Azure Active Directory 常见问题

Azure Active Directory (Azure AD) 是综合性的标识即服务 (IDaaS) 解决方案,涉及到标识、访问管理和安全的方方面面。

有关详细信息,请参阅什么是 Azure Active Directory?

访问 Azure 和 Azure Active Directory

问:尝试在 Azure 门户中访问 Azure AD 时,为何出现“找不到订阅”错误?

答: 若要访问 Azure 门户,每个用户都需要 Azure 订阅的权限。 上获取。 否则需要激活 Azure 帐户 或付费型订阅。


问:Azure AD、Office 365 与 Azure 之间是什么关系?

答: Azure AD 为所有 Web 服务提供通用的标识和访问功能。 不管使用的是 Office 365、Azure、Intune 还是其他服务,都是在使用 Azure AD 为上述所有服务启用登录和访问管理。

可以将所有已设置为使用 Web 服务的用户定义为一个或多个 Azure AD 实例中的用户帐户。 可以在设置这些帐户时启用免费的 Azure AD 功能,例如云应用程序访问。

Azure AD 付费型服务(例如企业移动性 + 安全性)可通过综合性的企业级管理和安全解决方案来弥补其他 Web 服务(例如 Office 365 和 Azure)的不足。


问:订阅管理员与目录管理员的区别是什么?

答: 默认情况下,当用户注册 Azure 时,系统会为其分配订阅管理员角色。 订阅管理员可以使用 Microsoft 帐户,也可以使用 Azure 订阅与之关联的目录中的工作或学校帐户。 此角色有权在 Azure 门户中管理服务。

如果其他人需要使用同一个订阅登录和访问服务,则可将其添加为共同管理员。 此角色具有与服务管理员一样的访问特权,但不能更改订阅与 Azure 目录之间的关联关系。

Azure AD 提供另一组管理员角色来管理与目录和标识相关的功能。 这些管理员将有权访问 Azure 门户中的各种功能。 管理员的角色决定了其所能执行的操作,例如创建或编辑用户、向其他用户分配管理角色、重置用户密码、管理用户许可证,或者管理域。 有关 Azure AD 目录管理员及其角色的其他信息,请参阅在 Azure Active Directory 中分配管理员角色

另外,Azure AD 付费型服务(例如企业移动性 + 安全性)可通过综合性的企业级管理和安全解决方案来弥补其他 Web 服务(例如 Office 365 和 Azure)的不足。


问:是否可以通过报告来查看我的 Azure AD 用户许可证何时过期?

答: 不可以。 此功能目前不可用。


混合 Azure AD 入门

问:如果我已被添加为协作者,该如何离开原来的租户?

答: 如果被作为协作者添加到另一组织的租户,可使用右上角的“租户切换器”在租户之间切换。 目前还无法主动离开邀请组织,Microsoft 正致力于提供该功能。 在该功能推出之前,可以请求邀请组织将你从其租户中删除。


问:如何将我的本地目录连接到 Azure AD?

答: 可以使用 Azure AD Connect 将本地目录连接到 Azure AD。

有关详细信息,请参阅将本地标识与 Azure Active Directory 集成


问:如何在本地目录与云应用程序之间设置 SSO?

答: 只需在本地目录与 Azure AD 之间设置单一登录 (SSO)。 只要通过 Azure AD 访问云应用程序,该服务就会自动让用户使用其本地凭据正确进行身份验证。

可以通过联合身份验证解决方案(例如 Active Directory 联合身份验证服务 (AD FS))或通过配置密码哈希同步,轻松地从本地实现 SSO。可以使用 Azure AD Connect 配置向导轻松部署这两个选项。

有关详细信息,请参阅将本地标识与 Azure Active Directory 集成


问:Azure AD 是否为组织中的用户提供自助服务门户?

答: 是的,Azure AD 提供 Azure AD 访问面板 ,方便用户使用自助服务以及进行应用程序访问。 如果是 Office 365 客户,可以在 Office 365 门户中找到许多相同的功能。


密码管理

问:是否可以使用 Azure AD 密码写回但不使用密码同步?(在这种情况下,是否可以结合密码写回使用 Azure AD 自助密码重置 (SSPR),而不将密码存储在云中?)

答: 无需将 Active Directory 密码同步到 Azure AD 即可启用写回。 在联合环境中,Azure AD 单一登录 (SSO) 依赖本地目录对用户进行身份验证。 在这种情况下,并不需要在 Azure AD 中跟踪本地密码。


问:需要多长时间才能将密码写回到 Active Directory 本地?

答: 密码写回实时运行。


问:是否可以对管理员管理的密码使用密码写回?

答: 可以。如果已启用密码写回,管理员执行的密码操作将写回到用户的本地环境。


问:如果尝试更改 Office 365/Azure AD 密码时忘记了现有的密码,该怎么办?

答: 对于这种情况,有几个选项。 在可用的情况下,使用自助密码重置 (SSPR)。 SSPR 是否适用取决于其配置方式。

对于 Office 365 用户,管理员可以使用 重置用户密码中所述的步骤重置密码。

对于 Azure AD 帐户,管理员可以使用以下选项之一重置密码:


安全性

问:是将在失败尝试次数达到特定数字后锁定帐户,还是会使用更复杂的策略?

我们使用更复杂的策略来锁定帐户。 此策略基于请求的 IP 和输入的密码。 根据存在攻击的可能性,锁定持续时间也会增加。

问:某些(常用)密码被拒绝并显示消息“此密码已使用多次”,这是指当前 Active Directory 中使用的密码吗?

这是指全局通用的密码,例如“Password”和“123456”的任何变体。

应用程序访问

问:在哪里可以找到与 Azure AD 预先集成的应用程序及其功能的列表?

答: Azure AD 中包含 Microsoft、应用程序服务提供商和合作伙伴提供的 2600 多个预先集成的应用程序。 所有预先集成的应用程序都支持单一登录 (SSO)。 SSO 允许用户使用组织凭据来访问应用。 某些应用程序还支持自动预配和自动取消预配。

有关预先集成的应用程序的完整列表,请参阅 Active Directory 市场


问:用户如何使用 Azure AD 来登录应用程序?

答: Azure AD 提供多种方式供用户查看和访问其应用程序,例如:

  • Azure AD 访问面板
  • Office 365 应用程序启动器
  • 直接登录到联合应用
  • 联合、基于密码或现有应用的深层链接

问:Azure AD 可通过哪些不同的方式来启用对应用程序的身份验证和单一登录?

答: Azure AD 支持使用多种标准化协议(例如 SAML 2.0、OpenID Connect、OAuth 2.0 和 WS-Federation)进行身份验证和授权。 对于仅支持基于窗体的身份验证的应用程序,Azure AD 还支持密码保管和自动化登录功能。

有关详细信息,请参阅:


问:SaaS 应用的自动用户预配是什么?

答: 使用 Azure AD 可在许多流行的云 (SaaS) 应用程序中自动创建、维护和删除用户标识。


问:是否可以通过 Azure AD 设置安全的 LDAP 连接?

答: 不可以。 Azure AD 不支持 LDAP 协议。