混合部署中的单一登录

单一登录使用户能够使用单个用户名和密码访问本地和 Microsoft 365 或Office 365组织。 它向用户提供了一种熟悉的登录体验,并能够允许管理员使用内部部署 Active Directory 管理工具轻松控制 Exchange Online 组织邮箱的帐户策略。 尽管您不需要启用单一登录来配置混合部署,但我们强烈建议您这样做。 如果没有单一登录,用户需要记住两组不同的凭据,一组用于本地组织,另一组用于 Microsoft 365 或 Office 365。 下面是单一登录的其他几个优点:

  • Exchange Online Archiving:部署单一登录时,首次访问 Exchange Online 组织中的存档内容时,系统会提示本地 Outlook 用户输入其凭据。 不过,用户可以通过选择"保存密码"而暂时避免以后的凭据提示,只会在更改内部部署帐户密码以后才再次收到提供凭据的提示。 如果 Exchange 组织中没有部署单一登录,且启用了 Exchange Online Archiving,则内部部署用户主体名称 (UPN) 必须与 Exchange Online 帐户匹配,且用户在访问存档内容时始终会收到提供内部部署凭据的提示。

  • 策略控制:可以通过 Active Directory 控制帐户策略,这使你能够管理密码策略、工作站限制、锁定控制等,而无需在 Microsoft 365 或 Office 365 组织中执行其他任务。

  • 减少支持呼叫:忘记的密码是所有公司的常见支持电话来源。 如果用户要记住的密码较少,则他们忘记密码的可能性就较低。

部署单一登录时有三个选项:密码哈希同步、直通身份验证和联合身份验证,例如,Active Directory 联合身份验证服务 (AD FS) 。 所有选项都由 Microsoft Entra Connect 实现。 强烈建议使用密码哈希同步方法,除非有需要联合的特定需求。 密码哈希同步提供了联合身份验证的许多相同优势,而没有其部署的复杂性。

若要详细了解每个选项,请参阅为Microsoft Entra混合标识解决方案选择正确的身份验证方法

重要

对于混合部署,我们强烈建议对用户或管理员的所有登录名使用 MFA。