Dela via


Steg 1. Fastställa din molnidentitetsmodell

Ta en titt på allt vårt småföretagsinnehåll om småföretagshjälp & utbildning.

Microsoft 365 använder Microsoft Entra-ID, en molnbaserad tjänst för användaridentitet och autentisering som ingår i din Microsoft 365-prenumeration, för att hantera identiteter och autentisering för Microsoft 365. Det är viktigt att du konfigurerar identitetsinfrastrukturen på rätt sätt för att hantera Microsoft 365-användaråtkomst och -behörigheter för din organisation.

Innan du börjar watch den här videon för en översikt över identitetsmodeller och autentisering för Microsoft 365.

Ditt första planeringsalternativ är din molnidentitetsmodell.

Microsofts molnidentitetsmodeller

Om du vill planera för användarkonton måste du först förstå de två identitetsmodellerna i Microsoft 365. Du kan endast underhålla organisationens identiteter i molnet, eller så kan du behålla dina lokal Active Directory Domain Services-identiteter (AD DS) och använda dem för autentisering när användare får åtkomst till Microsoft 365-molntjänster.

Här är de två typerna av identiteter och deras bästa passform och fördelar.

Attribut Identitet endast för molnet Hybrididentitet
Definition Användarkontot finns bara i den Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration. Användarkontot finns i AD DS och en kopia finns också i Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration. Användarkontot i Microsoft Entra-ID kan också innehålla en hash-version av det redan hashade AD DS-användarkontolösenordet.
Så här autentiserar Microsoft 365 användarautentiseringsuppgifter Den Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration utför autentiseringen med molnidentitetskontot. Den Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration hanterar antingen autentiseringsprocessen eller omdirigerar användaren till en annan identitetsprovider.
Bäst för Organisationer som inte har eller behöver en lokal AD DS. Organisationer som använder AD DS eller en annan identitetsprovider.
Största fördelen Enkelt att använda. Inga extra katalogverktyg eller servrar krävs. Användare kan använda samma autentiseringsuppgifter vid åtkomst till lokala eller molnbaserade resurser.

Identitet endast för molnet

En molnbaserad identitet använder användarkonton som bara finns i Microsoft Entra ID. Identitet endast för molnet används vanligtvis av små organisationer som inte har lokala servrar eller inte använder AD DS för att hantera lokala identiteter.

Här är de grundläggande komponenterna i molnbaserad identitet.

Grundläggande komponenter för molnbaserad identitet.

Både lokala och fjärranslutna användare (online) använder sina Microsoft Entra användarkonton och lösenord för att få åtkomst till Microsoft 365-molntjänster. Microsoft Entra autentiserar användarautentiseringsuppgifter baserat på dess lagrade användarkonton och lösenord.

Administration

Eftersom användarkonton endast lagras i Microsoft Entra-ID hanterar du molnidentiteter med verktyg som Administrationscenter för Microsoft 365 och Windows PowerShell.

Hybrididentitet

Hybrididentitet använder konton som har sitt ursprung i en lokal AD DS och har en kopia i Microsoft Entra klientorganisation för en Microsoft 365-prenumeration. De flesta ändringar, med undantag för specifika kontoattribut, flödar bara på ett sätt. Ändringar som du gör i AD DS-användarkonton synkroniseras med deras kopia i Microsoft Entra-ID.

Microsoft Entra Connect tillhandahåller den pågående kontosynkroniseringen. Den körs på en lokal server, söker efter ändringar i AD DS och vidarebefordrar ändringarna till Microsoft Entra-ID. Microsoft Entra Connect ger möjlighet att filtrera vilka konton som synkroniseras och om du vill synkronisera en hash-version av användarlösenord, så kallad synkronisering av lösenordshash (PHS).

När du implementerar hybrididentitet är din lokala AD DS den auktoritativa källan för kontoinformation. Det innebär att du utför administrationsuppgifter främst lokalt, som sedan synkroniseras till Microsoft Entra-ID.

Här är komponenterna i hybrididentiteten.

Komponenter i hybrididentitet.

Den Microsoft Entra klientorganisationen har en kopia av AD DS-kontona. I den här konfigurationen autentiseras både lokala och fjärranslutna användare som har åtkomst till Microsoft 365-molntjänster mot Microsoft Entra-ID.

Obs!

Du måste alltid använda Microsoft Entra Connect för att synkronisera användarkonton för hybrididentitet. Du behöver synkroniserade användarkonton i Microsoft Entra-ID för att utföra licenstilldelning och grupphantering, konfigurera behörigheter och andra administrativa uppgifter som omfattar användarkonton.

Hybrididentitet och katalogsynkronisering för Microsoft 365

Beroende på dina affärsbehov och tekniska krav är hybrididentitetsmodellen och katalogsynkroniseringen det vanligaste valet för företagskunder som använder Microsoft 365. Med katalogsynkronisering kan du hantera identiteter i din Active Directory Domain Services (AD DS) och alla uppdateringar av användarkonton, grupper och kontakter synkroniseras med Microsoft Entra klientorganisationen för din Microsoft 365-prenumeration.

Obs!

När AD DS-användarkonton synkroniseras för första gången tilldelas de inte automatiskt en Microsoft 365-licens och kan inte komma åt Microsoft 365-tjänster, till exempel e-post. Du måste först tilldela dem en användningsplats. Tilldela sedan en licens till dessa användarkonton, antingen individuellt eller dynamiskt via gruppmedlemskap.

Autentisering för hybrididentitet

Det finns två typer av autentisering när du använder hybrididentitetsmodellen:

  • Hanterad autentisering

    Microsoft Entra ID hanterar autentiseringsprocessen med hjälp av en lokalt lagrad hashversion av lösenordet eller skickar autentiseringsuppgifterna till en lokal programvaruagent som ska autentiseras av den lokala AD DS.

  • Federerad autentisering

    Microsoft Entra ID omdirigerar klientdatorn och begär autentisering till en annan identitetsprovider.

Hanterad autentisering

Det finns två typer av hanterad autentisering:

  • Synkronisering av lösenordshash (PHS)

    Microsoft Entra ID utför själva autentiseringen.

  • Direktautentisering (PTA)

    Microsoft Entra ID:t har AD DS utför autentiseringen.

Synkronisering av lösenordshash (PHS)

Med PHS synkroniserar du dina AD DS-användarkonton med Microsoft 365 och hanterar dina användare lokalt. Hashvärden för användarlösenord synkroniseras från din AD DS till Microsoft Entra ID så att användarna har samma lösenord lokalt och i molnet. Det här är det enklaste sättet att aktivera autentisering för AD DS-identiteter i Microsoft Entra-ID.

Synkronisering av lösenordshash (PHS).

När lösenord ändras eller återställs lokalt synkroniseras de nya lösenordshashvärdena till Microsoft Entra ID så att användarna alltid kan använda samma lösenord för molnresurser och lokala resurser. Användarlösenorden skickas aldrig till Microsoft Entra-ID eller lagras i Microsoft Entra-ID i klartext. Vissa premiumfunktioner i Microsoft Entra-ID, till exempel Identity Protection, kräver PHS oavsett vilken autentiseringsmetod som väljs.

Mer information finns i Välja rätt autentiseringsmetod .

Direktautentisering (PTA)

PTA tillhandahåller en enkel lösenordsverifiering för Microsoft Entra autentiseringstjänster med hjälp av en programvaruagent som körs på en eller flera lokala servrar för att verifiera användarna direkt med din AD DS. Med PTA synkroniserar du AD DS-användarkonton med Microsoft 365 och hanterar dina användare lokalt.

Direktautentisering (PTA).

MED PTA kan användarna logga in på både lokala resurser och Microsoft 365-resurser och -program med sitt lokala konto och lösenord. Den här konfigurationen validerar användarnas lösenord direkt mot din lokala AD DS utan att lagra lösenordshashvärden i Microsoft Entra-ID.

PTA är också till för organisationer med ett säkerhetskrav för att omedelbart framtvinga lokala användarkontotillstånd, lösenordsprinciper och inloggningstimmar.

Mer information finns i Välja rätt autentiseringsmetod .

Federerad autentisering

Federerad autentisering är främst för stora företagsorganisationer med mer komplexa autentiseringskrav. AD DS-identiteter synkroniseras med Microsoft 365 och användarkonton hanteras lokalt. Med federerad autentisering har användarna samma lösenord lokalt och i molnet och de behöver inte logga in igen för att använda Microsoft 365.

Federerad autentisering kan stödja ytterligare autentiseringskrav, till exempel smartkortsbaserad autentisering eller multifaktorautentisering från tredje part och krävs vanligtvis när organisationer har ett autentiseringskrav som inte stöds internt av Microsoft Entra ID.

Mer information finns i Välja rätt autentiseringsmetod .

För tredjepartsautentisering och identitetsprovidrar kan lokala katalogobjekt synkroniseras med Microsoft 365 och åtkomst till molnresurser som främst hanteras av en identitetsprovider från tredje part (IdP). Om din organisation använder en federationslösning från tredje part kan du konfigurera inloggning med den lösningen för Microsoft 365 förutsatt att federationslösningen från tredje part är kompatibel med Microsoft Entra ID.

Mer information finns i kompatibilitetslistan för Microsoft Entra federation.

Administration

Eftersom de ursprungliga och auktoritativa användarkontona lagras i den lokala AD DS hanterar du dina identiteter med samma verktyg som du hanterar din AD DS.

Du använder inte Administrationscenter för Microsoft 365 eller PowerShell för Microsoft 365 för att hantera synkroniserade användarkonton i Microsoft Entra-ID.

Nästa steg

Skydda dina Microsoft 365-privilegierade konton

Fortsätt med steg 2 för att skydda dina globala administratörskonton.