Forstå alternativene i Office 365 og Azure Active Directory
Summary: Office 365 bruker den skybaserte brukergodkjenningstjenesten Azure Active Directory til å administrere brukere.
Instructions
Du kan velge mellom tre hovedidentitetsmodeller i Office 365 når du konfigurerer og administrerer brukerkontoer:
|
|
|
|
| Bare administrere brukerkontoene dine i Office 365. Ingen lokale servere kreves for å administrere brukere. Alt gjøres i skyen. |
Synkroniser lokale katalogobjekter med Office 365, og administrer brukerne lokalt. Du kan også synkronisere passord slik at brukerne har samme passord lokalt og i skyen, men de må logge på på nytt for å bruke Office 365. |
Synkroniser lokale katalogobjekter med Office 365, og administrer brukerne lokalt. Brukerne har samme passord lokalt og i skyen, og de trenger ikke å logge på på nytt for å bruke Office 365. Dette kalles ofte enkel pålogging. |
Det er viktig å nøye vurdere hvilken identitetsmodell du skal bruke for å komme i gang. Tenk på tid, eksisterende kompleksitet og kostnader. Disse faktorene er forskjellige for hver organisasjon; Dette emnet vil gjennomgå disse nøkkelbegrepene for hver identitetsmodell for å hjelpe deg med å velge identiteten du vil bruke for distribusjonen.
Du kan også bytte til en annen identitetsmodell hvis kravene dine endres.
Identitet i Office 365 for bedrifter
I denne modellen kan du opprette og administrere brukere i Microsoft Office-portalen og lagre kontoene i Azure AD. Azure AD bekrefter passordene. Azure AD er skykatalogen som brukes av Office 365. Ingen lokale servere kreves – Microsoft administrerer alt dette for deg. Når identitet og godkjenning håndteres fullstendig i skyen, kan du administrere brukerkontoer og brukerlisenser via Microsoft Online Portal eller Windows PowerShell-cmdleter.
Følgende grafikk oppsummerer hvordan du administrerer brukere i skyidentitetsmodellen.
-
Administratoren kobler til Microsoft Online Portal i Microsoft-skyplattformen for å opprette eller administrere brukere.
-
Opprett eller administrer forespørsler sendes videre til Azure AD.
-
Hvis dette er en endringsforespørsel, gjøres endringen og kopieres tilbake til Microsoft Office-portalen
-
Nye brukerkontoer og endringer i eksisterende brukerkontoer kopieres tilbake til Microsoft Office-portalen.
Når vil du bruke skyidentitet? Skyidentitet er et godt valg hvis:
- Du har ingen annen lokal brukerkatalog.
- Du har en svært kompleks lokal katalog og vil ganske enkelt unngå arbeidet med å integrere med den.
- Du har en eksisterende lokal katalog, men du vil kjøre en prøveversjon eller pilotering av Office 365. Senere kan du tilpasse skybrukerne til lokale brukere når du er klar til å koble til den lokale katalogen
Integrere Office 365 med en eksisterende katalogtjeneste
Hvis du har et eksisterende katalogmiljø lokalt, kan du integrere Office 365 med katalogen ved hjelp av synkronisert identitet eller enkel pålogging og organisasjonsidentitet for å opprette og administrere brukerne i Office 365.
I denne modellen administrerer du brukeridentiteten i en lokal server og synkroniserer kontoene og eventuelt passordene til skyen. Brukeren angir det samme passordet lokalt som han eller hun gjør i skyen, og ved pålogging bekreftes passordet av Azure AD. Denne modellen bruker et katalogsynkroniseringsverktøy til å synkronisere den lokale identiteten til Office 365.
Hvis du vil konfigurere den synkroniserte identitetsmodellen, må du ha en lokal katalog å synkronisere fra, og du må installere et katalogsynkroniseringsverktøy. Du kjører noen få konsekvenskontroller i den lokale katalogen før du synkroniserer kontoene.
Når du bør bruke synkroniserte eller forbundstilkoblede identiteter:
| Denne modellen: |
Fungerer i disse situasjonene: |
| Synkroniserte identiteter |
Når du har en lokal katalog og vil synkronisere brukerkontoer og eventuelt passord. Hvis du også synkroniserer passord, bruker brukerne det samme passordet for å få tilgang til lokale ressurser og Office 365. Når du til syvende og sist vil ha forbundsidentiteter, men du kjører en pilotversjon av Office 365, eller av en annen grunn, er du ikke klar til å bruke tid på å distribuere AD FS-servere (Active Directory Federation Services) ennå. |
| Forente identiteter |
Når du trenger et avansert scenario, for eksempel eksisterende forbund, retningslinjer eller tekniske krav |
Diagrammet nedenfor viser et synkronisert identitetsscenario med en passordsynkronisering. Synkroniseringsverktøyet holder bedriftens brukeridentiteter lokalt og i skyen synkronisert.
-
Du installerer en Microsoft Azure Active Directory-tilkobling.
-
Du oppretter nye brukere i den lokale katalogen.
-
Synkroniseringsverktøyet kontrollerer regelmessig den lokale katalogen for eventuelle nye identiteter du har opprettet. Deretter klargjør den disse identitetene i Azure AD, kobler de lokale identitetene og skyidentitetene til hverandre, synkroniserer passord og gjør dem synlige for deg via Microsoft Office-portalen.
-
Når du gjør endringer i brukerne i den lokale katalogen, synkroniseres disse endringene til Azure AD og gjøres tilgjengelige for deg via Microsoft Office-portalen.
Denne modellen krever en synkronisert identitet, men med én endring i denne modellen: brukerpassordet bekreftes av den lokale identitetsleverandøren. Dette betyr at passordnummeret ikke trenger å synkroniseres til Azure AD. Denne modellen bruker Active Directory Federation Services (AD FS) eller en tredjeparts identitetsleverandør.
Årsakene til å bruke en forent identitet inkluderer:
Eksisterende infrastruktur
- Hvis du allerede har AD FS distribuert av en annen grunn, vil du sannsynligvis også bruke den til Office 365.
- Hvis du allerede bruker en annen identitetsleverandør, bør du bruke organisasjonsbasert identitet med Office 365.
- Hvis du bruker Forkant Identity Manager, bør du også bruke organisasjonsbasert identitet med Office 365.
Tekniske krav
- Du har flere skoger i lokale Active Directory Domain Services (AD DS).
- Du har en lokal integrert smartkortløsning.
- Du har et eksisterende egendefinert hybridprogram, for eksempel med SharePoint eller Microsoft Exchange Server.
Krav i retningslinjene
- Du må logge på og/eller deaktivere umiddelbart.
- Du trenger enkel pålogging.
- Du har påloggingsbegrensninger etter nettverksplassering eller arbeidstid.
- Du har andre policyer på plass som krever organisasjonsbasert identitet.
Diagrammet nedenfor viser et scenario med forent identitet med hybriddistribusjon lokalt og i skyen. Den lokale katalogen i dette eksemplet er AD FS. Synkroniseringsverktøyet holder bedriftens brukeridentiteter lokalt og i skyen synkronisert.
-
Du installerer Azure Active Directory Connect Synkroniseringsverktøyet bidrar til å holde Azure AD oppdatert med de siste endringene du gjør i den lokale katalogen. Du må bruke en tilpasset installasjon av Azure AD Connect for å konfigurere enkel pålogging.
-
Du oppretter nye brukere i lokal Active Directory.
-
Synkroniseringsverktøyet kontrollerer regelmessig den lokale Active Directory-serveren for eventuelle nye identiteter du har opprettet. Deretter klargjør den disse identitetene i Azure AD, kobler de lokale identitetene og skyidentitetene til hverandre og gjør dem synlige for deg gjennom Microsoft Office-portalen.
-
Etter hvert som det gjøres endringer i identiteten i den lokale Active Directory, synkroniseres disse endringene til Azure AD.
-
Disse endringene gjøres tilgjengelige for deg via Microsoft Office-portalen.
-
Forbundsbrukerne logger på med AD FS.
-
AD FS genererer et sikkerhetstoken, og dette tokenet sendes til Azure AD. Tokenet bekreftes og valideres, og brukerne autoriseres deretter for Office 365.
