使用Office 365 Azure Active Directory租户启用Azure Active Directory访问控制

Question

我目前有一个Office 365租户，大约1,400名用户都获得了许可。我们已使用相同的帐户启用Azure AD租户，现在使用Azure AD Dirsync对Office 365进行相同的登录。

我们现在开发了一个外部Sharepoint站点，并且已经提供ADFS或Azure AD ACS作为身份验证方法。由于我们已经获得了Azure AD订阅（通过Office 365），我认为这将是最简单的方法。但是，当我在https://manage.windowsazure.com上的租户中，我可以访问Active Directory时，可以添加新目录但无法添加新的访问控制服务。它是灰色的，并在下面说“不可用”。

我已经尝试过与Office 365支持人员交谈，他们向我推荐了Azure支持，然后他说我们没有支持所以无法帮助。我已经和Azure销售人员谈过，他们已经把我推荐给了Azure支持，然后他们猜测了什么，说我们没有支持。

是否有其他人使用免费的Azure Active Directory订阅设法从Office 365租户实施Azure Access Control服务？我觉得我只需要购买一个廉价的Azure订阅，这个选项就可以使用了，但我不确定我是不是有点犹豫不决。

感谢。

Answer 1

我可以想象您不能为此目的使用免费的Azure订阅，因为使用访问控制服务会带来成本。免费订阅与任何信用卡无关。当你有...按需付费订阅，您应该能够创建ACS名称空间。我刚尝试了一个按需付费订阅。

您（仍）可以创建命名空间，但我建议您还要了解Azure AD本身具有的身份可能性。 Azure AD目前仅支持SAML 2.0（以及许多其他协议，但它们与SharePoint不直接相关）。我知道SharePoint（内部部署）只讨论SAML 1.1，这就是ACS的用武之地。您可以阅读有关此主题的更多信息here。 Azure AD本身 将支持SAML 1.1。唯一的问题是什么时候。 （参见下面提到的来源之一的评论这个答案）

我还会对Azure AD ACS进行一次备注，因为 将由Azure AD取代。剩下的唯一问题是 。

  

Azure AD中的ACS功能

     

正如我们之前提到的，我们在Azure AD中添加了类似ACS的功能。在接下来的几个月中，作为功能预览的一部分，Azure AD管理员将能够将社交身份提供商和后来的自定义身份提供商添加到Azure AD。这将允许应用程序开发人员使用Azure AD来简化其应用程序中的身份实现，类似于开发人员今天使用ACS的方式。我们期待收到您对预览的反馈，以改善这些体验。

     

将ACS客户迁移到Azure AD

     

一旦Azure AD的这些新ACS功能超出预览范围并且通常可用，我们将开始迁移ACS名称空间以使用新的Azure AD功能。

来源：The future of Azure ACS is Azure Active Directory

Answer 2

快速解决方案：

创建Azure付费帐户。在Office 365目录中添加付费帐户的管理员用户，并将其设置为此后续目录的全局管理员（您可以添加其他目录中的用户）。

然后切换回付费帐户。新的全局管理员将能够管理Office 365目录并添加命名空间。