A Contoso Corporation identitása
A Microsoft Microsoft Entra ID-n keresztül biztosítja az identitásszolgáltatást (IDaaS) a felhőbeli ajánlataiban. A Nagyvállalati Microsoft 365 bevezetéséhez a Contoso IDaaS megoldásnak a helyszíni identitásszolgáltatóját kellett használnia, és összevont hitelesítést kellett használnia a meglévő megbízható, külső identitásszolgáltatókkal.
A Contoso Active Directory tartományi szolgáltatások erdő
A Contoso egyetlen Active Directory tartományi szolgáltatások (AD DS) erdőt használ contoso.com hét altartománysal, egyet a világ minden régiójához. A központ, a regionális központi irodák és a műholdas irodák helyi hitelesítéshez és engedélyezéshez tartományvezérlőket tartalmaznak.
Itt van a Contoso erdő regionális tartományokkal a világ különböző részein, amelyek regionális központokat tartalmaznak.
A Contoso úgy döntött, hogy a contoso.com erdőben lévő fiókokat és csoportokat használja a Microsoft 365 számítási feladataihoz és szolgáltatásaihoz való hitelesítéshez és engedélyezéshez.
A Contoso összevont hitelesítési infrastruktúrája
A Contoso a következőket teszi lehetővé:
- Az ügyfelek Microsoft-, Facebook- vagy Google Mail-fiókjukkal jelentkezhetnek be a cég nyilvános webhelyére.
- A szállítók és partnerek LinkedIn-, Salesforce- vagy Google Mail-fiókjukkal jelentkezhetnek be a vállalat extranetes partnerhálózatára.
Itt látható a Contoso DMZ, amely egy nyilvános webhelyet, egy partner extranetet és Active Directory összevonási szolgáltatások (AD FS) (AD FS) kiszolgálókat tartalmaz. A DMZ csatlakozik az internethez, amely ügyfeleket, partnereket és internetes szolgáltatásokat tartalmaz.
A DMZ AD FS-kiszolgálói megkönnyítik az ügyfelek hitelesítő adatainak hitelesítését az identitásszolgáltatók számára a nyilvános webhelyhez való hozzáféréshez, valamint a partner extranethez való hozzáféréshez szükséges partneri hitelesítő adatokhoz.
A Contoso úgy döntött, hogy megtartja ezt az infrastruktúrát, és az ügyfél- és partnerhitelesítésnek szenteli. A Contoso identitástervezői jelenleg vizsgálják az infrastruktúra Microsoft Entra B2B- és B2C-megoldásokra való átalakítását.
Hibrid identitás jelszókivonat-szinkronizálással felhőalapú hitelesítéshez
A Contoso a helyszíni AD DS-erdőjét akarta használni a Microsoft 365-ös felhőerőforrások hitelesítéséhez. Úgy döntött, hogy jelszókivonat-szinkronizálást (PHS) használ.
A PHS szinkronizálja a helyszíni AD DS-erdőt a Nagyvállalati Microsoft 365-előfizetésük Microsoft Entra bérlőjével, a felhasználói és csoportfiókok másolásával és a felhasználói fiók jelszavának kivonatolt verziójával.
A címtár-szinkronizáláshoz a Contoso üzembe helyezte a Microsoft Entra Connect eszközt egy párizsi adatközpontjában lévő kiszolgálón.
Itt látható, hogy a Microsoft Entra Connectet futtató kiszolgáló lekérdezi a Contoso AD DS-erdőt a változásokról, majd szinkronizálja ezeket a módosításokat a Microsoft Entra bérlővel.
Feltételes hozzáférési szabályzatok Teljes felügyelet identitáshoz és eszközhozzáféréshez
A Contoso létrehozott egy Microsoft Entra azonosító és egy Intune feltételes hozzáférési szabályzatkészletet három védelmi szinthez:
- A kezdőpontvédelem minden felhasználói fiókra érvényes.
- A nagyvállalati védelem a felső vezetésre és a vezetőkre vonatkozik.
- A speciális biztonsági védelem a pénzügyi, jogi és kutatási részlegek meghatározott felhasználóira vonatkozik, akik szigorúan szabályozott adatokhoz férnek hozzá.
Íme a Contoso identitás- és eszköz feltételes hozzáférési szabályzatainak eredményül kapott halmaza.
További lépés
Megtudhatja, hogyan használja a Contoso a Microsoft Endpoint Configuration Manager infrastruktúráját a szervezeten belüli aktuális Windows 10 Enterprise üzembe helyezésére és megtartására.
Lásd még
Identitás üzembe helyezése a Microsoft 365-ben
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: