Aracılığıyla paylaş

Contoso Corporation için kimlik

  • Makale

Microsoft, Microsoft Entra Id aracılığıyla bulut tekliflerinde Hizmet Olarak Kimlik (IDaaS) sağlar. Kuruluş için Microsoft 365'i benimsemek için Contoso IDaaS çözümünün şirket içi kimlik sağlayıcısını kullanması ve mevcut güvenilir, üçüncü taraf kimlik sağlayıcılarıyla federasyon kimlik doğrulamasını içermesi gerekiyordu.

Contoso Active Directory Etki Alanı Hizmetleri ormanı

Contoso, dünyanın her bölgesi için bir tane olmak üzere yedi alt etki alanına sahip contoso.com için tek bir Active Directory Etki Alanı Hizmetleri (AD DS) ormanı kullanır. Genel merkez, bölgesel merkez ofisleri ve uydu ofisleri yerel kimlik doğrulaması ve yetkilendirme için etki alanı denetleyicileri içerir.

Burada, dünyanın bölgesel merkezler içeren farklı bölümleri için bölgesel etki alanlarının bulunduğu Contoso ormanı yer alır.

Contoso'nun dünya genelindeki ormanı ve etki alanları.

Contoso, Microsoft 365 iş yükleri ve hizmetleri için kimlik doğrulaması ve yetkilendirme için contoso.com ormanındaki hesapları ve grupları kullanmaya karar verdi.

Contoso federasyon kimlik doğrulaması altyapısı

Contoso şunları sağlar:

  • Müşteriler şirketin genel web sitesinde oturum açmak için Microsoft, Facebook veya Google Mail hesaplarını kullanır.
  • Satıcılar ve iş ortakları LinkedIn, Salesforce veya Google Mail hesaplarını kullanarak şirketin iş ortağı extranetinde oturum açar.

Burada genel bir web sitesi, iş ortağı extraneti ve bir dizi Active Directory Federasyon Hizmetleri (AD FS) sunucusu içeren Contoso DMZ yer alır. DMZ, müşterileri, iş ortaklarını ve internet hizmetlerini içeren İnternet'e bağlıdır.

Müşteriler ve iş ortakları için federasyon kimlik doğrulaması için Contoso desteği.

DMZ'deki AD FS sunucuları, genel web sitesine erişim için kimlik sağlayıcıları tarafından müşteri kimlik bilgilerinin ve iş ortağı extranetine erişim için iş ortağı kimlik bilgilerinin kimlik doğrulamasını kolaylaştırır.

Contoso bu altyapıyı kullanmaya ve bunu müşteri ve iş ortağı kimlik doğrulamasına ayırmaya karar verdi. Contoso kimlik mimarları bu altyapının Microsoft Entra B2B ve B2C çözümlerine dönüştürülmesiyle ilgili araştırma yürütmektedir.

Bulut tabanlı kimlik doğrulaması için parola karması eşitlemesi ile karma kimlik

Contoso, Microsoft 365 bulut kaynaklarına kimlik doğrulaması için şirket içi AD DS ormanını kullanmak istedi. Parola karması eşitlemesini (PHS) kullanmaya karar verdi.

PHS, şirket içi AD DS ormanını kurumsal abonelik için Microsoft 365'in Microsoft Entra kiracısıyla eşitler, kullanıcı ve grup hesaplarını kopyalar ve kullanıcı hesabı parolalarının karma sürümünü kopyalar.

Contoso, dizin eşitlemesi yapmak için Microsoft Entra Connect aracını Paris veri merkezinde bir sunucuya dağıttı.

Microsoft Entra Connect çalıştıran ve Contoso AD DS ormanını değişiklikler için yoklayan ve ardından bu değişiklikleri Microsoft Entra kiracısıyla eşitleyen sunucu aşağıdadır.

Contoso PHS dizin eşitleme altyapısı.

Sıfır Güven kimliği ve cihaz erişimi için Koşullu Erişim ilkeleri

Contoso, üç koruma düzeyi için bir dizi Microsoft Entra Id ve Intune Koşullu Erişim ilkesi oluşturmuştur:

  • Başlangıç noktası korumaları tüm kullanıcı hesapları için geçerlidir.
  • Kurumsal korumalar üst düzey liderlik ve yönetici personel için geçerlidir.
  • Özel güvenlik korumaları, yüksek oranda düzenlenmiş verilere erişimi olan finans, hukuk ve araştırma departmanlarındaki belirli kullanıcılar için geçerlidir.

Contoso kimliği ve cihaz Koşullu Erişim ilkelerinin sonucunda elde edilen küme aşağıdadır.

Contoso'nun kimlik ve cihaz Koşullu Erişim ilkeleri.

Sonraki adım

Contoso'nın microsoft endpoint configuration manager altyapısını kullanarak kuruluşunuz genelinde geçerli Windows 10 Enterprise'ı dağıtmayı ve saklamayı öğrenin.

Ayrıca bkz.

Microsoft 365 için kimlik dağıtma

Microsoft 365 Kurumsal’a genel bakış