引言：微软正积极地在各种规模的企业中推进其基于云的版本Office 365。Office 365的愿景是促进更好地协作，从而提升用户的效率。理论上讲，有创造力的雇员可以用Office 365通过任何设备在任何时间、任何地点进行协作。

微软的office是最受欢迎的提升生产力的软件套件。如今，微软正积极地在各种规模的企业中推进其基于云的版本Office 365。Office 365的愿景是促进更好地协作，从而提升用户的效率。理论上讲，有创造力的雇员可以用Office 365通过任何设备在任何时间、任何地点进行协作。

尤其对于小型企业来说，云版本的低成本是一个巨大的诱惑，这远比为每个雇员的每个桌面安装软件套件要廉价得多。而大型企业希望在其云安全上更积极主动。多数Office 365部署会导致用户凭据（包括用户名和口令）迁移到云中，而不管他们是否愿意。

下面谈谈Office 365所使用的三个身份和访问管理模式。

首先是云身份模式，它要求所有口令都属于微软。最简单的Office 365身份模式是云身份模式，其中的用户名和口令都通过Office 365创建的用户身份在云中独立管理的。用户身份是存放在Azure AD中，验证也是通过Azure AD进行的。

其次是同步身份模式，其口令在本地和云中实现同步“哈希”。在同步身份模式中，企业的本地服务器管理用户身份，而用户账户和口令哈希也被同步到Azure AD。用户在本地和在云中输入的口令是相同的，而其口令哈希是由Azure AD验证的。

第三种是联合身份模式，这是最安全的，但仍需要得到移动用户的口令。联合身份模式是访问office 365的最安全方法。它类似于同步身份模式，但使用一个本地的身份为验证用户的口令哈希。这意味着口令哈希并不需要同步到Azure AD。联合身份模式存在客户端的口令漏洞问题。几乎所有的移动电子邮件客户端都使用ActiveSync协 议。Active Sync并不支持联合身份模式，也不支持将用户口令传输到Azure AD。Azure AD将口令返回到本地的身份管理器，用以通过加密通道进行验证，但是这就够了吗？

如果用户要对云口令管理模式（包括上述三种）进行威胁模式的评估，不妨考虑如下可能的威胁媒介：云泄露、中间人攻击、恶意的云雇员、意外的凭据记录、钓鱼攻击等。

只要有可能，微软都会明确地避免看到用户口令，但它仍能看到。上述威胁中有很多已经被实现的例子。不管这些威胁媒介是否属于其企业的评估模式都是由企业决定的。

很多企业对这种差距并不以为然。没有什么模式是绝对安全的。但是有些CSO（首席安全官）希望弥补这种差距。如今，实现此举的方法就是截获来自客户端的ActiveSync连接，并将其代理到一个本地的代理服务器，使口令在传输到Azure AD之前就进行加密。

最后一步实施适当的多重认证。适当的多重认证是基于风险的认证，可包括证书检查、环境感知及由电子邮件实现的一次性口令等。

多数企业都愿意支持多重认证。如详细调查会发现其支持的多重认证是要选择用户的。仅覆盖部分用户的多重认证并不理想，但是总要比没有多重认证更好。

很多企业最终会选择利用云来编辑文档和幻灯片。如此一来，其员工的真正挑战就是要管理身份和访问的风险。