Действительно ли мне нужна установка с шестью виртуальными машинами для надежной службы Azure AD FS?
Я единственный ИТ-администратор в небольшой организации. Я очень хочу улучшить нашу безопасность с помощью MFA, настроив AD FS, и по многим причинам я надеялся сделать это в облаке. В документации Microsoft ( https://docs.microsoft. com / en-us / azure / active-directory / hybrid / how-to-connect-fed-azure-adfs ). Но для этой установки требуется шесть виртуальных машин: два контроллера домена, два WAP и два LB.
Все ли это действительно необходимо? Для нашей организации было бы довольно дорого просто получить дополнительную безопасность и гибкость аутентификации. Я знаю, что мы получили бы и другие преимущества, такие как присоединение к федеративному домену и тому подобное, но мне интересно, существует ли на практике решение меньшего масштаба, которое обеспечивает разумную надежность для небольшой организации без чрезмерных требований к времени безотказной работы.
Вам не нужна полная настройка ADFS, если вам нужен только MFA, есть Azure MFA как в "облачной" версии, так и на сервере MFA для работы в режиме on-prem. Следующая ссылка поможет вам решить, что вам нужно. https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion
Если вам нужен только MFA, то путь, который вы должны выбрать, действительно зависит от вашего окружения.
- Если у вас есть AD в режиме онлайн. На самом деле вам не нужна ADFS для аутентификации в Office 365 с помощью ваших учетных данных AD в режиме реального времени. Достаточно использовать хэш-синхронизацию паролей или сквозное автоопределение . Однако для AD Connect потребуется как минимум один сервер. Более подробную информацию о методах аутентификации можно найти здесь: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-user-signin
- если у вас нет on-prem AD. Вы можете просто присоединить ваши машины с Windows 10 к Azure AD.
Любая из опций позволит вам использовать MFA
.