在第一部分的《Office365身份管理：DirSync密码同步与AD FS的区别是什么？》文章中，我们介绍了密码同步与AD FS的区别是什么，本文继续对两种Office365身份管理方法进行优劣势比较。

使用AD FS，你可以使用客户端访问策略精确控制谁被允许进行验证，这是用密码同步不可能做到的。

密码同步功能也会引起混淆的情况，当储存在Windows Azure中的密码与预置密码不相同时，尽管它会进行同步，例如当管理员在Office 365中重置某个最终用户的密码。此时，用户在Windows Azure的密码将会变化而DirSync将不会触发一次新的密码同步除非最终用户更改他的预置密码。

还有可伸缩性的问题。密码同步功能在较小的环境中更加适用，因为密码变更会进行得相当频繁。在我个人的测试中，没能做到比密码同步更快，每次我变更预置密码时，访问门户并登陆的同时它就会在Office 365中被变更。抛开这种现象不谈，在较大的环境中是否能有相近的体验是很值得探究的问题。在有更多的公司实施它并且有更多的信息被公开之前，AD FS是一种安全的选择，因为一台单独的AD FS服务器可以轻而易举地为成千上万的最终用户服务。

密码同步安全是一个值得关注的问题吗？

“密码同步”一词使得很多安全经理不必要地害怕起来。其实真正的密码绝不会在你的环境和云端进行明文同步的，被同步的只是一组被打乱又打乱的安全密钥。所有的通讯都建立在SSL（安全嵌套层）上进行并且通讯本身也被加密。即使黑客能够破解SSL信道，面对一串密码的散列值也只好收手，因为这些值毫无意义。

AD FS与密码同步功能两者之间并没有特别明显的技术差异，只是根据你需求的不同，使得各自在选项上有若干细微的差别。我们仅仅拨开了选项的表面，当你在两者间做出选择时还必须将很多因素考虑进去。我推荐企业研究密码同步，我相信很多公司可以从密码同步中获得比AD FS更多的好处。