雲服務的一個很大的優勢就是開箱即用，省去了很多部署的步驟，但是相對應的，有一些在本地可以控制的東西，但因為雲的基礎架構本身是用戶觸碰不到的，所以上雲之後可能就沒辦法像本地一樣能夠完全掌控全局了。

當然絕大部分用戶希望能控制的內容，雲廠商都會出相應的接口把控制的權限交給用戶，有一些本身雲服務不方便做的，也可以結合一些其他產品來實現。比如今天要介紹的O365結合ADFS，ADFS本身並不神秘，這個產品出現到現在已經過了10年以上的時間了(沒記錯的話)，通常來說我們會使用它來做一些聯合的身份驗證，比如說不同的域之間要控制一些訪問的權限等

ADFS本身的功能不做過多的介紹了，很多人基本都已經知道了，O365結合ADFS其實也很常見，通常來說有一些企業上雲之後希望把訪問控制的權限依然放在本地，不希望使用AAD來驗證用戶的身份，這對於很多大企業來說很有可能是不合規的，這種情況下我們都會使用ADFS來將身份驗證的請求轉回本地，使用本地的AD驗證用戶的身份，然後再將消息轉給AAD，來完成最終身份驗證的過程，這是ADFS最基本的使用方法

但是實際上ADFS還有很多其他的功能，我們可以根據自己的需求在ADFS上編輯各種各樣的rules來限制用戶的訪問，今天要介紹的就是其中一種用法，有些客戶使用O365之後希望員工只能在辦公室裏訪問自己的郵件，這種需求其實也好辦，在DNS上做做手腳大概的需求就能實現了，但是如果說希望有些組可能不受限制的訪問，大部分員工只能在辦公室訪問，這種怎麽搞？

這就需要用到ADFS+O365的方式了。這也是這個系列的博客主要介紹的內容，通過ADFS+O365實現控制某些組可以不受限制的訪問O365，某些組是只能在特地條件下訪問，這就是我們需要實現的。

需要用到的資源包括

1：國內版O365訂閱

2：國內版Azure訂閱(用來部署ADFS，本地也可以，但是需要有公網IP)

3：公網證書一張（用於ADFS和ADFS Proxy，自簽名的在外網沒導入過根證書，沒測試過，推薦公網證書）

大概的結構圖如下：

另外環境中ADFS使用的是Windows Server 2012 R2的，如果是Windows Server 2016 有可能會不一樣，這個要註意

O365結合ADFS限制用戶登錄地址 (一) - 開篇介紹