瞭解 Office 365 和 Azure Active Directory 選項
Summary: Office 365 使用雲端型使用者驗證服務 Azure Active Directory 來管理使用者。
Instructions
設置和管理使用者帳戶時,可以從 Office 365 中的三個主要標識模型中進行選擇:
|
|
|
|
| 僅在 Office 365 中管理您的使用者帳戶。無需本地伺服器即可管理使用者;這一切都是在雲中完成的。 |
將本地目錄物件與 Office 365 同步,並在本地管理使用者。還可以同步密碼,以便使用者在本地和雲中具有相同的密碼,但他們必須再次登錄才能使用 Office 365。 |
將本地目錄物件與 Office 365 同步,並在本地管理使用者。使用者在本地和雲中具有相同的密碼,他們不必再次登錄即可使用 Office 365。這通常稱為單一登錄。 |
請務必仔細考慮使用哪個標識模型來啟動和運行。考慮時間、現有複雜性和成本。這些因素因每個組織而異;本主題將查看每個標識模型的這些關鍵概念,以説明你選擇要用於部署的標識。
如果要求發生更改,還可以切換到其他標識模型。
商務用 Office 365 中的身分識別
在此模型中,在Microsoft Office 門戶中創建和管理使用者,並將帳戶存儲在 Azure AD 中。Azure AD 會驗證密碼。Azure AD 是 Office 365 使用的雲端目錄。不需要任何內部部署伺服器 — Microsoft為您管理所有這些。當標識和身份驗證完全在雲中處理時,你可以通過Microsoft聯機門戶或 Windows PowerShell cmdlet 管理用戶帳戶和用戶許可證。
下圖總結了如何在雲標識模型中管理使用者。
-
管理員連接到Microsoft雲平臺中的Microsoft在線門戶以創建或管理使用者。
-
創建或管理請求將傳遞到 Azure AD。
-
如果這是更改請求,則會進行更改並將其複製回 Microsoft Office 門戶
-
新用戶帳戶和對現有用戶帳戶所做的更改將複製回 Microsoft Office 門戶。
何時使用雲標識?在以下情況下,雲身份是一個不錯的選擇:
- 您沒有其他內部部署使用者目錄。
- 你有一個非常複雜的本地目錄,只是想避免與之集成的工作。
- 你有一個現有的本地目錄,但想要運行 Office 365 的試用版或試點版。稍後,可以在準備好連接到本地目錄時將雲使用者與本地使用者匹配
將 Office 365 與現有目錄服務整合
如果在本地具有現有目錄環境,則可以使用同步標識或單一登錄和聯合標識將 Office 365 與目錄集成,以在 Office 365 中創建和管理使用者。
在此模型中,您可以在本地伺服器中管理使用者標識,並將帳戶和(可選)密碼同步到雲。使用者在本地輸入的密碼與在雲中輸入的密碼相同,並且在登錄時,密碼由 Azure AD 驗證。此模型使用目錄同步工具將本地標識同步到 Office 365。
若要配置同步標識模型,必須具有要從中進行同步的本地目錄,並且需要安裝目錄同步工具。在同步帳戶之前,你將對本地目錄運行一些一致性檢查。
何時使用同步或聯合身份:
| 此型號: |
可在以下情況下運作: |
| 同步識別 |
當你有一個本地目錄,並且想要同步用戶帳戶和(可選)密碼時。如果還同步密碼,則使用者將使用相同的密碼訪問本地資源和 Office 365。 當你最終需要聯合標識,但正在運行 Office 365 的試點時,或者由於其他一些原因,你尚未準備好將時間用於部署 Active Directory 聯合身份驗證服務 (AD FS) 伺服器。 |
| 聯合身份 |
需要高級方案時,例如:現有聯合身份驗證、策略或技術要求 |
下圖顯示了具有密碼同步的同步標識方案。同步工具使本地和雲中的企業用戶標識保持同步。
-
您安裝 Microsoft Azure Active Directory Connect。
-
在本地目錄中創建新使用者。
-
同步工具將定期檢查本地目錄中是否存在已創建的任何新標識。然後,它將這些標識預配到 Azure AD,將本地標識和雲標識相互連結,同步密碼,並通過 Microsoft Office 門戶使其對你可見。
-
對本地目錄中的使用者進行更改時,這些更改將同步到 Azure AD,並通過 Microsoft Office 門戶可供你使用。
此模型需要同步標識,但對該模型進行了一項更改:用戶密碼由本地標識提供者驗證。這意味著密碼哈希不需要同步到 Azure AD。此模型使用 Active Directory 聯合身份驗證服務 (AD FS) 或第三方標識提供者。
使用聯合身份的原因包括:
現有基礎結構
- 如果由於其他原因已部署 AD FS,則可能還希望將其用於 Office 365。
- 如果已使用其他標識提供者,則需要將聯合標識與 Office 365 配合使用。
- 如果使用前沿標識管理器,則還需要將聯合標識與 Office 365 一起使用。
技術需求
- 本地 Active Directory 域服務 (AD DS) 中有多個林。
- 您有一個本地集成智慧卡解決方案。
- 您有一個現有的自定義混合應用程式,例如 SharePoint 或 Microsoft Exchange Server。
原則要求
- 需要登錄審核和/或立即禁用。
- 您需要單一登入。
- 您有按網路位置或工作時間的登錄限制。
- 您還有其他需要聯合身份的策略。
下圖顯示了具有混合本地和雲部署的聯合標識方案。此範例中的本地目錄為 AD FS。同步工具使本地和雲中的企業用戶標識保持同步。
-
安裝 Azure Active Directory Connect 同步工具有助於使 Azure AD 保持最新狀態,並在本地目錄中進行最新更改。需要使用 Azure AD Connect 的自訂安裝 來設置單一登錄。
-
在本地 Active Directory 中創建新使用者。
-
同步工具將定期檢查本地 Active Directory 伺服器中是否存在已創建的任何新標識。然後,它會將這些標識預配到 Azure AD 中,將本地標識和雲標識相互連結,並通過 Microsoft Office 門戶向你顯示它們。
-
當對本地 Active Directory 中的標識進行更改時,這些更改將同步到 Azure AD。
-
這些更改將通過 Microsoft Office 門戶提供給您。
-
聯盟使用者使用 AD FS 登錄。
-
AD FS 生成一個安全令牌,該令牌將傳遞給 Azure AD。令牌經過驗證和驗證,然後對用戶進行 Office 365 授權。
