Что собой представляет гибридная идентификация с использованием Azure Active Directory

Сегодня предприятия и организации все чаще комбинируют локальные и облачные приложения. Пользователям требуется доступ к этим приложениям как локально, так и в облаке. Управление пользователями и в локальной среде, и в облаке — непростая задача.

Решения корпорации Майкрософт для идентификации охватывают как локальные, так и облачные сценарии. Они позволяют создавать общие пользовательские удостоверения для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения. Мы называем это гибридной идентификацией.

Гибридная идентификация Azure AD и механизм управления ею позволяют реализовать такие сложные сценарии.

Обеспечить гибридную идентификацию с использованием Azure AD можно с помощью одного из трех методов проверки подлинности в зависимости от сценария. Доступны следующие методы:

Эти методы проверки подлинности также предоставляют возможности единого входа. Единый вход обеспечивает пользователям автоматический вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.

См. дополнительные сведения о выборе правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.

Распространенные сценарии и рекомендации

В этом разделе приводится несколько распространенных сценариев гибридной идентификации и контроля доступа с рекомендациями по выбору оптимального варианта (вариантов) гибридной идентификации в каждом конкретном случае.

Мне нужно: PHS и SSO1 PTA и SSO2 AD FS3
Автоматически синхронизировать с облаком новые учетные записи пользователей, контакты и группы, создаваемые в моем локальном каталоге Active Directory Recommended Recommended Recommended
Настроить клиент для гибридных сценариев Microsoft 365. Recommended Recommended Recommended
Разрешить моим пользователям выполнять вход и обращаться к облачным службам с помощью локального пароля. Recommended Recommended Recommended
Реализовать единый вход с использованием учетных данных организации. Recommended Recommended Recommended
Обеспечить хранение хэша паролей вне облака. Recommended Recommended
Использовать облачные решения для многофакторной проверки подлинности. Recommended Recommended Recommended
Использовать локальные решения для Многофакторной идентификации. Recommended
Обеспечить поддержку проверки подлинности с использованием смарт-карт4. Recommended
Отображать уведомления об истечения срока действия пароля на портале Office и на рабочем столе Windows 10. Recommended

1 Синхронизация хэша паролей (PHS) и единый вход (SSO).

2 Сквозная проверка подлинности и единый вход.

3 Федеративный единый вход с AD FS.

4 AD FS можно интегрировать с корпоративной инфраструктурой открытых ключей PKI, чтобы разрешить вход с использованием сертификатов. Это могут быть программные сертификаты, развернутые с помощью доверенного канала подготовки, например MDM, GPO, или смарт-сертификаты (включая карты PIV/CAC) или Hello для бизнеса (доверенный сертификат). Дополнительные сведения о поддержке проверки подлинности с использованием смарт-карт см. в этом блоге.

Лицензионные требования для Azure AD Connect

Эта функция бесплатна и доступна в вашей подписке Azure.

Дальнейшие действия