Возможно ли иметь несколько клиентов Azure, которые ссылаются на один и тот же локальный Active Directory?

Question

Представьте себе, что это крупная компания, которая имеет несколько дочерних компаний.Совместно используемая ИТ-компания управляет Active Directory (и почти всеми другими ИТ-службами) централизованно для всех дочерних компаний.В настоящее время также существует клиент Azure, который подключен к On Premises Active Directory, однако для проблем, связанных с тем, кто контролирует / владеет ресурсами, сотрудники не могут использовать этот клиент Azure.

Одна из дочерних компаний решает, что она хочет создатьсобственный арендатор Azure, чтобы он мог продолжать свою работу по разработке.Однако этой компании говорят, что «В настоящее время для одного домена Active Directory поддерживается только одна федерация для клиента Azure».

Я нашел этот документ .Было бы разумно предположить, что, если бы компания состояла из реализации Contoso, все равно было бы возможно объединить 2-х лазурных арендаторов в один On Premises Active Directory.Существуют ли причины, по которым одна реализация On Premises Active Directory могла бы поддерживать эту функцию, а другая - нет.

Answer 1

Да, вы можете сделать это, но у вас может быть только один экземпляр AD Connect на каждого арендатора, поскольку существует связь 1: 1 между сервером Azure AD Connect Sync и клиентом Azure AD.Таким образом, вам необходимо зарегистрировать три отдельных суффикса UPN для каждого клиента в локальной службе Active Directory и использовать три отдельных сервера синхронизации (по одному для каждого клиента).Вам необходимо применить фильтрацию при синхронизации пользователей AD для каждого арендатора.

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-single-adfs-multitenant-federation