Единый вход в гибридных развертываниях

 

Применимо к:Exchange Online, Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2016-01-29

Система единого входа позволяет входить в локальную организацию и организацию Office 365, используя одно имя пользователя и пароль. Процедура входа уже знакома пользователям, а администраторы могут легко управлять политиками учетных записей для почтовых ящиков организации Exchange Online, используя средства управления локальной службы Active Directory. Это необязательно, но мы настоятельно рекомендуем включить единый вход при настройке гибридного развертывания. Без него пользователям нужно запомнить два разных набора учетных данных: один для локальной организации, а другой — для Office 365. Другие преимущества единого входа:

  • Архивация на базе Exchange Online. После развертывания системы единого входа локальным пользователям Outlook потребуется ввести учетные данные при первом доступе к архивному содержимому в организации Exchange Online. Однако пользователи могут временно отключить ввод учетных данных, установив флажок "сохранить пароль". После этого ввод учетных данных потребуется, только когда изменится пароль локальной учетной записи. Если в организациях Exchange система единого входа не развернута и включена архивация на базе Exchange Online, имя локального участника-пользователя (UPN) должно соответствовать имени в учетной записи Exchange Online, и пользователям всегда нужно будет вводить локальные учетные данные для доступа к архиву.

  • Управление политиками Администратор может управлять политиками учетной записи через службу каталогов Active Directory, что дает администратору возможность управлять политиками паролей, ограничениями рабочих станций, блокировкой и другими функциями без необходимости выполнения дополнительных действий в организации Office 365.

  • Уменьшение числа звонков в службу технической поддержки забытые пароли являются частым источником звонков в службу технической поддержки во всех компаниях. Если пользователям необходимо запоминать меньше паролей, то меньше вероятность их забыть.

При развертывании единого входа у вас есть несколько вариантов: синхронизация паролей и службы федерации Active Directory (AD FS). Оба варианта обеспечивает Azure Active Directory Connect. Настоятельно рекомендуем использовать метод синхронизации паролей, если нет особой необходимости в AD FS. У синхронизации паролей и AD FS много одинаковых преимуществ, но AD FS сложнее развернуть. В следующей таблице приведены общие преимущества и недостатки каждого варианта.

ПримечаниеПримечание.
По умолчанию, если локальные серверы AD FS недоступны через Интернет по любой причине, Office 365 выполнит проверку подлинности, используя метод синхронизации паролей. Это позволяет пользователям почтовых ящиков Office 365 не прерывать работу, даже если локальные серверы недоступны.

Дополнительные сведения о каждом варианте см. в статье Параметры входа в Azure AD Connect

 

Метод единого входа

Преимущества

Недостатки

Синхронизация паролей (рекомендуется)

  • Значительно проще, чем AD FS

  • Пользователи могут войти в Office 365, даже если локальная служба Active Directory недоступна.

  • Для развертывания синхронизации паролей требуется меньше дополнительных серверов.

  • Не требуются сторонние сертификаты.

  • Не требуется внешний доступ к локальной службе Active Directory через AD FS.

  • Развертывание часто можно выполнить всего за несколько часов.

  • При отключении учетной записи пользователя в локальной службе Active Directory она не будет отключена в Office 365. Учетную запись необходимо отключить вручную на портале администрирования Office 365.

  • Требуется локальная служба Active Directory. Не поддерживаются другие службы каталогов.

AD FS

  • Изменения паролей вступают в силу немедленно.

  • При блокировке пользователя в локальной службе Active Directory блокируется как его доступ к локальной сети, так и его учетная запись Office 365.

  • Кроме Active Directory, поддерживаются другие службы каталогов.

  • Поддерживаются очень большие и разнотипные развертывания.

  • Поддерживается двухфакторная проверка подлинности.

  • Требуется больше серверов, и по крайней мере один из них должен находиться в сети периметра.

  • Требуется общедоступный IP-адрес и открытие TCP-порта 443 в брандмауэре.

  • Для обнаружения изменения паролей учетных записей требуется подключение к локальной службе Active Directory, а также недавно включенной или отключенной учетной записи.

 
Показ: