Cum se pot împinge identitățile AzureAD în ActiveDirectory on prem

Situația este că avem mai multe site-uri (VPC-uri AWS), fiecare cu propriile domenii ADDS autogestionate, fără conexiune la rețea între ele (prin proiectare). Trebuie să punem la dispoziție fiecare site ADS utilizatorii automat din identitățile AzureAD, inclusiv scrierea înapoi a parolelor (parolele ar trebui schimbate doar din Azure).

O posibilă soluție (cred) este să folosiți un cron (sarcină programată) pentru a interoga Azure graphapi pentru o listă de utilizatori și a furniza utilizatorilor folosind cmdlet-uri powershells new-aduser, setarea atributelor utilizatorului pentru a permite rescrierea parolei Azure AD Connect pentru a asigura parola sincronizare.

Cu toate acestea, cele de mai sus necesită o investigație considerabil mai mare și pare o soluție personalizată care necesită monitorizare.

Există o soluție mai inovatoare (inclusiv terțe părți?) care permite AzureAD --> sincronizarea utilizatorilor AD la premisă?

Nu există o soluție ieșită din cutie care să vă satisfacă nevoile. Opțiunile dvs. sunt: ​​să vă regândiți designul, să faceți o dezvoltare personalizată (scriptare) sau să cumpărați soluții terțe.

Soluțiile de la terțe părți care v-ar putea acoperi nevoile se încadrează Managementul identității (IDM) sau Guvernarea și administrarea identității (IGA) categorii.Puteți găsi cu ușurință produse folosind motorul de căutare preferat

BTW

setarea atributelor utilizatorului pentru a permite rescrierea parolei Azure AD Connect pentru a asigura sincronizarea parolei

Acest lucru nu va funcționa, deoarece Azure AD Connect sincronizează utilizatorii și parolele de la AD la Azure AD, dar nu invers. Prin urmare, rescrierea parolei funcționează numai atunci când sursa contului este AD