仅限云标识
仅限云的标识使用仅存在于Microsoft Entra ID 中的用户帐户。 仅限云标识通常由没有本地服务器或不使用 AD DS 来管理本地标识的小型组织使用。
下面是仅限云标识的基本组件。
本地和远程 (联机) 用户使用其Microsoft Entra用户帐户和密码来访问 Microsoft 365 云服务。 Microsoft Entra根据其存储的用户帐户和密码对用户凭据进行身份验证。
管理
由于用户帐户仅存储在Microsoft Entra ID 中,因此可以使用 Microsoft 365 管理中心 和 Windows PowerShell 等工具来管理云标识。
混合标识
混合标识使用源自本地 AD DS 并在 Microsoft 365 订阅的 Microsoft Entra 租户中具有副本的帐户。 除 特定帐户属性外,大多数更改仅以单向流动。 对 AD DS 用户帐户所做的更改将同步到Microsoft Entra ID 中的副本。
Microsoft Entra Connect 提供正在进行的帐户同步。 它在本地服务器上运行,检查 AD DS 中的更改,并将这些更改转发到Microsoft Entra ID。 Microsoft Entra Connect 可用于筛选同步的帐户以及是否同步用户密码的哈希版本,称为密码哈希同步 (PHS) 。
实现混合标识时,本地 AD DS 是帐户信息权威源。 这意味着你主要在本地执行管理任务,这些任务随后会同步到Microsoft Entra ID。
下面是混合标识的组件。
Microsoft Entra租户具有 AD DS 帐户的副本。 在此配置中,访问 Microsoft 365 云服务的本地用户和远程用户都根据Microsoft Entra ID 进行身份验证。
始终需要使用 Microsoft Entra Connect 来同步混合标识的用户帐户。 需要Microsoft Entra ID 中的同步用户帐户来执行许可证分配和组管理、配置权限以及涉及用户帐户的其他管理任务。
Microsoft 365 的混合标识和目录同步
根据业务需求和技术要求,混合标识模型和目录同步是采用 Microsoft 365 的企业客户最常见的选择。 目录同步允许你管理Active Directory 域服务 (AD DS) 中的标识,对用户帐户、组和联系人的所有更新都同步到 Microsoft 365 订阅的 Microsoft Entra 租户。
首次同步 AD DS 用户帐户时,它们不会自动分配 Microsoft 365 许可证,并且无法访问 Microsoft 365 服务(如电子邮件)。 必须先为其分配使用位置。 然后,通过组成员身份将许可证单独或动态分配给这些用户帐户。
混合标识的身份验证
使用混合标识模型时,有两种类型的身份验证:
- 托管身份验证
Microsoft Entra ID 使用本地存储的哈希版本密码来处理身份验证过程,或者将凭据发送到本地软件代理,以便由本地 AD DS 进行身份验证。 - 联合身份验证
Microsoft Entra ID 会将请求身份验证的客户端计算机重定向到另一个标识提供者。
托管身份验证
有两种类型的托管身份验证:
- 密码哈希同步 (PHS)
Microsoft Entra ID 本身执行身份验证。 - 直通身份验证 (PTA)
Microsoft Entra ID 具有 AD DS 执行身份验证。
密码哈希同步 (PHS)
使用 PHS,可将 AD DS 用户帐户与 Microsoft 365 同步,并在本地管理用户。 用户密码的哈希从 AD DS 同步到Microsoft Entra ID,以便用户在本地和云中具有相同的密码。 这是在MICROSOFT ENTRA ID 中为 AD DS 标识启用身份验证的最简单方法。
在本地更改或重置密码时,新密码哈希会同步到Microsoft Entra ID,以便用户始终可以对云资源和本地资源使用相同的密码。 用户密码永远不会发送到Microsoft Entra ID,也不会以明文形式存储在Microsoft Entra ID 中。 无论选择了哪种身份验证方法,Microsoft Entra ID 的某些高级功能(例如标识保护)都需要 PHS。
有关详细信息 ,请参阅选择正确的身份验证方法 。
直通身份验证 (PTA)
PTA 使用一个或多个本地服务器上运行的软件代理为Microsoft Entra身份验证服务提供简单的密码验证,以便直接使用 AD DS 验证用户。 使用 PTA,可将 AD DS 用户帐户与 Microsoft 365 同步,并在本地管理用户。
PTA 允许用户使用其本地帐户和密码登录到本地和 Microsoft 365 资源和应用程序。 此配置直接针对本地 AD DS 验证用户密码,而无需将密码哈希存储在Microsoft Entra ID 中。
PTA 还适用于具有安全要求的组织,以立即强制实施本地用户帐户状态、密码策略和登录小时数。
联合身份验证
联合身份验证主要用于具有更复杂的身份验证要求的大型企业组织。 AD DS 标识与 Microsoft 365 同步,用户帐户在本地进行管理。 使用联合身份验证时,用户在本地和云中具有相同的密码,并且无需再次登录即可使用 Microsoft 365。
联合身份验证可以支持其他身份验证要求,例如基于智能卡的身份验证或第三方多重身份验证,当组织具有身份验证要求不受Microsoft Entra ID 本身支持的身份验证要求时,通常需要联合身份验证。
对于第三方身份验证和标识提供者,本地目录对象可以同步到 Microsoft 365 和云资源访问,这些访问主要由第三方标识提供者 (IdP) 管理。 如果你的组织使用第三方联合身份验证解决方案,则可以为 Microsoft 365 配置该解决方案的登录,前提是第三方联合身份验证解决方案与Microsoft Entra ID 兼容。有关详细信息,请参阅Microsoft Entra联合兼容性列表。
管理
由于原始和权威用户帐户存储在本地 AD DS 中,因此使用与管理 AD DS 相同的工具管理标识。
你不使用 Microsoft 365 的 Microsoft 365 管理中心 或 PowerShell 来管理Microsoft Entra ID 中的同步用户帐户。
