Azure AD Connect 相信大家都使用过，他的作用是让用户使用同一帐户密码访问本地和云资源。使IT管理员只需要对本地DC进行用户的管理即可。
在新版的Azure AD Connect中，用户的登录选项发生了一些变化，添加了一项：直通身份验证，目前的身份验证方式包括3种：
1)  密码同步
2)  直通身份验证
3)  ADFS联合身份验证
并且增加了：无缝SSO，此功能可以和密码同步及直通身份验证配合使用，在本地加入域的PC使用域帐户登录系统后可以直接访问云资源，而不需要再输入凭据
如下图：

针对以上登录选项，我们应该选择哪种方式，大家可以参考下图：

SSO支持的浏览器见下表：

下面我会针对以下2种认证方式的区别进行重点介绍：
1)  使用SSO的密码同步
2)  使用SSO的直通身份验证

关于以上2种认证方式的优点如下：
•   Great user experience
o   Users are automatically signed into both on-premises and cloud-based applications.
o   Users don't have to enter their passwords repeatedly.
•   Easy to deploy & administer
o   No additional components needed on-premises to make this work.
o   Works with any method of cloud authentication - Password Hash Synchronizationor Pass-through Authentication.
o   Can be rolled out to some or all your users using Group Policy.
Register non-Windows 10 devices with Azure AD without the need for any AD FS infrastructure. This capability needs you to use version 2.1 or later of the workplace-join client.

以上2种认证方式的工作原理见下图：

具体配置的操作过程，大家可以参考下面的链接：
https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-sso-quick-start
需要注意的一点是：如果使用以上2种方式中的任意一种，我们都需要在所有加域的PC的浏览器中添加本地intranet地址：
https://autologon.microsoftazuread-sso.com
https://aadg.windows.net.nsatc.net
如下图：


添加方式，我们可以通过组策略实现（此过程也可以参考上面的链接）
重要的一点区别是：
使用SSO的密码同步如果本地Azure AD connect出现故障后，用户去登录云资源的时候会弹出凭据框，让用户输入凭据（因为SSO的密码同步已经将本地用户的密码hash值同步到的Azure AD），因此我们只需要输入本地帐户的用户名和密码即可登录；
如果我们使用的是SSO的直通身份验证，当本地Azure AD connect出现故障后，用户就无法登录云资源（因为此认证方式不会将用户的密码同步到Azure AD）。
因此，如果我们使用的是SSO的直通身份验证，建议使用高可用部署