Единый вход в гибридных развертываниях

Единый вход позволяет пользователям получать доступ как к локальным организациям, так и к организациям Microsoft 365 или Office 365 с одним именем пользователя и паролем. Процедура входа уже знакома пользователям, а администраторы могут легко управлять политиками учетных записей для почтовых ящиков организации Exchange Online, используя средства управления локальной службы Active Directory. Это необязательно, но мы настоятельно рекомендуем включить единый вход при настройке гибридного развертывания. Без единого входа пользователям потребуется запомнить два разных набора учетных данных: один для локальной организации, а другой — для Microsoft 365 или Office 365. Другие преимущества единого входа:

  • Exchange Online Archiving. При развертывании единого входа локальные пользователи Outlook получают запрос на ввод учетных данных при первом доступе к архивированному содержимому в организации Exchange Online. Тем не менее, пользователи могут временно избежать будущих запросов учетных данных, выбрав "сохранить пароль", а затем снова будут запрашивать учетные данные только при изменении пароля локальной учетной записи. Если единый вход не развернут в организациях Exchange и Exchange Online Archiving включен, имя локального участника-пользователя (UPN) должно соответствовать учетной записи Exchange Online, и пользователям всегда будет предложено ввести локальные учетные данные при доступе к архиву.

  • Управление политиками. Вы можете управлять политиками учетных записей с помощью Active Directory, что позволяет управлять политиками паролей, ограничениями рабочих станций, элементами управления блокировкой и т. д., не выполняя дополнительных задач в Microsoft 365 или Office 365 организации.

  • Сокращение обращений в службу поддержки. Забытые пароли являются общим источником обращений в службу поддержки во всех компаниях. Если пользователям необходимо запоминать меньше паролей, то меньше вероятность их забыть.

При развертывании единого входа есть три варианта: синхронизация хэша паролей, сквозная проверка подлинности и федерация, например службы федерации Active Directory (AD FS) (AD FS). Все параметры реализуются с помощью Azure Active Directory Connect. Мы настоятельно рекомендуем использовать метод синхронизации хэша паролей, если у вас нет конкретной необходимости, требующей федерации. Синхронизация хэша паролей обеспечивает множество преимуществ федерации без сложности ее развертывания.

Дополнительные сведения о каждом из вариантов см. в статье Выбор правильного метода проверки подлинности для решения гибридной идентификации Azure Active Directory.

Важно!

Настоятельно рекомендуется использовать MFA для всех имен входа пользователей или администраторов в случае гибридных развертываний.