了解 Office 365 和 Azure Active Directory 选项

Summary: Office 365 使用基于云的用户身份验证服务 Azure Active Directory 来管理用户。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

在设置和管理用户帐户时,可以从 Office 365 中的三种主要标识模型中进行选择:

云图标

同步图标

联合图标

云身份

仅在 Office 365 中管理您的用户帐户。无需本地服务器即可管理用户;这一切都在云中完成。

同步身份

将本地目录对象与 Office 365 同步,并在本地管理用户。您还可以同步密码,以便用户在本地和云中具有相同的密码,但他们必须再次登录才能使用 Office 365。

联合身份

将本地目录对象与 Office 365 同步,并在本地管理用户。用户在本地和云中具有相同的密码,并且无需再次登录即可使用 Office 365。这通常称为单点登录。

 

务必仔细考虑使用哪种标识模型来启动和运行。考虑时间、现有复杂性和成本。这些因素因每个组织而异;本主题将回顾每个标识模型的这些关键概念,以帮助你选择要用于部署的标识。

如果要求发生变化,还可以切换到其他标识模型。

 

信息图标Office 365 商业版中的标识

云身份

在此模型中,你将在 Microsoft Office 门户中创建和管理用户,并将帐户存储在 Azure AD 中。Azure AD 验证密码。Azure AD 是 Office 365 使用的云目录。无需本地服务器 — Microsoft为您管理所有这些服务器。当身份和身份验证完全在云中处理时,可以通过 Microsoft Online 门户或 Windows PowerShell cmdlet 管理用户帐户和用户许可证。

下图总结了如何在云标识模型中管理用户。

  1. 管理员连接到 Microsoft 云平台中的 Microsoft Online 门户以创建或管理用户。

  2. 创建或管理请求将传递到 Azure AD。

  3. 如果这是更改请求,则将进行更改并将其复制回 Microsoft Office 门户

  4. 新用户帐户和对现有用户帐户的更改将复制回 Microsoft Office 门户。

 

云身份

 

何时使用云标识?如果满足以下条件,云身份是一个不错的选择:

  • 您没有其他本地用户目录。
  • 你有一个非常复杂的本地目录,只是想避免与它集成的工作。
  • 你有一个现有的本地目录,但你想要运行 Office 365 的试用或试点。稍后,当您准备好连接到本地目录时,可以将云用户与本地用户匹配

 

信息图标将 Office 365 与现有目录服务集成

 

如果本地有现有的目录环境,则可以使用同步标识或单一登录和联合标识在 Office 365 中创建和管理用户,从而将 Office 365 与目录集成。

 

同步身份

在此模型中,在本地服务器中管理用户标识,并将帐户和(可选)密码同步到云。用户在本地输入的密码与在云中输入的密码相同,在登录时,密码由 Azure AD 验证。此模型使用目录同步工具将本地标识同步到 Office 365。

若要配置同步的标识模型,必须有一个要从中同步的本地目录,并且需要安装目录同步工具。在同步帐户之前,将对本地目录运行一些一致性检查。

 

何时使用同步标识或联合标识:

此模型:

适用于以下情况:

同步的身份

当你有一个本地目录,并且你想要同步用户帐户和(可选)密码时。如果还同步密码,则用户将使用相同的密码访问本地资源和 Office 365。

当你最终需要联合身份,但你正在运行 Office 365 的试点,或者由于某些其他原因,你还没有准备好花时间部署 Active Directory 联合身份验证服务 (AD FS) 服务器。

联合身份

当您需要高级方案时,例如:现有联合、策略或技术要求

 

下图显示了具有密码同步的同步标识方案。同步工具使本地和云中的企业用户身份保持同步。

  1. 安装 Microsoft Azure Active Directory Connect。

  2. 在本地目录中创建新用户。

  3. 同步工具将定期检查本地目录中是否存在已创建的任何新标识。然后,它将这些标识预配到 Azure AD 中,将本地标识和云标识相互链接,同步密码,并通过 Microsoft Office 门户使其对你可见。

  4. 当您对本地目录中的用户进行更改时,这些更改将同步到 Azure AD,并通过 Microsoft Office 门户提供给您。

 

同步身份

 

联合身份

此模型需要同步标识,但对该模型进行了一项更改:用户密码由本地标识提供者验证。这意味着密码哈希无需同步到 Azure AD。此模型使用 Active Directory 联合身份验证服务 (AD FS) 或第三方标识提供程序。

 

使用联合身份的原因包括:

现有基础架构

  • 如果出于某些其他原因已经部署了 AD FS,则可能还希望将其用于 Office 365。
  • 如果您已使用其他身份提供程序,则需要将联合身份用于 Office 365。
  • 如果使用 Forefront Identity Manager,则还需要将联合身份用于 Office 365。

技术要求

  • 本地 Active Directory 域服务 (AD DS) 中有多个林。
  • 你有一个本地集成智能卡解决方案。
  • 您有一个现有的自定义混合应用程序,例如使用 SharePoint 或 Microsoft Exchange Server。

策略要求

  • 您需要登录审核和/或立即禁用。
  • 您需要单点登录。
  • 您有网络位置或工作时间的登录限制。
  • 您有其他需要联合身份的策略。

 

下图显示了具有混合本地和云部署的联合标识方案。此示例中的本地目录为 AD FS。同步工具使本地和云中的企业用户身份保持同步。

  1. 安装 Azure Active Directory Connect 同步工具有助于使 Azure AD 保持最新状态,了解你在本地目录中所做的最新更改。需要使用自定义安装的 Azure AD Connect 来设置单一登录。

  2. 在本地 Active Directory 中创建新用户。

  3. 同步工具将定期检查本地 Active Directory 服务器中是否存在已创建的任何新标识。然后,它将这些标识预配到 Azure AD 中,将本地标识和云标识相互链接,并通过 Microsoft Office 门户使它们对你可见。

  4. 当对本地 Active Directory 中的标识进行更改时,这些更改将同步到 Azure AD。

  5. 这些更改通过 Microsoft Office 门户提供给您。

  6. 联盟用户使用你的 AD FS 登录。

  7. AD FS 生成一个安全令牌,并将该令牌传递给 Azure AD。令牌经过验证和验证,然后授权用户使用 Office 365。

 

联合身份

 

Affected Products

Microsoft 365 from Dell
Article Properties
Article Number: 000184385
Article Type: How To
Last Modified: 11 Oct 2024
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.