步驟 1. 確定您的雲端身分識別模型
查看 Small Business 說明 & 學習的所有小型企業內容。
Microsoft 365 使用 Azure Active Directory (Azure AD),一種雲端式使用者身分識別和驗證服務,包含在您的 Microsoft 365 訂閱中,用於管理 Microsoft 365 的身分識別和驗證。 正確設定身分識別基礎結構對於管理貴組織的 Microsoft 365 使用者存取和權限至關重要。
開始之前,請觀看這段影片,以大略了解身分識別模型和 Microsoft 365 的驗證。
您的第一個規劃選擇是雲端身分識別模型。
Microsoft 雲端身分識別模型
若要規劃使用者帳戶,首先需要了解 Microsoft 365 中的兩種身分識別模型。 您可以僅在雲端中維護貴組織的身分識別,也可以維護內部部署的 Active Directory Domain Services (AD DS) 身分識別,並在使用者存取 Microsoft 365 雲端服務時將其用於驗證。
以下是兩種類型的身分識別以及它們的最佳適用案例和權益。
| Attribute | 僅雲端身分識別 | 混合式身分識別 |
|---|---|---|
| 定義 | 使用者帳戶僅存在於 Microsoft 365 訂閱的 Azure AD 租用戶中。 | AD DS 中存在使用者帳戶,Microsoft 365 訂閱的 Azure AD 租用戶中也存在複本。 Azure AD 中的使用者帳戶可能還包含已雜湊 AD DS 使用者帳戶密碼的雜湊版本。 |
| Microsoft 365 如何驗證使用者認證 | Microsoft 365 訂閱的 Azure AD 租用戶使用雲端身分識別帳戶執行驗證。 | Microsoft 365 訂閱的 Azure AD 租用戶處理驗證程序或將使用者重新導向至其他識別提供者。 |
| 適用 | 沒有或需要內部部署 AD DS 的組織。 | 使用 AD DS 或其他識別提供者的組織。 |
| 最佳權益 | 簡單易用。 不需要額外的目錄工具或伺服器。 | 使用者在存取內部部署或雲端式資源時可以使用相同的認證。 |
僅雲端身分識別
僅雲端身分識別會使用僅存在於 Azure AD 中的使用者帳戶。 僅雲端身分識別通常由沒有內部部署伺服器或不使用 AD DS 管理本機識別的小型組織使用。
以下是僅雲端身分識別的基本元件。
內部部署和遠端 (線上) 使用者都使用其 Azure AD 使用者帳戶和密碼來存取 Microsoft 365 雲端服務。 Azure AD 會根據其儲存的使用者帳戶和密碼來驗證使用者認證。
系統管理
由於使用者帳戶僅儲存在 Azure AD 中,因此可以使用 Microsoft 365 系統管理中心 和 Windows PowerShell 等工具管理雲端身分識別。
混合式身分識別
混合式身分識別使用源自內部部署 AD DS 的帳戶,且在 Microsoft 365 訂閱的 Azure AD 租用戶擁有複本。 除特定帳戶屬性外,大多數變更僅單向流動。 您對 AD DS 使用者帳戶所做的變更將同步到其在 Azure AD 中的複本。
Azure AD Connect 提供持續的帳戶同步處理。 它在內部部署伺服器上執行,檢查 AD DS 中的變更,並將這些變更轉寄至 Azure AD。 Azure AD Connect 提供以下功能,可篩選要同步的帳戶,以及是否同步使用者密碼的雜湊版本 (稱為密碼雜湊同步 (PHS))。
當您實作混合式身分識別時,您的內部部署 AD DS 是帳戶資訊的授權來源。 這表示您主要在內部部署執行管理工作,這些工作之後將同步到 Azure AD。
以下是混合式身分識別的元件。
Azure AD 租用戶有 AD DS 帳戶的複本。 在此設定中,存取 Microsoft 365 雲端服務的內部部署使用者和遠端使用者都會針對 Azure AD 進行驗證。
注意事項
您始終需要使用 Azure AD Connect 來同步混合式身分識別的使用者帳戶。 您需要 Azure AD 中的已同步使用者帳戶來執行授權指派和群組管理、設定權限以及其他涉及使用者帳戶的管理工作。
Microsoft 365 的混合式身分識別和目錄同步
根據您的商務需求和技術需求,混合式身分識別模型和目錄同步是採用 Microsoft 365 的企業客戶之最常見選擇。 目錄同步可讓您管理 Active Directory Domain Services (AD DS) 中的身分識別,並將使用者帳戶、群組和連絡人的所有更新同步到 Microsoft 365 訂閱的 Azure Active Directory (Azure AD) 租用戶。
注意事項
首次同步 AD DS 使用者帳戶時,不會自動為其指派 Microsoft 365 授權,也無法存取 Microsoft 365 服務,例如電子郵件。 您必須首先為他們指派使用位置。 然後,可以採用個別方式單獨或透過群組成員資格,動態地將授權指派給這些使用者帳戶。
混合式身分識別驗證
使用混合式身分識別模型時,有兩種類型的驗證:
管理的驗證
Azure AD 使用本機儲存的密碼雜湊版本來處理驗證程序,或者將認證傳送到內部部署軟體代理程式,由內部部署 AD DS 進行驗證。
同盟驗證
Azure AD 將要求驗證的用戶端電腦重新導向至另一個識別提供者。
管理的驗證
有兩種類型的受控驗證:
密碼雜湊同步 (PHS)
Azure AD 自己執行驗證。
傳遞驗證 (PTA)
Azure AD 讓 AD DS 執行驗證。
密碼雜湊同步 (PHS)
使用 PHS,您可以將 AD DS 使用者帳戶與 Microsoft 365 同步,並在內部部署管理使用者。 使用者密碼的雜湊從您的 AD DS 同步到 Azure AD,以便使用者在內部部署和雲端中擁有相同的密碼。 這是在 Azure AD 中啟用 AD DS 身分識別驗證的最簡單方法。
在內部部署變更或重設密碼時,新的密碼雜湊將同步到 Azure AD,以便您的使用者可以始終對雲端資源和內部部署資源使用相同的密碼。 使用者密碼永遠不會傳送到 Azure AD 或以純文字形式儲存在 Azure AD 中。 無論選取哪種驗證方法,Azure AD 的一些進階功能 (例如 Identity Protection) 都需要 PHS。
請參閲 選擇正確的驗證方法 以深入了解。
傳遞驗證 (PTA)
PTA 使用執行在一或多個內部部署伺服器上的軟體代理程式藉由 AD DS 直接驗證使用者,為 Azure AD 驗證服務提供了簡單的密碼驗證。 使用 PTA,您可以將 AD DS 使用者帳戶與 Microsoft 365 同步,並在內部部署管理使用者。
PTA 允許使用者使用其內部部署帳戶和密碼登入內部部署和 Microsoft 365 資源及應用程式。 此設定直接根據內部部署 AD DS 驗證使用者密碼,而無需在 Azure AD 中儲存密碼雜湊。
PTA 還適用於有安全性需求的組織,以立即强制內部部署使用者帳戶狀態、密碼原則和登入時間。
請參閲 選擇正確的驗證方法 以深入了解。
同盟驗證
同盟驗證主要針對具有更複雜驗證需求的大型企業組織。 AD DS 身分識別與 Microsoft 365 同步,在內部部署管理使用者帳戶。 使用同盟驗證,使用者在內部部署和雲端都有相同的密碼,而且不須再次登入即可使用 Microsoft 365。
同盟驗證可以支援其他驗證需求,例如智慧卡型驗證或第三方多重要素驗證,當組織有 Azure AD 非原始支援的驗證需求時,通常需要同盟驗證。
請參閲 選擇正確的驗證方法 以深入了解。
對於第三方驗證和識別提供者,內部部署目錄物件可以同步到主要由第三方識別提供者 (IdP) 管理的 Microsoft 365 和雲端資源存取。 如果貴組織使用第三方同盟解決方案,您可以使用該解決方案為 Microsoft 365 設定登入,前提是該第三方同盟解決方案與 Azure AD 相容。
請參閲 Azure AD 同盟相容性清單 以深入了解。
系統管理
由於原始和權威使用者帳戶儲存在內部部署 AD DS 中,因此您使用與管理 AD DS 相同的工具來管理身分識別。
您沒有使用 Microsoft 365 系統管理中心或適用於 Microsoft 365 的 PowerShell 來管理 Azure AD 中的已同步使用者帳戶。
下一步
繼續執行 步驟 2 以保護您的全域系統管理員帳戶。