引言：微軟正積極地在各種規(guī)模的企業(yè)中推進其基于云的版本Office 365。Office 365的愿景是促進更好地協(xié)作，從而提升用戶的效率。理論上講，有創(chuàng)造力的雇員可以用Office 365通過任何設備在任何時間、任何地點進行協(xié)作。

微軟的office是最受歡迎的提升生產力的軟件套件。如今，微軟正積極地在各種規(guī)模的企業(yè)中推進其基于云的版本Office 365。Office 365的愿景是促進更好地協(xié)作，從而提升用戶的效率。理論上講，有創(chuàng)造力的雇員可以用Office 365通過任何設備在任何時間、任何地點進行協(xié)作。

尤其對于小型企業(yè)來說，云版本的低成本是一個巨大的誘惑，這遠比為每個雇員的每個桌面安裝軟件套件要廉價得多。而大型企業(yè)希望在其云安全上更積極主動。多數Office 365部署會導致用戶憑據（包括用戶名和口令）遷移到云中，而不管他們是否愿意。

下面談談Office 365所使用的三個身份和訪問管理模式。

首先是云身份模式，它要求所有口令都屬于微軟。最簡單的Office 365身份模式是云身份模式，其中的用戶名和口令都通過Office 365創(chuàng)建的用戶身份在云中獨立管理的。用戶身份是存放在Azure AD中，驗證也是通過Azure AD進行的。

其次是同步身份模式，其口令在本地和云中實現同步“哈?！?。在同步身份模式中，企業(yè)的本地服務器管理用戶身份，而用戶賬戶和口令哈希也被同步到Azure AD。用戶在本地和在云中輸入的口令是相同的，而其口令哈希是由Azure AD驗證的。

第三種是聯合身份模式，這是最安全的，但仍需要得到移動用戶的口令。聯合身份模式是訪問office 365的最安全方法。它類似于同步身份模式，但使用一個本地的身份為驗證用戶的口令哈希。這意味著口令哈希并不需要同步到Azure AD。聯合身份模式存在客戶端的口令漏洞問題。幾乎所有的移動電子郵件客戶端都使用ActiveSync協(xié) 議。Active Sync并不支持聯合身份模式，也不支持將用戶口令傳輸到Azure AD。Azure AD將口令返回到本地的身份管理器，用以通過加密通道進行驗證，但是這就夠了嗎？

如果用戶要對云口令管理模式（包括上述三種）進行威脅模式的評估，不妨考慮如下可能的威脅媒介：云泄露、中間人攻擊、惡意的云雇員、意外的憑據記錄、釣魚攻擊等。

只要有可能，微軟都會明確地避免看到用戶口令，但它仍能看到。上述威脅中有很多已經被實現的例子。不管這些威脅媒介是否屬于其企業(yè)的評估模式都是由企業(yè)決定的。

很多企業(yè)對這種差距并不以為然。沒有什么模式是絕對安全的。但是有些CSO（首席安全官）希望彌補這種差距。如今，實現此舉的方法就是截獲來自客戶端的ActiveSync連接，并將其代理到一個本地的代理服務器，使口令在傳輸到Azure AD之前就進行加密。

最后一步實施適當的多重認證。適當的多重認證是基于風險的認證，可包括證書檢查、環(huán)境感知及由電子郵件實現的一次性口令等。

多數企業(yè)都愿意支持多重認證。如詳細調查會發(fā)現其支持的多重認證是要選擇用戶的。僅覆蓋部分用戶的多重認證并不理想，但是總要比沒有多重認證更好。

很多企業(yè)最終會選擇利用云來編輯文檔和幻燈片。如此一來，其員工的真正挑戰(zhàn)就是要管理身份和訪問的風險。