引子:
本来该节应该讲述关于“电子数据展示”相关的内容。但是,今晨突然收到一封关于Office 365与本地域用户集成整合的咨询邮件。因此,想到应该将博主在“Microsoft Tech Summit 2017微软技术暨生态大会”的主题演讲内容——《平滑实现Office 365和企业集成》分享出来。
为遵从“易宝典”的风格,将其进行了节选,旨在便于理解和操作实现,重点在于“易”。而主题正是与Office 365相关的内容,所以一同放在该系列文章中了。
一、Azure AD为O365提供强大的身份标识管理
1、云身份:仅在O365中管理用户账户。不需要本地服务器来管理用户,所有操作都在云中完成。
适用场景:没有其它本地用户目录;或本地用户目录非常复杂,希望避免与它集成的工作;或已有本地目录,但想要运行O365试用版或试点,以后再连接到本地目录时,可以将云用户与本地用户匹配。
2、同步身份:将本地目录对象与O365同步,在本地管理你的用户。
也可以同步密码,以便用户在本地和在云中具有相同的密码,但用户将必须重新登录才能使用O365。
适用场景:有本地目录,并希望同步账户和密码;或最终希望联合身份验证,但目前存在其它原因导致尚未准备好活动目录联合身份验证服务(AD FS)。
3、联合身份:将本地目录对象与O365同步,在本地管理你的用户。
用户在本地和在云中具有相同的密码,这通常称为单一登录。
适用场景:实现一些高级功能,如集成智能卡;本地活动目录为多森林结构;需要登录审核;限制登录网络位置或工作时间;存在自定义的混合应用程序等。
二、O365统一身份验证
1、统一身份验证的实现可以通过同步身份验证和联合身份验证来实现;
2、统一身份验证给企业带来的效率和用户体验的改善;
3、同步身份验证包括两种实现:无缝单一登录的密码哈希同步和直通身份验证;
无缝单一登录:用户将自动登录到本地和基于云的应用程序;用户无需重复输入其密码;适合于中小型企业的轻量级使用,部署简单,并且维护成本低,能够实现统一身份验证的基本需求。
密码哈希同步和直通身份验证的区别在于是否将密码的任何形式同步到Azure AD。
4、启用单一用户登录需要通过Azure AD Connect来实现;
5、单一用户身份验证存在一定的几率性。
根据不同的浏览器和应用客户端的兼容性,如果存在失败则回退到用户手动输入用户名密码。
三、多重身份验证
1、双重验证是需要使用一个以上验证方法的身份验证方法,为用户登录和事务额外提供一层重要的安全保障。
它需要以下验证方法中的两种或更多种来进行工作:
你知道的某样东西(通常为密码)
具有的某样东西(无法轻易复制的可信设备,如电话)
自身的特征(生物辨识系统)
2、Azure多重身份验证(MFA)是Microsoft的双重验证解决方案。
Azure MFA可帮助保护对数据和应用程序的访问,同时满足用户对简单登录过程的需求。
它通过各种验证方法(包括电话、短信或移动应用验证)提供强大的身份验证机制。
3、版本:
适用于Office 365的多重身份验证——免费为订阅用户提供
面向 Azure 管理员的多重身份验证——免费为Azure全局管理员提供
Azure 多重身份验证——为Azure提供给企业及其所需应用的MFA服务
4、Office 365提供的MFA功能:
使用MFA保护管理员帐户
将移动应用用作第二个因素
将电话呼叫用作第二个因素
将短信用作第二个因素
不支持MFA的客户端的应用密码
管理员控制验证方法
记住受信任的设备的MFA
四、关联现有AD用户与现有正常使用的O365用户
现在讲述一种极端的例子。场景如下,在企业中已经存在AD,并且在生产环境中正常使用多年,其中包含企业中所有员工的账户信息。由于某种原因,企业的邮件系统并未在企业内实现,而是使用的第三方提供的邮件系统。随着业务需要,企业出现了变化,同时涉及到需要另外再建立一套邮件系统,并采用新域名,同时暂时只提供给部分关键在过渡期使用。因此,在过渡期这部分用户将持有两个不同域名后缀,相同别名的邮箱。根据评估,决定采用Office 365作为新业务的邮件系统提供者。但由于业务原因,且考虑到过渡期间的决定不稳定性,所以启用Office 365初期,决定不进行AAD(Azure AD)和WAD(Windows AD)集成。经过为期一年的过度期后,所有用户均在使用Office 365邮箱了,原邮箱将废弃。此时,为了用户能够方便的使用Office 365资源,以及减少用户的账户管理,需要将本地域用户与Office 365用户账户相关联,采用统一的用户名和密码。那么如何实现呢?
1、案例分析:
从上面分析可得到如下几点:
A、Office 365用户已经存在,且有用户数据了;
B、本地活动目录中域用户也是存在的,并且也是有用户数据的;
C、将本地域用户与对应的Office 365用户账户相关联,已有用户数据不丢失;
D、关联后使用统一账户密码登录。
现在的关键点就是,AAD和WAD中都已经存在用户,因此不能重建,否则将出现用户数据的丢失。
从根本需求上看,用户的目的就是使用统一账户密码登录。按当前需求,为了降低操作成本和后期维护成本,采用同步身份的方式,选择密码同步方案为最佳建议。
2、关键实施点:
为了实现AAD和WAD同步,必须下载Azure AD Connect,并在企业域环境中进行部署。在安装部署过程中,“用户登录”中应该选择“密码同步”。然后,根据向导完成部署操作。
强烈建议:
A、应该实现将需要和Office 365整合的用户账户规划到一个OU中,AAD只同步这个OU,而不是整个AD内容。
B、用户名(Alias)需要统一,针对同一用户,要么采用WAD中的用户,要么采用AAD中的用户,在进行同步密码前必须保持双方相同。
在部署完成后,可以暂时不启用同步,为了让WAD用户和AAD用户能够进行管理,最至关重要的一步就是在WAD为用户指定电子邮件地址,该邮件地址与Office 365中对应用户的邮件地址相同,这将成为用户账户的映射依据,否则将忽略绑定操作。
可以看到,在同步后,Office 365的用户管理中会出现“同步类型”字段,在AAD中的Office 365账户被标识为“在云中”,而与WAD同步的账号会被标识为“已与Active Directory集成”。
由上图可以看到,已经在使用Office 365的用户“钱七”和“孙八”,由于在进行AAD同步之前,“孙八”的WAD账户中指定了“电子邮件”,且该定义和Office 365中“孙八”的邮箱用户相同,所以被自动关联,成为与AD集成账户。而“钱七”的WAD账户中,未作“电子邮件”指定,但由于Office 365已经有了“钱七”这个账户,所以在同步后AAD不会新建该账户,也不会对已有“钱七”账户进行AD集成。
对于另一个“沈十七”的账户,由于之前并未在Office 365中创建,但是在WAD的指定同步OU下存在,因此被同步AAD中,成为Office 365的新建用户。后续只需要为该用户分配Office 365订阅授权即可让其使用Office 365服务。
3、一些建议:
首先,在操作的时候可能会发现Azure AD的同步延迟极大,容易引起两边账号信息不同步的情况。因此,需要在部署Azure AD Connect的服务器上,通过PowerShell命令执行手动同步。
Start-ADSyncSyncCycle
其次,已与Active Directory同步的Office 365账户,其账户属性应该是在企业内部的Windows活动目录中进行设置和修改,如密码,添加更多的收件地址或修改答复地址。
