2024年4月22日发(作者:)

通过单一登录(也称为联合身份验证),您的用户可以使用其现有的 Active Directory 公

司凭据(用户名和密码)访问 Microsoft Office 365 企业版中的服务。安装单一登录需要

Active Directory 联合身份验证服务 2.0。本文面向管理员,介绍单一登录的好处、用户

体验和要求。本文还说明如何验证 Active Directory 设置是否符合单一登录要求。

本文内容

使用单一登录的好处

不同位置对使用单一登录的用户体验

针对单一登录的要求

准备 Active Directory

下一步

使用单一登录的好处

设置单一登录对用户有一个明显好处,即:让用户可以使用其公司凭据访问您的公司已订

阅的 Office 365 中的服务。用户不必再次登录并记住多个密码。

除了对用户有好处外,对管理员也有很多好处:

 策略控制:管理员可以通过 Active Directory 控制帐户策略,Active Directory 使

管理员不必在云中执行附加任务,即可管理密码策略、工作站限制、锁定控制等

工作。

访问控制:管理员可以限制对 Office 365 的访问,以便通过公司环境和/或联机

服务器访问服务。

减少了支持呼叫:忘记密码是在所有公司中导致支持呼叫的一个常见原因。如果

用户需要记住的密码较少,则他们忘记密码的可能性就较低。

安全性:保护用户身份和相关信息,因为单一登录中使用的所有服务器和服务均

在本地管理和控制。

支持强身份验证:您可以将强身份验证(又称为双因素身份验证)用于 Office 365。

但是,如果您使用强身份验证,则必须使用单一登录。对强身份验证的使用存在

一些限制。有关详细信息,请参阅配置 AD FS 2.0 的高级选项。

返回页首

不同位置对使用单一登录的用户体验

用户对单一登录的体验因用户计算机连接到公司网络的方式、用户计算机所运行的操作系

统以及管理员配置 AD FS 2.0 的方式而异。

下面的内容介绍从网络内使用单一登录的用户体验:

 公司网络中的工作计算机:如果用户在工作时登录到公司网络,则他们可以通过

单一登录来访问 Office 365 中的服务并且无需再次登录。

如果用户正在从公司网络外进行连接或者正从特定设备或应用程序访问服务(例如在下面

的情况下进行连接或访问),则您必须部署 AD FS 2.0 代理。有关详细信息,请参阅规划

和部署 AD FS 2.0 以用于单一登录。

 工作计算机,漫游:对于使用其公司凭据登录到已加入域的计算机、但未连接到

公司网络的用户(例如,家中或旅馆中的工作计算机),可以访问 Office 365 中

的服务。

家庭或公用计算机:当用户使用的是未加入公司域的计算机时,该用户必须使用

其公司凭据登录才能访问 Office 365 中的服务。

智能手机:在智能移动电话上,若要使用 Microsoft Exchange ActiveSync 访问

Office 365 中的服务(例如 Microsoft Exchange Online),用户必须使用其公司

凭据登录。

 Microsoft Outlook 或其他电子邮件客户端:如果用户正在使用 Outlook 或不属

于 Office 的电子邮件客户端(例如 IMAP 或 POP 客户端),则用户必须使用

公司凭据登录才能访问其 Office 365 电子邮件。

有关单一登录的详细信息,请参阅单一登录的工作方式。

返回页首

针对单一登录的要求

若要使用单一登录,您必须:

 让 Active Directory 部署并运行在 Windows Server 2003 操作系统、Windows

Server 2008 或 Windows Server 2008 R2 中并且具有混合或本机模式的功能级

别。

在 Windows Server 2008 或 Windows Server 2008 R2 上规划并部署 AD FS 2.0。

此外,如果用户正在从公司网络外进行连接,则您必须部署 AD FS 2.0 代理。

使用用于 Windows PowerShell 的 Microsoft Online Services 模块以便建立与

Office 365 的信任关系。

从 Office 365 下载页安装 Office 365 所需的更新,以确保您的用户正在运行

Windows 7、Windows Vista 或 Windows XP 的最新更新。若要访问 Office 365

下载页,请登录 Office 365 门户,在“资源”下,单击“下载”。如果操作系统、浏

览器和软件的版本不合适,Office 365 中的功能将不会正常工作。有关详细信息,

请参阅Office 365 的软件要求、为 Office 365 设置桌面以及手动为 Office 365

更新和配置桌面。

返回页首

准备 Active Directory

必须要对 Active Directory 的某些设置进行配置后,它才能正确地使用单一登录。特别是,

必须以特定方式为每个用户设置用户主体名称 (UPN),又称为用户登录名。

注意: