Проверка подлинности и Office 365

Удостоверения
Описание службы
Опубликовано: 28 июня 2011 г.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
1
Содержание
Введение .................................................................................................................................................................. 3
О чем этот документ .......................................................................................................................................................................... 3
Типы удостоверений в Office 365 ...................................................................................................................... 4
Вход в Office 365 ................................................................................................................................................................................... 4
Создание учетных записей пользователей Office 365 .................................................................................. 6
Назначение пользователям настраиваемого доменного имени ................................................................................ 6
Псевдонимы почтовых ящиков .................................................................................................................................................... 7
Проверка подлинности и Office 365 .................................................................................................................. 8
Установщик обновлений Office 365 для настольных систем ......................................................................................... 8
Сетевые особенности ........................................................................................................................................................................ 9
Типы проверки подлинности ........................................................................................................................................................ 9
Двухфакторная проверка подлинности для Office 365................................................................................................... 11
Управление паролями ........................................................................................................................................ 13
Управление паролями для облачных удостоверений .................................................................................................... 13
Управление паролями для федеративных удостоверений .......................................................................................... 15
Удостоверения и сосуществование электронной почты ........................................................................... 16
Синхронизация Active Directory и удостоверения ....................................................................................... 17
Когда использовать синхронизацию каталогов ................................................................................................................. 17
Проверка подлинности и синхронизация каталогов ...................................................................................................... 18
Детали синхронизации каталогов ............................................................................................................................................. 18
Лучшие практики синхронизации каталогов ...................................................................................................................... 20
Управление пользователями Office 365 в Active Directory............................................................................................ 21
Единый вход .......................................................................................................................................................... 22
Преимущества использования единого входа ................................................................................................................... 22
Работа пользователей из разных мест .................................................................................................................................... 22
Требования ........................................................................................................................................................................................... 23
Создание и преобразование доменов ................................................................................................................................... 23
Пилотная федерация ....................................................................................................................................................................... 24
Особенности настройки Active Directory ............................................................................................................................... 24
Обзор архитектуры сети и служб федерации Active Directory .................................................................................... 25
Делегированное администрирование и поддержка для партнеров ...................................................... 26
Предоставление внешнего доступа к SharePoint Online ............................................................................ 27
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
2
Введение
Microsoft® Office 365 для предприятий объединяет облачные версии известных продуктов Microsoft для
коммуникации и совместной работы и новейшую версию набора приложений Microsoft для рабочих
станций. Office 365 разработан для организаций любых размеров: индивидуальных предпринимателей,
небольших, средних и крупных компаний, государственных и образовательных учреждений. Office 365
помогает им экономить время и высвобождать ценные ресурсы.
Microsoft Office 365 включает:

Microsoft Office: Microsoft Office Профессиональный Плюс 2010 тесно взаимосвязан с вебприложениями Microsoft Office и обеспечивает продуктивную работу на персональных
компьютерах, мобильных устройствах и веб-браузерах.
Примечание
Вам потребуется подходящее устройство, подключение к Интернету и
поддерживаемый браузер. Некоторые функциональные возможности требуют
наличия Office Mobile 2010, который не входит в приложения, наборы и вебприложения Office 2010. Существуют некоторые различия между возможностями
Office 2010, Office Mobile 2010 и веб-приложений Office.

Microsoft Exchange Online: Exchange Online предоставляет облачную электронную почту,
календарь и адресную книгу, защищенные самым современным антивирусом и антиспамсистемой. С Exchange Online вы можете получить доступ к своей электронной почте
практически с любого мобильного устройства и воспользоваться преимуществами голосовой
почты, объединенных коммуникаций и архивирования почтовых ящиков.

Microsoft SharePoint® Online: SharePoint Online — это облачный сервис для создания сайтов,
которые объединяют ваших коллег, партнеров и клиентов. SharePoint Online включает мощные
возможности социальных связей и гибко настраивается.

Microsoft Lync™ Online: Lync Online предоставляет облачный сервис для обмена мгновенными
сообщениями, присутствия и онлайн-собраний с возможностью совместного использования
рабочего стола, голосового и видеообщения.
О чем этот документ
В этом документе рассмотрены дизайн, политики и лучшие практики, связанные с удостоверениями в
Office 365, включая создание пользователей, политику паролей, сосуществование, синхронизацию со
службами каталогов и единый вход (федерацию удостоверений). Пользователи могут получить доступ к
Office 365 с помощью проверки подлинности своих учетных записей Office 365 двумя способами: либо
через приглашение ввести действующие учетные данные, либо через процедуру единого входа. После
проверки подлинности удостоверения пользователей ссылаются на имена пользователей,
ассоциированные с учетными записями Office 365.
В этот документ не включена информация о возможностях системы безопасности, которые разрешают
или запрещают доступ к функциям или ресурсам Office 365 (например, информация о ролевой системе
управления доступом в Exchange Online или настройке безопасности в SharePoint Online). Для
получения деталей по этим и другим вопросам безопасности обратитесь к документации и описаниям
соответствующих служб.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
3
Типы удостоверений в Office 365
Office 365 поддерживает два типа удостоверений:

Облачные идентификаторы онлайн-служб Microsoft (облачные удостоверения): для входа
в Office 365 пользователи получают облачную учетную запись, которая отличается от других
личных или корпоративных учетных записей. Политика управления паролями облачных
удостоверений хранится в облаке в службе Office 365.

Федеративные идентификаторы (федеративные удостоверения): в компаниях с локально
развернутыми Active Directory® пользователи могут войти в Office 365 с помощью своих
учетных данных из Active Directory. Корпоративная Active Directory удостоверяет подлинность
пользователя, хранит пароли и управляет политикой паролей.
Работа пользователей, административные требования, особенности развертывания и возможности
использования Office 365 различаются в зависимости от используемого типа удостоверения.
Вход в Office 365
В зависимости от того, какой тип удостоверения (облачный или федеративный), вход в Office 365 может
выглядеть по-разному. Отличия для разных комбинаций приложений и операционных систем
приведены в таблице 1.
Таблица 1. Различные способы входа в Office 365.
Облачное удостоверение
Федеративное удостоврение
Microsoft Outlook® 2010 на Windows®
7
Вход в каждую сессию1
Вход в каждую сессию2
Outlook 2007 на Windows 7
Вход в каждую сессию1
Вход в каждую сессию3
Outlook 2010 или Outlook 2007 на
Windows Vista® или Windows XP
Вход в каждую сессию1
Вход в каждую сессию1
Exchange ActiveSync®
Вход в каждую сессию1
Вход в каждую сессию1
POP, IMAP, Microsoft Outlook для
Mac 2011
Вход в каждую сессию1
Вход в каждую сессию1
Веб-приложения: Office 365 Portal /
Outlook Web App / SharePoint Online
/ веб-приложения Office
Вход в каждую сессию
браузера
Вход в каждую сессию4
Office 2010 или Office 2007 с
использованием SharePoint Online
Вход в каждую сессию
SharePoint Online5
Вход в каждую сессию
SharePoint Online
Lync Online
Вход в каждую сессию1
Без приглашения
Outlook для Mac 2011
Вход в каждую сессию1
Вход в каждую сессию1
Примечание
После первого ввода вы можете сохранить свой пароль для использования в будущем. Пока
вы не измените пароль, дополнительных приглашений ввести пароль не будет.
1
Вы вводите свои корпоративные учетные данные. Пароль можно сохранить, тогда вы не
будет получать дополнительных приглашений ввести пароль, пока не измените его.
2
После того, как Office 365 станет доступен для использования, Outlook 2007 будет обновлен,
чтобы работать так же, как Outlook 2010 на Windows 7.
3
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
4
Для входа во все приложения нужно ввести свое имя или кликнуть мышкой. Если ваш
компьютер включен в домен, пароль вводить не нужно.
4
Если вы установите флажок «Оставаться в системе», не нужно будет вводить учетные данные
до тех пор, пока вы не закроете сессию.
5
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
5
Создание учетных записей пользователей Office 365
В Office 365 есть четыре способа создать учетные записи пользователей. Все размещаемые в датацентрах Microsoft учетные записи пользователей являются облачными удостоверениями, если только
администраторы не подключают федеративное удостоверение для домена пользователей.

Консоль администрирования Office 365: там вы можете вручную создавать учетные записи
пользователей и назначать лицензии. Тип назначаемой лицензии определяет, с какими
службами сможет работать пользователь. Когда вы назначаете лицензию, для пользователя
создаётся временный пароль. После создания учетной записи вы можете указать
дополнительную информацию о пользователе, например, должность, подразделение, номера
телефонов и другие данные для глобального списка адресов.

Пакетная загрузка с помощью .csv-файлов: мастер пакетного создания пользователей,
который находится в консоли администрирования Office 365, позволяет загружать .csv-файлы и
редактировать .csv-шаблоны в текстовом редакторе (например, в Notepad). Кроме этого, в
мастере есть образец .csv-файла, который содержит корректно отформатированный пример с
демонстрационными данными. Чтобы загрузить .csv-файлы, вы должны назначить новым
пользователям лицензии. После этого вы сможете увидеть пользовательские пароли и при
необходимости выслать их пользователям на электронную почту.

Средство синхронизации с Active Directory: его вы можете использовать, чтобы скопировать
учетные записи пользователей (и другие объекты) из Active Directory в Office 365. В отличие от
вручную созданных учетных записей, учетные записи, которые были созданы средством
синхронизации, полностью заполнены информацией из Active Directory (например,
информацией о подразделении или номере телефона). В этом случае все учетные записи
пользователей управляются локально, то есть онлайн-запись является копией локальной
учетной записи и не может быть отредактирована. Учетные записи, созданные средством
синхронизации, остаются неактивными до тех пор, пока вы их не активируете, поэтому когда
средство синхронизации создает учетные записи, лицензии Office 365 не расходуются. Когда вы
активируете учетную запись из консоли администрирования Office 365 (или с помощью
Microsoft Windows PowerShell™), учетной записи назначается лицензия и генерируется
начальный пароль.

Модуль Microsoft Online Services для Windows PowerShell: этот инструмент устанавливает в
Windows PowerShell набор скриптов Office 365, которые вы можете использовать, чтобы
создавать пользователей и выполнять множество других административных задач.

Простая миграция Exchange: в ходе простой миграции в облако переносятся все локальные
почтовые ящики, а инфраструктура электронной почты, включая контакты и списки рассылок,
подготовливается к переносу. Этим спобом с локальных серверов Exchange 2010 или Exchange
2007 вы можете мигрировать в облако максимум 1 тыс. почтовых ящиков. Во время процесса
миграции все учетные записи и почтовые ящики создаются автоматически. Чтобы обеспечить
непрерывную работу пользователей, учетные записи надо лицензировать в течение 30 дней.
Назначение пользователям настраиваемого доменного имени
Когда вы создаете нового пользователя, его имя и адрес электронной почты связываются с исходным
доменным именем, которое указано в консоли администрирования Office 365. По умолчанию учетные
записи Office 365 используют домен <название компании>.onmicrosoft.com, который создается вместе
с вашим экземпляром Office 365. При создании нового экземпляра Office 365 вы указываете название
вашей компании для использования в качестве префикса имени домена (например,
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
6
contoso.onmicrosoft.com). Это название должно быть уникальным и не должно быть использовано
другими клиентами Office 365. Настраиваемое имя домена не может быть изменено или удалено.
Примечание
После того, как ваш экземпляр Office 365 готов, мы рекомендуем не удалять учетную запись
администратора по умолчанию.
Тем не менее, вы можете назначить почтовым адресам ваших пользователей настраиваемые имена
доменов, отличные от onmicrosoft.com. Например, пользователь может иметь адрес bill@contoso.com
вместо bill@contoso.onmicrosoft.com. Чтобы назначить электронному адресу настраиваемое имя
домена, добавьте это имя в Office 365. Все настраиваемые имена доменов проходят через процесс
проверки принадлежности имени домена, который описан в разделе «Работа с именами доменов и
записями DNS» в справочной системе Office 365.
Как только имя настраиваемого домена проверено, вы можете установить настраиваемый домен как
домен по умолчанию. После этого все новые пользователи Office 365 будут связаны не с доменом
onmicrosoft.com, а с новым доменом по умолчанию (то есть с настраиваемым доменом). Пользователи,
которые были созданы до проверки настраиваемого имени домена, не будут связаны с новым именем
домена автоматически.
В Office 365 вы можете создать более одного настраиваемого имени домена и настроить вход
пользователей в любой из проверенных доменов. Имя домена, которое назначено пользователю,
будет отображаться в отправленных и полученных сообщениях электронной почты.
Примечание
Перед тем как пользователи смогут войти в настраиваемый домен и использовать его для
работы с электронной почтой, вы должны проверить владение настраиваемым доменом и
изменить имя домена на страницах «Свойства» у пользователей на сайте администрирования
Office 365.
Псевдонимы почтовых ящиков
Пользователи могут получать почту на несколько адресов-псевдонимов (например,
mrina@contoso.com может также получать почту на адрес sales@contoso.com или info@contoso.com).
Каждый домен, который использован для псевдонимов почтовых ящиков, должен быть проверен.
Адреса-псевдонимы не требуют дополнительной лицензии на почтовый ящик.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
7
Проверка подлинности и Office 365
Для работы с Office 365 пользователи должны быть аутентифицированы, то есть должна быть
проверена подлинность учетных данных (за исключением работы с интернет-сайтами, которые были
созданы с помощью SharePoint Online и настроены для анонимного доступа). Подлинность облачных
удостоверений Office 365 проверяется с помощью традиционного запроса/подтверждения, когда
пользователи вводят имя и пароль. Подлинность пользователей с федеративным удостоверением
прозрачно проверяется с помощью служб федерации Active Directory.
Установщик обновлений Office 365 для настольных систем
Чтобы службы Office 365 были доступны пользователям, а проверка подлинности учетных записей
работала правильно, администратор должен установить на каждую рабочую станцию соответствующий
набор компонентов и обновлений. Вместо установки вручную Microsoft предлагает использовать
установщик обновлений Office 365 для настольных систем, который автоматически устанавливает на
рабочие станции требуемые обновления. Это приложение заменяет Microsoft Online Services Connector.
Использование установщика обновлений Office 365 дает множество преимуществ, включая:

автоматическое определение списка требуемых обновлений;

установку обновлений и компонентов с запросом одобрения пользователя или из командной
строки без уведомления пользователя;

автоматическую настройку Internet Explorer и Lync для использования с Office 365.
Для компаний, которые хотят использовать альтернативный способ установки обновлений, список
требуемых обновлений будет опубликован.
Клиент входа в онлайн-службы Microsoft, который ранее использовался с Business Productivity Online
Suite (BPOS), для работы с Office 365 не требуется.
Системные требования
Для установщика обновлений Office 365 требуется одна из следующих операционных систем:





Windows 7 (32-битная или 64-битная версия);
Windows Vista SP1 (32-битная или 64-битная версия);
Windows XP SP2 (32-битная или 64-битная версия);
Microsoft Windows Server® 2008;
Кроме этого, каждая служба имеет особые требования, которые необходимо проверить перед
развертыванием Office 365. Для получения более подробной информации смотрите раздел
«Требования Office 365 к программному обеспечению» справочной системы Office 365.
Примечание
Установщик обновлений Office 365 для настольных систем не является службой проверки подлинности
или входа. Не путайте его со службой единого входа.
Для получения более подробной информации об установщике обновлений Office 365 для настольных
систем обратитесь к разделу «Настройка настольного компьютера на работу с Office 365» справочной
системы Office 365.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
8
Сетевые особенности
В Office 365 используется проверка подлинности на основе форм, а трафик, связанный с проверкой
подлинности, всегда шифруется с TSL/SSL через порт 443. Этот трафик занимает незначительную часть
сетевого канала служб Office 365.
Типы проверки подлинности
В этом разделе рассмотрены типы проверки подлинности пользователей, которые работают с Office
365.
Проверка подлинности из веб-браузера
В Office 365 есть службы, с которыми вы можете работать через веб-браузер, например, Outlook Web
App, SharePoint Online или портал администрирования Office 365. Когда вы обращаетесь к этим
службам, ваш веб-браузер перенаправляет вас на страницу входа, где вы вводите свои учетные
данные. Процедура входа различается в зависимости от способа проверки подлинности в домене
входа:

Облачное удостоверение: веб-браузер перенаправляется на службу входа Office 365, где вы
вводите свой идентификатор онлайн-служб Microsoft и пароль. Служба входа проверяет ваши
учетные данные и создает служебный маркер, который веб-браузер передает в запрошенные
службы Office и идентифицирует вас.

Федеративное удостоверение: веб-браузер перенаправляется на службу входа Office 365, где
вы вводите свой корпоративный идентификатор в виде имени участника-пользователя (UPN,
например, isabel@contoso.com). Служба входа определяет, что вы являетесь частью
федеративного домена, и перенаправляет вас на локальный сервер федерации Active Directory
2.0 для проверки подлинности.
Если вы авторизованы на рабочей станции, которая входит в домен, то проверка подлинности
осуществляется с использованием Kerberos или NTLMv2, и службы федерации Active Directory
2.0 создают маркер входа SAML, который веб-браузер передает в службу входа Office 365.
Используя маркер входа, служба входа Office 365 создает служебный маркер, который веббраузер передает в запрошенную службу Office 365 и идентифицирует вас.
Проверка подлинности из клиентских приложений
Клиентские приложения включают приложения Microsoft Office для настольных систем, которые, как
правило, установлены на компьютерах пользователей. Проверка подлинности из этих приложений
может осуществляться двумя путями:

Базовая проверка подлинности/проверка подлинности прокси через SSL: клиент Outlook
через SSL передает в Exchange Online учетные данные для базовой проверки подлинности.
Exchange Online от имени пользователя передает запрос проверки подлинности в платформу
удостоверений Office 365 и далее в локальный сервер федерации Active Directory 2.0 (для
единого входа).
Примечание
Если вы настроили единый вход, тогда такая проверка подлинности требует
развертывания прокси-сервера или прокси-сервера службы федерации Active Directory
2.0 внутри периметра вашей сети (известного как демилитаризованная зона, ДМЗ или
экранированная подсеть).
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
9

Помощник по входу в онлайн-службы Microsoft: установщик обновлений Office 365
устанавливает помощника по входу в онлайн-службы Microsoft. Помощник включает
клиентскую службу, которая получает служебный маркер от службы входа Office 365 и
возвращает его в клиентское приложение. Если вы используете облачное удостоверение, то вы
получаете приглашение ввести свои учетные данные, и клиентская служба, используя WS-Trust,
передает их в службу входа Office 365 для проверки подлинности. Если вы используете
федеративное удостоверение, клиентская служба через Kerberos или NTLMv2 сначала
запрашивает сервер службы федерации Active Directory 2.0 для проверки подлинности учетных
данных и получает маркер входа, который отсылается в службу входа Office 365 (с
использованием WS-Federation и WS-Trust).
Таблица 2. Механизмы проверки подлинности в Office 365.
Приложение
Тип удостоверения
Механизм проверки подлинности
Веб-браузер
Облачное
удостоверение
Вход через веб и WS-Trust
Федеративное
удостоверение
Вход через веб, WS-Trust и WS-Federation
(службы федерации Active Directory 2.0)
Облачное
удостоверение
WS-Trust (помощник по входу)
Федеративное
удостоверение
Базовый через SSL, с проверкой подлинности
через прокси служб федерации Active
Directory 2.0
Облачное
удостоверение
Базовый через SSL, с проверкой подлинности
в Office 365
Федеративное
удостоверение
Базовый через SSL, с проверкой подлинности
через прокси служб федерации Active
Directory 2.0
Outlook 2010 или Outlook
2007 на Windows Vista или
Windows XP
Облачное
удостоверение
Базовый через SSL, с проверкой подлинности
в Office 365
Федеративное
удостоверение
Базовый через SSL, с проверкой подлинности
через прокси служб федерации Active
Directory 2.0
Exchange ActiveSync
Облачное
удостоверение
Базовый через SSL, с проверкой подлинности
в Office 365
Федеративное
удостоверение
Базовый через SSL, с проверкой подлинности
через прокси служб федерации Active
Directory 2.0
Облачное
удостоверение
Базовый через SSL, с проверкой подлинности
в Office 365
Федеративное
удостоверение
Базовый через SSL, с проверкой подлинности
через прокси служб федерации Active
Directory 2.0
Облачное
удостоверение
Вход через веб и WS-Trust
Outlook 2010 на Windows 7
Outlook 2007 на Windows 7
Клиент POP/IMAP/SMTP
Microsoft Office 2010 или
Office 2010 на Windows 7,
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
10
Windows Vista, или Windows
XP
Федеративное
удостоверение
Вход через веб, WS-Trust и WS-Federation
(службы федерации Active Directory 2.0)
Lync Online
Облачное
удостоверение
WS-Trust (помощник по входу)
Федеративное
удостоверение
Вход через веб, WS-Trust и WS-Federation
(службы федерации Active Directory 2.0)
Двухфакторная (строгая) проверка подлинности для Office 365
Двухфакторная проверка подлинности (также известная как строгая проверка подлинности)
обеспечивает улучшенную защиту за счет того, что пользователю нужно удовлетворять двум
критериям проверки подлинности, например, имя пользователя/пароль и маркер или сертификат.
Планирование двухфакторной проверки подлинности с единым входом
Чтобы использовать двухфакторную проверку подлинности, вы должны использовать стратегию
единого входа в Office 365 через службы федерации Active Directory 2.0. При планировании внедрения
двухфакторной проверки подлинности примите во внимание следующие вопросы: используют ли
пользователи поддерживаемую операционную систему, находятся ли они внутри или вне сети
организации и используют ли они клиентские приложения или веб-браузер. Также примите во
внимание возможность вашего провайдера проверки подлинности взаимодействовать с другими
службами.
В таблице 3 приведены поддерживаемые и неподдерживаемые сценарии.
Таблица 3. Поддерживаемые и неподдерживаемые сценарии.
Сценарий
Рабочие станции
в домене
Поддерживается/не поддерживается
Поддерживается для Lync и
SharePoint
Не поддерживается для Outlook
Рабочие станции
вне домена,
работа через
веб-браузер
Ограниченно поддерживается
См. раздел «Развертывание
двухфакторной проверки
подлинности с единым входом
для веб-приложений»
Позволяет пользователям входить в
корпоративную Active Directory изнутри или
снаружи корпоративной сети.
Существующая инфраструктура
поддерживает рабочие станции в домене,
но вам нужно настроить Office 365 для
работы через федеративные удостоверения
с использованием единого входа.
Требуется двухфакторная проверка
подлинности, если пользователь входит в
веб-приложение с рабочей станции, не
входящей в домен, например, с домашнего
компьютера или из интернет-кафе.
Примечание
Двухфакторная проверка подлинности для Lync и SharePoint может поддерживаться в том случае,
если рабочая станция входит в домен, а для входа рабочей станции в сеть организации
используется двухфакторная проверка подлинности.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
11
Развертывание двухфакторной проверки подлинности с единым входом для вебприложений
Для пользователей, которые работают с веб-приложениями Office 365 извне корпоративной сети
(например, с домашнего компьютера или из интернет-кафе), есть два варианта реализации
двухфакторной проверки подлинности с единым входом:

Интегрировать страницу входа прокси служб федерации Active Directory 2.0 с вашим
провайдером строгой проверки подлинности: измените страницу входа прокси служб
федерации Active Directory 2.0 и добавьте туда дополнительные поля, которые позволят
получать требуемую информацию для двухфакторной проверки подлинности. После этого
измените страницу так, чтобы для проверки подлинности пользователей она
взаимодействовала с серверами или службами двухфакторной проверки подлинности.

Использовать сервер Microsoft Forefront® Unified Access Gateway SP1: для поддержки
широкого списка провайдеров двухфакторной проверки подлинности, а так же расширенного
набора сценариев двухфакторной проверки подлинности используйте сервер Microsoft
Forefront® Unified Access Gateway SP1. Для получения дополнительной информации смотрите
статью Deploying Forefront UAG with AD FS 2.0 (англ. язык).
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
12
Управление паролями
Политики и процедуры управления паролями зависят от типа удостоверений Office 365. При
использовании облачных удостоверений пароли автоматически создаются вместе с учетной записью.
Если вы используете федеративные удостоверения, пароли управляются средствами Active Directory.
Управление паролями для облачных удостоверений
Политики и возможности паролей для облачных удостоверений описаны в таблице 5.
Таблица 5: Политики и возможности паролей для облачных удостоверений.
Свойство
Описание
Ограничения пароля
Минимум 8 символов, максимум 16 символов
Допустимые символы:




A—Z
a—z
0—9
!@#$%^&*-_+=[]{}|\:‘,.?/`~“<>();
Недопустимые символы:


Символы UNICODE
Имя пользователя (часть имени перед символом @)
Истечение срока
действия пароля
Через 90 дней (не может быть изменено)
Срок действия пароля
По умолчанию пароль имеет ограниченный срок действия. Когда срок
действия пароля ограничен, пользователи обязаны изменять свои пароли
каждые 90 дней. Пользователи не получают никаких уведомлений об
истечении срока действия пароля.
Администраторы могут включить или отключить ограничение срока действия
пароля на уровне пользователя с помощью модуля онлайн-служб Microsoft
для Windows PowerShell.
Стойкость пароля
Стойкие пароли должны удовлетворять минимум трем из четырех следующих
ниже требований:




Буквы в нижнем регистре
Буквы в верхнем регистре
Цифры (0—9)
Символы (см. ограничения пароля выше)
По умолчанию при смене пароля пользователем система требует создания
стойкого пароля. Администраторы могут включить или отключить это
требование на уровне пользователей с помощью модуля онлайн-служб
Microsoft для Windows PowerShell.
История паролей
Последний пароль не может использоваться повторно.
Глубина истории
паролей
Нет
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
13
Свойство
Описание
Блокировка учетной
записи
После 10 неудачных попыток входа с неправильным паролем в процессе
дальнейших попыток входа пользователь должен вводить код CAPTCHA. После
10 неудачных попыток входа с неправильным паролем и вводом корректного
кода CAPTCHA учетная запись пользователя на некоторое время блокируется.
Дальнейшие неудачные попытки входа увеличивают время блокировки.
Смена начальных паролей
В целях безопасности сразу после первого входа в Office 365 пользователь должен создать новый
пароль. То есть перед началом работы с Office 365 пользователь должен зайти на портал Office 365 и
изменить там пароль. Если пользователь не изменит свой пароль в первый вход в Office 365, он
получит сообщение «Отказано в доступе».
Сброс паролей
Если пользователь потерял или забыл свой пароль, администраторы с ролями Глобального
Администратора, Администратора Паролей или Администратора Управления Пользователями могут
сбросить его пароль на сайте администрирования Office 365 или с помощью Windows PowerShell.
Пользователи не могут изменять свои пароли, не вводя текущий пароль.
Если пароль потерял или забыл администратор, сбросить пароль администратора на сайте
администрирования Office 365 или с помощью Windows PowerShell может другой администратор с
ролью Глобального Администратора.
Если администраторов, способных сбросить пароль, не осталось, нужно обратиться в службу
поддержки Office 365 с запросом о сбросе пароля.
Смена паролей в Outlook Web App
Работая с локальным сервером Exchange, пользователи могут изменить свои пароли через Outlook Web
Access (в Exchange Server 2007) или Outlook Web App (в Exchange Server 2010). При работе с Office 365 и
Exchange Online конкретные возможности смены пароля в Outlook Web App зависят от типа
используемого удостоверения:

Облачное удостоверение: на странице настроек Outlook Web App появляется ссылка
«Изменить пароль», которая перенаправляет пользователей на страницу смены пароля на
портале онлайн-служб Microsoft.

Федеративное удостоверение: в этом случае в Outlook Web App нет ссылки «Изменить
пароль». Пользователи могут изменять свои пароли с помощью стандартных локальных
инструментов или через экран входа своей рабочей станции.
Примечание
В отличие от Outlook Web App для локальной версии Exchange Server 2010, в Outlook Web App в
Office 365 нет закладки «Пароль».
Вход после смены пароля
После изменения пароля пользователю при следующем обращении к порталу или службе Office 365
предлагаю ввести его заново. Если пользователь прошел проверку подлинности в одной из служб
Office 365, он автоматически проходит проверку подлинности в остальных службах. Как правило,
последовательный доступ к одной и той же службе или порталу не требует повторной проверки
подлинности; однако некоторые факторы, например, веб-браузер, клиентское приложение или время,
прошедшее с последнего обращения к службе, могут потребовать повторную проверку подлинности.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
14
Делегирование права сброса пароля
В ролевой модели безопасности Exchange Online пользователю можно дать право сбрасывать пароль с
использованием стандартных или настраиваемых ролей, при этом пользователь не будет являться
администратором всей службы. Пользователь сможет сбрасывать пароли, если ему назначена одна из
следующих стандартных ролей:

Служба поддержки

Управление организацией

Управление адресатами
Кроме того, вы можете дать пользователям право сбрасывать паролей через сайт администрирования
Office 365, если на страницах настройки пользователей назначите им одну из следующих ролей:

Глобальный администратор

Администратор паролей

Администратор управления пользователями (не включает возможность сбрасывать пароли для
администраторов биллинга, глобальных и служебных администраторов)
Сертифицированные для обеспечение поддержки клиентов Office 365 партнеры могут сбрасывать
пароли от имени своих клиентов, если на это есть соответствующее разрешение клиента.
Сброс паролей с помощью Windows PowerShell
Администраторы служб Office 365 могут сбрасывать пароли с помощью Windows PowerShell. С
помощью Windows PowerShell можно написать сценарий пакетного сброса паролей, создавать утилиты
для персонала службы поддержки и контролировать миграцию. Администраторы, у которых есть права
сбрасывать пароли, могут делать это через Windows PowerShell.
Синхронизация паролей
Office 365 не поддерживает синхронизацию паролей локальной Active Directory с облачными
удостоверениями Office 365.
Управление паролями для федеративных удостоверений
Если вы используете федеративные удостоверения, службы федерации Active Directory обеспечивают
проверку подлинности со шлюзом федерации Office 365, не пересылая локальные пользовательские
пароли из Active Directory в Office 365 через Интернет. Когда локальные пользователи обращаются к
Office 365, службы федерации Active Directory создают подписанный маркер на основе
пользовательского сертификата Kerberos, и этот маркер принимается службой Office 365. Таким
образом, пользователям, подлинность которых проверена Active Directory (например, в момент входа
на рабочую станцию), для работы с Office 365 не нужно повторно вводить пароль.
В федеративных средах пароли Office 365 не используются, и поэтому политика паролей Office 365 не
применяется. Пользователи проходят проверку подлинности с помощью локальной Active Directory, где
могут применяться локальные политики паролей или двухфакторная проверка подлинности.
Для получения более подробной информации смотрите раздел «Федеративные удостоверения».
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
15
Удостоверения и сосуществование электронной почты
Exchange Online позволяет администраторам настроить сосуществование электронной почты в
локальной среде Exchange Server и среде Office 365. В этом случае часть пользователей будет работать с
Exchange Online, а остальные пользователи будут продолжать работать с локальным сервером
Exchange; при этом все пользователи смогут использовать одно и то же имя домена.
Для получения более подробной информации смотрите документ «Exchange Online Service Description»
(англ. язык).
В компаниях, где используется синхронизацию каталогов, также используется сосуществование
удостоверений. Это происходит за счет интеграции пользователей, групп безопасности, списков
рассылки и других объектов Active Directory с Office 365. Например, можно использовать группы
безопасности из Active Directory для применения настроек безопасности SharePoint Online.
Office 365 не поддерживает возможность одновременной работы Lync Online и Lync 2010. Документ
«Lync Online Service Description» (англ. язык) описывает возможности федерации обмена мгновенными
сообщениями между разными доменами.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
16
Синхронизация Active Directory и удостоверения
Если организация с локальной Active Directory начинает использовать Office 365, то список локальных
пользователей и список пользователей Office 365 могут быть синхронизированы. Администраторы
могут поддерживать список пользователей, контактов и групп в Office 365 актуальным и с помощью
инструмента синхронизации каталогов онлайн-служб Microsoft обновлять их в случае изменения
данных в Active Directory.
Перед тем, как внедрять синхронизацию с Active Directory, рассмотрите следующие вопросы:

Миграция электронной почты: синхронизация с Active Directory подразумевает постоянную
взаимосвязь между локальной средой и Office 365. Если вы хотите мигрировать пользователей
в Office 365 и перестать использовать вашу локальную Active Directory, вам нужны другие
инструменты. Для более подробной информации смотрите документ «Миграция электронной
почты».

Единый вход: перед тем, как настраивать синхронизацию каталогов, мы настоятельно
рекомендуем настроить единый вход (федерацию удостоверений). Единый вход дает
пользователям возможность входить в Office 365, используя их корпоративные учетные записи.
Чтобы спланировать настройку единого входа, обратитесь к документу «Подготовка к
использованию единого входа». Если вы решите не настраивать единый вход, вам придется
добавить и проверить имена доменов вашей компании в Office 365. Для получения более
подробной информации обратитесь к документу «Работа с именами доменов и записями DNS в
Office 365».

Локальное управление пользователями: пользователями, которые были созданы
инструментом синхронизации, управляет Active Directory. Когда вы обновляете детали
пользователей в Active Directory, эта информация автоматически обновляется в учетных записях
пользователей Office 365 в ближайший интервал синхронизации. Когда вы добавляете новых
пользователей в Active Directory, они автоматически появляются в Office 365. Для более
подробной информации смотрите разделы «Детали синхронизации каталогов» и «Управление
пользователями Office 365 в Active Directory».

Соблюдение нормативных требований: решите, нужен ли вам аудит таких событий как
создание пользователей, сброс паролей или добавление пользователей в группы. По
умолчанию аудит безопасности может быть отключен; возможно, для вашей организации вы
захотите его включить. Для получения более подробной информации обратитесь к документу
«Аудит управления учетными записями».
Когда использовать синхронизацию каталогов
В таблице 6 представлены сценарии, в которых синхронизация требуется или не поддерживается.
Таблица 6. Требование и поддержка синхронизации каталогов в сценариях.
Сценарий
Требуется/Не поддерживается
Полнофункциональное сосуществование с локальным
сервером Exchange
Требуется
Простое сосуществование
Требуется
Последовательная миграция с простым
сосуществованием
Требуется
Федерация и единый вход
Требуется
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
17
Сценарий
Требуется/Не поддерживается
Синхронизация каталогов для создания
пользователей в Office 365 и последующий запрет на
синхронизацию каталогов*
Не поддерживается
Множественные локальные леса
Не поддерживается
Отслеживание или фильтрация (ограничения по
имени домена, подразделению организации или
другому контейнеру или группе)
Не поддерживается
Примечание
*Некоторым компаниям нужно создать в Office 365 большое количество пользователей, но
при этом они не хотят внедрять синхронизацию каталогов на постоянной основе.
Использование синхронизации каталогов в качестве средства создания пользователей в
Office 365 и последующий отказ от синхронизации не поддерживается.
Проверка подлинности и синхронизация каталогов
Синхронизация каталогов не имеет прямого влияния на механизм проверки подлинности. Учетные
записи пользователей, которые были созданы с помощью синхронизации, по умолчанию не будут
активированы. Пользователи с неактивными учетными записями не могут войти в Office 365. Если
администратор активирует учетные записи, пользователи могут проходить проверку подлинности,
используя свои учетные данные (в случае с облачными удостоверениями) или удостоверения на
рабочих станциях (в случае с федеративными удостоверениями).
Детали синхронизации каталогов
Средство синхронизации каталогов Microsoft Online Services было создано для решения специальных
задач и имеет особые возможности и ограничения. Перед тем как начинать синхронизацию каталогов,
ознакомьтесь с особенностями работы этой службы и её ключевыми требованиями.
Односторонний экспорт
Средство синхронизации каталогов реплицирует объекты из локальной Active Directory в Office 365.
Например, если вы добавите пользователя в Active Directory, в следующий интервал синхронизации
этот пользователь появится в Office 365. Это позволяет заполнить глобальный список адресов Office 365
полным списком пользователей из Active Directory. Когда пользователи Office 365 ищут имена в
Outlook, Outlook Web App, Lync или в другой службе, которая использует глобальный список адресов,
им также доступна дополнительная информация о найденных именах. В этом случае работа
пользователя в Office 365 практически ничем не отливается от работы локальных пользователей. Перед
тем, как начать работу с Office 365, пользователи, которые были созданы инструментом синхронизации
каталогов, должны быть активированы. Когда в Office 365 создаются пользователи (либо после
внедрения и запуска синхронизации каталогов, либо после создания нового пользователя в Active
Directory и синхронизации), лицензии Office 365 автоматически не расходуются.
Изменения пользователей, сделанные в Office 365, по умолчанию не переносятся в локальную Active
Directory. Например, если вы проверяете в Office 365 новое имя домена, то оно не появится в вашем
локальном сервере Exchange. Тем не менее, если включена возможность обратной записи, вы можете
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
18
обновлять ограниченный набор атрибутов Active Directory прямо из Office 365. Для более подробной
информации смотрите раздел «Возможности обратной записи».
Несинхронизированные пароли
Пароли, которые хранятся в Active Directory, не копируются в Office 365, а пароли из Office 365 не
копируются в Active Directory. При использовании облачных удостоверений вам будет необходимо
дополнительно управлять паролями Office 365 (помимо управления локальными учетными записями).
Если вы используете единый вход, вам не нужно дополнительно управлять паролями Office 365.
Копируемые объекты
Синхронизация каталогов копирует в Office 365 следующие объекты. Этот список нельзя изменить.

Пользователи

Группы рассылки

Группы безопасности

Контакты
Все копируемые объекты в одном лесу
Все копируемые объекты создаются в Office 365. Office 365 не поддерживает несколько лесов, и это
ограничивает возможности использования синхронизации до группы, домена, департамента или
другого подмножества объектов.
Возможности обратной записи
Для поддержки сценариев полнофункционального сосуществования синхронизация каталогов в Office
365 имеет возможности обратной записи. Эти возможности улучшают управление Office 365 и
локальной Active Directory как единым целым. Например, если вы в консоли управления Exchage для
Office 365 создаете запись о блокировке домена, эта информация записывается в локальную Active
Directory для того, чтобы она могла быть применена на локальном сервере Exchange.
Когда возможность обратной записи включена, доступны следующие функции:

Информация о безопасных и заблокированных отправителях в облаке также доступна
локальному серверу Exchange.

Электронная почта может быть заархивирована в Exchange Online.

Пользователи могут отвечать на старые сообщения в своих почтовых ящиках.

Администраторы могут легко переносить почтовые ящики из облако обратно в локальную
среду.
Лимит объектов
Средство синхронизации каталогов поддерживает копирование не более 10 тыс. объектов (см. раздел
«Копируемые объекты»). Если ваш лес содержит более 10 тыс. копируемых объектов, перед
использованием синхронизации каталогов обратитесь в службу поддержки Microsoft.
Частота синхронизации
Полная синхронизация запускается сразу же после установки. После первой синхронизации каждые
три часа производится синхронизация изменений. Этот трехчасовой период нельзя изменить.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
19
Принудительная синхронизация
Вы можете запустить принудительную синхронизацию с помощью команды Start-OnlineCoexistenceSync
в Windows PowerShell или если запустите мастер настройки средства синхронизации каталогов. Для
получения более подробной информации об этих способах обратитесь к документу «Синхронизация
служб каталогов».
Время синхронизации
На фактическое время, которое требуется для синхронизации, влияет ширина Интернет-канала вашей
организации, аппаратное обеспечение, которое используется для работы средства синхронизации
каталогов, и текущий уровень загрузки службы синхронизации каталогов в дата-центре Microsoft. В
таблице 7 указано примерное время синхронизации, которое получено при использовании службы
синхронизации каталогов.
Таблица 7. Примерное время синхронизации.
Количество
объектов
Примерное время первой
синхронизации
Примерное время последующих
синхронизаций
500
6 минут
35 секунд
1000
12 минут
1,5 минуты
5000
55 минут
6 минут
15 000
3 часа
12 минут
Примечание
Объекты, которые были скопированы из локальной Active Directory, сразу же появятся
в глобальном списке адресов. На протяжении 24 часов эти объекты могут не
появляться в оффлайновой адресной книге или Lync Online.
Если служба синхронизации обрабатывает большое количество объектов, это может
сказаться на фактически доступной пропускной способности Интернет-канала.
Требования при установке
Для установки средства синхронизации каталогов вам потребуется ввести учетные данные глобального
администратора Active Directory и войти в Office 365 под учетной записью администратора службы.
Учетные данные Active Directory нужны только для того, чтобы средство синхронизации могло получить
доступ Active Directory для чтения данных, и не сохраняются.
Для получения детальной информации о требованиях и процедурах смотрите разделы «Подготовка к
синхронизации службы каталогов» и «Установка средства синхронизации Microsoft Online Services со
службой каталогов» справочной системы Office 365.
Лучшие практики синхронизации каталогов
Перед синхронизацией подготовьте Active Directory: удалите ненужные учетные записи,
систематизируйте повторяющиеся записи Proxy-Addresses (англ. язык) и User-Principle-Name (имена
участников-пользователей, англ. язык) и проверьте информацию в атрибутах записей на полноту и
актуальность.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
20
Примечание
Когда вы развернете и настроите синхронизацию каталогов Microsoft Online Directory
Synchronization, администратор службы получит электронное сообщение с рекомендацией
очистить Active Directory.
Если ваша компания использует федерацию, то её нужно настроить перед первой синхронизацией
каталогов. Отключение синхронизации каталогов после её включения не поддерживается и может
стать причиной сбоев при работе пользователей с Office 365.
Перед запуском синхронизации каталогов вы должны проверить ваши настраиваемые имена доменов.
Учетные записи пользователей, которые относятся к непроверенным именам доменов, будут
назначены к домену по умолчанию (onmicrosoft.com).
Для получения более подробной информации о синхронизации каталогов смотрите раздел «План
внедрения синхронизации службы каталогов Active Directory».
Управление пользователями Office 365 в Active Directory
После развертывания средства синхронизации каталогов вы можете управлять учетными записями
пользователей Office 365 при помощи локальной Active Directory. Все изменения свойств учетных
записей пользователей, включая удаление или блокировку пользователей, автоматически передаются в
Office 365.
Добавление учетных записей пользователей в Active Directory
Когда вы добавляете новые учетные записи пользователей в Active Directory, вы автоматически
создаете такие же учетные записи в Office 365. После создания записей вы можете их активировать и
назначить лицензии для доступа к Office 365. Если лицензия включает Exchange Online, автоматически
будет создан почтовый ящик. Пользователей можно активировать либо в автоматическом режиме с
помощью Windows PowerShell, либо вручную на портале администрирование Office 365.
Удаление учетных записей пользователей в Active Directory
Когда вы удаляете учетные записи пользователей в Active Directory, соответствующие учетные записи
удаляются и в Office 365. Также удаляются связанные почтовые ящики и всё их содержимое. Связанная
с удаляемым пользователем информация в SharePoint Online сохраняется.
Управление паролями учетных записей
Пароли Active Directory не синхронизируются с Office 365. Изменение пароля учетной записи в Active
Directory не меняет пароль в Office 365, и наоборот. Если ваша компания использует федерацию,
паролями Office 365 управлять не нужно, потому что если пользователи успешно проходят проверку
подлинности в локальной Active Directory, их учетные данные будут работать и в Office 365.
Блокировка учетных записей
Когда вы блокируете учетные записи в Active Directory, при следующей синхронизации
соответствующие учетные записи в Office 265 будут также заблокированы. Заблокированные
пользователи не смогут больше работать с Office 365, но их почтовые ящики и данные в SharePoint
Online будут сохранены.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
21
Единый вход
Если вы настроите процедуру единого входа (федерацию удостоверений), пользователи будут
автоматически входить в Office 365 со своих доменных рабочих станций с использованием
корпоративных учетных данных (имени пользователя и пароля).
Примечание
Единый вход в Office 365 требует наличия служб федерации Active Directory Federation Services 2.0.
Преимущества использования единого входа
Если вы настроите единый вход, вам не потребуется управлять паролями пользователей для Office 365.
Помимо преимуществ для пользователей, единый вход также имеет ряд преимуществ для системных
администраторов:

Управление политиками: администраторы смогут управлять политиками учетных записей
через Active Directory. Это позволяет управлять политиками паролей, ограничениями рабочих
станций и блокировать элементы управления без дублирования этих же действий в облаке.

Управление доступом: администраторы могут ограничить доступ к Office 365 таким образом,
что пользователи смогут работать с ним только из корпоративной сети, только через онлайнслужбы или обоими способами.

Снижение обращений в поддержку: во всех организациях пользователи часто обращаются в
службу поддержки из-за того, что забыли пароль. Чем меньше паролей нужно помнить
пользователям, тем меньше шансов, что они их забудут.

Улучшенная безопасность: серверы и службы, которые используются для единого входа,
управляются локально. Это может улучшить защиту информации и безопасность
удостоверений пользователей.

Двухфакторная (строгая) проверка подлинности: для лучшей защиты доступа к Office 365 вы
можете использовать системы двухфакторной проверки подлинности, обеспечивающие
требуемую защиту ваших локальных ресурсов.
Работа пользователей из разных мест
Работа пользователей с единым входом различается в зависимости от типа подключения компьютера к
сети и настроек служб федерации Active Directory 2.0.

Работа на компьютере, который подключен к корпоративной сети: когда пользователи
работают изнутри корпоративной сети, для подключения к Office 365 единый вход не требует
дополнительного ввода имени пользователя и пароля.

Работа на компьютере извне корпоративной сети: когда пользователи работают на
доменных компьютерах, но не подключены к корпоративной сети (например, на рабочем
ноутбуке из дома или гостиницы), для подключения к Office 365 единый вход не требует
дополнительного ввода имени пользователя и пароля.

Домашний или общедоступный компьютер: для работы с Office 365 с компьютера, который
не подключен к домену организации, пользователям нужно вводить корпоративные учетные
данные.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
22
Требования
Для внедрения единого входа с Office 365 потребуются следующие программы, инструменты и
возможности:

Active Directory: разверните и запустить Active Directory в смешанном или основном режиме
на Windows Server 2003 или более поздней версии ОС.

Службы федерации Active Directory Federation Services 2.0: разверните AD FS 2.0 на Windows
Server 2008 или Windows Server R2.

Современные клиентские операционные системы и пакеты обновлений: на рабочих
станциях используйте Windows 7, Windows Vista или Windows XP. Для корректной настройки
клиентской операционной системы мы настоятельно рекомендуем использовать установщик
обновлений Microsoft Office 365 для настольных систем.

Windows PowerShell 2.0 и средство конфигурации федерации: чтобы запускать команды для
настройки единого входа, установите Windows PowerShell 2.0 с административными
привилегиями на сервер со службами федерации Active Directory 2.0. Для запуска команд мы
рекомендуем использовать удаленный доступ к серверу AD FS 2.0. Чтобы сделать это, нужно
использовать удаленные команды Windows PowerShell, о которых можно узнать в документе
«Выполнение удаленных команд».

Доверенные SSL-сертификаты третьих сторон: приобретите у доверенного центра
сертификации сертификат, который будет содержать общее имя, выданное пространству имен
вашей локальной Active Directory. Этот сертификат поможет вам настроить прокси служб
федерации Active Directory.

Доступ к прокси-серверам служб федерации Active Directory через Интернет: обеспечьте
доступ к прокси-серверам служб федерации Active Directory из интернета. Если вы
разворачиваете прокси служб федерации Active Directory, внутренние серверы служб
федерации Active Directory подключаются к Интернету через прокси-серверы служб федерации
Active Directory.
Создание и преобразование доменов
Новые домены Office 365 настроены на использование облачных удостоверений Microsoft Online
Services. Когда вы устанавливаете федерацию для домена с облачными удостоверениями, используйте
команды Windows PowerShell, которые устанавливаются модулем онлайн-служб Microsoft для
PowerShell. При следующем входе пользователей их учетные записи конвертируются в федеративные
удостоверения. Чтобы система удостоверений Office 365 успела полностью обновиться, мы
рекомендуем подождать 24 часа,.
После того, как удостоверения преобразованы в федеративные, для работы с сайтами и службами
Office 365 вы должны использовать службы федерации Active Directory. Чтобы убедиться в
корректности плана общего развертывания, мы рекомендуем вам сначала проверить развертывание
федерации,. Если вам не удается получить доступ к службам Office 365 после преобразования
удостоверений в федеративные, вы всегда можете управлять Office 365 с помощью учетной записи по
умолчанию — admin@<домен>.onmicrosoft.com.
Примечание
Office 365 позволяет иметь несколько доменов. Каждый домен может быть либо доменом с
облачным удостоверением, либо доменом с федеративным удостоверением. Пользователи одного
домена не могут использовать частично облачные, частично федеративные удостоверения.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
23
Вы также можете преобразовать домен с федеративным удостоверением в домен с облачным
удостоверением. После выполнения соответствующих команд PowerShell, Office 365 начнет
преобразовывать учетные записи пользователей и создавать для них новые пароли. Мы рекомендуем
делать эту процедуру в то время, когда она меньше всего помешает работе пользователей.
Пилотная федерация
Домены в Office 365 могут использовать либо облачные удостоверения, либо федеративные, но не оба
типа одновременно. Поэтому федеративные удостоверения проще всего начать использовать с
федеративным доменом. В этом случае вы можете начать развертывать федеративные удостоверения
на выделенной группе пользователей, а потом развернуть на остальных пользователей. Если в вашей
организации есть пользователи Office 365 с облачными удостоверениями, вы не можете развернуть
федерацию на подгруппу пользователей. Но вместо этого для целей пилотного развертывания вы
можете добавить дополнительный суффикс имени участника-пользователя к вашему лесу, а так же
обновить суффиксы у пользователей в пилотной группе, чтобы отразить изменение имени тестового
домена.
Для более подробных инструкций по пилотному развертыванию федеративных удостоверений
смотрите Office 365 Community Wiki (англ. язык).
Особенности настройки Active Directory
Для успешного развертывания федеративных удостоверений Office 365 вам нужно подготовить
структуру и порядок использования существующего домена Active Directory.

Имена участников-пользователей: федеративные удостоверения требуют у пользователей
наличия имен участников-пользователей (UPN), в то время как Active Directory этого не требует.
Имя участника-пользователя ассоциирует удостоверение пользователя в Office 365 с облачным
удостоверением. Без этого пользователи не смогут войти в Office 365 с использованием их
корпоративных учетных данных. Имена участников-пользователей, которые используются для
федеративных удостоверений, могут включать буквы, цифры, точки, дефисы и символы
подчеркивания. Использовать другие символы нельзя. Кроме этого, имена участниковпользователей не могут заканчиваться точкой перед знаком «@». Для получения более
подробной информации о создании имен участников-пользователей смотрите документ
«Добавление суффиксов имени участника-пользователя».

Соответствие имен доменов: если имя домена Office 365 соответствует имени домена
локальной Active Directory, дополнительных настроек пространства имен не требуется.

Субдомены: начала настройте домен верхнего уровня, а потом — субдомены.

Локальные домены: локальные домены, настроенные как .local (например, contoso.local)
нельзя использовать для федерации, так как они недоступны из Интернета (то есть их не могут
опознать или маршрутизировать публичные DNS-серверы). Вы можете зарегистрировать
публичные имена доменов и настроить их федерацию с Office 365. После этого добавьте новые
имена доменов как суффиксы домена имени участника-пользователя в лес и укажите имена
участников-пользователей в новых доменах. Такая последовательность действий гарантирует,
что суффикс домена федеративных имен участников-пользователей принадлежит домену, для
которого настроена федерация с Office 365.

Несколько различных доменов входа: для каждого уникального домена вам нужно
развернуть службы федерации Active Directory.

Несколько лесов: в настоящий момент федеративные удостоверения не поддерживают
множественных лесов.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
24
Обзор архитектуры сети и служб федерации Active Directory
Чтобы локальные пользователи могли проходить проверку подлинности в Office 365 с помощью
федеративных удостоверений, вам нужно установить службы интеграции Active Directory 2.0 на
доступный пользователям локальный сервер. Чтобы обеспечить высокую доступность, устанавливайте
службы федерации Active Directory на ферму с балансировкой нагрузки. Используя опцию «Ферма»,
позже вы сможете добавить больше серверов без необходимости повторного запуска средства
управления федерацией удостоверений Microsoft, даже если сначала вы устанавливаете только один
сервер с ролью служб федерации Active Directory 2.0.
В статье «Планирование и развертывание служб федерации Active Directory 2.0 для использования с
единым входом» дана дополнительная информация о построении инфраструктуры служб интеграции
Active Directory. В таблице 8 приведены рекомендуемые конфигурации оборудования для разного
количества пользователей.
Таблица 8. Рекомендуемое оборудование.
Количество
пользователей
Рекомендуемая конфигурация оборудования
Менее 15 тыс.
Если для служб федерации Active Directory вам не нужна поддержка доступа через
Интернет, используйте существующие контроллеры домена. Если требуется доступ
через интернет, используйте существующие веб-серверы или прокси-серверы. Все
серверы должны работать под управлением Windows Server 2008 или Windows
Server 2008 R2. Мы рекомендуем использовать два сервера с балансировкой нагрузки,
потому что если ни один сервер не доступен, пользователи не смогут получить доступ к
Office 365.
От 15 тыс. до 30
тыс.
Используйте два выделенных сервера для служб федерации Active Directory 2.0:
основной и дополнительный. Если пользователям необходимо работать удаленно,
следует также установить доступный из публичных сетей сервер федерации с ролью
«Прокси».
Примечания
Если вы развертываете службы федерации Active Directory 2.0 для единого входа, то чтобы
пользователи могли подсоединиться к Exchange Online, вам необходимо установить следующие
компоненты:
 Прокси служб федерации Active Directory 2.0
 Прокси, который может публиковать конечные точки служб федерации Active Directory 2.0
в Интернет (например, Internet Security and Acceleration Server, Forefront Threat Management
Gateway)
Если прокси не установлен, то независимо от метода подсоединения (например, Outlook, Outlook
Web App, Exchange ActiveSync, POP, IMAP, или веб-сервисы Exchange) пользователи с
федеративными удостоверениями не смогут подсоединиться к Exchange Online.
Для получения более подробной информации по использованию служб федерации Active Directory с
Office 365 смотрите раздел «Подготовка к использованию единого входа» в справочной системе Office
365.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
25
Делегированное администрирование и поддержка для
партнеров
В Office 365 есть возможность делегировать администрирование, разработанная специально для того,
чтобы дать партнерам возможность администрировать учетные записи от имени заказчиков. Вы
можете послать заказчику запрос на разрешение удаленного администрирования, и если он будет
одобрен, вы сможете администрировать учетные записи вашего заказчика. Заказчику не потребуется
для вас отдельная учетная запись. Возможность делегированного администрирования не требует и не
потребляет лицензии Office 365.
Вы можете управлять вашими заказчиками непосредственно на сайте администрирования Office 365.
Так как административные настройки ваших клиентов управляются через сайт администрирования
Office 365, все пользователи внутри вашей организации, которые имеют доступ на этот сайт, получат
возможность видеть или изменять настройки ваших клиентов (только тех клиентов, которые дали на
это разрешение).
Для обеспечения дополнительной безопасности вы можете назначить пользователям внутри вашей
организации полный или ограниченный доступ:

Полный доступ: доступ ко всем возможностям в центре администрирования и возможность
назначать административные роли другим пользователям.

Ограниченный доступ: право сбрасывать пароли, управлять запросами и отслеживать
техническое состояние служб.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
26
Предоставление внешнего доступа к SharePoint Online
Работа над контентом и управление документами часто вовлекает множество людей из различных
компаний. В жизненные циклы документов или информации могут быть вовлечены редакторы,
дизайнеры, партнеры, клиенты и другие участники внутри и за пределами вашей организации. Чтобы
сделать совместную работу более простой и безопасной, SharePoint Online поддерживает внешний
доступ и совместную работу с документами для всех участников процесса.
Работать с сайтом SharePoint Online вы можете пригласить до 50 внешних пользователей. Когда эта
возможность включена, ваш администратор SharePoint Online может пригласить внешних
пользователей к определенным семействам веб-сайтов с помощью встроенного мастера. Внешние
пользователи получат электронные сообщения, в которых будет информация о том, как им войти в
Office 365 с использованием их учетных данных.
Описание службы удостоверений Microsoft Office 365 | Июнь 2011
27