引言：微軟正積極地在各種規(guī)模的企業(yè)中推進(jìn)其基于云的版本Office 365。Office 365的愿景是促進(jìn)更好地協(xié)作，從而提升用戶的效率。理論上講，有創(chuàng)造力的雇員可以用Office 365通過任何設(shè)備在任何時(shí)間、任何地點(diǎn)進(jìn)行協(xié)作。

微軟的office是最受歡迎的提升生產(chǎn)力的軟件套件。如今，微軟正積極地在各種規(guī)模的企業(yè)中推進(jìn)其基于云的版本Office 365。Office 365的愿景是促進(jìn)更好地協(xié)作，從而提升用戶的效率。理論上講，有創(chuàng)造力的雇員可以用Office 365通過任何設(shè)備在任何時(shí)間、任何地點(diǎn)進(jìn)行協(xié)作。

尤其對(duì)于小型企業(yè)來(lái)說，云版本的低成本是一個(gè)巨大的誘惑，這遠(yuǎn)比為每個(gè)雇員的每個(gè)桌面安裝軟件套件要廉價(jià)得多。而大型企業(yè)希望在其云安全上更積極主動(dòng)。多數(shù)Office 365部署會(huì)導(dǎo)致用戶憑據(jù)（包括用戶名和口令）遷移到云中，而不管他們是否愿意。

下面談?wù)凮ffice 365所使用的三個(gè)身份和訪問管理模式。

首先是云身份模式，它要求所有口令都屬于微軟。最簡(jiǎn)單的Office 365身份模式是云身份模式，其中的用戶名和口令都通過Office 365創(chuàng)建的用戶身份在云中獨(dú)立管理的。用戶身份是存放在Azure AD中，驗(yàn)證也是通過Azure AD進(jìn)行的。

其次是同步身份模式，其口令在本地和云中實(shí)現(xiàn)同步“哈?！?。在同步身份模式中，企業(yè)的本地服務(wù)器管理用戶身份，而用戶賬戶和口令哈希也被同步到Azure AD。用戶在本地和在云中輸入的口令是相同的，而其口令哈希是由Azure AD驗(yàn)證的。

第三種是聯(lián)合身份模式，這是最安全的，但仍需要得到移動(dòng)用戶的口令。聯(lián)合身份模式是訪問office 365的最安全方法。它類似于同步身份模式，但使用一個(gè)本地的身份為驗(yàn)證用戶的口令哈希。這意味著口令哈希并不需要同步到Azure AD。聯(lián)合身份模式存在客戶端的口令漏洞問題。幾乎所有的移動(dòng)電子郵件客戶端都使用ActiveSync協(xié) 議。Active Sync并不支持聯(lián)合身份模式，也不支持將用戶口令傳輸?shù)紸zure AD。Azure AD將口令返回到本地的身份管理器，用以通過加密通道進(jìn)行驗(yàn)證，但是這就夠了嗎？

如果用戶要對(duì)云口令管理模式（包括上述三種）進(jìn)行威脅模式的評(píng)估，不妨考慮如下可能的威脅媒介：云泄露、中間人攻擊、惡意的云雇員、意外的憑據(jù)記錄、釣魚攻擊等。

只要有可能，微軟都會(huì)明確地避免看到用戶口令，但它仍能看到。上述威脅中有很多已經(jīng)被實(shí)現(xiàn)的例子。不管這些威脅媒介是否屬于其企業(yè)的評(píng)估模式都是由企業(yè)決定的。

很多企業(yè)對(duì)這種差距并不以為然。沒有什么模式是絕對(duì)安全的。但是有些CSO（首席安全官）希望彌補(bǔ)這種差距。如今，實(shí)現(xiàn)此舉的方法就是截獲來(lái)自客戶端的ActiveSync連接，并將其代理到一個(gè)本地的代理服務(wù)器，使口令在傳輸?shù)紸zure AD之前就進(jìn)行加密。

最后一步實(shí)施適當(dāng)?shù)亩嘀卣J(rèn)證。適當(dāng)?shù)亩嘀卣J(rèn)證是基于風(fēng)險(xiǎn)的認(rèn)證，可包括證書檢查、環(huán)境感知及由電子郵件實(shí)現(xiàn)的一次性口令等。

多數(shù)企業(yè)都愿意支持多重認(rèn)證。如詳細(xì)調(diào)查會(huì)發(fā)現(xiàn)其支持的多重認(rèn)證是要選擇用戶的。僅覆蓋部分用戶的多重認(rèn)證并不理想，但是總要比沒有多重認(rèn)證更好。

很多企業(yè)最終會(huì)選擇利用云來(lái)編輯文檔和幻燈片。如此一來(lái)，其員工的真正挑戰(zhàn)就是要管理身份和訪問的風(fēng)險(xiǎn)。