Рассмотрим пример настройки двухфакторной аутентификации в Microsoft Office 365 средствами модуля  Indeed AM ADFS Extension в сценарии с использованием служб AD FS, обеспечивающих единый вход.

Для корректной работы нам понадобится:

• Установленные и настроенные продукты Indeed-Id:
  
  • Indeed AM Server (инструкция);
    
  • Indeed AM Admin Console (инструкция);
  • Indeed AM Log Server (инструкция);
  • необходимые провайдеры для используемых средств аутентификации (инструкция);
  • расширение Indeed AM ADFS Extension (инструкция)
• Сервер с установленной ролью AD FS, в качестве имени службы федерации указывается доменное имя сервера AD FS, доступное из Интернета (инструкция)
  

1. Добавление домена в Office 365

На портале Office 365 переходим на страницу Администрирование:

Нам необходимо добавить наш домен. Для этого в меню выбираем Установка - Домены и нажимаем Добавить домен:

В открывшемся мастере указываем Имя домена доступное из Интернета и нажимаем Использовать этот домен:

На следующем шаге необходимо подтвердить владение доменом путем добавления TXT или MX записи:

После успешной проверки состояние добавленного домена изменится на Работоспособен:

2. Синхронизация локальных учетных записей AD с Office 365

На странице администрирования переходим в меню Пользователи - Активные пользователи, нажимаем Другие действия (кнопка "...") и выбираем Синхронизация службы каталогов:

По предложенной ссылке скачиваем и устанавливаем Microsoft Azure Active Directory Connect:

Запускаем Microsoft Azure Active Directory Connect и приступаем к конфигурации выбрав Customize:

Оставляем все без изменений и нажимаем Install:

В качестве метода входа выбираем Federation with AD FS:

Вводим данные учетной записи Microsoft:

Приступаем к настройке синхронизации учетных записей: выбираем необходимый домен и нажимаем Add Directory:

Выбираем Create new AD account и вводим данные учетной записи администратора:

Добавленный домен отобразится в разделе Configured directories:

В следующем окне отобразится список UPN суффиксов. Для успешной синхронизации с Office 365 учетная запись пользователя должна содержать UPN суффикс напротив которого стоит статус Verified. Если в списке имеются UPN суффиксы для которых сопоставление не требуется, выбираем Continue without matching all UPN suffixes to verified domains:

Остальные шаги раздела Sync можно настроить самостоятельно исходя из необходимых требований или оставить без изменений.

Далее на шаге Credentials вводим данные учетной записи администратора:

На следующем шаге нам необходимо выбрать созданный ранее AD FS сервер (инструкция). Выбираем Use an existing AD FS farm и указываем имя AD FS сервера:

Из выпадающего списка выбираем домен:

Нажимаем Install и ожидаем завершения конфигурирования:

На шаге Verify Connectivity выбираем обе галочки:

После успешной верификации закрывает мастер.

3. Настройка двухфакторной аутентификации на сервере AD FS

Запускаем оснастку AD FS и переходим в Relying Party Trusts. Выделяем отношение доверия Microsoft Office 365 Identity Platform Worldwide и изменяем политику управления доступом:

В открывшемся окне нажимаем Use access control policy и выбираем Permit everyone and require MFA:

4. Выполняем вход в MS Office 365 с использованием двухфакторной аутентификации

Входим в Office 365 под учетной записью для которой настроена двухфакторная аутентификация:

Произойдет переход на страницу аутентификации AD FS, где потребуется указать доменный пароль:

После успешного ввода учетных данных появится запрос на ввод второго фактора: