Что собой представляет гибридная идентификация с использованием Azure Active Directory

Сегодня предприятия и организации все чаще комбинируют локальные и облачные приложения. Пользователям требуется доступ к этим приложениям как локально, так и в облаке. Управление пользователями и в локальной среде, и в облаке — непростая задача.

Решения корпорации Майкрософт для идентификации охватывают как локальные, так и облачные сценарии. Они позволяют создавать общие пользовательские удостоверения для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения. Мы называем это гибридной идентификацией.

Гибридная идентификация Azure AD и механизм управления ею позволяют реализовать такие сложные сценарии.

Обеспечить гибридную идентификацию с использованием Azure AD можно с помощью одного из трех методов проверки подлинности в зависимости от сценария. Доступны следующие методы:

Эти методы проверки подлинности также предоставляют возможности единого входа. Единый вход обеспечивает пользователям автоматический вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.

См. дополнительные сведения о выборе правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.

Распространенные сценарии и рекомендации

В этом разделе приводится несколько распространенных сценариев гибридной идентификации и контроля доступа с рекомендациями по выбору оптимального варианта (вариантов) гибридной идентификации в каждом конкретном случае.

Мне нужно: PHS и SSO1 PTA и SSO2 AD FS3
Автоматически синхронизировать с облаком новые учетные записи пользователей, контакты и группы, создаваемые в моем локальном каталоге Active Directory Рекомендуемая Рекомендуется Рекомендуемая
Настроить клиент для гибридных сценариев Microsoft 365. Рекомендуемая Рекомендуется Рекомендуемая
Разрешить моим пользователям выполнять вход и обращаться к облачным службам с помощью локального пароля. Рекомендуемая Рекомендуется Рекомендуемая
Реализовать единый вход с использованием учетных данных организации. Рекомендуемая Рекомендуется Рекомендуемая
Обеспечить хранение хэша паролей вне облака. Рекомендуемая Рекомендуемая
Использовать облачные решения для многофакторной проверки подлинности. Рекомендуемая Рекомендуется Рекомендуемая
Использовать локальные решения для Многофакторной идентификации. Рекомендуемая
Поддержка проверки подлинности со смарт-картами для моих пользователей4. Рекомендуется

1 Синхронизация хэша паролей с помощью единого входа.

2 Сквозная проверка подлинности и единый вход.

3 Федеративный единый вход с помощью AD FS.

4 AD FS можно интегрировать с корпоративной инфраструктурой PKI, чтобы разрешить вход с помощью сертификатов. Это могут быть программные сертификаты, развернутые с помощью доверенного канала подготовки, например MDM, GPO, или смарт-сертификаты (включая карты PIV/CAC) или Hello для бизнеса (доверенный сертификат). Дополнительные сведения о поддержке проверки подлинности с использованием смарт-карт см. в этом блоге.

Лицензионные требования для Azure AD Connect

Эта функция бесплатна и доступна в вашей подписке Azure.

Дальнейшие действия