微软的Azure Active Directory团队长期致力于使用身份ID来做全新的控制层面这一目标。身份ID表明了你是谁以及你被授权能做的事情，它也理应是访问控制中的最小公分母。身份认证应该做到不管一个用户访问的是公司数据中心里的资源或设备，还是云应用或第三方Web服务，都能确定什么是可以被访问，什么是不能被访问的。

为此，微软对Windows Server 2016的Active Directory Federation Services（活动目录联合服务）和它的兄弟云服务成员Azure Active Directory做了一些重要的改进，来调整在特定情形下对访问的授权。改进版本中的条件访问控制功能被扩展了，管理员可以拥有更多的控制权利，他们能根据用户所使用的设备和他们所访问的资源或应用来决定一个用户拥有多少的访问以及可信度。

Intune为控制提供了基础

Microsoft Intune云系统配置工具是综上所述这些功能的基础。Intune通常是购买Enterprise Mobility Suite（企业移动套件）或者Azure AD Premium中包含的一部分，也是EMS许可证包含的内容。Intune现在负责更新所有设备的资源库，其中包括了“加入”企业的设备或者企业本身直接管理的设备。Intune同时也能追踪设备符合公司策略的状态。

Intune称之为New Device Trust Level。这个等级可以分为三种状态：已认证、受管理、服从（规范）。有了这些状态，新的条件访问控制功能可以让管理员创建复杂的规则，例如允许HR组的员工在通过多重认证之后可以访问属于薪酬类的SharePoint Web门户；只允许使用满足规范设备的合同工访问Salesforce实例；允许销售人员远程使用已经加入了工作区间（不是域）的设备访问本地的报价应用。

身份和设备可以绑在一起

管理员可以设立规则来测试用户身份，或者测试这个特点的身份可以访问什么角色和组。IT员工还可以将设备规范状态和身份进行配对，以保证正确的人在使用满足策略的设备访问敏感的应用程序。

有一些应用只允许域成员或加入工作区间的设备访问，所以IT可以对存储实施加密。其他情况下，某些应用可能只是用来阅读或者分享内容的，这种情况下IT只需要强制地进行身份控制即可。

Windows Server 2016对控制的扩展

自Windows Server 2016起，条件访问控制功能就超越了物理机的限制。IT员工可以用Active Directory对本地部署的应用建立控制，同样也可以对云服务例如Office 365或者其他能被Azure Active Directory联合和保护的云应用，例如DocuSign和Salesforce。Azure Active Directory会将设备状态信息同步到普通的AD部署环境中去，而且企业通过Active Directory Application Proxy部署的应用也能认知这些设备状态限制。

企业只需要安装Azure AD Connect，它可以替代不稳定的DirSync产品。Azure AD Connect对于那些大部分使用本地应用，也使用Microsoft Azure应用的业务来说非常有用。

应用代码无需做任何更改

AD FS其中一个最有益的功能是能强制对本地应用和云应用进行多重认证，而无需对应用代码做任何修改。

使用AD FS进行认证的话，应用程序需要能识别请求——要支持大部分流行的协议，包括OAuth 2.0、OpenID Connect、SAML或WS-Federation——之后IT才能让Azure Active Directory处理复杂的多重认证。这样子每个月只需要花费适度的EMS许可证消费和一些工作时间就可以让现有的应用非常的安全。