我是一家小型组织的唯一 IT 管理员。我渴望通过设置 AD FS 来提高 MFA 的安全性,出于很多原因,我希望在云中做到这一点。Microsoft 的文档中有一个有用的教程 (https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-azure-adfs)。但该设置需要六个虚拟机:两个 DC、两个 WAP 和两个 LB。
这些真的有必要吗?对于我们的组织来说,仅仅为了获得额外的身份验证安全性和灵活性,成本就相当高。我知道我们还会获得其他东西,比如联合域加入等等,但我想知道,在实践中,是否有一种规模较小的解决方案,可以为小型组织提供合理的可靠性,而不需要极端的正常运行时间要求。
答案1
如果您只需要 MFA,则不需要整个 ADFS 设置,Azure MFA 既有云版本,也有用于本地的 MFA 服务器。以下链接可帮助您确定所需的内容。https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion
答案2
如果您只想要 MFA,那么您应该选择的路径实际上取决于您的环境。
- 如果您有本地 AD,则实际上不需要 ADFS 使用本地 AD 凭据在 Office 365 中验证身份。使用密码哈希同步或者直通认证就足够了。不过,您至少需要一台用于 AD Connect 的服务器。您可以在此处找到有关身份验证方法的更多信息:https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-user-signin
- 如果您没有本地 AD,您可以简单地将您的 Windows 10 机器加入到 Azure AD。
任何选项都允许您使用 MFA