管理应用程序安全使用Azure AD服务

• Azure混合标识（混合认证）
• • 以Azure AD做为总核心
• Azure混合标识解决方案的身份验证方法
• • Azure AD密码哈希同步(PHS)
  • Azure AD直通身份验证(PTA)
  • 联合身份验证(Federation)
• 安装和配置Azure AD Connect了解同步选项
• • Azure AD信息同步权限
  • 安装 Azure AD Connect用户权限
  • 暂存模式（staging mode）
  • Azure AD Connect Health
• 配置和管理密码同步和密码写回
• 配置single sign-on单一登录
• 使用Azure AD Connect Health

Azure混合标识（混合认证）

官方文档
https://docs.microsoft.com/zh-cn/azure/active-directory/hybrid/

Azure Active Directory (Azure AD）是一个综合性的标识即服务(IDaas)解决方案，由数百万组织用来跨标识、访问管理和安全的各个方面。Azure AD拥有超过10亿用户身份，并可帮助用户登录和安全访问两者:（Azure AD Connect是本地安装的代理服务器目的是Azure AD连接到本地服务器）

• 外部资源，例如Microsoft Office 365、Azure门户和上千个软件即服务(SaaS)应用程序。
• 内部资源，如组织企业 络和intranet上的应用程序，以及由该组织开发的任何云应用程序。

如果组织使用的是”纯云”，则可以使用Azure AD，如果它们有本地工作负荷，则可以使用”混合”部署。Azure AD的混合部署可以是组织的策略的一部分，以将其I资产迁移到云，或继续集成现有的本地基础结构和新的云服务。

从历史上看，”混合”组织已Azure AD作为其现有本地基础结构的扩展。在这些部署中，本地标识管理管理、Windows Server Active Directory或其他内部目录系统，是控制点，用户和组都从这些系统同步到云目录，如Aure AD。一旦这些标识位于云中，就可以将它们提供给Office 365、Azure以及其他应用程序。

Azure混合标识解决方案的身份验证方法

• Azure AD密码哈希同步(PHS);这是在Azure AD中为本地目录对象启用身份验证的最简单方法。用户可以使用其在本地使用的同一用户名和密码，不必部署任何其他基础结构。某些Azure AD高级功能(如标识保护和Azure AD域服务）需要密码哈希同步，无论选择哪种身份验证方法均是如此。
• Azure AD直通身份验证(PTA):通过使用在一个或多个本地服务器上运行的软件代理，为Azure AD身份验证服务提供简单密码验证。服务器直接使用本地Active Directory验证用户，这将确保云中不发生密码验证。

把本地密码复制到Azure AD上，访问 Azure AD与云端比对就可以访问Azure AD其他服务
本地每30分钟复制到Azure AD
Azure AD 与本地域名尽量保证一致，达到同步的效果（添加自定义域，验证后设置为主域，作为用户名后缀）

• 工作量:密码哈希同步所需的有关部署、维护和基础结构的工作量最少。此级别的工作量通常适用于只需用户登录到Office355、SS应用以及其他基于Azure AD的资源的组织。启用后，密码哈希同步即是Azure AD Connect同步过程的一部分，并且每两分钟运行一次。
• 用户体验:若要改善用户的登录体验，请将无缝ssO随密码哈希同步一起部署。在用户登录时，无缝SsO将消除不必要的提示。
• 高级方案:如果组织选择，可以将来自标识的见解与Azure AD Premium P2的”AZure AD标识保护” 告配合使用。例如已泄漏凭据 告。Windows Hello for Business 在使用密码哈希同步时有特定要求。Azure AD域服务需要密码哈希同步才能在托管域中为用户预配公司凭据。
• 需要多重身份验证以及密码哈希同步的组织必须使用Azure多重身份验证或条件访问自定义控件。这些组织不能使用依赖于联合身份验证的第三方或本地多重身份验证方法。
• 业务连续性:密码哈希同步与云身份验证结合在一起完全可以作为云服务使用，适合所有Microsot 数据中心。若要确保密码哈希同步不会在长时间内无法工作，请在备用配置中部署另一个处于暂存模式的 Azure AD Connect服务器。

注意事项:目前，密码哈希同步不会即时强制本地帐户状态更改生效。在此情况下，除非用户帐户状态已同步到Aure AD，否则用户有权访问云应用。组织可能希望在管理员对本地用户帐户状态执行批量更新后运行新的同步循环来克服此限制。例如禁用帐户。

Azure AD直通身份验证(PTA)

访问Azure AD时，重定向到本地的AD FS服务器，在本地进行密码的验证，验证成功后 AD FS服务器会给Azure AD发送确认信息，就可以通过Azure AD访问其他服务
配置复杂，工作中用的多些，考试很少提到

• 工作量:联合身份验证系统依赖于外部受信任系统对用户进行身份验证。某些公司想要借助Aure AD混合标识解决方案重复使用现有联合系统投资。联合系统的维护和管理超出Azure AD控制。这由组织负责，组织可通过使用联合系统确保它已安全部署并可处理身份验证负载。
• 用户体验:联合身份验证的用户体验依赖于联合服务器场功能、拓扑和配置的实现。某些组织需要这种灵活性来调整和配置对联合服务器场的访问权限，以满足其安全要求。例如，可以配置内部连接用户和设备以使用户自动登录，不会提示其输入凭据。因为他们已登录到其设备，所以此配置将发挥作用。必要时，某些高级安全功能将使用户的登录过程更加困难。
• 高级方案:客户有 Azure AD本机不支持的身份验证要求时，需要联合身份验证解决方案。请考虑以下常见要求:
  1：需要智能卡或证书的身份验证。
  2：需要联合标识提供程序的本地 MFA服务器或第三方多重身份验证提供程序。
  3：使用第三方身份验证解决方案的身份验证。请参阅Azure AD联合身份验证兼容性列表。
  4：需要SAMAccountName（例如，DOMAIN(username)而不是用户主体名称(UPN)(例如，user@domain.com)的登录。
• 业务连续性:联合身份验证系统通常需要负载均衡的服务器阵列(称为场)。此场在内部 络和外围 络拓扑中配置，以便为身份验证
  请求确保高可用性。
• 请将密码哈希同步以及联合身份验证部署为当主要身份验证方法不再可用时使用的备份身份验证方法。

注意事项:联合系统诵常在本地基础结构方面需要更可观的投资。大多数组织会选择此选项，前提是它们已有本地联合身份验证投资，并且使用单标识提供者是非常强烈的业务需求。与云身份验证解决方案相比，联合的操作和故障排除更加复杂。

安装和配置Azure AD Connect了解同步选项

需要Azure AD全局管理员账户以及服务器里的管理员账户

配置和管理密码同步和密码写回

借助 Azure Active Directory (Azure AD)自助式密码重置(SSPR)，用户可以使用web浏览器更新其密码或解锁其帐户。在AzureAD连接到本地Active Directory域服务(AD DS)环境的混合环境中，此方案可能会导致两个目录的密码不同。
可以使用密码写回将Azure AD中的密码更改同步回到本地AD DS环境。Azure AD Connect 提供一种安全机制用于将这些密码更改从Azure AD发回到现有本地目录。

限制：

• 一个至少启用了Azure AD Premium P1或试用版许可证的有效Azure AD租户。
• —个拥有全局管理员特权的帐户。
• 为自助式密码重置配置的Azure AD。
• 配置有最新Azure AD Connect版本的现有本地AD DS环境。
• 若要使用密码写回，域控制器必须是Windows Server 2012或更高版本。

配置single sign-on单一登录

Azure Active Directory无缝单一登录(Azure AD无缝sSO）可使连接到企业 络的企业设备上的用户自动登录。启用此功能后，用户无需键入其密码即可登录到Azure AD;通常情况下，甚至无需键入其用户名。此功能可让用户轻松访问基于云的应用程序，而无需使用其他任何本地组件。
无缝sso可与密码哈希同步或传递身份验证登录方法结合使用。无缝SSO不适用于 Active Directory联合身份验证服务(ADFS)。
需要预先配置用户可以登录的应用程序

• 普通单一登录：不同应用程序可以使用一种登录方式，用同一用户名密码登录不同的程序
• 无缝单一登录：登录一次，之后可以访问应用程序，不需要输入用户名密码