提前感谢您阅读本文。
我想要求用户在登录 Office 365 邮箱时使用 Azure 移动应用进行多因素身份验证。我不需要使用 MFA 来保护任何其他资源。我今天在本地部署了 Windows 2012 R2 上的 ADFS。
我是否需要安装本地多因素身份验证服务器?或者我是否只需按照以下说明配置 ADFS https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-adfs#secure-azure-ad-resources-using-ad-fs而不安装多因素身份验证服务器?如果不需要,我宁愿避免进行此安装。
此外,如果我为每个用户购买一个“企业移动性 + 安全性 E3”许可证,是否足够?
答案1
1)我需要安装本地多因素身份验证服务器吗?
您问的是所谓的“MFA 服务器”和所谓的“Azure MFA”之间的区别。如果您只想保护 Office 365 资源,那么您所需要的只是 Azure MFA。请阅读此处的指南,了解您在各种情况下需要哪个版本:https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion
但是,这是一个很大的但是,因为您正在运行 ADFS 3.0,所以您需要在本地设置 Azure MFA 服务器。在此处阅读更多相关信息:https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfaserver-adfs-2012
我没有使用过 Azure MFA 和 ADFS 3.0。我的建议是在迁移到 Azure MFA 之前先在 Windows Server 2016 上升级到 ADFS 4.0。Sever 2016 本身支持 Azure MFA,不需要在本地安装或使用 Azure MFA 服务器。这要简单得多。
2)我可以按照...所述配置 MFA 吗?
不。该页面对设置 Azure MFA 所涉及的内容进行了过度简化。它不涵盖使用 Server 2012 或 Server 2016 设置 ADFS。我不太明白它为什么存在,因为它只是我上面链接到的网站的部分剪辑,显然它显示了更多的内容。不要遵循它,因为它不会带你到达你想要去的地方。它涉及的内容更多,需要规划。例如,您打算如何证明您的用户,配置您想要允许的第二因素方法,在使用 Azure AD 设备注册时绕过受信任的设备,应用程序密码以及如何更新非 Windows 设备、单点登录、条件访问等。
3) 另外,如果我为每个用户购买一个“企业移动性 + 安全性 E3”许可证,是否足够?
是的。任何 Active Directory Premium 订阅均可提供完整的 Azure MFA 体验,该订阅几乎包含在任何 Office 365 许可证包(包括企业移动性)中。有关不同版本的 Azure MFA 和许可的更多信息,请参见此处:https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing#how-to-get-azure-multi-factor-authentication-1
我自己对此的说明:投资 Server 2016 并将 ADFS 升级到 4.0。它内置了对 Azure MFA 的支持,并且几乎每个组件都与以前版本的 Windows 服务器进行了大规模改造,并进行了各种云就绪改进。省去麻烦。