了解 Office 365 标识和 Azure Active Directory

Office 365 使用基于云的用户身份验证服务 Azure Active Directory 来管理用户。设置和管理用户帐户时,你可以在 Office 365 中从三种主要的身份模型中进行选择:

云身份。仅在 Office 365 中管理用户帐户。不需要本地服务器来管理用户,所有操作都在云中完成。

同步身份。将本地目录对象与 Office 365 同步,在本地管理你的用户。也可以同步密码,以便用户在本地和在云中具有相同的密码,但用户将必须重新登录才能使用 Office 365。

联合身份。将本地目录对象与 Office 365 同步,在本地管理你的用户。用户在本地和在云中具有相同的密码,他们无需重新登录即可使用 Office 365。这通常称为单一登录。

必须审慎考虑使用哪种身份模型来保证正常运行。考虑时间、现有的复杂程度和成本。这些因素对于每个组织都是不同的;本主题回顾每个身份模型的这些主要概念,帮助你选择用于部署的身份。

如果您的要求更改,也可以切换到其他身份模型。

观看此视频,快速了解各种身份模型。

您的浏览器不支持视频。 安装 Microsoft Silverlight、Adobe Flash Player 或 Internet Explorer 9。
Office 365 商业版中的身份

还可使用 Azure AD 顾问:Azure AD Connect 顾问AD FS 部署顾问Azure RMS 部署向导以及 Azure AD Premium 安装指南

云身份

在此模型中,在 Office 365 管理中心 中创建和管理用户,并将帐户存储在 Azure AD 中。Azure AD 验证密码。Azure AD 是 Office 365 使用的云目录。无需本地服务器 - Microsoft 为你管理所有内容。当完全在云中处理身份和身份验证时,你可以通过 Office 365 管理中心 或 Windows PowerShell cmdlet 管理用户帐户和用户许可证。

下图概括了如何在云身份模型中管理用户。

步骤 1 中,管理员在 Microsoft 云平台中连接到 Office 365 管理中心,以创建或管理用户。

步骤 2 中,创建或管理请求传递给 Azure AD。

步骤 3 中,如果是更改请求,则进行更改并复制回 Office 365 管理中心。

步骤 4 中,新的用户帐户以及对现有用户帐户的更改复制回 Office 365 管理中心。

云托管的身份和身份验证

何时使用云身份?在以下情况下,云身份是一个很好的选择:

  • 你没有其他本地用户目录。

  • 你的本地目录非常复杂,而你只是想要避免与它集成的工作。

  • 你已有本地目录,但你想要运行 Office 365 的试用版或试点。以后,当你准备连接到你的本地目录时,可以将云用户与本地用户匹配。

要开始使用云身份,请参阅设置 Office 365 商业版 - 管理员帮助

将 Office 365 与目录服务集成

如果你已有本地目录环境,则可以使用同步身份或者单一登录和联合身份在 Office 365 中创建和管理用户,从而将 Office 365 与你的目录集成。

同步身份

在此模型中,在本地服务器中管理用户身份,并将帐户和密码(可选)同步到云。用户在本地和在云中输入的密码相同,在登录时,Azure AD 将验证密码。此模型使用目录同步工具将本地身份同步到 Office 365。

要配置同步身份模型,必须具有从其进行同步的本地目录,并且需要安装目录同步工具。在同步帐户之前,将对本地目录运行一些一致性检查。

何时使用同步或联合身份:

此模型:

适用于以下情形:

同步身份

你拥有本地目录,并且想要同步用户帐户和密码(可选)。如果你还要同步密码,则你的用户将使用相同的密码来访问本地资源和 Office 365。

你最终想要使用联合身份,但你正在运行 Office 365 的试点,或出于某种其他原因,你还未准备好花时间部署 Active Directory 联合身份验证服务 (AD FS) 服务器。

联合身份

你需要一个高级方案,如,现有联合身份验证、策略或技术要求(相关详细信息位于联合身份下)。

下图演示使用密码同步的同步身份方案。同步工具使你的本地公司用户身份与云中的公司用户身份保持同步。

步骤 1 中,安装了 Microsoft Azure Active Directory Connect。有关说明,请参阅在 Office 365 中设置目录同步。有关 Azure Active Directory Connect 的详细信息,请参阅将你的本地身份与 Azure Active Directory 集成

步骤 2 和步骤 3 中,在本地目录中创建新用户。同步工具将定期检查本地目录中是否有任何新创建的身份。然后,它通过 Office 365 管理中心将这些身份预配到 Azure AD 中、将本地和云身份链接到另一个身份、同步密码,并使其对你可见。

步骤 4 中,当你在本地目录中对用户进行更改后,这些更改将同步到 Azure AD,并通过 Office 365 管理中心 向你提供。

身份设置与同步

若要开始使用同步身份,请参阅准备通过目录同步将用户设置到 Office 365在 Office 365 中设置目录同步

联合身份

此模型需要同步身份,但对该模型进行了一个更改:用户密码由本地身份提供程序验证。这意味着密码哈希不需要同步到 Azure AD。此模型使用 Active Directory 联合身份验证服务 (AD FS) 或第三方身份提供程序。

使用联合身份的原因包括:

  • 现有基础结构

    如果你已经拥有出于某种其他原因而部署的 AD FS,你可能也想将其用于 Office 365。

    如果你已经在使用某个其他身份提供程序,想要将联合身份用于 Office 365。Microsoft 提供了适用于 Office 365 的身份提供程序列表

    如果你使用 Forefront Identity Manager,想要将联合身份用于 Office 365。

  • 技术要求

    在本地 Active Directory 域服务 (AD DS) 中有多个林。

    你拥有本地集成的智能卡解决方案。

    你已有自定义混合应用程序,例如,与 SharePoint 或 Microsoft Exchange Server 混合。

  • 策略要求

    需要登录审核和/或立即禁用。

    需要单一登录。

    通过网络位置或工作时间进行登录限制。

    实施需要联合身份的其他策略。

下图演示使用本地和云混合部署的联合身份方案。此示例中的本地目录为 AD FS。同步工具使你的本地公司用户身份与云中的公司用户身份保持同步。

步骤 1 中,安装 Azure Active Directory Connect(在此处查找更多信息和下载说明)。同步工具有助于使 Azure AD 与你在本地目录中所做的最新更改保持同步。

有关说明,请参阅在 Office 365 中设置目录同步。具体而言,你将需要使用 Azure AD Connect 的自定义安装来设置单一登录。

步骤 2 和步骤 3 中,在本地 Active Directory 中创建新用户。同步工具将定期检查本地 Active Directory 服务器中是否有任何新创建的身份。然后,它通过 Office 365 管理中心将这些身份预配到 Azure AD 中、将本地和云身份链接到另一个身份,并使其对你可见。

步骤 4 和步骤 5 中,当你在本地 Active Directory 中对身份进行更改后,这些更改将同步到 Azure AD,并通过 Office 365 管理中心 向你提供。

步骤 6 和步骤 7 中,联合用户使用你的 AD FS 登录。AD FS 生成安全令牌,并且该令牌将传递到 Azure AD。验证该令牌后,用户将得到 Office 365 的授权。

身份设置与 AD FS

Azure Active Directory 管理门户

如果你有 Office 365、Microsoft Dynamics CRM Online、企业移动性套件或其他 Microsoft 服务的付费订阅,则你拥有 Azure AD 的免费订阅。虽然你可以使用 Azure AD 来创建和管理用户和组帐户,但最好是使用 Office 365 管理中心。例如,即使你可以在 Azure 管理门户中添加用户,但你仍需在 Office 365 管理中心 中添加许可证。必须激活你的订阅才可访问 Azure 管理门户。

有关详细信息,请参阅 Azure AD Connect FAQ

另请参阅

Office 365 与本地环境的集成

准备通过目录同步将用户设置到 Office 365

Office 365 的 Windows PowerShell cmdlet

修复 Office 365 的目录同步问题

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×