了解 Office 365 身分識別和 Azure Active Directory

Office 365 使用雲端使用者驗證服務 Azure Active Directory 來管理使用者。設定和管理使用者帳戶時,您可以選擇 Office 365 中的三種主要身分識別模式:

雲端身分識別。僅在 Office 365 管理您的使用者帳戶。管理使用者不需要非內部部署伺服器;一切都在雲端中完成。

同步處理身分識別。與 Office 365 同步處理內部部署目錄物件,並在內部部署管理您的使用者。您也可以同步處理密碼,讓使用者在內部部署和雲端都有相同的密碼,但他們必須再次登入才能使用 Office 365。

同盟身分識別。與 Office 365 同步處理內部部署目錄物件,並在內部部署管理您的使用者。使用者在內部部署和雲端都有相同的密碼,而且不須再次登入即可使用 Office 365。這通常稱為單一登入。

務必謹慎考慮要用來啟動並執行的身分識別模式。將時間、現有複雜度及成本列入考慮。這些因素對每個組織而言都不同;本主題檢閱每個身分識別模式的這些重要概念,以協助您選擇要用於部署的身分識別。

如果需求變更,也可以切換至不同的身分識別模式。

觀看這段影片以了解各種不同身分識別模式的快速概觀。

您的瀏覽器不支援視訊。請安裝 Microsoft Silverlight、Adobe Flash Player 或 Internet Explorer 9。
商務用 Office 365 中的身分識別

您也可以使用 Azure AD 建議程式:Azure AD Connect 建議程式AD FS 部署建議程式Azure RMS 部署精靈,以及 Azure AD Premium 設定指南

雲端身分識別

在這個模式中,您可以在 Office 365 系統管理中心建立及管理使用者,並在 Azure AD 儲存帳戶。Azure AD 會驗證密碼。Azure AD 是 Office 365 使用的雲端目錄。您不需要內部部署伺服器,Microsoft 會為您管理一切工作。身分識別和驗證會完全在雲端處理,而您可透過 Office 365 系統管理中心或 Windows PowerShell Cmdlet 管理使用者帳戶和使用者授權。

下圖為您摘要說明如何在雲端身分識別模式中管理使用者。

在步驟 1,系統管理員連線到 Microsoft 雲端平台中的 Office 365 系統管理中心,以建立或管理使用者。

在步驟 2,將建立或管理要求傳送到 Azure AD。

在步驟 3,如果是變更要求,則會進行變更並複製回 Office 365 系統管理中心。

在步驟 4,新的使用者帳戶和對現有使用者帳戶的變更都會複製回 Office 365 系統管理中心。

雲端管理的身分識別與驗證

何時使用雲端身分識別?下列情況非常適合使用雲端身分識別:

  • 您沒有任何其他內部部署使用者目錄。

  • 您有非常複雜的內部部署目錄,且想要避開複雜的整合工作。

  • 您有現有的內部部署目錄,但想要試用或試驗 Office 365。之後,當您準備好連線至內部部署目錄時,可以比對雲端使用者和內部部署使用者。

若要開始使用雲端身分識別,請參閱設定商務用 Office 365 - 系統管理協助

整合 Office 365 和目錄服務

如果內部部署上有現有的目錄環境,您可以使用同步處理身分識別或單一登入及同盟身分識別在 Office 365 建立和管理使用者,以整合 Office 365 和您的目錄。

同步處理身分識別

在這個模式中,您在內部部署伺服器中管理使用者身分識別,並將帳戶和密碼 (選擇性) 同步處理至雲端。使用者在內部部署輸入的密碼與雲端一樣,且在單一登入時,密碼由 Azure AD 進行驗證。這個模式使用目錄同步處理工具,將內部部署身分識別同步處理至 Office 365。

若要設定同步處理身分識別模式,您必須有內部部署目錄做為同步處理來源,而且還需要安裝目錄同步處理工具。同步處理帳戶之前,您要在內部部署目錄執行一些一致性檢查。

使用同步處理身分識別或同盟身分識別的時機︰

此模式:

適用於下列情況:

同步處理身分識別

當您擁有內部部署目錄,且想要同步處理使用者帳戶和密碼 (選擇性)。如果您也同步處理密碼,則您的使用者將使用相同的密碼來存取內部部署資源和 Office 365。

您最終想使用同盟身分識別,但您正在試驗 Office 365,或因其他原因尚未準備好花費時間部署 Active Directory 同盟服務 (AD FS) 伺服器。

同盟身分識別

當您需要進階的案例,例如︰現有同盟、原則或技術需求 (同盟身分識別下有更多詳細資訊)。

下圖顯示同步處理身分識別案例及密碼同步處理。同步處理工具可讓您的內部部署和雲端公司使用者身分識別保持同步。

在步驟 1,安裝 Microsoft Azure Active Directory Connect。如需相關指示,請參閱在 Office 365 中設定目錄同步處理。如需有關 Azure Active Directory 連線的詳細資訊,請參閱整合內部部署身分識別與 Azure Active Directory

在步驟 2 和 3,您在內部部署目錄建立新的使用者。同步處理工具會定期檢查您的內部部署目錄是否有任何新建的身分識別。然後將這些身分識別佈建到 Azure AD、將內部部署和雲端身分識別彼此連結、同步處理密碼,並讓您透過 Office 365 系統管理中心看到密碼。

在步驟 4,當您在內部部署目錄對使用者進行變更時,這些變更會同步處理至 Azure AD,並透過 Office 365 系統管理中心提供給您。

身分識別佈建與同步處理

若要開始使用同步處理身分識別,請參閱準備透過目錄同步處理將使用者佈建到 Office 365,以及設定 Office 365 中的目錄同步處理

同盟身分識別

這個模式需要同步處理身分識別,但有一點不同:使用者密碼由內部部署身分識別提供者進行驗證。這表示密碼雜湊不需要同步處理至 Azure AD。此模式使用 Active Directory 同盟服務 (AD FS) 或協力廠商身分識別提供者。

使用同盟身分識別的原因包括︰

  • 現有的基礎結構

    如果您因為某些其他原因已部署 AD FS,您也可以將它用在 Office 365。

    如果您已經使用某些其他身分識別提供者,則可在 Office 365 使用同盟身分識別。Microsoft 提供的身分識別提供者清單,可與 Office 365 搭配使用。

    如果您使用 Forefront Identity Manager,也可在 Office 365 使用同盟身分識別。

  • 技術需求

    您的內部部署 Active Directory 網域服務 (AD DS) 中有多個樹系。

    您有與智慧卡解決方案整合的內部部署。

    您有現有的自訂混合式應用程式,例如使用 SharePoint 或 Microsoft Exchange Server。

  • 原則需求

    您需要登入稽核和/或立即停用。

    您需要單一登入。

    您有網路位置或工作時數的登入限制。

    您有需要同盟身分識別的其他原則。

下圖顯示同盟身分識別與混合式內部部署和雲端部署案例。此範例的內部部署目錄是 AD FS。同步處理工具可讓您的內部部署和雲端公司使用者身分識別保持同步。

在步驟 1,安裝 Azure Active Directory 連線 (在此尋找詳細資訊及下載指示)。同步處理工具可依據您對內部部署目錄所做的最新變更,讓 Azure AD 保持在最新狀態。

如需相關指示,請參閱在 Office 365 中設定目錄同步處理。具體來說,您需要使用自訂安裝的 Azure AD Connect 來設定單一登入。

在步驟 2 和 3,您在內部部署 Active Directory 建立新的使用者。同步處理工具會定期檢查您的內部部署 Active Directory 伺服器是否有任何新建的身分識別。然後將這些身分識別佈建到 Azure AD、將內部部署和雲端身分識別彼此連結,並讓您透過 Office 365 系統管理中心看到密碼。

在步驟 4 和 5,當您在內部部署 Active Directory 對身分識別進行變更時,這些變更會同步處理至 Azure AD,並透過 Office 365 系統管理中心提供給您。

在步驟 6 和 7,同盟使用者使用您的 AD FS 登入。AD FS 會產生安全性權杖,並將該權杖傳遞至 Azure AD。權杖驗證完成之後,使用者將會獲得 Office 365 的授權。

身分識別佈建與 AD FS

Azure Active Directory 管理入口網站

如果您已支付訂閱 Office 365、Microsoft Dynamics CRM Online、Enterprise Mobility Suite 或其他 Microsoft 服務的費用,將可獲得免費的 Azure AD 訂閱。雖然您可以使用 Azure AD 建立及管理使用者和群組帳戶,但建議您使用 Office 365 系統管理中心。例如,即使您可以在 Azure 管理入口網站新增使用者,仍然需要在 Office 365 系統管理中心新增授權。您必須啟用您的訂閱才能存取 Azure 管理入口網站。

如需詳細資訊,請參閱 Azure AD Connect 常見問題集

請參閱

Office 365 與內部部署環境整合

準備透過目錄同步處理將使用者佈建到 Office 365

適用於 Office 365 的 Windows PowerShell Cmdlet

修正 Office 365 的目錄同步處理的問題

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×