Hybridní identita s ID Microsoft Entra

Dokončeno

Organizace jsou kombinací místních a cloudových aplikací. Uživatelé vyžadují přístup k těmto aplikacím místně i v cloudu.

Identita Microsoftu zahrnuje místní a cloudové funkce. Tato řešení vytvářejí společnou identitu uživatele pro ověřování a autorizaci pro všechny prostředky bez ohledu na umístění.

Pokud chcete dosáhnout hybridní identity s ID Microsoft Entra, můžete použít jednu ze tří metod ověřování v závislosti na vašich scénářích. Tři metody jsou:

• Synchronizace hodnot hash hesel (PHS)
• Předávací ověřování (PTA)
• Federace (AD FS)

Tyto metody ověřování také poskytují možnosti jednotného přihlašování. Jednotné přihlašování automaticky přihlásí uživatele, když jsou na svých podnikových zařízeních připojené k podnikové síti.

Běžné scénáře a doporučení

Níže jsou uvedené běžné scénáře správy hybridních identit a přístupu s doporučeními, jaká možnost hybridní identity (nebo možnosti) může být pro každou z nich vhodná.

Potřebuji:

PHS a SSO1¹

PTA a SSO2²

AD FS3³

Automatická synchronizace nových uživatelských, kontaktních a skupinových účtů vytvořených v místní službě Active Directory do cloudu

Ano

Ano

Yes

Nastavte tenanta pro hybridní scénáře Office 365.

Ano

Ano

Yes

Povolte uživatelům přihlášení a přístup ke cloudovým službám pomocí místního hesla.

Ano

Ano

Yes

Implementujte jednotné přihlašování pomocí podnikových přihlašovacích údajů.

Ano

Ano

Yes

Ujistěte se, že v cloudu nejsou uložené žádné hodnoty hash hesel.

Ano

Yes

Povolte cloudová řešení vícefaktorového ověřování.

Ano

Ano

Yes

Povolte místní řešení vícefaktorového ověřování.

Ano

Podpora ověřování pomocí čipových karet pro uživatele⁴

Ano

Zobrazení oznámení o vypršení platnosti hesla na portálu Office a na ploše Windows 10

Ano

¹ Synchronizace hodnot hash hesel a jednotné přihlašování.

² Předávací ověřování a jednotné přihlašování.

³ Federované jednotné přihlašování pomocí AD FS.

⁴ AD FS je možné integrovat s podnikovou infrastrukturou veřejných klíčů a umožnit tak přihlašování pomocí certifikátů. Tyto certifikáty můžou být nasazené prostřednictvím důvěryhodných zřizovacích kanálů, jako jsou MDM nebo GPO nebo certifikáty čipových karet (včetně karet PIV/CAC) nebo Hello pro firmy.