瞭解 Office 365 和 Azure Active Directory 選項
Summary: Office 365 使用雲端型使用者驗證服務 Azure Active Directory 來管理使用者。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
設置和管理使用者帳戶時,可以從 Office 365 中的三個主要標識模型中進行選擇:
|
|
|
|
| 僅在 Office 365 中管理您的使用者帳戶。無需本地伺服器即可管理使用者;這一切都是在雲中完成的。 |
將本地目錄物件與 Office 365 同步,並在本地管理使用者。還可以同步密碼,以便使用者在本地和雲中具有相同的密碼,但他們必須再次登錄才能使用 Office 365。 |
將本地目錄物件與 Office 365 同步,並在本地管理使用者。使用者在本地和雲中具有相同的密碼,他們不必再次登錄即可使用 Office 365。這通常稱為單一登錄。 |
請務必仔細考慮使用哪個標識模型來啟動和運行。考慮時間、現有複雜性和成本。這些因素因每個組織而異;本主題將查看每個標識模型的這些關鍵概念,以説明你選擇要用於部署的標識。
如果要求發生更改,還可以切換到其他標識模型。
商務用 Office 365 中的身分識別
在此模型中,在Microsoft Office 門戶中創建和管理使用者,並將帳戶存儲在 Azure AD 中。Azure AD 會驗證密碼。Azure AD 是 Office 365 使用的雲端目錄。不需要任何內部部署伺服器 — Microsoft為您管理所有這些。當標識和身份驗證完全在雲中處理時,你可以通過Microsoft聯機門戶或 Windows PowerShell cmdlet 管理用戶帳戶和用戶許可證。
下圖總結了如何在雲標識模型中管理使用者。
-
管理員連接到Microsoft雲平臺中的Microsoft在線門戶以創建或管理使用者。
-
創建或管理請求將傳遞到 Azure AD。
-
如果這是更改請求,則會進行更改並將其複製回 Microsoft Office 門戶
-
新用戶帳戶和對現有用戶帳戶所做的更改將複製回 Microsoft Office 門戶。
何時使用雲標識?在以下情況下,雲身份是一個不錯的選擇:
- 您沒有其他內部部署使用者目錄。
- 你有一個非常複雜的本地目錄,只是想避免與之集成的工作。
- 你有一個現有的本地目錄,但想要運行 Office 365 的試用版或試點版。稍後,可以在準備好連接到本地目錄時將雲使用者與本地使用者匹配
將 Office 365 與現有目錄服務整合
如果在本地具有現有目錄環境,則可以使用同步標識或單一登錄和聯合標識將 Office 365 與目錄集成,以在 Office 365 中創建和管理使用者。
在此模型中,您可以在本地伺服器中管理使用者標識,並將帳戶和(可選)密碼同步到雲。使用者在本地輸入的密碼與在雲中輸入的密碼相同,並且在登錄時,密碼由 Azure AD 驗證。此模型使用目錄同步工具將本地標識同步到 Office 365。
若要配置同步標識模型,必須具有要從中進行同步的本地目錄,並且需要安裝目錄同步工具。在同步帳戶之前,你將對本地目錄運行一些一致性檢查。
何時使用同步或聯合身份:
| 此型號: |
可在以下情況下運作: |
| 同步識別 |
當你有一個本地目錄,並且想要同步用戶帳戶和(可選)密碼時。如果還同步密碼,則使用者將使用相同的密碼訪問本地資源和 Office 365。 當你最終需要聯合標識,但正在運行 Office 365 的試點時,或者由於其他一些原因,你尚未準備好將時間用於部署 Active Directory 聯合身份驗證服務 (AD FS) 伺服器。 |
| 聯合身份 |
需要高級方案時,例如:現有聯合身份驗證、策略或技術要求 |
下圖顯示了具有密碼同步的同步標識方案。同步工具使本地和雲中的企業用戶標識保持同步。
-
您安裝 Microsoft Azure Active Directory Connect。
-
在本地目錄中創建新使用者。
-
同步工具將定期檢查本地目錄中是否存在已創建的任何新標識。然後,它將這些標識預配到 Azure AD,將本地標識和雲標識相互連結,同步密碼,並通過 Microsoft Office 門戶使其對你可見。
-
對本地目錄中的使用者進行更改時,這些更改將同步到 Azure AD,並通過 Microsoft Office 門戶可供你使用。
此模型需要同步標識,但對該模型進行了一項更改:用戶密碼由本地標識提供者驗證。這意味著密碼哈希不需要同步到 Azure AD。此模型使用 Active Directory 聯合身份驗證服務 (AD FS) 或第三方標識提供者。
使用聯合身份的原因包括:
現有基礎結構
- 如果由於其他原因已部署 AD FS,則可能還希望將其用於 Office 365。
- 如果已使用其他標識提供者,則需要將聯合標識與 Office 365 配合使用。
- 如果使用前沿標識管理器,則還需要將聯合標識與 Office 365 一起使用。
技術需求
- 本地 Active Directory 域服務 (AD DS) 中有多個林。
- 您有一個本地集成智慧卡解決方案。
- 您有一個現有的自定義混合應用程式,例如 SharePoint 或 Microsoft Exchange Server。
原則要求
- 需要登錄審核和/或立即禁用。
- 您需要單一登入。
- 您有按網路位置或工作時間的登錄限制。
- 您還有其他需要聯合身份的策略。
下圖顯示了具有混合本地和雲部署的聯合標識方案。此範例中的本地目錄為 AD FS。同步工具使本地和雲中的企業用戶標識保持同步。
-
安裝 Azure Active Directory Connect 同步工具有助於使 Azure AD 保持最新狀態,並在本地目錄中進行最新更改。需要使用 Azure AD Connect 的自訂安裝 來設置單一登錄。
-
在本地 Active Directory 中創建新使用者。
-
同步工具將定期檢查本地 Active Directory 伺服器中是否存在已創建的任何新標識。然後,它會將這些標識預配到 Azure AD 中,將本地標識和雲標識相互連結,並通過 Microsoft Office 門戶向你顯示它們。
-
當對本地 Active Directory 中的標識進行更改時,這些更改將同步到 Azure AD。
-
這些更改將通過 Microsoft Office 門戶提供給您。
-
聯盟使用者使用 AD FS 登錄。
-
AD FS 生成一個安全令牌,該令牌將傳遞給 Azure AD。令牌經過驗證和驗證,然後對用戶進行 Office 365 授權。
Affected Products
Microsoft 365 from DellArticle Properties
Article Number: 000184385
Article Type: How To
Last Modified: 11 Oct 2024
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.