Tożsamość firmy Contoso Corporation
Firma Microsoft udostępnia usługę Identity as a Service (IDaaS) w swoich ofertach w chmurze za pośrednictwem identyfikatora Entra firmy Microsoft. Aby wdrożyć usługę Microsoft 365 dla przedsiębiorstw, rozwiązanie Contoso IDaaS musiało używać lokalnego dostawcy tożsamości i uwzględniać uwierzytelnianie federacyjne z istniejącymi zaufanymi dostawcami tożsamości innych firm.
Las usług Domenowych Active Directory firmy Contoso
Firma Contoso używa jednego lasu usług Active Directory Domain Services (AD DS) dla contoso.com z siedmioma poddomenami, po jednym dla każdego regionu świata. Siedziba, regionalne biura centrów i biura satelitarne zawierają kontrolery domeny do uwierzytelniania lokalnego i autoryzacji.
Oto las firmy Contoso z domenami regionalnymi dla różnych części świata, które zawierają centra regionalne.
Firma Contoso zdecydowała się używać kont i grup w lesie contoso.com do uwierzytelniania i autoryzacji dla swoich obciążeń i usług platformy Microsoft 365.
Infrastruktura uwierzytelniania federacyjnego firmy Contoso
Firma Contoso zezwala na:
- Klienci mogą logować się do publicznej witryny internetowej firmy przy użyciu kont Microsoft, Facebook lub Google Mail.
- Dostawcy i partnerzy mogą używać swoich kont LinkedIn, Salesforce lub Google Mail do logowania się do ekstranetu partnera firmy.
Oto moduł DMZ firmy Contoso zawierający publiczną witrynę internetową, ekstranet partnera i zestaw serwerów usług Active Directory Federation Services (AD FS). Moduł DMZ jest połączony z Internetem, który zawiera klientów, partnerów i usługi internetowe.
Serwery usług AD FS w DMZ ułatwiają uwierzytelnianie poświadczeń klienta przez dostawców tożsamości w celu uzyskania dostępu do publicznej witryny internetowej i poświadczeń partnera w celu uzyskania dostępu do ekstranetu partnera.
Firma Contoso zdecydowała się zachować tę infrastrukturę i przeznaczyć ją na uwierzytelnianie klientów i partnerów. Architekci tożsamości firmy Contoso badają konwersję tej infrastruktury na rozwiązania Microsoft Entra B2B i B2C .
Tożsamość hybrydowa z synchronizacją skrótów haseł na potrzeby uwierzytelniania opartego na chmurze
Firma Contoso chciała użyć lokalnego lasu usług AD DS do uwierzytelniania zasobów w chmurze platformy Microsoft 365. Podjęto decyzję o użyciu synchronizacji skrótów haseł (PHS).
Usługa PHS synchronizuje lokalny las usług AD DS z dzierżawą usługi Microsoft Entra subskrypcji platformy Microsoft 365 dla przedsiębiorstw, kopiując konta użytkowników i grup oraz skrótową wersję haseł kont użytkowników.
Aby tworzyć synchronizację katalogów, firma Contoso wdrożyła narzędzie Microsoft Entra Connect na serwerze w centrum danych w Paryżu.
Oto serwer z uruchomionym programem Microsoft Entra Connect sondujący las usług AD DS firmy Contoso pod kątem zmian, a następnie synchronizujący te zmiany z dzierżawą usługi Microsoft Entra.
Zasady dostępu warunkowego dla tożsamości zero zaufania i dostępu do urządzenia
Firma Contoso utworzyła zestaw zasad dostępu warunkowego usługi Microsoft Entra i Intune dla trzech poziomów ochrony:
- Zabezpieczenia punktu początkowego mają zastosowanie do wszystkich kont użytkowników.
- Ochrona przedsiębiorstwa ma zastosowanie do kadry kierowniczej wyższego szczebla i kadry kierowniczej.
- Wyspecjalizowane zabezpieczenia mają zastosowanie do określonych użytkowników z działów finansów, prawnych i badawczych, którzy mają dostęp do wysoce regulowanych danych.
Oto wynikowy zestaw zasad tożsamości i dostępu warunkowego urządzenia firmy Contoso.
Następny krok
Dowiedz się, jak firma Contoso używa infrastruktury programu Microsoft Endpoint Configuration Manager do wdrażania i utrzymywania bieżącego systemu Windows 10 Enterprise w całej organizacji.