Contoso Corporation için kimlik

  • Makale

Microsoft, Microsoft Entra Kimliği aracılığıyla bulut tekliflerinde Hizmet Olarak Kimlik (IDaaS) sağlar. Kuruluş için Microsoft 365'i benimsemek için Contoso IDaaS çözümünün şirket içi kimlik sağlayıcısını kullanması ve mevcut güvenilir, üçüncü taraf kimlik sağlayıcılarıyla federasyon kimlik doğrulamasını içermesi gerekiyordu.

Contoso Active Directory Domain Services ormanı

Contoso, dünyanın her bölgesi için bir tane olmak üzere yedi alt etki alanına sahip contoso.com için tek bir Active Directory Domain Services (AD DS) ormanı kullanır. Genel merkez, bölgesel merkez ofisleri ve uydu ofisleri yerel kimlik doğrulaması ve yetkilendirme için etki alanı denetleyicileri içerir.

Burada, dünyanın bölgesel merkezler içeren farklı bölümleri için bölgesel etki alanlarının bulunduğu Contoso ormanı yer alır.

Contoso'nun dünya genelindeki ormanı ve etki alanları.

Contoso, Microsoft 365 iş yükleri ve hizmetleri için kimlik doğrulaması ve yetkilendirme için contoso.com ormanındaki hesapları ve grupları kullanmaya karar verdi.

Contoso federasyon kimlik doğrulaması altyapısı

Contoso şunları sağlar:

  • Müşteriler şirketin genel web sitesinde oturum açmak için Microsoft, Facebook veya Google Mail hesaplarını kullanır.
  • Satıcılar ve iş ortakları LinkedIn, Salesforce veya Google Mail hesaplarını kullanarak şirketin iş ortağı extranetinde oturum açar.

Genel web sitesini, iş ortağı extranetini ve bir dizi Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sunucusunu içeren Contoso DMZ aşağıdadır. DMZ, müşterileri, iş ortaklarını ve internet hizmetlerini içeren İnternet'e bağlıdır.

Müşteriler ve iş ortakları için federasyon kimlik doğrulaması için Contoso desteği.

DMZ'deki AD FS sunucuları, genel web sitesine erişim için kimlik sağlayıcıları tarafından müşteri kimlik bilgilerinin ve iş ortağı extranetine erişim için iş ortağı kimlik bilgilerinin kimlik doğrulamasını kolaylaştırır.

Contoso bu altyapıyı kullanmaya ve bunu müşteri ve iş ortağı kimlik doğrulamasına ayırmaya karar verdi. Contoso kimlik mimarları bu altyapının Microsoft Entra B2B ve B2C çözümlerine dönüştürülmesiyle ilgili araştırma yürütmektedir.

Bulut tabanlı kimlik doğrulaması için parola karması eşitlemesi ile karma kimlik

Contoso, Microsoft 365 bulut kaynaklarına kimlik doğrulaması için şirket içi AD DS ormanını kullanmak istedi. Parola karması eşitlemesini (PHS) kullanmaya karar verdi.

PHS, şirket içi AD DS ormanını kurumsal abonelik için Microsoft 365'in Microsoft Entra kiracısıyla eşitler, kullanıcı ve grup hesaplarını kopyalar ve kullanıcı hesabı parolalarının karma sürümünü kopyalar.

Contoso, dizin eşitlemesi yapmak için Microsoft Entra Connect aracını Paris veri merkezinde bir sunucuya dağıttı.

Aşağıda Connect Microsoft Entra çalıştıran sunucu Contoso AD DS ormanında değişiklikler olup olmadığını yoklar ve ardından bu değişiklikleri Microsoft Entra kiracıyla eşitler.

Contoso PHS dizin eşitleme altyapısı.

Sıfır Güven kimliği ve cihaz erişimi için Koşullu Erişim ilkeleri

Contoso, üç koruma düzeyi için bir dizi Microsoft Entra Kimliği ve Intune Koşullu Erişim ilkesi oluşturmuştur:

  • Başlangıç noktası korumaları tüm kullanıcı hesapları için geçerlidir.
  • Kurumsal korumalar üst düzey liderlik ve yönetici personel için geçerlidir.
  • Özel güvenlik korumaları, yüksek oranda düzenlenmiş verilere erişimi olan finans, hukuk ve araştırma departmanlarındaki belirli kullanıcılar için geçerlidir.

Contoso kimliği ve cihaz Koşullu Erişim ilkelerinin sonucunda elde edilen küme aşağıdadır.

Contoso'nun kimlik ve cihaz Koşullu Erişim ilkeleri.

Sonraki adım

Contoso'un kuruluş genelinde geçerli Windows 10 Enterprise dağıtmak ve tutmak için Microsoft Endpoint Configuration Manager altyapısını nasıl kullandığını öğrenin.

Ayrıca bkz.

Microsoft 365 için kimlik dağıtma

Microsoft 365 Kurumsal’a genel bakış

Test laboratuvarı kılavuzları