Назад | Перейти на главную страницу

Office365 с AD FS без Azure AD

Это должен быть простой вопрос, но документация Microsoft не совсем ясна по этому поводу.

У меня может быть работа, где я буду настраивать новое развертывание Windows Server 2016 Standard для SMB (около 10-15 учетных записей AD / O365, но многие клиенты и база сотрудников растут). В настоящее время у них есть локальная система Windows Server 2008, которая обрабатывает внутренние общие файловые ресурсы с плохо настроенной средой Active Directory, а также у них есть подписка на Office 365 для электронной почты и пакет Office, в который они входят с отдельными учетными данными, привязанными к их доменному имени. .

В попытке перевести их на двухфакторную аутентификацию без каких-либо дополнительных текущих затрат, я думаю, имеет смысл иметь локальное развертывание AD FS, которое позволило бы им входить в систему, используя что-то вроде настройки смарт-карты YubiKey или это расширение AD FS MFA.

В таком случае потребуется ли подписаться на план Azure AD и иметь дополнительные текущие расходы, или можно ли настроить проверку подлинности с локальным развертыванием AD FS без каких-либо дополнительных затрат поверх O365 лицензии? У них есть несколько лицензий Small Business Premium для офисных работников, а удаленные сотрудники имеют только лицензии Exchange.

Эта статья говорит:

Даже если вы развернули ферму ADFS как часть внедрения Office 365, ваша ферма ADFS не доверяет Office 365. Ваша ферма ADFS доверяет Azure Active Directory.

Эта статья поддержки также, похоже, предполагает, что Office365 и Azure AD тесно связаны, поэтому вам придется платить за оба:

Office 365 использует облачную службу идентификации и проверки подлинности пользователей Azure Active Directory (Azure AD) для управления пользователями.

Однако далее говорится:

С AD FS пользователи имеют один и тот же пароль локально и в облаке, и им не нужно повторно входить в систему, чтобы использовать Office 365. Эта федеративная модель проверки подлинности может обеспечивать дополнительные требования проверки подлинности, такие как проверка подлинности на основе смарт-карт или третья. сторонняя многофакторная проверка подлинности и обычно требуется, когда в организациях есть требование проверки подлинности, изначально не поддерживаемое Azure AD.

Из вышесказанного я предполагаю, что если что-то, не поддерживаемое Azure AD, поддерживается AD FS, то Azure AD не является обязательным условием?

Из чтения в Интернете у меня сложилось впечатление, что Office 365 поддерживает несколько вариантов федеративной идентификации, и AD FS - один из них, но я не понимаю, что:

  1. Можно замкнуть Azure AD и использовать AD FS аналогично тому, как будет работать партнерство Shibboleth IdP / SP (например, Office365 => ADFS => Office365 без Azure AD посередине)
  2. Вы должны использовать Azure, но можете обойтись без бесплатный Azure AD Connect на неопределенный срок без синхронизации паролей (чтобы получить бесплатный MFA через логин смарт-карты YubiKey, который работает с AD или какой-либо другой опцией MFA)
  3. Нужно ли вам по-прежнему приобретать полноценную подписку на Azure AD поверх лицензий Office 365 (которые заявить о включении интеграции с Active Directory в подписке).

Если все вышеперечисленное не выполнено, я вообще глуп, предлагая вход со смарт-картой? Они часто вывозят машины из офиса (много работы на ноутбуках), поэтому я хочу, чтобы среда AD была как можно более безопасной с машинами с усилением BitLocker и входом в систему 2FA, но мне интересно, пытается ли интегрировать это с O365, просто создает у меня дополнительная головная боль управления / поддержки.

Большое спасибо за любой совет!

Office 365 работает поверх Azure AD.

Тогда вы не сможете получить O365 без Azure AD.

MFA обычно требует Premium P1, но это встроенный в O365 (в зависимости от вашей подписки)

Посмотри на пройти через. Это обеспечит то, что вам нужно, без ADFS.