使用密码哈希同步简化 Windows Server AD 与 Windows Azure AD 的连接

大家好！

审视过去 12 个月中 Office 365 及我们的 Windows Azure Active Directory (AD) 开发者预览版的实时使用情况，我们发现从客户和合作伙伴那里收到的最多请求之一就是，希望有一种更加简便的方式来连接其本地 Windows Server Active Directory 和 Windows Azure Active Directory。

许多公司希望其员工在本地和在云环境中使用相同的用户名和密码。但直到目前为止，通过 Windows Azure AD 无缝实现这一目标需要在本地部署和运行一组 ADFS 服务器或使用第三方解决方案。

我很荣幸地通知您，从周五（5 月 31 号）开始，我们完全简化了 AD 与 Azure AD 的连接，使客户能够使用其本地用户名和密码登录到与 Windows Azure AD 集成的 Office 365、Windows Azure 和任何其他云应用程序。我们通过更新 Windows Azure Active Directory 同步代理（也称为“DirSync”），添加将用户本地的 AD 密码的哈希同步到 Windows Azure AD 的功能，实现了此目标。 

与将您的本地密码同步到 Azure AD/Office 365 的现有第三方解决方案相比，这一新的密码同步功能具有许多优点：

• 我们不同步纯文本密码 - 该解决方案同步您的用户密码的哈希，极大地降低了密码泄露的风险。
• 您无需在域控制器上安装任何新软件或重启您的 DC。
• 用户无需更改其密码便可使其密码初次同步到 Azure AD。

这一新的密码同步是 DirSync 的另一功能。如果您已运行 DirSync，您将需要下载并安装新的 DirSync 版本。当您设置 DirSync 时，启用密码同步就像在 DirSync 配置向导中选取 [Enable Password Sync]（启用密码同步）复选框一样简单。无需其他硬件，无需其他安装步骤：

通过改进的更新更加简单：

我们还更新了 DirSync，您不必先卸载并重新安装才能获得最新的功能。将来，您只需下载最新版本的 DirSync 并在您的现有部署上运行即可升级到最新且最佳配置！ 

那么，您应何时使用密码同步？ 

这是一个很好的问题。Windows Server ADFS 仍为客户提供密码同步所没有的好处。您需要分析您的业务需求并确定哪个解决方案（密码同步还是 ADFS）最适合您的组织需要。 

密码同步为客户提供我们所谓的“相同登录”，与 ADFS 提供的“单一登录”不同。借助密码同步，已使其密码与 AAD 同步的用户将能够使用相同的用户名和密码登录到其 Azure AD 服务以及其本地资源。但系统将提示他们登录到云资源，即使他们已经登录到您的公司网络。使用 ADFS，用户获得真正的单一登录，如果他们已登录到其 Windows PC，系统不会提示再次输入其凭据。

其他 ADFS 支持

• 支持本机部署的自定义双重身份验证机制
• 能够做出基于策略的访问控制决策

因此，使用 Windows Server ADFS 也有一些不可控的原因。 

然而，根据我们从合作伙伴和客户那里获得的反馈，强烈需要有一个更加简单/轻型的密码同步模型。我们很高兴能够提供此功能并期盼收到您的使用体验回复！

有关我们的新密码哈希同步功能以及部署指导的更多详细信息，请参阅位于以下链接的 TechNet 文档： https://technet.microsoft.com/zh-cn/library/dn246918.aspx。

此致！

Alex Simons (twitter:@Alex_A_Simons)

项目管理主管

Active Directory