51CTO 博客地址:https://blog.51cto.com/14669127
博客园博客地址:https://www.cnblogs.com/Nancy1983
一般情况下,我们不建议有一定规模的企业使用纯云用户管理,除非Windows Server AD 尚未用于本地,我们会推荐客户以下两种部署方式:
- 目录和密码同步
- 联合身份验证
本文将重点介绍目录与密码同步,如下图所示:
目录与密码同步:是最简单的方式,也是推荐大多数企业组织的方案,因为这种方案:
- 可以将用户账户从本地目录同步到Azure AD租户,同时本地目录仍旧用来管理账户;
- Azure AD为基于云的服务和应用程序执行所有身份验证。
- 支持多林同步。
密码同步:像在本地一样,用户为云服务输入相同的密码,且用户密码不会发送到Azure AD,同时同步每个密码哈希,不会对密码进行解密或者直接获取密码。
多重身份验证(MFA): 利用Office 365提供的基本MFA功能,Azure中的应用程序可以利用MFA多重身份验证服务,目录同步不提供与本地的MFA解决方案的集成。
更多资料:
• Prepare for directory synchronization to Microsoft 365
• Set up multi-factor authentication
• What is: Multifactor Authentication