Azure混合標(biāo)識(shí)（混合認(rèn)證）

官方文檔
https://docs.microsoft.com/zh-cn/azure/active-directory/hybrid/

Azure Active Directory (Azure AD）是一個(gè)綜合性的標(biāo)識(shí)即服務(wù)(IDaas)解決方案，由數(shù)百萬(wàn)組織用來(lái)跨標(biāo)識(shí)、訪問(wèn)管理和安全的各個(gè)方面。Azure AD擁有超過(guò)10億用戶身份，并可幫助用戶登錄和安全訪問(wèn)兩者:（Azure AD Connect是本地安裝的代理服務(wù)器目的是Azure AD連接到本地服務(wù)器）

• 外部資源，例如Microsoft Office 365、Azure門戶和上千個(gè)軟件即服務(wù)(SaaS)應(yīng)用程序。
• 內(nèi)部資源，如組織企業(yè)網(wǎng)絡(luò)和intranet上的應(yīng)用程序，以及由該組織開(kāi)發(fā)的任何云應(yīng)用程序。

如果組織使用的是"純?cè)啤?，則可以使用Azure AD，如果它們有本地工作負(fù)荷，則可以使用"混合"部署。Azure AD的混合部署可以是組織的策略的一部分，以將其I資產(chǎn)遷移到云，或繼續(xù)集成現(xiàn)有的本地基礎(chǔ)結(jié)構(gòu)和新的云服務(wù)。

從歷史上看，"混合"組織已Azure AD作為其現(xiàn)有本地基礎(chǔ)結(jié)構(gòu)的擴(kuò)展。在這些部署中，本地標(biāo)識(shí)管理管理、Windows Server Active Directory或其他內(nèi)部目錄系統(tǒng)，是控制點(diǎn)，用戶和組都從這些系統(tǒng)同步到云目錄，如Aure AD。一旦這些標(biāo)識(shí)位于云中，就可以將它們提供給Office 365、Azure以及其他應(yīng)用程序。

以Azure AD做為總核心

在混合環(huán)境中，Microsoft的策略是實(shí)現(xiàn)部署，其中云是標(biāo)識(shí)的控制平面，本地目錄和其他標(biāo)識(shí)系統(tǒng)(如Active Directory和其他本地應(yīng)用程序)是設(shè)置具有訪問(wèn)權(quán)限的用戶的目標(biāo)。此策略將繼續(xù)確保依賴于它們的應(yīng)用程序和工作負(fù)荷中的權(quán)限、標(biāo)識(shí)和訪問(wèn)權(quán)限。在此結(jié)束狀態(tài)下，組織將能夠完全從云中推動(dòng)最終用戶的工作效率。

Azure混合標(biāo)識(shí)解決方案的身份驗(yàn)證方法

• Azure AD密碼哈希同步(PHS);這是在Azure AD中為本地目錄對(duì)象啟用身份驗(yàn)證的最簡(jiǎn)單方法。用戶可以使用其在本地使用的同一用戶名和密碼，不必部署任何其他基礎(chǔ)結(jié)構(gòu)。某些Azure AD高級(jí)功能(如標(biāo)識(shí)保護(hù)和Azure AD域服務(wù)）需要密碼哈希同步，無(wú)論選擇哪種身份驗(yàn)證方法均是如此。
• Azure AD直通身份驗(yàn)證(PTA):通過(guò)使用在一個(gè)或多個(gè)本地服務(wù)器上運(yùn)行的軟件代理，為Azure AD身份驗(yàn)證服務(wù)提供簡(jiǎn)單密碼驗(yàn)證。服務(wù)器直接使用本地Active Directory驗(yàn)證用戶，這將確保云中不發(fā)生密碼驗(yàn)證。
• 聯(lián)合身份驗(yàn)證(Federation):選擇此身份驗(yàn)證方法時(shí)，Azure AD將身份驗(yàn)證過(guò)程移交給單獨(dú)的受信任身份驗(yàn)證系統(tǒng)（例如
  本地Active Directory聯(lián)合身份驗(yàn)證服務(wù)(AD FS)）來(lái)驗(yàn)證用戶的密碼。
  

Azure AD密碼哈希同步(PHS)

把本地密碼復(fù)制到Azure AD上，訪問(wèn) Azure AD與云端比對(duì)就可以訪問(wèn)Azure AD其他服務(wù)
本地每30分鐘復(fù)制到Azure AD
Azure AD 與本地域名盡量保證一致，達(dá)到同步的效果（添加自定義域，驗(yàn)證后設(shè)置為主域，作為用戶名后綴）

• 工作量:密碼哈希同步所需的有關(guān)部署、維護(hù)和基礎(chǔ)結(jié)構(gòu)的工作量最少。此級(jí)別的工作量通常適用于只需用戶登錄到Office355、SS應(yīng)用以及其他基于Azure AD的資源的組織。啟用后，密碼哈希同步即是Azure AD Connect同步過(guò)程的一部分，并且每?jī)煞昼娺\(yùn)行一次。
• 用戶體驗(yàn):若要改善用戶的登錄體驗(yàn)，請(qǐng)將無(wú)縫ssO隨密碼哈希同步一起部署。在用戶登錄時(shí)，無(wú)縫SsO將消除不必要的提示。
• 高級(jí)方案:如果組織選擇，可以將來(lái)自標(biāo)識(shí)的見(jiàn)解與Azure AD Premium P2的"AZure AD標(biāo)識(shí)保護(hù)"報(bào)告配合使用。例如已泄漏憑據(jù)報(bào)告。Windows Hello for Business 在使用密碼哈希同步時(shí)有特定要求。Azure AD域服務(wù)需要密碼哈希同步才能在托管域中為用戶預(yù)配公司憑據(jù)。
• 需要多重身份驗(yàn)證以及密碼哈希同步的組織必須使用Azure多重身份驗(yàn)證或條件訪問(wèn)自定義控件。這些組織不能使用依賴于聯(lián)合身份驗(yàn)證的第三方或本地多重身份驗(yàn)證方法。
• 業(yè)務(wù)連續(xù)性:密碼哈希同步與云身份驗(yàn)證結(jié)合在一起完全可以作為云服務(wù)使用，適合所有Microsot 數(shù)據(jù)中心。若要確保密碼哈希同步不會(huì)在長(zhǎng)時(shí)間內(nèi)無(wú)法工作，請(qǐng)?jiān)趥溆门渲弥胁渴鹆硪粋€(gè)處于暫存模式的 Azure AD Connect服務(wù)器。

注意事項(xiàng):目前，密碼哈希同步不會(huì)即時(shí)強(qiáng)制本地帳戶狀態(tài)更改生效。在此情況下，除非用戶帳戶狀態(tài)已同步到Aure AD，否則用戶有權(quán)訪問(wèn)云應(yīng)用。組織可能希望在管理員對(duì)本地用戶帳戶狀態(tài)執(zhí)行批量更新后運(yùn)行新的同步循環(huán)來(lái)克服此限制。例如禁用帳戶。

Azure AD直通身份驗(yàn)證(PTA)

通過(guò)用戶訪問(wèn)云端時(shí) Azure AD將請(qǐng)求發(fā)送到配置好的AD connect幾個(gè)代理，與本地密碼進(jìn)行比對(duì)。起到中介代理的作用
認(rèn)證是在云端，密碼是存放于本地，密碼要符合本地密碼策略

• 工作量:對(duì)于直通身份驗(yàn)證，需要有一個(gè)或多個(gè)(我們建議三個(gè)）輕量代理安裝在現(xiàn)有服務(wù)器上。這些代理必須有權(quán)訪問(wèn)本地Active Directory域服務(wù)，包括本地AD域控制器。它們需要具有對(duì)’nternet的出站訪問(wèn)權(quán)限以及對(duì)域控制器的訪問(wèn)權(quán)限。因此，不支持將這些代理部署在外圍網(wǎng)絡(luò)中。
• 直通身份驗(yàn)證需要對(duì)域控制器進(jìn)行不受約束的網(wǎng)絡(luò)訪問(wèn)。所有流量都已進(jìn)行加密并受限于身份驗(yàn)證請(qǐng)求。有關(guān)此過(guò)程的詳細(xì)信息，請(qǐng)參閱傳遞身份驗(yàn)證的安全性深入研究。
• 用戶體驗(yàn):若要改善用戶的登錄體驗(yàn)，請(qǐng)將無(wú)縫ssO隨直通身份驗(yàn)證一起部署。在用戶登錄后，無(wú)縫SsO將消除不必要的提示。
• 高級(jí)方案:直通身份驗(yàn)證在登錄時(shí)強(qiáng)制實(shí)施本地帳戶策略。例如，如果本地用戶的帳戶狀態(tài)為禁用、鎖定，或其密碼過(guò)期，或者登錄嘗試不在用戶被允許登錄的時(shí)間段，則訪問(wèn)會(huì)被拒絕。
• 需要多重身份驗(yàn)證以及直通身份驗(yàn)證的組織必須使用Azure多重身份驗(yàn)證(MFA)或條件訪問(wèn)自定義控件。這些組織不能使用依賴于聯(lián)合身份驗(yàn)證的第三方或本地多重身份驗(yàn)證方法。高級(jí)功能都需要密碼哈希同步已部署，無(wú)論你是否選擇直通身份驗(yàn)證。例如“標(biāo)識(shí)保護(hù)"的已泄漏憑據(jù)報(bào)表。
• 業(yè)務(wù)連續(xù)性:我們建議部署兩個(gè)額外的直通身份驗(yàn)證代理。這些額外的代理是Azure AD Connect服務(wù)器上第一個(gè)代理之外的代理。此額外部署將確保身份驗(yàn)證請(qǐng)求的高可用性。如果部署了三個(gè)代理，關(guān)閉一個(gè)代理進(jìn)行維護(hù)時(shí)另一個(gè)仍然可能失敗。
• 在除了部署直通身份驗(yàn)證之外還部署密碼哈希同步有另一個(gè)好處。它將在主要身份驗(yàn)證方法不再可用時(shí)充當(dāng)備份身份驗(yàn)證方法。當(dāng)代理由于明顯的本地故障而無(wú)法驗(yàn)證用戶的憑據(jù)時(shí)，可以使用密碼哈希同步作為直通身份驗(yàn)證的備份身份驗(yàn)證方法。故障轉(zhuǎn)移到密碼哈希同步不會(huì)自動(dòng)發(fā)生，并且必須使用Azure AD Connect手動(dòng)切換登錄方法。

聯(lián)合身份驗(yàn)證(Federation)

訪問(wèn)Azure AD時(shí)，重定向到本地的AD FS服務(wù)器，在本地進(jìn)行密碼的驗(yàn)證，驗(yàn)證成功后 AD FS服務(wù)器會(huì)給Azure AD發(fā)送確認(rèn)信息，就可以通過(guò)Azure AD訪問(wèn)其他服務(wù)
配置復(fù)雜，工作中用的多些，考試很少提到

• 工作量:聯(lián)合身份驗(yàn)證系統(tǒng)依賴于外部受信任系統(tǒng)對(duì)用戶進(jìn)行身份驗(yàn)證。某些公司想要借助Aure AD混合標(biāo)識(shí)解決方案重復(fù)使用現(xiàn)有聯(lián)合系統(tǒng)投資。聯(lián)合系統(tǒng)的維護(hù)和管理超出Azure AD控制。這由組織負(fù)責(zé)，組織可通過(guò)使用聯(lián)合系統(tǒng)確保它已安全部署并可處理身份驗(yàn)證負(fù)載。
• 用戶體驗(yàn):聯(lián)合身份驗(yàn)證的用戶體驗(yàn)依賴于聯(lián)合服務(wù)器場(chǎng)功能、拓?fù)浜团渲玫膶?shí)現(xiàn)。某些組織需要這種靈活性來(lái)調(diào)整和配置對(duì)聯(lián)合服務(wù)器場(chǎng)的訪問(wèn)權(quán)限，以滿足其安全要求。例如，可以配置內(nèi)部連接用戶和設(shè)備以使用戶自動(dòng)登錄，不會(huì)提示其輸入憑據(jù)。因?yàn)樗麄円训卿浀狡湓O(shè)備，所以此配置將發(fā)揮作用。必要時(shí)，某些高級(jí)安全功能將使用戶的登錄過(guò)程更加困難。
• 高級(jí)方案:客戶有 Azure AD本機(jī)不支持的身份驗(yàn)證要求時(shí)，需要聯(lián)合身份驗(yàn)證解決方案。請(qǐng)考慮以下常見(jiàn)要求:
  1：需要智能卡或證書(shū)的身份驗(yàn)證。
  2：需要聯(lián)合標(biāo)識(shí)提供程序的本地 MFA服務(wù)器或第三方多重身份驗(yàn)證提供程序。
  3：使用第三方身份驗(yàn)證解決方案的身份驗(yàn)證。請(qǐng)參閱Azure AD聯(lián)合身份驗(yàn)證兼容性列表。
  4：需要SAMAccountName（例如，DOMAIN(username)而不是用戶主體名稱(UPN)(例如，user@domain.com)的登錄。
• 業(yè)務(wù)連續(xù)性:聯(lián)合身份驗(yàn)證系統(tǒng)通常需要負(fù)載均衡的服務(wù)器陣列(稱為場(chǎng))。此場(chǎng)在內(nèi)部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)拓?fù)渲信渲?，以便為身份?yàn)證
  請(qǐng)求確保高可用性。
• 請(qǐng)將密碼哈希同步以及聯(lián)合身份驗(yàn)證部署為當(dāng)主要身份驗(yàn)證方法不再可用時(shí)使用的備份身份驗(yàn)證方法。

注意事項(xiàng):聯(lián)合系統(tǒng)誦常在本地基礎(chǔ)結(jié)構(gòu)方面需要更可觀的投資。大多數(shù)組織會(huì)選擇此選項(xiàng)，前提是它們已有本地聯(lián)合身份驗(yàn)證投資，并且使用單標(biāo)識(shí)提供者是非常強(qiáng)烈的業(yè)務(wù)需求。與云身份驗(yàn)證解決方案相比，聯(lián)合的操作和故障排除更加復(fù)雜。

安裝和配置Azure AD Connect了解同步選項(xiàng)

需要Azure AD全局管理員賬戶以及服務(wù)器里的管理員賬戶

Azure AD信息同步權(quán)限

Azure AD Connect 使用 3 個(gè)帳戶將信息從本地或 Windows Server Active Directory 同步到 Azure Active Directory。這些帳戶是

• AD DS Connector 帳戶：用于將信息讀/寫(xiě)到 Windows Server Active Directory
• ADSync 服務(wù)帳戶：用于運(yùn)行同步服務(wù)和訪問(wèn) SQL 數(shù)據(jù)庫(kù)（同步服務(wù)可以在不同的帳戶下運(yùn)行。它可以在虛擬服務(wù)帳戶（VSA）、組托管服務(wù)帳戶（gMSA/sMSA） 或常規(guī)用戶帳戶下運(yùn)行）
• Azure AD Connector 帳戶：用于將信息寫(xiě)入 Azure AD

安裝 Azure AD Connect用戶權(quán)限

• 本地管理員帳戶(Local Administrator account)： 在計(jì)算機(jī)上具有本地管理員權(quán)限的管理員以便安裝 Azure AD Connect。
• AD DS 企業(yè)管理員帳戶(AD DS Enterprise Administrator account)：（可選）用于創(chuàng)建上面的"AD DS 連接器帳戶"。
• Azure AD 全局管理員帳戶(Azure AD Global Administrator account)：用于創(chuàng)建 Azure AD 連接器帳戶和配置 Azure AD。可以在 Azure 門戶中查看全局管理員帳戶。請(qǐng)參 閱列出 Azure AD 角色分配。
• SQL SA 帳戶(SQL SA account)（可選）：用于在使用完整版 SQL Server 時(shí)創(chuàng)建 ADSync 數(shù)據(jù)庫(kù)。此 SQL Server 可以是 Azure AD Connect 安裝的本地或遠(yuǎn)程。此帳戶可能與企業(yè)管理員的帳戶相同?，F(xiàn)在可以由 SQL 管理員帶外執(zhí)行數(shù)據(jù)庫(kù)預(yù)配，然后由具有數(shù)據(jù)庫(kù)所有者權(quán)限的 Azure AD Connect 管理員安裝

服務(wù)器安裝 Azure AD Connect

密碼寫(xiě)回

暫存模式（staging mode）

暫存模式下，服務(wù)器對(duì)導(dǎo)入和同步處于活動(dòng)狀態(tài)，但它不運(yùn)行任何導(dǎo)出。 處于暫存模式的服務(wù)器未運(yùn)行密碼同步或密碼寫(xiě)回，即使您在安裝期間選擇了這些功能。 當(dāng)您禁用暫存模式時(shí)，服務(wù)器開(kāi)始導(dǎo)出、啟用密碼同步并啟用密碼寫(xiě)回。

Azure AD Connect Health

• 將與目錄同步服務(wù)相關(guān)的任何問(wèn)題通知名為IT Support的電子郵件通訊組
• 您可以配置Azure AD Connect Health 服務(wù)，以便在警報(bào)指示您的身份基礎(chǔ)結(jié)構(gòu)不健康時(shí)發(fā)送電子郵件通知。當(dāng)生成警報(bào)時(shí)，以及當(dāng)生成警報(bào)
  

配置和管理密碼同步和密碼寫(xiě)回

借助 Azure Active Directory (Azure AD)自助式密碼重置(SSPR)，用戶可以使用web瀏覽器更新其密碼或解鎖其帳戶。在AzureAD連接到本地Active Directory域服務(wù)(AD DS)環(huán)境的混合環(huán)境中，此方案可能會(huì)導(dǎo)致兩個(gè)目錄的密碼不同。
可以使用密碼寫(xiě)回將Azure AD中的密碼更改同步回到本地AD DS環(huán)境。Azure AD Connect 提供一種安全機(jī)制用于將這些密碼更改從Azure AD發(fā)回到現(xiàn)有本地目錄。

限制：

• 一個(gè)至少啟用了Azure AD Premium P1或試用版許可證的有效Azure AD租戶。
• —個(gè)擁有全局管理員特權(quán)的帳戶。
• 為自助式密碼重置配置的Azure AD。
• 配置有最新Azure AD Connect版本的現(xiàn)有本地AD DS環(huán)境。
• 若要使用密碼寫(xiě)回，域控制器必須是Windows Server 2012或更高版本。

配置single sign-on單一登錄

Azure Active Directory無(wú)縫單一登錄(Azure AD無(wú)縫sSO）可使連接到企業(yè)網(wǎng)絡(luò)的企業(yè)設(shè)備上的用戶自動(dòng)登錄。啟用此功能后，用戶無(wú)需鍵入其密碼即可登錄到Azure AD;通常情況下，甚至無(wú)需鍵入其用戶名。此功能可讓用戶輕松訪問(wèn)基于云的應(yīng)用程序，而無(wú)需使用其他任何本地組件。
無(wú)縫sso可與密碼哈希同步或傳遞身份驗(yàn)證登錄方法結(jié)合使用。無(wú)縫SSO不適用于 Active Directory聯(lián)合身份驗(yàn)證服務(wù)(ADFS)。
需要預(yù)先配置用戶可以登錄的應(yīng)用程序

• 普通單一登錄：不同應(yīng)用程序可以使用一種登錄方式，用同一用戶名密碼登錄不同的程序
• 無(wú)縫單一登錄：登錄一次，之后可以訪問(wèn)應(yīng)用程序，不需要輸入用戶名密碼

使用Azure AD Connect Health

Azure Active Directory (Azure AD) Connect Health為本地標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)提供可靠的監(jiān)視功能。它可以用于維護(hù)到Office 365和 MicrosoftOnline Services的可靠連接。此可靠性是通過(guò)針對(duì)關(guān)鍵標(biāo)識(shí)組件提供監(jiān)視功能來(lái)實(shí)現(xiàn)的。另外，它還使有關(guān)這些組件的關(guān)鍵數(shù)據(jù)點(diǎn)可輕松訪問(wèn)。

這些信息顯示在Azure AD Connect Health門戶中?？梢允褂肁zureAD Connect Health 門戶來(lái)查看警報(bào)、性能監(jiān)視、使用情況分析和其他信息。Azure AD Connect Health 在一個(gè)集中的位置提供重要標(biāo)識(shí)組件的運(yùn)行狀況單一可重用功能區(qū)。

文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-470907.html

到了這里，關(guān)于ZA303學(xué)習(xí)筆記七管理應(yīng)用程序(Azure AD Connect/使用SSO)的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！