离开我的云！

越来越多的公司开始使用Microsoft Office 365将其生产力applications迁移到云端。 根据Gartner 最近的一份报告，78% 的受访公司正在使用或计划使用 Office 365。 除此之外，公司还部署了新的基于云的applications，同时将自己开发的遗留applications迁移到云中。 在迁移到云端的同时保证这些生产力应用程序的安全，对灵活性和速度的需求让许多 CIO 和 CISO夜不能寐。

云安全公司 SkyHigh Networks 的一份报告强调了这一困境：平均而言，组织每月要处理 2.7 个针对 Office 365 的威胁，其中 1.3 个威胁是由于账户被盗造成的。 虽然这些数字看起来并不高，但根据同一报告，云中存储的敏感数据中有超过 58% 存储在 Office 文档中。

组织希望其用户能够快速、简单、安全地访问 Office 365。 但是，从基于本地数据中心的应用程序转向云和 SaaSapplications（例如 Office 365）可能会给现有资源带来压力，并可能使用户面临不可预测的性能问题。 对于使用 Office 365 和 SaaSapplications的组织来说，最困难的挑战之一是为其用户提供适当级别和强度的身份管理和访问。

身份联合和单点登录 (SSO) 以及多因素身份验证 (MFA) 是抵御未经授权或恶意访问 Office 365 的第一道防线，特别是当组织使用 Microsoft Azure Active Directory 作为其用户凭据存储时。 事实上，Office 365 中的某些功能（例如条件访问）需要身份联合和 SSO。

正如我之前的博客中所述，保护 Office 365 访问的安全最流行的方法是联合身份。 通过联合身份，本地身份提供商可以验证用户凭据。 不需要密码哈希或与 Azure Active Directory 同步。 联合身份如此受欢迎的原因之一是组织的用户凭据保留在本地并由组织管理。 联合身份减轻了凭证丢失被盗的威胁，并简化了与新的或现有的 MFA 方法的集成。 许多组织希望通过内部部署 SAML 身份提供商 (IdP) 或 Microsoft Active Directory 联合身份验证服务 (ADFS) 验证用户的密码。

虽然微软将 ADFS 作为 Windows Server 2012 的一部分，但它也支持第三方身份联合和 SSO 产品。 并且，许多第三方选项（例如 ADFS）都支持 SSO、将身份联合扩展到更多applications、简化用户管理和终止、以及集中联合管理，有时甚至比 ADFS 更为强大。

与任何 IT 解决方案一样，在组织决定为 Office 365 实施身份和访问解决方案之前，应该权衡其利弊。 以下是 IT 团队在考虑为 Office 365 部署新的身份和访问解决方案时需要考虑的问题清单：

• 是否需要在网络中部署额外的基础设施？
• 如果是，那么购买、部署、管理需要花费多少？
• 是否需要application交付控制器来平衡负载以实现快速访问和正常运行时间？
• 身份和访问解决方案的总拥有成本 (TCO) 是多少？
• 该解决方案是否可以轻松扩展以满足组织未来的需求？
• 扩展是否意味着增加更多的基础设施？
• 云application管理可以自动化吗，或者管理员是否需要为每个云application手动创建或更改规则？ 手动流程成本高昂且耗时。
• 身份和访问解决方案是否可以与现有的安全方法（例如由领先的企业移动性管理 (EMM) 解决方案在移动设备上执行的现有设备安全态势检查）配合使用，或者与现有的 MFA 产品配合使用？

组织需要一种适用于 Office 365 的身份和访问解决方案，该解决方案可以利用和使用其现有的访问和安全工具，而不必强迫他们更换供应商或流程。 他们需要一种解决方案，既不会增加已经普遍存在的基础设施扩张，又可以扩展以满足组织的增长和需求。

在我们的下一篇博客中，我们将探讨 Office 365 安全身份和访问挑战的解决方案，以及它可以解决的许多用例。