你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是使用 Azure Active Directory 的混合标识?

如今,企业和公司越来越成为本地应用程序和云应用程序的混合体。 用户需要同时访问位于本地和云中的这些应用程序。 同时在本地和云中管理用户面临一些很有挑战性的方案。

Microsoft 的标识解决方案涵盖了本地功能和基于云的功能。 这些解决方案创建一个通用用户标识,用于针对所有资源进行身份验证和授权,无论资源位于什么位置。 我们称此为混合标识

借助 Azure AD 混合标识和混合标识管理,这些方案将成为可能。

若要通过 Azure AD 实现混合标识,可以根据你的具体方案使用三种身份验证方法之一。 这三种方法是:

这些身份验证方法还提供单一登录功能。 单一登录可使连接到企业网络的企业设备上的用户自动登录。

有关详细信息,请参阅为 Azure Active Directory 混合标识解决方案选择正确的身份验证方法

常见方案和建议

下面是一些常见的混合标识和访问管理方案,其中每个方案都包含有关适合的混合标识选项的建议。

我需要: PHS 和 SSO1 PTA 和 SSO2 AD FS3
将本地 Active Directory 中创建的新用户、联系人和组帐户自动同步到云。 建议 建议 建议
针对 Microsoft 365 混合方案设置我的租户。 建议 建议 建议
使用户能够使用其本地密码登录并访问云服务。 建议 建议 建议
使用公司凭据实现单一登录。 建议 建议 建议
确保未在云中存储密码哈希。 建议 建议
启用基于云的多重身份验证解决方案。 建议 建议 建议
启用本地多重身份验证解决方案。 建议
支持用户使用智能卡身份验证。4 建议

1 使用单一登录的密码哈希同步。

2 传递身份验证和单一登录。

3 使用 AD FS 的联合单一登录。

4 AD FS 可与企业 PKI 集成,允许使用证书登录。 这些证书可以是通过受信任预配通道(如 MDM、GPO 或智能卡证书(包括 PIV/CAC 卡)或 Hello 企业版(信任证书))部署的软证书。 有关智能卡身份验证支持的详细信息,请参阅此博客

使用 Azure AD Connect 的许可证要求

此功能免费使用,并且包括在你的 Azure 订阅中。

后续步骤