结合ADFS 3.0和Azure MFA实现Office 365多因素身份认证

出处：blogs.technet.microsoft.com/chinapartnerlearning 作者：Qitao Xing 时间：2016-6-15 13:48:07

在Office 365有如下三种身份认证模型：

云身份。仅在 Office 365 中管理用户帐户。不需要本地服务器来管理用户，所有操作都在云中完成。

同步身份。将本地目录对象与 Office 365 同步，在本地管理你的用户。也可以同步密码，以便用户在本地和在云中具有相同的密码，但用户将必须重新登录才能使用 Office 365。

联合身份。将本地目录对象与 Office 365 同步，在本地管理你的用户。用户在本地和在云中具有相同的密码，他们无需重新登录即可使用 Office 365。这通常称为单一登录。

根据Office 365使用的身份认证的不同，实现多因素身份认证的方式也会有所不同。

如果使用云身份或者同步身份认证模型，我们可以使用Office 365自带的多重身份验证功能，具体信息可以参考https://support.office.com/en-us/article/Set-up-multi-factor-authentication-for-Office-365-users-8f0454b2-f51a-4d9c-bcde-2c48e41621c6?ui=en-US&rs=en-US&ad=US

使用联合身份认证模型时，可以在ADFS上配置附加身份验证方法来实现多因素身份认证。
本文会介绍使用联合身份模型时如何结合ADFS 3.0和Azure MFA实现Office 365多因素身份认证
这一场景。

为了结合ADFS 3.0和Azure MFA功能，我们需要进行如下配置

1. 登陆到Azure，选择Active Directory ->MULTI-FACTOR AUTH PROVIDERS

2. 选择New -> APP Services->ACTIVE DIRECTORY->MUTIL-FACTOR AUTH PROVIDER

3. 选择Quick Create，输入名称，选择使用模型，需要绑定的目录服务，点击Create

此时就在Azure上建立好了为ADFS提供附加身份验证方法的Provider，下一步需要在ADFS服务器部署Azure 多因素身份认证服务器。

4.选中刚才建立完成的Provider，选择manage ，在打开的页面选择DOWNLOADS

5. 点击Download

6. 在ADFS服务器打开下载好的安装文件，选择Next，Finish

7. 此时会打开配置向导，选择Skip using the Authentication Configuration Wizard，点击next

8. 回到Azure 多因素身份认证服务器下载页面，选择Generate activation credentials，记录下生成的账号

9，回到ADFS服务器上的ADFS多因素身份认证服务器界面，输入上一步得到的账户
选择activate

点击 OK

10. 在ADFS多因素身份认证服务器界面选择users ->import form active directory来导入需要启用多因素身份验证的用户

11.选择需要导入的用户，点击IMPORT

12. 在users现在就可以看到导入的用户了，双击打开用户属性，在Phone中输入用户电话号码（选择正确的country code），选择Enabled

13.在管理页面中选择adfs，选择如下点击 install AD FS Adapter

选择 Next

在ADFS多因素认证服务器安装目录下找到Register-MultiFactorAuthenticationAdfsAdapter.ps1，运行该脚本，此时就完整了AD FS adapter的安装工作。

14.重启AD FS服务，在AD FS管理控制台选择Authentication Policies，在Mutil-Factor Authentication下选择 Edit

15．选择 Azure Multi-Factor Authentication Server

16. 在ADFS的控制台选择Authentication Policies->Per Relying Party Trust ->Microsoft Office 365 Identity Platform,右键选择Edit Custom Multi-factor Authentication，选择Add添加需要进行多因素身份认证的用户（需要在ADFS多因素身份认证服务器Users添加好电话号码）