Единый вход в гибридных развертыванияхSingle sign-on with hybrid deployments

Система единого входа позволяет входить в локальную организацию и организацию Office 365, используя одно имя пользователя и пароль. Процедура входа уже знакома пользователям, а администраторы могут легко управлять политиками учетных записей для почтовых ящиков организации Exchange Online, используя средства управления локальной службы Active Directory. Это необязательно, но мы настоятельно рекомендуем включить единый вход при настройке гибридного развертывания. Без него пользователям нужно запомнить два разных набора учетных данных: один для локальной организации, а другой — для Office 365. Другие преимущества единого входа:Single sign-on enables users to access both the on-premises and Office 365 organizations with a single user name and password. It provides users with a familiar sign-on experience and can allow administrators to easily control account policies for Exchange Online organization mailboxes by using on-premises Active Directory management tools. While you don't have to configure a hybrid deployment with single sign-on enabled, we strongly recommend that you do. Without single sign-on, users will need to remember two different sets of credentials, one for your on-premises organization, and one for Office 365. Here are a few other advantages to single sign-on:

  • Архивация на базе Exchange Online. После развертывания системы единого входа локальным пользователям Outlook потребуется ввести учетные данные при первом доступе к архивному содержимому в организации Exchange Online. Однако пользователи могут временно отключить ввод учетных данных, установив флажок "сохранить пароль". После этого ввод учетных данных потребуется, только когда изменится пароль локальной учетной записи. Если в организациях Exchange система единого входа не развернута и включена архивация на базе Exchange Online, имя локального участника-пользователя (UPN) должно соответствовать имени в учетной записи Exchange Online, и пользователям всегда нужно будет вводить локальные учетные данные для доступа к архиву.Exchange Online Archiving When single sign-on is deployed, on-premises Outlook users are prompted for their credentials when accessing archived content in the Exchange Online organization for the first time. However, users can then temporarily avoid future credential prompting by choosing "save password" and then will only be prompted for credentials again when their on-premises account password is changed. If single sign-on isn't deployed in Exchange organizations and Exchange Online Archiving is enabled, the on-premises user principal name (UPN) must match their Exchange Online account and users will always be prompted for their on-premises credentials when accessing their archive.

  • Управление политиками Администратор может управлять политиками учетной записи через службу каталогов Active Directory, что дает администратору возможность управлять политиками паролей, ограничениями рабочих станций, блокировкой и другими функциями без необходимости выполнения дополнительных действий в организации Office 365.Policy control You can control account policies through Active Directory, which gives you the ability to manage password policies, workstation restrictions, lock-out controls, and more, without having to perform additional tasks in your Office 365 organization.

  • Уменьшение числа звонков в службу технической поддержки забытые пароли являются частым источником звонков в службу технической поддержки во всех компаниях. Если пользователям необходимо запоминать меньше паролей, то меньше вероятность их забыть.Reduced support calls Forgotten passwords are a common source of support calls in all companies. If users have fewer passwords to remember, they are less likely to forget them.

При развертывании единого входа у вас есть несколько вариантов: синхронизация паролей и службы федерации Active Directory (AD FS). Оба варианта обеспечивает Azure Active Directory Connect. Настоятельно рекомендуем использовать метод синхронизации паролей, если нет особой необходимости в AD FS. У синхронизации паролей и AD FS много одинаковых преимуществ, но AD FS сложнее развернуть. В следующей таблице приведены общие преимущества и недостатки каждого варианта.You have a couple of options when deploying single sign-on: password synchronization and Active Directory Federation Services (AD FS). Both options are provided by Azure Active Directory Connect. We strongly recommend using the password synchronization method unless you have a specific need that requires AD FS. Password synchronization provides many of the same benefits of AD FS without the complexity of its deployment. The following table provides some common advantages and disadvantages for each option.

Примечание

По умолчанию, если локальные серверы AD FS недоступны через Интернет по любой причине, Office 365 выполнит проверку подлинности, используя метод синхронизации паролей. Это позволяет пользователям почтовых ящиков Office 365 не прерывать работу, даже если локальные серверы недоступны.By default, if you deploy AD FS and your on-premises AD FS servers aren't reachable from the Internet for any reason, Office 365 will fall back to password synchronization to authenticate users. This allows users with Office 365 mailboxes to continue working uninterrupted even if your on-premises servers aren't available.

Дополнительные сведения о параметрах просмотрите Параметры Azure AD подключение пользователей входа.To learn more about each option, see Azure AD Connect User Sign-on options.

| |

Метод единого входаSingle sign-on method ПреимуществаAdvantages НедостаткиDisadvantages
Синхронизация паролей (рекомендуется)Password synchronization (recommended)
Значительно проще, чем AD FSSignificantly less complex than AD FS
Пользователи могут войти в Office 365, даже если локальная служба Active Directory недоступна.Users can log in to Office 365 even if your on-premises Active Directory is unavailable.
Для развертывания синхронизации паролей требуется меньше дополнительных серверов.Fewer additional servers are required to deploy password synchronization.
Не требуются сторонние сертификаты.No third-party certificates are required.
Не требуется внешний доступ к локальной службе Active Directory через AD FS.Doesn't require external access to your on-premises Active Directory via AD FS.
Развертывание часто можно выполнить всего за несколько часов.Deployment can often be completed in just a few hours.
При отключении учетной записи пользователя в локальной службе Active Directory она не будет отключена в Office 365. Учетную запись необходимо отключить вручную на портале администрирования Office 365.Disabling a user account in your on-premises Active Directory doesn't disable it in Office 365. You need to manually disable the account in the Office 365 Admin portal.
Требуется локальная служба Active Directory. Не поддерживаются другие службы каталогов.Requires on-premises Active Directory. Other directory services aren't supported.
AD FSAD FS
Изменения паролей вступают в силу немедленно.Password changes are immediate.
При блокировке пользователя в локальной службе Active Directory блокируется как его доступ к локальной сети, так и его учетная запись Office 365.Disabling a user in your on-premises Active Directory disables both their on-premises network access and their Office 365 account.
Кроме Active Directory, поддерживаются другие службы каталогов.Supports directory services other than Active Directory.
Поддерживаются очень большие и разнотипные развертывания.Supports very large and diverse deployments.
Поддерживается двухфакторная проверка подлинности.Support for two-factor authentication.
Требуется больше серверов, и по крайней мере один из них должен находиться в сети периметра.Requires more servers, at least one of which needs to reside in your perimeter network.
Требуется общедоступный IP-адрес и открытие TCP-порта 443 в брандмауэре.Requires a public IP address and TCP port 443 to be opened on your firewall.
Для обнаружения изменения паролей учетных записей требуется подключение к локальной службе Active Directory, а также недавно включенной или отключенной учетной записи.Connectivity with your on-premises Active Directory is required to detect changes to account passwords and with an account has recently been enabled or disabled.