Средство синхронизации azure active directory не синхронизирует один или несколько объектов

Troubleshoot verify Joining status through Event Viewer

User Device Registration can be verified through Event Viewer. Launch Event Viewer (eventvwr.msc) and navigate to Applications and Services Logs > Microsoft > Windows > User Device Registration  >  Admin. Under Right Pane you can see the registration process with specific information:

Event Viewer Status for Workplace Join

As this is a Workplace join, you will see JoinRequest and Join Type value as 5.

The initialization of the join request was successful. Inputs: JoinRequest: 5 (WORKPLACE)

The registration status has been successfully flushed to disk.Join type: 5 (WORKPLACE)

Event Viewer Status for Azure AD Join

For Azure AD Join, you will see JoinRequest and Join Type value as 1

The initialization of the join request was successful. Inputs:JoinRequest: 1 (DEVICE)Domain: manishbangia.com

The registration status has been successfully flushed to disk.Join type: 1 (DEVICE)

And finally you will see The complete join response operation was successful in event viewer for both the scenarios.

Recommended practices

Please try to adhere to the following recommended practices:

• With an Azure AD Connect Staging Mode installation in the networking environment, make sure to implement a life cycle management process for Azure AD Connect.
• Describe an owner for the Azure AD Connect installations, their service accounts and the functionality they offer within the organization.
• Delegate permissions in Active Directory based on groups and not on individual accounts.
• Do not reuse the service accounts to communicate with Active Directory between Azure AD Connect installations.
• Do not reuse the SQL database between Azure AD Connect installations.
• Provide the minimum required privileges to the Azure AD Connect service accounts that communicatie with Active Directory.
• Provide the minimum required network connectivity between Azure AD Connect installations, Domain Controllers, AD FS servers, Web Application Proxy servers, Pass-through Authentication agents and Azure Active Directory, respectively.
• Change the passwords for service accounts at least yearly.

Автоматическое обновление агентов аутентификации

Приложение Updater автоматически обновляет агент проверки подлинности при выпуске новой версии (с исправлениями ошибок или улучшенной производительностью). Это приложение не обрабатывает запросы на проверку пароля для вашего клиента.

Azure AD размещает новую версию программного обеспечения как подписанный пакет установщика Windows (MSI-файл). MSI-файл подписывается с помощью Microsoft Authenticode с использованием алгоритма хэш-кода SHA256.

Чтобы выполнять автоматическое обновление агентов аутентификации:

1. Приложение Updater проверяет связь с Azure AD каждый час, чтобы узнать, не выпущена ли новая версия агента аутентификации.

   Эта проверка выполняется через канал HTTPS со взаимной аутентификацией с помощью сертификата, выданного во время регистрации. Агент аутентификации и Updater совместно используют сертификат, хранимый на сервере.

2. Если доступна новая версия, Azure AD возвращает Updater подписанный MSI-файл.

3. Приложение Updater проверяет, подписан ли этот MSI-файл корпорацией Майкрософт.

4. Затем Updater выполняет данный MSI-файл. При этом выполняются указанные ниже действия.

   Примечание

   Updater выполняется с привилегиями локальной системы.

   • Служба агента аутентификации останавливается.
   • На сервер устанавливается новая версия агента аутентификации.
   • Служба агента аутентификации перезапускается.

Примечание

Если в клиенте зарегистрировано несколько агентов аутентификации, то Azure AD не выполняет одновременное обновление этих агентов или их сертификатов. Вместо этого Azure AD выполняет обновление по очереди, чтобы обеспечить высокий уровень доступности запросов на вход.

Setting up Hybrid Azure AD join

Let’s start looking into how we will set up Hybrid Azure AD join. First we’ll look into the requirements for this particular demo and then we’ll look at how to get it to work. In Part two we will cover how to automatically enroll devices in Intune and how to then test them.

Requirements

Our test-environment will consist of:

• A Windows Server 2016
  • Set up as a Domain Controller
  • Synced with an Azure AD (with AD Connect)
  • Have proper UPN suffix defined with a matching custom domain in Azure
• A Windows 10 device

You also want to make sure you have access to both an on-prem Administrator and an Azure AD Global Administrator.

If you want to further test your Hybrid Azure AD joined device of its capabilities after setup, an Intune license is needed.

Configure Azure AD Connect

First step is to open up your Azure AD Connect:

After that you will see a whole list of options you can configure, the one we’re looking for is: Configure device options.

After that, click Next on the Overview page.

You will now be prompted to enter your Azure AD Global Administrator credentials, fill those in.

Now, you guessed it, select Configure Hybrid Azure AD join.

After that, select the forests you want to configure in the SCP configuration screen:
Choose Azure Active Directory as Authentication Service. Click Add to add your on-prem administrator (you will be prompted to log in as an Enterprise Admin).

After that, you will be able to choose which Windows versions you want to configure. You can chose one of them, or both (in this case we will look into only W10 devices, go to to see how to handle downlevel devices).

Finally click Configure and, after a little wait, you’ll be greeted with this beautiful sight:

Checking our configuration

Now we have to make sure that our configuration of Hybrid Azure AD join was succesful. Since Windows 10 devices are hybrid joined automatically, the most valuable tool we have is our patience. Speaking from experience, this could take quite some time (at least 5 minutes or more). Reboot your device and go ahead and get yourself a nice cup of coffee, you earned it!

Seriously though, there are multiple ways we can check if our device is hybrid joined.
First up: cmd.

Open the command prompt and enter: dsregcmd /status

If it says AzureAdJoined : YES, then you’re halfway there! If it still says NO after rebooting and waiting 10 more minutes, try following this troubleshooting guide.

Key here is to check Event Viewer logs for errors and figure out what went wrong (Hybrid Join logs are located under Applications and Services Log > Microsoft > Windows > User Device Registration).
For example, error 0x801c03f2 means that the devices you are trying to Hybrid Join aren’t in scope of your AD Sync. So go ahead and change the Domain/OU filtering in Azure AD connect and include them.

Now to check in the Azure AD device list.
Go to your Synced Azure AD and click Devices. There you should be able to see your device as Hybrid Azure AD joined BUT they have to be registered as well! If they aren’t registered, you will still have to wait a few minutes longer.

Try rebooting and log in/out a few times to give this process a little push.

Once the device is registered, you’re done! You can now manage your device in both your on-prem AD and your Azure AD.

If you want to know how to auto-enroll devices through a GPO and then manage them in Intune, be sure to check out Part two.

The case

My customer wants to tighten up security (mainly because of ADDS delegations) and follow best practices found from here, Security Advisory 4056318. 

Currently default accounts are used in the environment and when we are talking AD DS Connector Account, it’s the one circled in picture below

Before change account created by installation wizard (MSOL_e0182xx) is used as AD DS Connector account and it has following permissions delegated from the domain root level.

Because I’m changing the AD DS Connect Account and using mS-DS-ConsistencyGuid as source anchor attribute I also need to grant permissions for new service account to necessary organizational units. It can be done with different methods but nowadays AAD Connect PowerShell module has new cmdlets included which are used in this scenario.

New AAD Connect account is svc_aadconnect, permissions are granted through AD group based on delegation model with following commands:

As a pre-req: Import-Module “C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1”

Examples below are from my demo environment where I delegated permissions only to needed organizational units to attributes which are needed in this specific environment. Those are:

• Write-back to mS-DS-ConsistencyGuid
• Write-back for a password reset (SSPR)
• Password Hash sync

Set Read Permissions if inheritance is blocked to OU’s where synced objects are

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgTEst,DC=monaegroup,DC=com”

Set-ADSyncBasicReadPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgUsers,DC=monaegroup,DC=com”

Set mS-DS-ConsitencyGuid Permissions to needed OU’s

• Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgTEst,DC=monaegroup,DC=com”
• Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgUsers,DC=monaegroup,DC=com”

Adding permissions to mS-DS-ConsistencyGuid

Set Password Hash Sync Permissions to domain root

Set-ADSyncPasswordHashSyncPermissions -ADConnectorAccountName “svc_aadconnect” -ADConnectorAccountDomain monaegroup.com

Adding permissions to domain rootVerified permissions from domain root

Set Password Write-back permissions

• Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgTEst,DC=monaegroup,DC=com”
• Set-ADSyncPasswordWritebackPermissions -ADConnectorAccountDN “CN=AD_AADC_Permissions,OU=ADManagement,DC=monaegroup,DC=com” -ADobjectDN “OU=OrgUsers,DC=monaegroup,DC=com”

After configuring permissions verified with ADACLScanner that everything is in place

LDAP-политики (Query Policy) в Active Directory

• Что такое политики LDAP в Active Directory и зачем они нужны
• Базовые операции с политиками
• Как узнать, какие политики Query Policy поддерживаются
• Настраиваем параметры фильтрации доступа к LDAP
• Параметры функционирования LDAP
• Настраиваем параметры функционирования LDAP в Windows Server 2016
• Формат Query Policy
• Параметры, существующие с Windows 2000 Server
  • Параметр Query Policy – MaxActiveQueries
  • Параметр Query Policy – InitRecvTimeout
  • Параметр Query Policy – MaxConnections
  • Параметр Query Policy – MaxConnIdleTime
  • Параметр Query Policy – MaxDatagramRecv
  • Параметр Query Policy – MaxNotificationPerConn
  • Параметр Query Policy – MaxPoolThreads
  • Параметр Query Policy – MaxReceiveBuffer
  • Параметр Query Policy – MaxPageSize
  • Параметр Query Policy – MaxQueryDuration
  • Параметр Query Policy – MaxResultSetSize
  • Параметр Query Policy – MaxTempTableSize
• Параметры, существующие с Windows Server 2003
• Параметры, существующие с Windows Server 2008 R2
  • Параметр Query Policy – MaxResultSetsPerConn
  • Параметр Query Policy – MinResultSets
• Параметры, существующие с Windows Server 2012
• Параметры, существующие с Windows Server 2016
• Отключаем жестко заданные лимиты настроек
• Создаём новую Query Policy

Начнём.

Что делать, если не удалось присоединиться к Azure AD?

1. Отключите присоединение Azure AD .
2. Разрешить пользователям присоединяться к своим устройствам
3. Увеличьте лимит устройства
4. Удалите устройство для человека, у которого возникла ошибка

1. Отключите Azure AD Join.

Чтобы исправить что-то пошло не так ошибка присоединения Azure AD, пользователи предлагают вообще отключить присоединение Azure AD. Для этого выполните следующие действия:

В вашем браузере перейдите на портал Azure.

Войдите в свою учетную запись пользователя со своим Azure Active Directory клиентом с минимальными правами глобального администратора. Сделайте многофакторную проверку, если вас попросят.

Нажмите Azure Active Directory на левой панели.

Перейдите на Устройства .

В окне Устройства нажмите Настройки устройства .

Установите для параметра Пользователь может подключать устройства к Azure AD значение Нет

Обратите внимание, что это будет применяться ко всем устройствам на базе Windows 10

Теперь установите Пользователь может зарегистрировать свои устройства в Azure AD на Нет. Это отключит Workplace Join на основе Azure для устройств Android и iOS.

Нажмите Сохранить и закройте браузер.

При использовании этого метода вам еще не придется вмешиваться в настройки

Обратите внимание, что в Azure AD Connect два вышеупомянутых параметра не связаны с синхронизацией устройства.

2. Разрешить пользователям присоединяться к своим устройствам

В некоторых организациях администраторы используют собственную учетную запись для управления устройствами Azure AD Join. При этом они обходят стандартное действие BYOD для локальных прав администратора на учетную запись пользователя. По правде говоря, администратор является единственным администратором с правами локального администратора на всех других устройствах, но это нарушает процесс в организациях, которые используют Microsoft Intune.

Однако каждая функция, продукт и технология Microsoft используются разными способами, которые не были запланированы Microsoft, и это не та функция, которой вы хотели бы злоупотреблять. Поэтому всегда разрешайте пользователям присоединять свои устройства к своим учетным записям, когда вы хотите использовать Azure AD Join.

3. Увеличьте лимит устройства

Вы можете увеличить лимит устройства Azure AD Join и тем самым исправить ошибку Что-то пошло не так в Azure AD Join.

1. Перейдите в браузер и перейдите на портал Azure .
2. Войдите в свою учетную запись пользователя в клиент Azure Active Directory с минимальными правами глобального администратора.
3. Перейдите в Azure Active Directory с левой стороны.
4. Перейдите в раздел Устройства > Настройки устройства.
5. Установите для Максимальное количество устройств на использование требуемое значение.
6. Нажмите Сохранить и выйдите из браузера.

4. Удалите какое-либо устройство для человека, который испытывает ошибку

Чтобы устранить ошибку Что-то пошло не так в Azure AD Join, попробуйте удалить некоторые устройства из Azure AD для человека, у которого возникла ошибка. Пользователь не может самостоятельно управлять своим присоединенным устройством Azure AD. Все, что вам нужно сделать, это направить свой BOFH и удалить некоторые устройства, которые больше не нужны пользователю.

Следуйте этому руководству:

1. Откройте портал Azure и войдите под своей учетной записью в свой клиент Azure Active Directory с правами глобального администратора.
2. Нажмите Azure Active Directory> Устройства .
3. Найдите имя на верхней панели.
4. Выберите устройство случайным образом, нажмите на 3 точки в конце строки и выберите в меню Удалить .
5. Выход из браузера.

Фильтрация по доменам

В этом разделе описана процедура настройки фильтра по доменам. Если вы установили Azure AD Connect, а затем добавили или удалили в лесу домены, вам также необходимо обновить конфигурацию фильтрации.

Для изменения фильтрации по доменам лучше всего запустить мастер установки и изменить . Мастер установки автоматизирует все описанные здесь задачи.

Выполнять эти действия вручную следует только в том случае, если мастер установки не удается запустить по какой-либо причине.

Настройка фильтрации по доменам предусматривает следующие шаги:

1. Выберите домены, которые следует задействовать при синхронизации.
2. Настройте профили выполнения для каждого добавленного и удаленного домена.
3. .

Выбор доменов для синхронизации

Существует два способа выбора доменов для синхронизации:
— Использование службы синхронизации
— Использование мастера Azure AD Connect.

Выберите домены, которые необходимо синхронизировать, используя службу синхронизации.

Настройка фильтрации по доменам

1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .
2. Запустите службу синхронизации из меню Пуск.
3. Щелкните Соединители и в списке соединителей выберите элемент типа Доменные службы Active Directory. В разделе Действия выберите Свойства.
4. Нажмите кнопку Настройка разделов каталога.
5. В списке Select directory partitions (Выберите разделы каталога) выберите необходимые домены или отмените выбор. Должны быть выбраны только те разделы, которые следует синхронизировать.
   Если вы изменили локальную инфраструктуру Active Directory и добавили или удалили домены в лесу, нажмите кнопку Обновить, чтобы получить обновленный список. Во время обновления будет предложено ввести учетные данные. Укажите учетные данные, с помощью которых можно получить доступ для чтения к Windows Server Active Directory. Убедитесь, что в этом диалоговом окне вы не используете предварительно заполненные данные пользователя.
6. Выполнив все действия, закройте диалоговое окно Свойства, нажав кнопку ОК. Если вы удалили домены из леса, появится всплывающее сообщение о том, что домен удален и конфигурация будет очищена.
7. Продолжайте работу, чтобы настроить профили выполнения.

Выбор доменов для синхронизации с помощью мастера Azure AD Connect

Настройка фильтрации по доменам

1. Откройте мастер Azure AD Connect.
2. Нажмите Настроить.
3. Выберите команду Настроить параметры синхронизации и нажмите кнопку Далее.
4. Введите учетные данные Azure AD.
5. В окне Подключить каталоги нажмите Далее.
6. На странице Фильтрация доменов и подразделений нажмите кнопку Далее. Появятся новые домены, а удаленные отображаться не будут.

1. В списке Соединители выберите соединитель, настроенный на предыдущем шаге. В разделе Действия выберите Configure Run Profiles (Настроить профили выполнения).
2. Найдите и определите следующие профили:
   • полный импорт;
   • полная синхронизация;
   • импорт изменений;
   • синхронизация изменений;
   • Экспорт
3. Для каждого профиля настройте добавленные и удаленные домены.
   1. Выполните следующие действия для каждого из пяти профилей всех добавленных доменов:
      1. Выберите профиль выполнения и щелкните Новый шаг.
      2. На странице Configure Step (Настройка шага) в раскрывающемся меню Тип выберите тип шага с тем же именем, что и у настраиваемого профиля. Затем нажмите кнопку Далее.
      3. На странице Connector Configuration (Настройка соединителя) в раскрывающемся списке Раздел выберите имя домена, добавленного в фильтр доменов.
      4. Чтобы закрыть диалоговое окно Настройка профиля запуска, нажмите кнопку Готово.
   2. Выполните следующие действия для каждого из пяти профилей всех удаленных доменов:
      1. Выберите профиль выполнения.
      2. Если для атрибута Раздел в поле Значение указан GUID, то выберите шаг выполнения и нажмите кнопку Удалить шаг.
   3. Проверьте внесенные изменения. Каждый домен, который нужно синхронизировать, должен быть указан в качестве шага в каждом профиле выполнения.
4. Чтобы закрыть диалоговое окно Configure Run Profiles (Настройка профилей выполнения), нажмите кнопку ОК.
5. Чтобы завершить настройку, необходимо выполнить полный импорт и разностную синхронизацию. Продолжите знакомство с разделом .

Free vs. Basic vs. Office 365

For those that want barebones Azure AD offerings, you’ll be looking at three tiers: free, basic, and Office 365. Let’s go over the primary differences between the three.

Free vs. Office 365

Typically, both of these Azure AD environments will be part of your existing license. So, if you only have an Azure license, you’ll use the free version. Also, if you only have an Office 365 license, you’ll use the Office 365 version.

The Office 365 version has two advantages over the free version — multi-factor authentication and unlimited directory objects.

Of course, having more than one layer of authentication is critical in today’s business environment, so these are not a small feature by any means. Unlimited Objects becomes a necessity for most businesses at a certain point, especially if you have over 20 employees OR you’re using lots of cloud apps. Typically, you won’t be selecting between these two. You’ll either have an Office 365 license or you won’t.

Office 365 vs. Basic

There are two differences between Basic and Office 365 versions.

1. Basic gives you access to application proxy. App proxy lets you bridge your on-site and cloud AD together through a single portal or external URL.
2. Office 365 gives you multi-factor authentication.

Otherwise, they share the same features.

Alternative Approach: AddMicrosoftIdentityWebApp

With .Net 5.0, AzureAd is marked obsolete and will not be supported in the near future. However its expanded functionality is available in microsoft-identity-web packages.

Add (or replace with) the new nuget package Microsoft.Identity.Web nuget package](https://www.nuget.org/packages/Microsoft.Identity.Web/).

In your .Web project; you update the method located in your ApplicationWebModule with the following while having the AzureAd appsettings section as defined before:

And that’s all to add new Microsoft-Identity-Web.

Keep in mind that Microsoft-Identity-Web is relatively new and keeps getting new enhancements, features and documentation.

Этап синхронизации

Прежде чем исследовать проблемы синхронизации, давайте разберемся с процессом синхронизации Azure AD Connect.

Шаги синхронизации

Процесс синхронизации включает следующие шаги.

1. Импорт из AD: объекты Active Directory переносятся в CS Active Directory.

2. Импорт из Azure AD: объекты Azure AD добавляются в CS Azure AD.

3. Синхронизация: правила входящей и исходящей синхронизации выполняются в порядке номера приоритета от меньшего к большему. Чтобы просмотреть правила синхронизации, перейдите в редактор правил синхронизации из приложений рабочего стола. Правила входящей синхронизации перемещают данные из CS в MV. Правила исходящей синхронизации перемещают данные из MV в CS.

4. Экспорт в AD: после синхронизации объекты экспортируются из CS Active Directory в Active Directory.

5. Экспорт в Azure AD: после синхронизации объекты экспортируются из CS Azure AD в Azure AD.

Requirements

To install and run Azure AD Connect, ensure the following:

• An Active Directory Domain Controller running the Windows Server operating system must be installed in configured on-premises.
• The on-premises Active Directory functionality level must be Windows Server 2003 or later.
• You must have domain administrator permissions or the permissions for a local administrator on a computer that is a domain member.

Supported Operating systems: Windows Server 2012, Windows Server 2016, Windows Server 2019 with a GUI. Windows Server Core is not supported. The edition of Windows Server must be Standard or higher. Essentials editions are not supported.

.NET Framework 4.5.1 or later must be installed on a Windows Server machine that runs Azure AD Connect.

PowerShell 3.0 or later. The script execution policy must allow you to run scripts. The recommended policy is RemoteSigned.

You must have an external domain associated with your Office 365 tenant.

You need to have access to an Azure tenant (for your Office 365 tenant/admin account). Global administrator permissions are required.

A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.

Network requirements:

• An outbound HTTPS connection to Microsoft servers
• TCP 80. HTTP protocol is used to download Certificate Revocation Lists for the verification of TSL/SSL certificates
• TCP 443. HTTPS is used to synchronize data with Azure Active Directory
• TLS 1.2 must be enabled on a Windows machine.

Getting SharePoint on Office 365 Configured with Password Sync

Now that we know our Active Directory Users synchronize towards Office 365, our next step is to make sure they can use the same passwords as On-Premises. Even though we’re not configuring Single Sign On yet, we need to go back to the Directory Synchronization tool and include the Password hash in the sync.

Then, launch the synchronization again to make sure the new password properties are brought into the cloud.

After my first test, I was already able to log in using my Office 365 credentials and my On-Premises password.

During a SharePoint Migration, I recommend going the extra step and configuring Single Sign On, because the Directory Synchronization, both with or without password, gives the user the sense that he is no longer in the same SharePoint.

On the other hand, with Single Sign On, you can easily change the top navigation and content in your On-Premises SharePoint to link to that of Office 365 or SharePoint Online. The user will have no idea he has switched to SharePoint on Office 365, as the transition is done through hyperlinks.

Over time, you can give a smoother experience to the users while upgrading SharePoint to Office 365.

Step 2, Upgrade Azure AD Connect

First, we need to upgrade Azure AD Connect to version 1.5.42.0, or up. Overall, it is a recommended practice to upgrade Azure AD Connect to the latest stable version.

Perform these actions on the Windows Server running the existing Azure AD Connect installation:

• Sign in interactively to the Windows Server installation.
• Open a browser and download the latest version of Azure AD Connect.
• Run the downloaded AzureADConnect.msi.
  The Microsoft Azure Active Directory Connect wizard appears.
• On the Upgrade Azure Active Directory Connect page, click Upgrade.
• On the Connect to Azure AD page, enter the credentials of the Azure AD account with the Global administrator role. Click Next.
  Perform multi-factor authentication, when prompted.
• On the Ready to configure page, click Upgrade.

On the Configuration complete page, click Exit.

Azure AD Attack Surface

External Network

If you have a web, mobile, API application on Azure or use Blob Storage, you could potentially be a target of cyberattacks.

Most Azure Web Services applications run with Managed Identity permissions. Due to the vulnerabilities in the web application, the on-prem AD environment may become a target if the attacker captures the access token belonging to this user.

Any corporate user on Azure AD may be the victim of a phishing attack, and a cyber attacker may steal your user’s access token. With these user rights, cyber-attacker could gain persistence on Azure AD.

If you are using Storage or Function Apps services, you need to ensure that you have them configured well enough.

Internal Network (Resources & APIs)

It is imperative to test your penetration test with different user profiles (anonymous, company employee, customer, etc.). If you are using Azure AD, you need to determine the rights of your corporate employees and their authority on Azure AD. One of your on-prem Active Directory users may have access to your cloud resources, or you might not know that one of your cloud users may control the on-prem Active Directory. Conversely, a user or service account in the cloud environment can perform unauthorized transactions in your on-premise domain environment.

Дальнейшие действия

В современном мире угрозы есть постоянно и повсюду. Реализация правильного метода аутентификации поможет снизить риски для безопасности и защитить удостоверения.

Начните работу с Azure AD и разверните правильное решение аутентификации для своей организации.

Если вы планируете перейти с федеративной аутентификации на облачную, узнайте больше об изменении метода входа. Чтобы помочь вам спланировать и реализовать миграцию, используйте эти планы развертывания проектов или рассмотрите возможность использования новой функции промежуточного развертывания для перевода федеративных пользователей на использование облачной проверки подлинности в промежуточном подходе.

Заключение

В этой статье описываются различные варианты аутентификации, которые организации могут настроить и развернуть для поддержки доступа в облачные приложения. Для удовлетворения различных бизнес-требований, технических требований и требований безопасности организации могут выбрать между синхронизацией хэша паролей, сквозной аутентификацией и федерацией.

Рассмотрите каждый метод аутентификации. Соответствуют ли вашим бизнес-требованиям трудозатраты, необходимые для развертывания решения, и взаимодействие с пользователем при входе в систему? Оцените, нужны ли вашей организации расширенные сценарии и возможности обеспечения непрерывности бизнес-процессов каждого метода аутентификации. Наконец, учтите рекомендации для каждого метода аутентификации. Возможно, какая-либо из них изменит ваше решение.