这应该是一个简单的问题,但微软的文档对此事并没有完全清楚。
我可能即将有一份工作,需要为一家 SMB 设置新的 Windows Server 2016 Standard 部署(大约有 10-15 个 AD/O365 帐户,但客户和员工数量正在增长)。他们目前有一个本地 Windows Server 2008 机箱,用于处理内部文件共享,但 Active Directory 环境设置不当,他们还订阅了 Office 365 电子邮件和 Office 套件,他们使用与域名绑定的单独凭据登录。
为了在不产生任何额外持续成本的情况下将他们转移到 2FA,我认为在本地部署 AD FS 是有意义的,这将允许他们使用 YubiKey 智能卡设置或此 AD FS MFA 扩展。
在这种情况下,是否需要注册 Azure AD 计划并产生额外的持续成本,或者是否可以使用本地 AD FS 部署设置身份验证,而无需在 O365 许可证的基础上支付任何额外费用?他们为办公室工作人员提供了许多小型企业高级许可证,而远程工作人员只需拥有 Exchange 许可证。
本文说:
即使您已在采用 Office 365 的过程中部署了 ADFS 场,您的 ADFS 场也不信任 Office 365。您的 ADFS 场信任 Azure Active Directory。
这篇支持文章似乎还表明 Office365 和 Azure AD 紧密耦合,因此您需要为两者付费:
Office 365 使用基于云的用户身份和身份验证服务 Azure Active Directory (Azure AD) 来管理用户。
然而,它接着说道:
使用 AD FS,用户在本地和云中使用相同的密码,并且无需再次登录即可使用 Office 365。此联合身份验证模型可以提供其他身份验证要求,例如基于智能卡的身份验证或第三方多重身份验证,并且通常在组织具有 Azure AD 本身不支持的身份验证要求时需要使用。
从上述内容我可以假设,如果 Azure AD 不支持的某些内容通过 AD FS 支持,那么 Azure AD 就不是先决条件了?
我在网上阅读的印象是 Office 365 支持多个联合身份选项,并且 AD FS 就是其中之一,但我对以下问题感到困惑:
- 可以短路 Azure AD 并使用 AD FS,类似于 Shibboleth IdP/SP 合作关系的工作方式(例如 Office365 => ADFS => Office365,中间没有 Azure AD)
- 您必须使用 Azure,但可以摆脱免费 Azure AD Connect无限期地不同步密码(通过与 AD 或其他 MFA 选项配合使用的 YubiKey 智能卡登录获取免费的 MFA)
- 您是否仍需要在 Office 365 许可证的基础上购买完整的 Azure AD 订阅(声称包含 Active Directory 集成在订阅中)。
如果上述方法都失败了,我建议使用智能卡登录是不是太愚蠢了?他们经常把机器带出办公室(很多笔记本电脑工作),所以我希望 AD 环境尽可能安全,使用 BitLocker 强制机器和 2FA 登录,但我想知道尝试将其与 O365 集成是否只会给我带来额外的管理/支持麻烦。
非常感谢您的建议!