Vysvětlení možností Office 365 a Azure Active Directory
Shrnutí: Office 365 používá ke správě uživatelů cloudovou ověřovací službu uživatelů Azure Active Directory.
Pokyny
Při nastavování a správě uživatelských účtů si v Office 365 můžete vybrat ze tří hlavních modelů identit:
|
|
|
|
| Své uživatelské účty můžete spravovat jenom v Office 365. Ke správě uživatelů se nevyžadují žádné místní servery. To vše se děje v cloudu. |
Synchronizujte místní objekty adresáře s Office 365 a spravujte uživatele místně. Hesla můžete také synchronizovat tak, aby uživatelé měli stejné heslo místně i v cloudu, ale budou se muset znovu přihlásit, aby mohli používat Office 365. |
Synchronizujte místní objekty adresáře s Office 365 a spravujte uživatele místně. Uživatelé mají stejné heslo místně i v cloudu a nemusí se znovu přihlašovat, aby mohli používat Office 365. To se často označuje jako jednotné přihlašování. |
Je důležité pečlivě zvážit, který model identity použít, abyste mohli začít pracovat. Přemýšlejte o čase, existující složitosti a nákladech. Tyto faktory jsou pro každou organizaci jiné; V tomto tématu se seznámíte s těmito klíčovými koncepty pro každý model identity, které vám pomůžou zvolit identitu, kterou chcete použít pro nasazení.
Pokud se vaše požadavky změní, můžete také přepnout na jiný model identity.
Identita v Office 365 pro firmy
V tomto modelu vytváříte a spravujete uživatele na portálu Microsoft Office a ukládáte účty ve službě Azure AD. Azure AD ověří hesla. Azure AD je cloudový adresář, který používá Office 365. Nejsou potřeba žádné místní servery – to vše za vás spravuje Microsoft. Pokud se identita a ověřování zpracovávají kompletně v cloudu, můžete spravovat uživatelské účty a uživatelské licence prostřednictvím online portálu Microsoft nebo rutin prostředí Windows PowerShell.
Následující obrázek shrnuje, jak spravovat uživatele v cloudovém modelu identity.
-
Správce se připojí k online portálu Microsoft v cloudové platformě Microsoft, aby mohl vytvářet nebo spravovat uživatele.
-
Požadavky na vytvoření nebo správu se předávají do Azure AD.
-
Pokud se jedná o žádost o změnu, bude změna provedena a zkopírována zpět na portál sady Microsoft Office
-
Nové uživatelské účty a změny stávajících uživatelských účtů jsou zkopírovány zpět na portál Microsoft Office.
Kdy byste použili cloudovou identitu? Cloudová identita je dobrou volbou, pokud:
- Nemáte žádný jiný místní adresář uživatelů.
- Máte velmi složitý místní adresář a jednoduše se chcete vyhnout práci s integrací s ním.
- Máte existující místní adresář, ale chcete spustit zkušební nebo pilotní verzi Office 365. Později můžete uživatele cloudu spárovat s místními uživateli, až budete připraveni připojit se k místnímu adresáři
Integrace sady Office 365 se stávající adresářovou službou
Pokud máte existující místní adresářové prostředí, můžete Office 365 integrovat s adresářem pomocí synchronizované identity nebo jednotného přihlašování a federované identity k vytváření a správě uživatelů v Office 365.
V tomto modelu spravujete identitu uživatele na místním serveru a synchronizujete účty a volitelně hesla do cloudu. Uživatel zadá stejné heslo místně jako v cloudu a při přihlášení heslo ověří Azure AD. Tento model používá nástroj pro synchronizaci adresářů k synchronizaci místní identity s Office 365.
Pokud chcete nakonfigurovat model synchronizované identity, musíte mít místní adresář, ze kterého chcete synchronizovat, a musíte nainstalovat nástroj pro synchronizaci adresářů. Před synchronizací účtů spustíte několik kontrol konzistence v místním adresáři.
Kdy použít synchronizované nebo federované identity:
| Tento model: |
Funguje v těchto situacích: |
| Synchronizované identity |
Pokud máte místní adresář a chcete synchronizovat uživatelské účty a volitelně hesla. Pokud synchronizujete také hesla, budou uživatelé používat stejné heslo pro přístup k místním prostředkům a Office 365. Pokud nakonec chcete federované identity, ale používáte pilotní nasazení Office 365 nebo z nějakého jiného důvodu ještě nejste připraveni věnovat čas nasazení serverů Active Directory Federation Services (AD FS) (AD FS Services). |
| Federované identity |
Když potřebujete pokročilý scénář, například: existující federace, zásady nebo technické požadavky |
Následující diagram znázorňuje scénář synchronizované identity se synchronizací hesel. Synchronizační nástroj udržuje vaše místní a cloudové podnikové identity uživatelů synchronizované.
-
Nainstalujete Microsoft Azure Active Directory Connect.
-
V místním adresáři vytvoříte nové uživatele.
-
Synchronizační nástroj bude pravidelně kontrolovat místní adresář pro všechny nové identity, které jste vytvořili. Pak tyto identity zřídí do Azure AD, propojí místní a cloudové identity mezi sebou, synchronizuje hesla a zviditelní je prostřednictvím portálu Microsoft Office.
-
Když provedete změny uživatelů v místním adresáři, tyto změny se synchronizují do Azure AD a zpřístupní se vám prostřednictvím portálu Microsoft Office.
Tento model vyžaduje synchronizovanou identitu, ale s jednou změnou tohoto modelu: heslo uživatele ověřuje místní zprostředkovatel identity. To znamená, že hodnotu hash hesla není nutné synchronizovat s Azure AD. Tento model používá Active Directory Federation Services (AD FS) (AD FS) nebo zprostředkovatele identity třetí strany.
Mezi důvody pro použití federované identity patří:
Stávající infrastruktura
- Pokud už máte službu AD FS nasazenou z nějakého jiného důvodu, pravděpodobně ji budete chtít použít i pro Office 365.
- Pokud už používáte jiného zprostředkovatele identity, budete chtít s Office 365 používat federovanou identitu.
- Pokud používáte Forefront Identity Manager, budete chtít použít také federovanou identitu s Office 365.
Technické požadavky
- V místní Active Directory Domain Services (AD DS) máte více doménových struktur.
- Máte místní integrované řešení čipových karet.
- Máte existující vlastní hybridní aplikaci, například se SharePointem nebo Microsoft Exchange Serverem.
Požadavky zásad
- Požadujete audit přihlášení nebo okamžité zakázání.
- Požadujete jednotné přihlášení.
- Máte omezení přihlašování podle umístění v síti nebo pracovní doby.
- Máte zavedené další zásady, které vyžadují federovanou identitu.
Následující diagram znázorňuje scénář federované identity s hybridním místním a cloudovým nasazením. Místní adresář v tomto příkladu je AD FS. Synchronizační nástroj udržuje vaše místní a cloudové podnikové identity uživatelů synchronizované.
-
Nainstalujete Azure Active Directory Connect Nástroj pro synchronizaci pomáhá udržovat Azure AD v aktuálním stavu s nejnovějšími změnami, které provedete v místním adresáři. K nastavení jednotného přihlašování budete muset použít vlastní instalaci Azure AD Connect.
-
Vytvoříte nové uživatele v místní Active Directory.
-
Synchronizační nástroj bude pravidelně kontrolovat, zda na místním serveru Active Directory nejsou všechny nové identity, které jste vytvořili. Pak tyto identity zřídí do Azure AD, propojí místní a cloudové identity mezi sebou a zviditelní je prostřednictvím portálu Microsoft Office.
-
Při provádění změn identity v místní Active Directory se tyto změny synchronizují s Azure AD.
-
Tyto změny jsou vám zpřístupněny prostřednictvím portálu sady Microsoft Office.
-
Federovaní uživatelé se přihlašují pomocí služby AD FS.
-
AD FS vygeneruje token zabezpečení a tento token se předá do Azure AD. Token se ověří a ověří a uživatelé se pak autorizovají pro Office 365.
