由于微软持续对云的推动，活动目录联合服务（ADFS）在联合本地服务器和云服务的身份中成为中心角色。在Windows Server 2012 R2中，ADFS在建立关键功能方面扮演着重要角色。

你可以将活动目录联合服务安装到Windows Server 2012 R2的域控制器，这在以前会有一些禁止。现在你可以在无需安装互联网信息服务（IIS）的情况下把ADFS角色安装到域控制器。但是，最好不要部署敏感的身份验证源，因为这会增加机器的受攻击面。

ADFS改进创造了更多的场景

活动目录服务联盟获得了显著扩展，现在可以在Windows Server 2012 R2中创造新的场景。

Workplace Join。我喜欢把Workplace Join看作是Domain Join的轻装版。Workplace Join用于个人设备，允许公司IT部门在设备、用户和企业资源之间建立一个受信任的连接。例如，用户使用一个受信任的设备可以访问工作文件夹（Work Folders）。该设备还可以访问特定的内部应用程序。

改进的单点登录。一旦用户和设备加入到workplace，Windows Server 2012 R2中的ADFS重用认证令牌，因此用户不必重新输入证书就能使用另一个公司的资源。组织可以连接到运行在Office 365中的应用程序、Windows Azure和任何支持安全声明标记语言或SAML的第三方供应商。

Web应用程序代理。Web应用程序代理是一项可与ADFS协同工作的新功能。Web应用程序代理让Workplace Join担当HTTP代理的角色。虽然Web应用程序代理功能是Windows Server 2012 R2中远程访问角色的一部分，使用者点击代理时，与之协作的ADFS扩展功能可以提供企业应用程序和资源的安全访问。

所需的资源运行活动目录联合服务

这通常需要升级活动目录的森林级别或域级别的功能。这类升级对于部署了老版本的Windows服务器的组织来说是问题重重的。访问最新的ADFS功能，你只需要将运行ADFS的服务器升级到Windows Server 2012 R2，并进行适度的规模升级以添加存储设备对象和相关属性的支持。Web应用程序代理的角色也必须安装在运行Windows server 2012 R2的服务器上。

Windows RT、Windows 8.1、iPhone和iPad都准备为Workplace Join引入新的ADFS功能。Android支持也即将到来。