混合部署中的单一登录

单一登录使用户能够使用单个用户名和密码访问本地和 Microsoft 365 或Office 365组织。 它向用户提供了一种熟悉的登录体验，并能够允许管理员使用内部部署 Active Directory 管理工具轻松控制 Exchange Online 组织邮箱的帐户策略。 尽管您不需要启用单一登录来配置混合部署，但我们强烈建议您这样做。 如果没有单一登录，用户需要记住两组不同的凭据，一组用于本地组织，另一组用于 Microsoft 365 或 Office 365。 下面是单一登录的其他几个优点：

• Exchange Online Archiving：部署单一登录时，首次访问 Exchange Online 组织中的存档内容时，系统会提示本地 Outlook 用户输入其凭据。 不过，用户可以通过选择"保存密码"而暂时避免以后的凭据提示，只会在更改内部部署帐户密码以后才再次收到提供凭据的提示。 如果 Exchange 组织中没有部署单一登录，且启用了 Exchange Online Archiving，则内部部署用户主体名称 (UPN) 必须与 Exchange Online 帐户匹配，且用户在访问存档内容时始终会收到提供内部部署凭据的提示。

• 策略控制：可以通过 Active Directory 控制帐户策略，这使你能够管理密码策略、工作站限制、锁定控制等，而无需在 Microsoft 365 或 Office 365 组织中执行其他任务。

• 减少支持呼叫：忘记的密码是所有公司的常见支持电话来源。 如果用户要记住的密码较少，则他们忘记密码的可能性就较低。

部署单一登录时有三个选项：密码哈希同步、直通身份验证和联合身份验证，例如，Active Directory 联合身份验证服务 (AD FS) 。 所有选项都由 Microsoft Entra Connect 实现。 强烈建议使用密码哈希同步方法，除非有需要联合的特定需求。 密码哈希同步提供了联合身份验证的许多相同优势，而没有其部署的复杂性。

若要详细了解每个选项，请参阅为Microsoft Entra混合标识解决方案选择正确的身份验证方法。