服务。但是，数据不是1:1完整迁移的。例如，Group（组）在 AAD 中的工作方式不同。在 AAD 和租户范围的管理中，组织单位（OU）等概念被行政单位（AU，Administrative Units）所取代。这种转变对中小企业而言可能很困难，且迫使中小企业不得不为 AAD/AD 迁移投入大量资源。企业管理者甚至还需要咨询顾问来完成这一转变。

以下这些是可用的 AAD 方案（注意，完整的 AD 集成需要高级层级）：

2、Azure AD（AAD）的层级

● AAD免费层

AAD 的免费层可以为 SaaS 应用提供单点登录（SSO）能力，使企业可以使用微软身份和多因素认证（MFA）。

它提供了关于其底层身份管理解决方案的基本报告，以及安全和使用报告。它忽略了组的分配，省略了自定义的条件访问规则，并限制了用户的配置方式。它不提供设备管理，使得管理员没有设备管理来实现端点安全态势（在混合AD配置之外）。免费版无法跟 Azure 的安全信息和事件管理（SIEM）平台 Microsoft Sentinel 协同工作。

● 高级版（P1）

高级版（P1）增加了配置 Intune 的能力、Windows 设备的配置、更高级的 MFA 配置、有条件的访问策略、终端用户自助服务、高级组管理以及更全面的告警和报告。

Azure AD 密码保护也完全启用了，而在免费版中该功能是有限的，不过它并没有扩展到 AD。其他功能旨在为企业内部的域控制器实现混合场景，而免费版则无法实现。

有客户提到，微软迫使其客户采用 Edge 浏览器，以使其条件访问策略发挥作用。

● 高级版（P2）

高级版（P2）在 P1 所有功能的基础上，增加了身份治理功能，包括基于风险的条件访问策略、基于设备状态或位置/组的条件访问、特权身份保护、云应用的Windows Defender等。管理、控制和监控访问管理角色的特权访问管理（PAM）只在该层级中提供，而且只有该层级能保护 AD 免受身份泄露。

P2 层还提供更全面的安全性和合规性报告，以便审计登录、用户风险和异常操作。它可以和 SIEM 整合，进行访问认证和审查，并调查风险事件。此外，还有生命周期工作流程，包括了一个 beta 版的生命周期管理服务。P2 对企业而言是必要的，便于将身份治理应用于外部目录/身份。

P2 是一个企业级的解决方案，可能包含了比中小企业所需的或有能力实施和使用的更广泛的功能。您可能会为了某一项功能而不得不为其他不需要的功能或服务付费。P2 功能非常广泛，混合 AD 配置可能会变得很昂贵。

3、AAD可以成为Google Workspace/云的收费站

假如您决定用 Google Workspace 替代 MS Office ，但偏向于使用 AAD 作为您的目录服务（也许它与您之前的本地 AD 机架有关）。当涉及到与非微软身份的整合时，AAD 并不能完全兼容；微软对管理外部身份会收取额外的费用（对于某些认证还会收取更多的费用）。微软推出了 Entra 解决方案，旨在将企业级身份治理应用于外部身份。这意味着如果您决定使用其 AAD/Entra 服务管理另一个目录，则需要向微软支付额外费用。

可以用 AAD 为 Google Workspace 进行用户供应和单点登录，但需要进行配置。在 AAD 的生态系统中，默认情况下是将中小企业与 MS Office 捆绑在一起。实际上，AAD 是在复制 AD 的传统锁定（AD 将企业与微软生态紧紧捆绑在一起）。

微软允许与 Google 身份联合（用于其登录页面）的目的是为了设置访客用户访问微软资源，如 O365。AAD 的 B2B 协作将微软应用程序和资源置于前沿。

均指向微软的应用程序和服务

4、设备管理需要Intune

所有的 AAD 计划都不包括 Intune，即微软的设备管理服务。它只能作为附加服务，按用户/月订阅，或者是与高级 Microsoft 365 计划捆绑。AD 可以管理 Windows 设备，但无法管理基于 Android、Apple 或 Linux 的服务。

如果您只关注于利用 Azure，而不需要对 Linux 和 macOS 系统进行系统化管理，也不需要 AWS 云服务器、Google Workspace 集成或任何非微软解决方案，那么 AAD 可能符合你的要求。然而，如果这些要求发生了变化，未来您将需要支付更多费用。在 Azure 生态系统中，没有与 AD 对等的东西，这一点从 Azure 的身份、设备管理和安全服务的广泛覆盖中可以看出。

5、传统的Office 365许可

需要注意的是，一些传统的 Office 365 计划仅包括 AAD 的免费层，这限制了设备管理等方面的可能性。

例如，Office 365 E3 不包括 Intune 和P1的权益。IT 管理员必须更改其 license，这一操作可能会令人十分困惑。M365 计划与 O365 计划不同，license 也不同。

6、用开放目录平台弥补差距

即使有了 O365，微软也不是唯一的目录选项。随着来自其他最佳平台和供应商的设备和应用程序的增加，IT 堆栈变得更加异构化。中小企业不得不投入大量的时间和金钱将 AAD 迁移到 AD，这也可以作为一个转折点，使其摆脱成为一个纯粹的微软商店的状态（同时仍保留O365）。

这就是宁盾 NingDS 身份目录云平台的用武之地。作为一种基于 SaaS 的云目录服务，您不需要同时拥有 AD 和 Azure AD。您可以把 NingDS 作为您的身份提供商（IdP），并将其连接到与 Azure AD 集成的 Office 365。或者，使用 AAD 的免费层并将身份联合到 NingDS，以节省预算。

此连接允许您从 NingDS 向 Office 365 供应用户、取消供应和同步，最终是与 Azure AD 紧密集成的。这种集成使您可以完全将业务转移到云端，而不是一只脚在云端，另一只脚在本地。需要注意的是：如果企业需要，NingDS 可以与 AD 集成来扩展它的功能。

现代企业依赖于 Workspace 和/或 O365 实现——毕竟这些解决方案是核心生产力解决方案。问题在于 IT 如何有效地管理这些资源，特别是用户及其需要访问的内容。在 Workspace 或 O365 中创建用户并对其进行管理会导致“身份孤岛”，企业内最终会出现许多“迷你目录”，而不是集中的身份和访问管理（IAM）平台。

7、没有微软锁定的O365

正在考虑使用 Office 365 的企业不需要 AD，也没必要为微软的高级订阅和附加组件付费。您可以放心地迁移到 O365，而不必被锁定在微软的 Azure 订阅生态系统中。NingDS 统一了身份、访问和设备管理功能，无论底层目录、认证方法或设备生态系统如何。该平台提供无摩擦访问，无论用户使用的是生物识别技术、数字证书、密码还是SSH密钥，都能对其进行身份认证。

NingDS 身份目录云平台将身份视为新的边界，具有集成的设备管理功能，并为您的资源（甚至是 O365 和 Google）提供安全、无摩擦的访问。NingDS 还确保每个资源都有一个"最佳方式"来连接到它。

例如：

● 服务器使用SSH密钥，比密码更安全

● 云 LDAP 与全平台的 MFA

● 无密码证书可以确保云RADIUS Wi-Fi访问的安全

● 使用 SAML 和 OIDC 对 Web 应用进行认证

● 特权访问管理的可选条件访问规则

8、安全的身份生命周期

此外，NingDS 群组利用基于属性的访问控制（ABAC）来实现自动化授权。与 AD 相比，ABAC是一种更成熟的用户生命周期管理方法，其中包括手动流程，增加了出错、过期用户或过度授权的可能性。NingDS 可以给出更改建议，也可以设置为完全自动化。AAD 默认为基于角色的访问控制，这不是自动化的，权限靠手动分配。微软只为 P1 或以上版本提供其动态组。

9、包含在内的设备管理

幸运的是，不需要额外订阅设备管理服务，如 Intune。NingDS 提供标准的集成报告、具有类似GPO策略的跨操作系统设备管理、远程协助等功能。

如果您想在企业中使用 NingDS 身份目录云，可以点击右侧在线咨询客服申请试用。