Этап 3. Удостоверение для клиентов Microsoft 365 для предприятий
Ваш клиент Microsoft 365 включает клиент Microsoft Entra для управления удостоверениями и проверкой подлинности для входа. Правильная настройка инфраструктуры удостоверений имеет жизненно важное значение для управления доступом и разрешениями пользователей Microsoft 365 для вашей организации.
Только для облака и гибридного использования
Ниже приведены два типа моделей идентификации и их лучшее соответствие и преимущества.
| Модель | Описание | Проверка подлинности учетных данных пользователя в Microsoft 365 | Лучше всего подходит для | Наибольшее преимущество |
|---|---|---|---|---|
| Только облако | Учетная запись пользователя существует только в клиенте Microsoft Entra для клиента Microsoft 365. | Клиент Microsoft Entra для клиента Microsoft 365 выполняет проверку подлинности с помощью учетной записи облачного удостоверения. | Организации, которые не имеют или не нуждаются в локальная служба Active Directory. | Простой в использовании. Дополнительные средства каталогов или серверы не требуются. |
| Гибридную | Учетная запись пользователя существует в локальная служба Active Directory Доменные службы (AD DS), а копия также находится в клиенте Microsoft Entra для клиента Microsoft 365. Microsoft Entra Connect выполняется на локальном сервере для синхронизации изменений AD DS с клиентом Microsoft Entra. Учетная запись пользователя в Microsoft Entra идентификаторе также может содержать хэшированную версию уже хэшированного пароля учетной записи ad DS. | Клиент Microsoft Entra для клиента Microsoft 365 либо обрабатывает процесс проверки подлинности, либо перенаправляет пользователя к другому поставщику удостоверений. | Организации, использующие AD DS или другой поставщик удостоверений. | Пользователи могут использовать одни и те же учетные данные при доступе к локальным или облачным ресурсам. |
Ниже приведены основные компоненты облачного удостоверения.
На этом рисунке локальные и удаленные пользователи входят с учетными записями в клиенте Microsoft Entra клиента Microsoft 365.
Ниже приведены основные компоненты гибридного удостоверения.
На этом рисунке локальные и удаленные пользователи входят в свой клиент Microsoft 365 с учетными записями в клиенте Microsoft Entra, скопированными из локальной службы AD DS.
Синхронизация локальных доменных служб Active Directory
В зависимости от бизнес-потребностей и технических требований модель гибридной идентификации и синхронизация каталогов являются наиболее распространенным вариантом для корпоративных клиентов, которые внедряют Microsoft 365. Синхронизация каталогов позволяет управлять удостоверениями в AD DS, а все обновления учетных записей пользователей, групп и контактов синхронизируются с клиентом Microsoft Entra клиента Microsoft 365.
Примечание.
Когда учетные записи пользователей AD DS синхронизируются в первый раз, им не назначается автоматически лицензия Microsoft 365 и они не могут получить доступ к службам Microsoft 365, таким как электронная почта. Сначала необходимо назначить им место использования. Затем назначьте лицензию этим учетным записям пользователей индивидуально или динамически через членство в группе.
Ниже приведены два типа проверки подлинности при использовании модели гибридной идентификации.
| Тип проверки подлинности | Описание |
|---|---|
| Управляемая проверка подлинности | Microsoft Entra идентификатор обрабатывает процесс проверки подлинности, используя локально сохраненную хэшированную версию пароля или отправляет учетные данные локальному программному агенту для проверки подлинности локальными службами ACTIVE DS. Существует два типа управляемой проверки подлинности: синхронизация хэша паролей (PHS) и сквозная проверка подлинности (PTA). При использовании PHS Microsoft Entra ID выполняет проверку подлинности самостоятельно. При использовании PTA Microsoft Entra id имеет AD DS выполняют проверку подлинности. |
| Федеративная проверка подлинности | Microsoft Entra идентификатор перенаправляет клиентский компьютер, запрашивающий проверку подлинности, другому поставщику удостоверений. |
Дополнительные сведения см. в статье Выбор правильного метода проверки подлинности .
Применение строгих входов
Чтобы повысить безопасность входа пользователей, используйте функции и возможности, приведенные в следующей таблице.
| Возможность | Описание | Дополнительная информация | Требования к лицензированию |
|---|---|---|---|
| Windows Hello для бизнеса | Заменяет пароли строгой двухфакторной проверкой подлинности при входе на устройстве Windows. Два фактора — это новый тип учетных данных пользователей, который связан с устройством и биометрией или ПИН-кодом. | Общие сведения о Windows Hello для бизнеса | Microsoft 365 E3 или E5 |
| Защита паролем Microsoft Entra | Обнаруживает и блокирует известные ненадежные пароли и их варианты, а также может блокировать дополнительные слабые термины, характерные для вашей организации. | Настройка защиты Microsoft Entra паролем | Microsoft 365 E3 или E5 |
| Используйте многофакторную проверку подлинности (MFA) | Для многофакторной проверки подлинности требуется, чтобы при входе пользователя в систему не указывалось пароль учетной записи пользователя, например для проверки с помощью приложения для смартфона или текстового сообщения, отправленного на смартфон. Инструкции по настройке MFA см. в этом видео . | MFA для Microsoft 365 для предприятий | Microsoft 365 E3 или E5 |
| Конфигурации доступа для удостоверений и устройств | Параметры и политики, состоящие из рекомендуемых компонентов и их параметров в сочетании с условным доступом, Intune и Защита Microsoft Entra ID политиками, определяющими, следует ли предоставлять заданный запрос на доступ и при каких условиях. | Конфигурации доступа для удостоверений и устройств | Microsoft 365 E3 или E5 |
| Защита Microsoft Entra ID | Защита от компрометации учетных данных, когда злоумышленник определяет имя и пароль учетной записи пользователя, чтобы получить доступ к облачным службам и данным организации. | Защита Microsoft Entra ID | Microsoft 365 E5 или Microsoft 365 E3 с надстройкой "Защита от угроз & удостоверений" |
Результаты шага 3
Для удостоверения клиента Microsoft 365 вы определили следующее:
- Какую модель удостоверений использовать.
- Как вы будете обеспечивать надежный доступ пользователей и устройств.
Ниже приведен пример клиента с выделенными новыми элементами гибридного удостоверения.
На этом рисунке у клиента есть:
- Лес AD DS, который синхронизируется с клиентом Microsoft Entra с помощью сервера синхронизации каталогов и Microsoft Entra Connect.
- Копия учетных записей пользователей AD DS и других объектов из леса AD DS.
- Набор политик условного доступа для обеспечения безопасного входа пользователей и доступа на основе учетной записи пользователя.
Текущее обслуживание удостоверений
На постоянной основе может потребоваться:
- Добавление или изменение учетных записей пользователей и групп. Для облачных удостоверений вы обслуживаете облачных пользователей и группы с помощью Microsoft Entra средств, таких как Центр администрирования Microsoft 365 или PowerShell. Для гибридных удостоверений вы обслуживаете локальных пользователей и группы с помощью средств AD DS.
- Добавьте или измените конфигурацию доступа к удостоверениям и устройствам, чтобы обеспечить соблюдение требований к безопасности при входе.
Следующее действие
Продолжайте миграцию , чтобы перенести локальные серверы Office и их данные в Microsoft 365.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по