Your company’s Active Directory forest includes thousands of user accounts.
You have been informed that all network resources will be migrated to Azure. Thereafter, the on-premises data center will be retired.
You are required to employ a strategy that reduces the effect on users, once the planned migration has been completed.
Solution: You plan to require Azure Multi-Factor Authentication (MFA).
Does the solution meet the goal?
提供答案和解答。
MFA 是后期的安全策略。
在现在的 AD 数据合并阶段,应该首先考虑的是保证连通性。
答案:否 (No)
解答:
该解决方案不符合目标。
-
目标分析: 问题的核心目标是“减少对用户的影响”。在从本地 Active Directory 迁移到 Azure 的场景中,这意味着要确保用户可以使用他们现有的用户名和密码无缝地登录和访问云资源,就像他们以前访问本地资源一样,从而最大程度地减少中断和学习成本。
-
解决方案分析: 提议的解决方案是“要求 Azure 多重身份验证 (MFA)”。Azure MFA 的主要目的是增强安全性,它通过要求用户在输入密码后再提供第二种验证形式(例如手机应用通知、短信验证码等)来保护帐户。
-
结论:
- 实施 MFA 实际上会增加用户登录的步骤,而不是减少。它引入了一个新的、用户必须适应的流程。
- 虽然启用 MFA 是保护云中身份的一项至关重要的安全最佳实践,但它本身并不能解决身份迁移的核心问题,也无助于平滑过渡。它非但没有“减少”影响,反而从操作流程上“增加”了影响。
正确的解决方案应该是什么?
要实现“减少对用户的影响”这一目标,正确的策略是使用 Azure AD Connect 工具来同步本地 Active Directory 和 Azure Active Directory。具体方法包括:
- 身份同步 (Identity Synchronization): 将本地的用户帐户、组等对象同步到 Azure AD。
- 密码哈希同步 (Password Hash Synchronization - PHS): 将用户密码的哈希值从本地 AD 同步到 Azure AD。这允许用户在云端使用与本地完全相同的密码登录。
- 无缝单一登录 (Seamless Single Sign-On - SSO): 当用户在公司网络内使用已加入域的设备时,可以自动登录到 Azure AD,无需再次输入密码。
通过实施 Azure AD Connect 并启用密码哈希同步和无缝 SSO,用户可以使用他们熟悉的凭据访问云资源,体验几乎没有变化,这才能真正达到“减少对用户的影响”的目标。
