次の方法で共有

Contoso 社の ID

  • [アーティクル]

Microsoft は、Microsoft Entra ID を通じて、クラウド オファリング全体でサービスとしての ID (IDaaS) を提供します。 Microsoft 365 for enterprise を採用するには、Contoso IDaaS ソリューションでオンプレミス ID プロバイダーを使用し、既存の信頼されたサード パーティ ID プロバイダーとのフェデレーション認証を含める必要がありました。

Contoso Active Directory Domain Services フォレスト

Contoso は、7 つのサブドメインを持つ contoso.com に 1 つの Active Directory Domain Services (AD DS) フォレストを使用します。1 つは世界のリージョンごとに 1 つです。 本社、地域ハブ オフィス、サテライト オフィスには、ローカルの認証と承認のためのドメイン コントローラーが含まれています。

リージョン ハブを含む世界各地のリージョン ドメインを持つ Contoso フォレストを次に示します。

Contoso のフォレストとドメインは世界中にあります。

Contoso は、Microsoft 365 ワークロードとサービスの認証と承認のために、contoso.com フォレスト内のアカウントとグループを使用することにしました。

Contoso フェデレーション認証インフラストラクチャ

Contoso 社では次のことが可能です。

  • お客様は、Microsoft、Facebook、または Google メール アカウントを使用して、会社のパブリック Web サイトにサインインします。
  • ベンダーとパートナーは、LinkedIn、Salesforce、または Google メール アカウントを使用して、会社のパートナーエクストラネットにサインインします。

パブリック Web サイト、パートナー エクストラネット、および Active Directory フェデレーション サービス (AD FS) サーバーのセットを含む Contoso DMZ を次に示します。 DMZ は、顧客、パートナー、インターネット サービスを含むインターネットに接続されています。

Contoso は、顧客とパートナーのフェデレーション認証をサポートします。

DMZ 内の AD FS サーバーは、パブリック Web サイトにアクセスするための ID プロバイダーによる顧客資格情報の認証と、パートナーエクストラネットへのアクセスのためのパートナー資格情報の認証を容易にします。

Contoso は、このインフラストラクチャを維持し、顧客とパートナーの認証に専念することにしました。 Contoso ID アーキテクトは、このインフラストラクチャを Microsoft Entra B2B および B2C ソリューションに変換することを調査しています。

クラウドベース認証のためのパスワードハッシュ同期によるハイブリッドID

Contoso は、オンプレミスの AD DS フォレストを使用して、Microsoft 365 クラウド リソースへの認証を行いたいと考えていました。 パスワード ハッシュ同期 (PHS) を使用することにしました。

PHS は、オンプレミスの AD DS フォレストを、Microsoft 365 for Enterprise サブスクリプションの Microsoft Entra テナントと同期し、ユーザー アカウントとグループ アカウントをコピーし、ユーザー アカウント パスワードのハッシュ バージョンを作成します。

ディレクトリ同期を行うために、Contoso はパリのデータセンターのサーバーに Microsoft Entra Connect ツールをデプロイしました。

Microsoft Entra Connect を実行しているサーバーは、Contoso AD DS フォレストで変更をポーリングし、それらの変更を Microsoft Entra テナントと同期します。

Contoso PHS ディレクトリ同期インフラストラクチャ。

ゼロ トラスト ID とデバイス アクセスの条件付きアクセス ポリシー

Contoso は、次の 3 つの保護レベルに対して一連の Microsoft Entra ID と Intune 条件付きアクセス ポリシー を作成しました。

  • 開始点の 保護は、すべてのユーザー アカウントに適用されます。
  • エンタープライズ 保護は、上級リーダーシップとエグゼクティブ スタッフに適用されます。
  • 特殊なセキュリティ保護は 、高度に規制されたデータにアクセスできる財務、法務、研究部門の特定のユーザーに適用されます。

結果として得られる Contoso ID とデバイスの条件付きアクセス ポリシーのセットを次に示します。

Contoso の ID とデバイスの条件付きアクセス ポリシー。

次の手順

Contoso が Microsoft Endpoint Configuration Manager インフラストラクチャを使用して、 現在の Windows 10 Enterprise を組織全体に展開して維持 する方法について説明します。

関連項目

Microsoft 365 ID の展開

Microsoft 365 for enterprise の概要