Удостоверение для корпорации Contoso
Корпорация Майкрософт предоставляет удостоверение как услугу (IDaaS) в своих облачных предложениях через Microsoft Entra ID. Чтобы внедрить Microsoft 365 для предприятий, решение Contoso IDaaS было необходимо использовать локальный поставщик удостоверений и включить федеративную проверку подлинности с существующими доверенными сторонними поставщиками удостоверений.
Лес доменные службы Active Directory Contoso
Компания Contoso использует один лес доменные службы Active Directory (AD DS) для contoso.com с семью поддоменами, по одному для каждого региона мира. Главный офис, региональные и вспомогательные офисы содержат контроллеры доменов для локальной проверки подлинности и авторизации.
Ниже приведен лес Contoso с региональными доменами для разных частей мира, которые содержат региональные центры.
Компания Contoso решила использовать учетные записи и группы в лесу contoso.com для проверки подлинности и авторизации для рабочих нагрузок и служб Microsoft 365.
Инфраструктура федеративной проверки подлинности Contoso
Корпорация Contoso разрешает:
- Клиенты должны использовать свои учетные записи Майкрософт, Facebook или Google Mail для входа на общедоступный веб-сайт компании.
- Поставщики и партнеры должны использовать свои учетные записи LinkedIn, Salesforce или Google Mail для входа в экстрасеть партнера компании.
Ниже приведена сеть периметра Contoso, содержащая общедоступный веб-сайт, партнерскую экстрасеть и набор серверов службы федерации Active Directory (AD FS) (AD FS). DmZ подключена к Интернету, который содержит клиентов, партнеров и интернет-службы.
Серверы AD FS в dmz упрощают проверку подлинности учетных данных клиента поставщиками удостоверений для доступа к общедоступному веб-сайту и учетные данные партнера для доступа к экстрасети партнера.
Компания Contoso решила сохранить эту инфраструктуру и посвятить ее проверке подлинности клиентов и партнеров. Архитекторы удостоверений Contoso изучают преобразование этой инфраструктуры в Microsoft Entra решений B2B и B2C.
Гибридное удостоверение с синхронизацией хэша пароля для облачной проверки подлинности
Компания Contoso хотела использовать свой локальный лес AD DS для проверки подлинности облачных ресурсов Microsoft 365. Решено использовать синхронизацию хэша паролей (PHS).
PHS синхронизирует локальный лес AD DS с клиентом Microsoft Entra подписки Microsoft 365 for Enterprise, копируя учетные записи пользователей и групп, а также хэшированную версию паролей учетных записей пользователей.
Чтобы выполнить синхронизацию каталогов, компания Contoso развернула средство Microsoft Entra Connect на сервере в центре обработки данных в Париже.
Ниже приведен сервер, на котором выполняется Microsoft Entra Connect, который опрашит лес AD DS Contoso на наличие изменений, а затем синхронизирует эти изменения с клиентом Microsoft Entra.
Политики условного доступа для удостоверений и доступа к устройствам
Компания Contoso создала набор политик Microsoft Entra ID и Intune условного доступа для трех уровней защиты:
- Защита от начальной точки применяется ко всем учетным записям пользователей.
- Защита предприятия применяется к старшим руководителям и руководящим сотрудникам.
- Специализированные средства защиты безопасности применяются к конкретным пользователям в отделах финансов, юридических и исследовательских отделов, имеющих доступ к строго регулируемым данным.
Ниже приведен результирующий набор политик условного доступа Contoso для удостоверений и устройств.
Следующее действие
Узнайте, как компания Contoso использует инфраструктуру Microsoft Endpoint Configuration Manager для развертывания и поддержания Windows 11 Корпоративная в своей организации.