Azure Active Directory 提高安全性的 3 种方法

Azure Active Directory (Azure AD) 是一种基于云的目录和身份管理服务，提供比 Windows Server Active Directory 更简化的服务集。主要用于对云应用程序（即为提供云服务而开发的应用程序，例如 Office 365）进行用户身份验证。Azure AD 提供了一种方便且经济高效的方式来获取 Windows Server AD 的许多最重要的功能，而无需投资完整的 AD 云基础设施。

通过识别，Azure AD 提高了安全性，确保只有授权用户才能访问您的 IT 环境：

1. 云凭证和单点登录

Azure AD 提供三种类型的身份，并且可以与本地 AD 集成以实现混合云/本地解决方案。云身份非常适合没有 Windows Server Active Directory 并且只需要让员工访问云服务和应用程序的组织。 Azure AD 的云身份无法与 Active Directory 同步，因此如果部署了 Windows Server Active Directory，则必须单独管理 Azure AD 用户名和密码。

同步标识允许使用名为 Azure AD Connect 的工具在 Azure AD 和 Windows Server Active Directory 之间同步用户帐户和密码，该工具取代了 DirSync 和 AD Sync。然而，同步身份并不能提供真正的单点登录，因为用户需要重新输入凭据才能访问云服务。

为了获得真正的单点登录功能，您需要设置 Windows Server Active Directory 并使用 Active Directory 联合身份验证服务 (ADFS) 将其连接到 Azure AD。联合身份与多因素身份验证兼容，并且其密码哈希值永远不会同步到云。 ADFS允许用户立即被阻止，并且在访问云服务时也应用Windows Server AD的登录限制。

2. 安全访问云应用程序

Windows 10 引入了 Windows Store for Business；在此商店中，组织可以购买商业应用程序的批量许可证，并创建一个可供员工安装应用程序的私人商店。由于 Windows Store for Business 是一款云应用程序，因此其用户使用 Azure AD 进行身份验证。此外，Office 365 还使用 Azure AD 进行用户身份验证（以及许多其他第三方云服务）。

开发人员还可以将 Azure AD 用于他们的云应用程序，从而无需实施用户名和密码数据库。这不仅降低了部署应用程序的成本，还允许组织利用经过验证的安全解决方案。

3.微软护照

长期以来，密码一直被认为是不安全的，因为它们很容易被社会工程破坏，并且如果服务器被黑客攻击，它们可能会被重放或暴露。 Microsoft Passport 允许 Windows 10 用户使用手势进行身份验证，而不是颁发用户名和密码。

Windows 10 设备需要注册 Azure AD；要解锁设备，用户需要输入 PIN 码或以 Windows Hello 的形式提供生物识别身份验证。 Windows 10 移动设备可以用作登录 PC 时的第二个因素，这可能使双因素身份验证的实施比其他解决方案更便宜。不过，此功能目前仅限于技术采用计划 (TAP) 参与者。