Jaa

Contoso Corporationin käyttäjätiedot

  • Artikkeli

Microsoft tarjoaa Identity as a Servicen (IDaaS) pilvitarjonnassaan Microsoft Entra ID kautta. Jos Contoso IDaaS -ratkaisu haluaa ottaa käyttöön Microsoft 365 for Enterprisen, sen oli käytettävä paikallista tunnistetietojen toimittajaansa ja sisällytettävä liitetty todentaminen olemassa oleviin luotettuihin kolmannen osapuolen tunnistetietotoimittajiin.

Contoson Active Directory -toimialueen palvelut metsä

Contoso käyttää yhtä Active Directory -toimialueen palvelut (AD DS) metsää contoso.com jossa on seitsemän alitoimialuetta, yksi kullekin maailman alueelle. Pääkonttorissa, alueellisissa keskustoimistoissa ja satelliittitoimistoissa on toimialueen ohjauskoneita paikallista todentamista ja valtuutusta varten.

Tässä on Contoson metsä, jossa on alueellisia verkkotunnuksia eri puolilla maailmaa, jotka sisältävät alueellisia keskuksia.

Contoson metsä ja verkkotunnukset maailmanlaajuisesti.

Contoso päätti käyttää contoso.com toimialuepuuryhmän tilejä ja ryhmiä Microsoft 365 -kuormitusten ja -palveluiden todentamiseen ja valtuutukseen.

Liitetty Contoson todennusinfrastruktuuri

Contoso sallii:

  • Asiakkaat voivat käyttää Microsoft-, Facebook- tai Google Mail -tilejään kirjautuakseen sisään yrityksen julkiselle verkkosivustolle.
  • Toimittajat ja kumppanit voivat käyttää LinkedIn-, Salesforce- tai Google Mail -tilejä kirjautuakseen sisään yrityksen kumppanin ekstranetiin.

Tässä on Contoso DMZ, joka sisältää julkisen verkkosivuston, kumppanin ekstranetin ja joukon Active Directory -liittoutumispalvelut (AD FS) palvelimia. DMZ on yhteydessä Internetiin, joka sisältää asiakkaita, kumppaneita ja Internet-palveluita.

Contoso-tuki organisaation ulkopuoliselle todentamiseen asiakkaille ja kumppaneille.

DMZ:n AD FS -palvelimet helpottavat asiakkaan tunnistetietojen todentamista tunnistetietojen palveluntarjoajien toimesta, jotta he voivat käyttää julkista verkkosivustoa ja kumppanin tunnistetietoja kumppanin ekstranetin käyttöä varten.

Contoso päätti säilyttää tämän infrastruktuurin ja omistaa sen asiakas- ja kumppanitodennukselle. Contoson käyttäjätietoarkkitehdit tutkivat tämän infrastruktuurin muuntamista B2B- ja B2C-ratkaisujen Microsoft Entra.

Hybriditunnukset ja salasanan hajautuksen synkronointi pilvipohjaiselle todennukselle

Contoso halusi käyttää paikallista AD DS -metsäänsä Microsoft 365 -pilviresurssien todentamiseen. Se päätti käyttää salasanan hajautusarvon synkronointia (PHS).

PHS synkronoi paikallisen AD DS -toimialuepuuryhmän Microsoft 365 for Enterprise -tilauksensa Microsoft Entra vuokraajan kanssa kopioimalla käyttäjä- ja ryhmätilit sekä käyttäjätilin salasanojen hajautetun version.

Hakemistosynkronointia varten Contoso otti käyttöön Microsoft Entra Connect -työkalun Pariisin palvelinkeskuksen palvelimessa.

Tässä on palvelin, joka suorittaa Microsoft Entra Yhdistä contoso AD DS -toimialuepuuryhmässä muutosten hakemiseksi ja synkronoi sitten muutokset Microsoft Entra vuokraajan kanssa.

Contoso PHS -hakemiston synkronointiinfrastruktuuri.

Zero Trust -suojausmalli käyttäjätietojen ja laitteen käyttöoikeuden ehdolliset käyttöoikeuskäytännöt

Contoso loi joukon Microsoft Entra ID ja Intune ehdollisia käyttöoikeuskäytäntöjä kolmelle suojaustasolle:

  • Aloituspisteen suojaukset koskevat kaikkia käyttäjätilejä.
  • Yrityssuojaus koskee ylintä johtoa ja johtohenkilöstöä.
  • Erityiset suojaussuojaukset koskevat tiettyjä talous-, laki- ja tutkimusosastojen käyttäjiä, joilla on pääsy erittäin säänneltyihin tietoihin.

Tässä on contoso-käyttäjätietojen ja laitteen ehdollisten käyttöoikeuksien käytäntöjen joukko.

Contoson käyttäjätietojen ja laitteen ehdollisen käytön käytännöt.

Seuraavat vaiheet

Lue, miten Contoso käyttää Microsoft-päätepistettään Configuration Manager infrastruktuuria ottaakseen käyttöön ja pitääkseen ajan tasalla olevat Windows 11 Enterprise koko organisaatiossa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Microsoft 365:n käyttäjätietojen käyttöönotto

Microsoft 365 for enterprisen yleiskatsaus