Soy el único administrador de TI de una organización pequeña. Estoy ansioso por mejorar nuestra seguridad con MFA configurando AD FS y, por muchas razones, esperaba hacerlo en la nube. Hay un tutorial útil en los documentos de Microsoft ( https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-azure-adfs ). Pero esa configuración requiere seis VM: dos DC, dos WAP y dos LB.

¿Es todo eso realmente necesario? Sería bastante costoso para nuestra organización solo obtener seguridad y flexibilidad de autenticación adicionales. Sé que también obtendríamos otras cosas, como la unión de dominios federados y otras cosas, pero me pregunto si, en la práctica, existe una solución a menor escala que brinde una confiabilidad razonable para una organización pequeña sin demandas extremas de tiempo de actividad.

answer

No necesita una configuración completa de ADFS si solo desea MFA, hay Azure MFA tanto en una versión en la nube como en un servidor MFA para las instalaciones. El siguiente enlace le ayuda a decidir lo que necesita. https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-whichversion

Si solo desea MFA, la ruta que debe elegir realmente depende de su entorno.

  1. Si tiene AD local, realmente no necesita ADFS para autenticarse en Office 365 con sus credenciales de AD local. El uso de la sincronización de hash de contraseña o la autenticación de paso a través será suficiente. Sin embargo, necesitaría al menos un servidor para AD Connect. Puede encontrar más información sobre los métodos de autenticación aquí: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-user-signin
  2. Si no tiene AD local, simplemente puede unir sus máquinas con Windows 10 a Azure AD.

Cualquiera de las dos opciones le permitirá utilizar MFA