Поделиться через


Этап 1. Определение модели облачных удостоверений

Ознакомьтесь со всеми нашими материалами для малого бизнеса в справке по малому бизнесу & обучения.

Microsoft 365 использует Microsoft Entra id, облачную службу идентификации и проверки подлинности пользователей, которая входит в подписку Microsoft 365, для управления удостоверениями и проверкой подлинности для Microsoft 365. Правильная настройка инфраструктуры удостоверений имеет жизненно важное значение для управления доступом и разрешениями пользователей Microsoft 365 для вашей организации.

Перед началом работы посмотрите это видео с обзором моделей удостоверений и проверки подлинности для Microsoft 365.

Ваш первый выбор планирования — это модель облачной идентификации.

Модели облачных удостоверений Майкрософт

Чтобы спланировать учетные записи пользователей, сначала необходимо изучить две модели удостоверений в Microsoft 365. Вы можете поддерживать удостоверения вашей организации только в облаке или поддерживать удостоверения локальная служба Active Directory Доменные службы (AD DS) и использовать их для проверки подлинности при доступе пользователей к облачным службам Microsoft 365.

Вот два типа идентификации и их лучшее соответствие и преимущества.

Атрибут Облачное удостоверение Гибридное удостоверение
Определение Учетная запись пользователя существует только в клиенте Microsoft Entra для подписки На Microsoft 365. Учетная запись пользователя существует в AD DS, а копия также находится в клиенте Microsoft Entra для подписки Microsoft 365. Учетная запись пользователя в Microsoft Entra идентификаторе также может содержать хэшированную версию уже хэшированного пароля учетной записи ad DS.
Проверка подлинности учетных данных пользователя в Microsoft 365 Клиент Microsoft Entra для подписки На Microsoft 365 выполняет проверку подлинности с помощью учетной записи облачного удостоверения. Клиент Microsoft Entra для подписки Microsoft 365 либо обрабатывает процесс проверки подлинности, либо перенаправляет пользователя к другому поставщику удостоверений.
Оптимально для. Организации, которые не имеют или не нуждаются в локальных доменных службах ACTIVE DS. Организации, использующие AD DS или другой поставщик удостоверений.
Наибольшее преимущество Простой в использовании. Дополнительные средства каталогов или серверы не требуются. Пользователи могут использовать одни и те же учетные данные при доступе к локальным или облачным ресурсам.

Облачное удостоверение

В облачном удостоверении используются учетные записи пользователей, которые существуют только в идентификаторе Microsoft Entra. Облачная идентификация обычно используется небольшими организациями, которые не имеют локальных серверов или не используют AD DS для управления локальными удостоверениями.

Ниже приведены основные компоненты облачного удостоверения.

Базовые компоненты облачной идентификации.

Локальные и удаленные пользователи используют свои учетные записи пользователей Microsoft Entra и пароли для доступа к облачным службам Microsoft 365. Microsoft Entra проверяет подлинность учетных данных пользователя на основе сохраненных учетных записей пользователей и паролей.

Администрирование

Так как учетные записи пользователей хранятся только в идентификаторе Microsoft Entra, вы управляете облачными удостоверениями с помощью таких средств, как Центр администрирования Microsoft 365 и Windows PowerShell.

Гибридное удостоверение

В гибридном удостоверении используются учетные записи, которые созданы в локальной службе AD DS и имеют копию в клиенте Microsoft Entra подписки Microsoft 365. Большинство изменений, за исключением определенных атрибутов учетной записи, передаются только в одну сторону. Изменения, внесенные в учетные записи пользователей AD DS, синхронизируются с их копией в Microsoft Entra идентификаторе.

Microsoft Entra Connect обеспечивает текущую синхронизацию учетных записей. Он выполняется на локальном сервере, проверяет наличие изменений в AD DS и пересылает эти изменения в идентификатор Microsoft Entra. Microsoft Entra Connect позволяет фильтровать, какие учетные записи синхронизируются и следует ли синхронизировать хэшированную версию паролей пользователя, известную как синхронизация хэша паролей (PHS).

При использовании гибридного удостоверения авторитетным источником сведений об учетной записи является локальная система AD DS. Это означает, что задачи администрирования выполняются в основном локально, которые затем синхронизируются с идентификатором Microsoft Entra.

Ниже приведены компоненты гибридного удостоверения.

Компоненты гибридной идентификации.

Клиент Microsoft Entra имеет копию учетных записей AD DS. В этой конфигурации локальные и удаленные пользователи, обращаюющиеся к облачным службам Microsoft 365, проходят проверку подлинности по идентификатору Microsoft Entra.

Примечание.

Для синхронизации учетных записей пользователей для гибридного удостоверения всегда необходимо использовать Microsoft Entra Connect. Синхронизированные учетные записи пользователей в идентификаторе Microsoft Entra необходимы для выполнения назначения лицензий и управления группами, настройки разрешений и других административных задач, связанных с учетными записями пользователей.

Синхронизация гибридных удостоверений и каталогов для Microsoft 365

В зависимости от бизнес-потребностей и технических требований модель гибридной идентификации и синхронизация каталогов являются наиболее распространенным вариантом для корпоративных клиентов, которые внедряют Microsoft 365. Синхронизация каталогов позволяет управлять удостоверениями в доменные службы Active Directory (AD DS), а все обновления учетных записей пользователей, групп и контактов синхронизируются с клиентом Microsoft Entra подписки Microsoft 365.

Примечание.

Когда учетные записи пользователей AD DS синхронизируются в первый раз, им не назначается автоматически лицензия Microsoft 365 и они не могут получить доступ к службам Microsoft 365, таким как электронная почта. Сначала необходимо назначить им место использования. Затем назначьте лицензию этим учетным записям пользователей индивидуально или динамически через членство в группе.

Проверка подлинности для гибридного удостоверения

При использовании гибридной модели удостоверения существует два типа проверки подлинности:

  • Управляемая проверка подлинности

    Microsoft Entra идентификатор обрабатывает процесс проверки подлинности, используя локально сохраненную хэшированную версию пароля, или отправляет учетные данные локальному агенту программного обеспечения для проверки подлинности в локальной службе AD DS.

  • Федеративная проверка подлинности

    Microsoft Entra идентификатор перенаправляет клиентский компьютер, запрашивающий проверку подлинности, другому поставщику удостоверений.

Управляемая проверка подлинности

Существует два типа управляемой проверки подлинности:

  • Синхронизация хэша паролей (PHS)

    Microsoft Entra идентификатор выполняет проверку подлинности самостоятельно.

  • Сквозная проверка подлинности (PTA)

    Microsoft Entra идентификатора служба AD DS выполняет проверку подлинности.

Синхронизация хэша паролей (PHS)

С помощью PHS вы синхронизируете учетные записи пользователей AD DS с Microsoft 365 и управляете пользователями в локальной среде. Хэши паролей пользователей синхронизируются из AD DS с идентификатором Microsoft Entra, чтобы пользователи имели одинаковый пароль локально и в облаке. Это самый простой способ включить проверку подлинности для удостоверений AD DS в Microsoft Entra id.

Синхронизация хэша паролей (PHS).

При изменении или сбросе паролей в локальной среде новые хэши паролей синхронизируются с идентификатором Microsoft Entra, чтобы пользователи всегда могли использовать один и тот же пароль для облачных ресурсов и локальных ресурсов. Пароли пользователей никогда не отправляются в Microsoft Entra идентификатор или не сохраняются в Microsoft Entra идентификаторе в виде ясного текста. Для некоторых функций ценовой категории "Премиум" идентификатора Microsoft Entra, таких как защита идентификации, требуется phS независимо от выбранного метода проверки подлинности.

Дополнительные сведения см. в статье Выбор правильного метода проверки подлинности .

Сквозная проверка подлинности (PTA)

PTA обеспечивает простую проверку пароля для служб проверки подлинности Microsoft Entra с помощью агента программного обеспечения, работающего на одном или нескольких локальных серверах, для проверки пользователей непосредственно в ad DS. С помощью PTA вы синхронизируете учетные записи пользователей AD DS с Microsoft 365 и управляете пользователями в локальной среде.

Сквозная проверка подлинности (PTA).

PTA позволяет пользователям входить в локальные ресурсы и приложения Microsoft 365, используя локальную учетную запись и пароль. Эта конфигурация проверяет пароли пользователей непосредственно в локальных доменных службах Active Directory без сохранения хэшей паролей в Microsoft Entra идентификаторе.

PTA также предназначен для организаций с требованием безопасности немедленно применять состояния локальных учетных записей пользователей, политики паролей и часы входа.

Дополнительные сведения см. в статье Выбор правильного метода проверки подлинности .

Федеративная проверка подлинности

Федеративная проверка подлинности в основном предназначена для крупных корпоративных организаций с более сложными требованиями к проверке подлинности. Удостоверения AD DS синхронизируются с Microsoft 365, а учетные записи пользователей управляются локально. При федеративной проверке подлинности пользователи имеют один и тот же пароль локально и в облаке, и им не нужно повторно входить в систему, чтобы использовать Microsoft 365.

Федеративная проверка подлинности может поддерживать дополнительные требования к проверке подлинности, например проверку подлинности на основе смарт-карт или стороннюю многофакторную проверку подлинности, и обычно требуется, если в организациях есть требование проверки подлинности, не поддерживаемое Microsoft Entra идентификатором.

Дополнительные сведения см. в статье Выбор правильного метода проверки подлинности .

Для сторонних поставщиков проверки подлинности и удостоверений локальные объекты каталогов могут быть синхронизированы с Microsoft 365 и доступом к облачным ресурсам, которые в основном управляются сторонним поставщиком удостоверений (IdP). Если ваша организация использует стороннее решение федерации, вы можете настроить вход в это решение для Microsoft 365 при условии, что стороннее решение федерации совместимо с идентификатором Microsoft Entra.

Дополнительные сведения см. в списке совместимости Microsoft Entra федерации.

Администрирование

Так как исходные и полномочные учетные записи пользователей хранятся в локальных доменных службах Active Directory, вы управляете удостоверениями с помощью того же средства, что и ad DS.

Вы не используете Центр администрирования Microsoft 365 или PowerShell для Microsoft 365 для управления синхронизированными учетными записями пользователей в Microsoft Entra идентификаторе.

Следующее действие

Защита привилегированных учетных записей Microsoft 365

Перейдите к шагу 2 , чтобы защитить учетные записи глобального администратора.