一、Office365账号安全挑战

Office 365是微软基于云平台的应用套件，提供完整的云办公服务，将Office桌面端应用的优势融于一体，满足企业在线办公需求。随着Office 365在企业办公场景的广泛应用，给企业账号安全管理带来新的挑战。

Office365账号密码通常被托管在AD域中。弱密码一直是企业数据泄露的一大主要因素，因为弱口令是最容易出现的也是最容易被利用的漏洞之一。在仅采用域用户名+密码的方式进行Office 365登录身份验证的机制下，一旦账号密码被泄露或攻破，就会有账号被入侵者盗用的风险。入侵者能够随意复制、删除、破坏Office 365账号中的数据。

为了弥补弱密码缺陷，企业通常会强制要求员工设置强口令。但随之而来的是，账号记忆/管理成本以及员工忘记密码造成的生产力损害/IT运维管理负担。必须采取某种技术手段来加强各种企业应用和业务系统的账号密码安全，包括Office 365的，从而有效保证即便账号密码被盗也无需担心数据入侵。

为帮助企业应对以上数据安全威胁及账号管理成本挑战，宁盾通过双因素认证在office365用户登录过程增加一层动态密码验证，来保护office365用户账号和身份信息，实现企业域账号信息安全加固。

二、宁盾Office365双因素认证解决方案

（1）方案概述

静态密码只能对Office 365用户身份的真实性进行低级认证。宁盾双因素认证结合ADFS联合认证，在Office 365原有静态密码认证基础上增加第二重保护，通过提供多种形式的一次性动态令牌实现双因素认证，提升账号安全，避免因密码共享/泄露或破解造成的账号被盗用，一旦发生安全事件也可追责到个人，加强用户登录认证审计。

（2）方案原理

企业通常会将Azure AD与本地AD目录集成和数据同步，从而允许员工通过AD账号来访问基于Azure AD的云应用，如office365、Outlook等，并实现基于云的管理。在此方案中，宁盾结合ADFS，来实现office365的二次身份验证登录和访问控制。

方案需要先设置本地的AD和Azure AD之间数据同步（用户、组、OU等），然后在企业内部部署ADFS服务器，并通过创建ADFS与Azure AD之间的信任关系实现将Azure AD身份验证过程移交给ADFS，最后配置ADFS联合身份验证服务指向宁盾认证服务器。

ADFS服务器作为身份验证的中转站，通过接口将Office365用户的动态密码身份信息传递给宁盾双因素认证服务器。宁盾认证服务器负责一次性动态令牌的校验和登录审计。这样企业既能借助AD域控更好地控制Office365用户访问，同时解决了用户二次身份验证的需求。

员工访问office365时，首先跳转到ADFS登录页面进行域身份验证。验证成功后进入动态密码验证页面。ADFS服务器将动态密码身份信息传递给宁盾认证服务器进行验证。验证通过，跳转回office365。至此双因素认证登录过程完成。

（3）结合ADFS的office365双因素认证流程

1、用户登录https://portal.office.com/，系统会检查用户账户的后缀名，如认定为域用户，系统将会自动跳转到ADFS服务器，要求用户提交域账号密码信息做第一次身份验证。

2、域账号密码认证通过，跳出动态密码认证页面。用户输入宁盾动态密码并提交认证。动态密码认证通过，用户成功登陆office365。

（4）方案收益

宁盾双因素认证方案联合ADFS加固了Office365账号密码，提升Office365登录安全；有效降低企业域账号密码管理和运维成本；增强登录审计，用户认证实名可追溯，实现追责定位；并帮助企业通过AD域控更好地控制Office365用户访问权限。目前此方案已被应用到若干高科技+互联网企业项目中，实施效果达到预期目标，受到了客户的肯定。

宁盾双因素认证为全场景的企业身份安全认证解决方案，除Office365外，还覆盖VPN、VMware/Citix虚拟桌面、网络设备、KVM、堡垒机、数据库、服务器、有线无线网络认证、其他本地/云应用及业务系统、单点登录等场景，支持标准AD、LDAP、POP3、第三方Radius、外部数据库（MySQL、Oracle、SQL Server等）等账号源，为企业提供统一的身份认证安全保护。

除支持硬件令牌、手机令牌、短信令牌等常规动态密码形式，还支持与企业微信/钉钉和其他企业自有APP融合的H5令牌，且可兼容RSA Securid、Google身份验证器等第三方令牌，为各类双因素认证场景提供多元的动态密码认证体验，企业可根据实际需求选择最适合的方案。