Czy zastąpi Azure AD Connect’a, którego tak dobrze znamy?
Zacznijmy od fundamentów…
Azure AD Connect to narzędzie Microsoftu pokrewne znanemu nam wszystkim DirSync’owi. Pierwsza wersja Azure AD Connect, dostępna od czerwca 2015 roku nie różni się wiele od wersji drugiej, wypuszczonej w lipcu 2021r. Główne zmiany między wersjami dotyczą m.in.:
- protokołów autoryzacji – MSAL zamiast ADAL
- wykorzystywanej bazy – w wersji 2 jest to SQL 2019
- protokołu TLS – Azure AD Connect w wersji 2 wspiera wyłącznie TLS 1.2
- last, but not least, nowy Azure AD Connect może zostać postawiony wyłącznie na Windows Server 2019/2022.
Pomimo wprowadzonych między wersjami modyfikacji, ogólna funkcjonalność oprogramowania pozostała taka sama
Wersja 1.x kończy swoje działanie 31 sierpnia 2022 r. Pamiętaj o aktualizacji!
Azure AD Connect Cloud Sync , czyli odchudzona i uproszczona wersja Azure AD Connect w wersji GA została wypuszczona niespełna rok temu, bo we wrześniu 2021r. Powodów dla utworzenia nowej wersji dobrze znanego już narzędzia było kilka, m.in. potrzeba możliwości zsynchronizowania środowiska wielu lasów bez zachodzącego między nimi połączenia sieciowego, dostarczenie trybu wysokiej dostępności czy możliwość przeniesienia konfiguracji z on premise do środowiska chmurowego.
Oznacza to, że wraz z pojawieniem się Azure Ad Connect Cloud Sync administratorzy zyskali możliwość synchronizacji użytkowników bez konieczności żmudnego powoływania i konfigurowania dedykowanej maszyny wirtualnej, co było konieczne w wersji Azure Ad Connect.
Oczywiście jest to ujęcie mocno uproszczone, a więcej różnic między Azure AD Connect sync a Azure AD Connect Cloud Sync obrazuje poniższa tabela:
Porównianie Azure AD Connect i Azure AD Cloud Sync
| Funkcja | Azure Active Directory Connect | Azure Active Directory Cloud Sync |
| Connect to single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer defined AD attributes (directory extensions) | ● | |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | |
| Support for group writeback | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross domain references | ● | |
| On-demand provisioning | ● | ● |
Dzięki tak obrazowemu porównaniu obu narzędzi łatwo dostrzec, że różnice nie są może zbyt liczne, ale z pewnością mają ogromny wpływ na wybór metody i scenariusze synchronizacji środowisk oraz ilość zasobów potrzebnych do przeprowadzenia całego procesu.
Zatem… czy Azure AD Connect Cloud Sync wygryzie swojego starszego brata?
TLDR: Nie.
Teoretycznie odpowiedź już znasz, ale niech dowody to potwierdzą. Uwzględnijmy zatem sytuacje, w których (do pewnego punktu) możemy zastosować oba omawiane narzędzia.
Przykład pierwszy:
Wyobraź sobie, że Twój klient potrzebuje synchronizacji użytkowników na potrzeby wdrożenia w firmie pakietu M365. Jak dotąd całkiem jasne, tak? Ale żeby nie było zbyt łatwo, z dalszych rozmów wynika, że Twój klient to super tajna firma przewarzająca super tajne informacje, co wymaga od Ciebie jako administratora zastosowania autoryzacji PTA (Pass-Through Authetntication). Oznacza to, że mimo Twoich najszczerszych chęci wykonania swojego zadania najlepiej jak potrafisz, wymagane zabezpieczenia uniemożliwiają Ci w tym przypadku zastosowanie Azure AD Cloud Sync.
1:0 dla Azure AD Connect
Przykład drugi:
Pamiętasz Umpa-Lumpy? Tak, te z fabryki czekolady Wonki. Sprawa wygląda tak, że przed pandemią informacje w fabryce rozchodziły się pocztą pantoflową, więc wszyscy wiedzieli o wszystkim. Niestety, pojawiły się maski, kombinezony i dystans społeczny, przez co ktoś nie dosłyszał, ktoś coś przekręcił i pralinki „Węgielki” zrobili z… białej czekolady. No klapa. Dlatego Pan Wonka zgłasza się do Ciebie, żeby wszystkie Umpa Lumpy dostały proste narzędzia ze skrzynką mailową i Teamsami, żeby komunikacja odbywała się sprawnie jak za starych czasów. Poza tym jeszcze musisz stworzyć system kart wejściowych dla wszystkich Umpa Lumpów tak, aby ich dane były przechowywane w lokalnym środowisku fabryki. Brzmi jak idealny plan dla Azure AD Connect Cloud Sync! Już wiesz, że nie musisz stawiać maszyn, wszystko się wyklika i pójdzie jak z płatka i wtedy… Pytasz: ile? No… przynajmniej z ćwierć miliona ludków.
I tak oto w ten letni wieczór wymyśliłem dla Ciebie kolejny przykład sytuacji, w której bez Azure AD Connect’a się nie obędzie. Niestety, sama tabela opracowana przez Microsoft (ta kilka akapitów powyżej) dostarczyła nam już informacji, że powyżej 250 000 obiektów Cloud Sync nie da rady, więc nie jest to kwestia mojej skromnej opinii. 😉
2:0 dla Azure AD Connect.
Przykład trzeci:
Zawiera sytuację, którą można wykonać zarówno AD Conectem jak AD Connectem Cloud Synciem, ale Cloud Sync jest o wiele lepszy, bo dysponujesz małą ilością miejsca
Twoja osobista księgowa, ta, która co miesiąc suszy Ci głowę o faktury do dziesiątego i zapłacenie podatków, zwraca się do Ciebie z prośbą o taką modyfikację środowiska, aby było „jendno hasło do wszystkiego”. A przynajmniej do komputera i maila. Na szczęście poczta znajduje się na office365, dlatego wręcz idealnym tu rozwiązaniem okazuje się *ta-daa* Azure AD Connect Cloud Sync! Wszystko da się ogarnąć na jednym serwerze, nie wpłynie to zbyt mocno na wydajność sprzętu, ale co dla Księgowej najważniejsze, nie będzie potrzeby zakupu kolejnej licencji Windows Server, czyli tanio i przyjemnie. Oczywiście, Azure AD Connectem też dasz radę, ale księga dobrych praktyk mówi jasno: kto Azure AD Connecta na kontrolerze stawia, ten sobie kłopotów więcej niż warto sprawia.
No dobra, 2:1 dla Azure AD Cloud Sync.
Żeby nie było, że ze mnie taki zatwardziały tradycjonalista – specjalnie przytoczyłem przykład sytuacji, w której to Cloud Sync wygrywa.
Wnioski
Bez zbędnych dyskusji i niezaprzeczalnie możemy stwierdzić więc, że:
- Są sytuacje, w których Azure AD Cloud Sync zadziała idealnie, chociażby z uwagi na swoją lekkość czy wysoką dostępność rozwiązania.
- Nadal występują w sytuacje, w których najmłodszy brat Azure AD nie spełnia wszystkich potrzeb z powodu swoich ograniczeń ilościowych względem starego, dobrego Connect’a
- Pojawią się również na naszej drodze przypadki, w których zamienne stosowanie obu narzędzi będzie w zupełności uzasadnione, nawet na tym samym środowisku, ale z uwagi na zupełnie inne potrzeby.
Wszystkie z powyższych są okej, ponieważ nie zmuszają nas do absolutnej rezygnacji z Azure AD Connect ani Azure AD Cloud Sync, a jedynie dają nam, adminom, możliwość pracy jeszcze bardziej zwinnej, elastycznej i jeszcze bardziej dostosowanej do potrzeb naszego klienta.
