Про параметри Office 365 і Azure Active Directory
Summary: Для керування користувачами Office 365 використовує хмарну службу автентифікації користувачів Azure Active Directory.
Instructions
В Office 365 можна вибрати одну з трьох основних моделей посвідчень під час настроювання облікових записів користувачів і керування ними.
|
|
|
|
| Керуйте своїми обліковими записами користувачів лише в Office 365. Для керування користувачами не потрібні локальні сервери; Це все робиться в хмарі. |
Синхронізуйте локальні об'єкти каталогів з Office 365 і керуйте своїми користувачами локально. Ви також можете синхронізувати паролі, щоб користувачі мали однаковий пароль локально та в хмарі, але для використання Office 365 їм доведеться знову входити в систему. |
Синхронізуйте локальні об'єкти каталогів з Office 365 і керуйте своїми користувачами локально. Користувачі мають однаковий пароль як локально, так і в хмарі, і їм не потрібно знову входити в систему, щоб використовувати Office 365. Цей параметр часто називають єдиним входом. |
Важливо ретельно продумати, яку модель ідентичності використовувати, щоб розпочати роботу. Подумайте про час, існуючу складність і вартість. Ці фактори різні для кожної організації; У цьому розділі ми розглянемо ці ключові концепції для кожної моделі ідентичності, щоб допомогти вам вибрати ідентичність, яку ви хочете використовувати для розгортання.
Ви також можете перейти на іншу модель ідентичності, якщо ваші вимоги зміняться.
Посвідчення в Office 365 для бізнесу
У цій моделі ви створюєте користувачів і керуєте ними на порталі Microsoft Office і зберігаєте облікові записи в Azure AD. Azure AD перевіряє паролі. Azure AD – це хмарний каталог, який використовується Office 365. Локальні сервери не потрібні – корпорація Майкрософт керує всіма цими функціями за вас. Якщо ідентифікаційні дані та автентифікація повністю обробляються у хмарі, ви можете керувати обліковими записами користувачів і ліцензіями користувачів за допомогою онлайнового порталу Microsoft або командлетів Windows PowerShell.
На наведеному нижче графіку описано, як керувати користувачами в моделі ідентифікації в хмарі.
-
Адміністратор підключається до онлайнового порталу Microsoft на хмарній платформі Microsoft, щоб створювати користувачів або керувати ними.
-
Запити на створення або керування передаються до Azure AD.
-
Якщо це запит на зміну, зміни вносяться та копіюються назад на портал Microsoft Office
-
Нові облікові записи користувачів і зміни в наявних облікових записах користувачів копіюються назад на портал Microsoft Office.
У яких випадках можна використовувати хмарну ідентичність? Хмарна ідентичність є хорошим вибором, якщо:
- У вас немає іншого локального каталогу користувачів.
- У вас дуже складний локальний каталог і ви просто хочете уникнути роботи з інтеграції з ним.
- У вас є наявний локальний каталог, але ви хочете запустити ознайомлювальну або пілотну версію Office 365. Пізніше ви зможете зіставити користувачів хмари з локальними користувачами, коли будете готові підключитися до локального каталогу
Інтеграція Office 365 із наявною службою каталогів
Якщо у вас є наявне локальне середовище каталогів, ви можете інтегрувати Office 365 із вашим каталогом, використовуючи синхронізований профіль або єдиний вхід і об'єднаний профіль для створення користувачів у Office 365 і керування ними.
У цій моделі ви керуєте ідентифікацією користувача на локальному сервері та синхронізуєте облікові записи та, за потреби, паролі до хмари. Користувач вводить той самий пароль локально, що й у хмарі, а під час входу пароль перевіряється Azure AD. У цій моделі використовується інструмент синхронізації каталогів для синхронізації локального профілю з Office 365.
Щоб налаштувати синхронізовану модель посвідчень, потрібно мати локальний каталог для синхронізації, а також інсталювати інструмент синхронізації каталогів. Перш ніж синхронізувати облікові записи, потрібно виконати кілька перевірок узгодженості в локальному каталозі.
Коли слід використовувати синхронізовані або об'єднані посвідчення:
| Ця модель: |
Працює в таких ситуаціях: |
| Синхронізовані ідентичності |
Якщо у вас є локальний каталог і ви хочете синхронізувати облікові записи користувачів і, за потреби, паролі. Якщо ви також синхронізуєте паролі, ваші користувачі використовуватимуть той самий пароль для доступу до локальних ресурсів і Office 365. Якщо вам потрібні об'єднані посвідчення, але ви використовуєте пілотний проєкт Office 365 або з якихось інших причин ще не готові присвятити час розгортанню серверів служб об'єднання Active Directory (AD FS). |
| Об'єднані ідентифікаційні дані |
Коли вам потрібен розширений сценарій, наприклад: існуюча федерація, політика або технічні вимоги |
На наведеній нижче схемі показано сценарій синхронізації посвідчень із синхронізацією паролів. Інструмент синхронізації забезпечує синхронізацію ваших локальних і хмарних корпоративних ідентичностей користувачів.
-
Ви інсталюєте Microsoft Azure Active Directory Connect.
-
Ви створюєте нових користувачів у своєму локальному каталозі.
-
Інструмент синхронізації періодично перевірятиме ваш локальний каталог на наявність будь-яких нових створених вами профілів. Потім він надає ці профілі в Azure AD, пов'язує локальні та хмарні посвідчення один з одним, синхронізує паролі та робить їх видимими для вас через портал Microsoft Office.
-
Коли ви вносите зміни до користувачів у локальному каталозі, ці зміни синхронізуються з Azure AD і стають доступними для вас через портал Microsoft Office.
Для використання цієї моделі потрібен синхронізований профіль, але з однією зміною в цій моделі: пароль користувача перевіряється локальним постачальником посвідчень. Це означає, що хеш пароля не потрібно синхронізувати з Azure AD. У цій моделі використовуються служби об'єднання Active Directory (AD FS) або сторонній постачальник посвідчень.
До причин використання об'єднаної ідентичності належать:
Існуюча інфраструктура
- Якщо у вас уже розгорнуто AD FS з якоїсь іншої причини, ви, швидше за все, захочете використовувати його також і для Office 365.
- Якщо ви вже користуєтеся послугами іншого постачальника посвідчень, вам знадобиться використовувати об'єднані посвідчення з Office 365.
- Якщо ви використовуєте Forefront Identity Manager, ви також захочете використовувати об'єднані посвідчення з Office 365.
Технічні вимоги
- У локальній службі доменів Active Directory (AD DS) є кілька лісів.
- У вас є локальне інтегроване рішення для смарт-карток.
- У вас є наявна гібридна програма, наприклад із SharePoint або Microsoft Exchange Server.
Вимоги до політики
- Вам потрібен аудит входу та/або негайне вимкнення.
- Вам потрібен єдиний вхід.
- У вас є обмеження на вхід за мережею, розташуванням або графіком роботи.
- У вас є інші політики, які вимагають федеративної ідентифікації.
На наведеній нижче схемі показано сценарій об'єднаної ідентичності з гібридним локальним і хмарним розгортанням. Локальний каталог у цьому прикладі – це AD FS. Інструмент синхронізації забезпечує синхронізацію ваших локальних і хмарних корпоративних ідентичностей користувачів.
-
Ви інсталюєте Azure Active Directory Connect Інструмент синхронізації допомагає підтримувати Azure AD в актуальному стані з останніми змінами, внесеними в локальний каталог. Щоб налаштувати єдиний вхід, потрібно використовувати вибіркову інсталяцію Azure AD Connect.
-
Ви створюєте нових користувачів у локальній службі Active Directory.
-
Інструмент синхронізації періодично перевірятиме локальний сервер Active Directory на наявність будь-яких нових створених вами профілів. Потім він надає ці профілі в Azure AD, пов'язує локальні та хмарні посвідчення один з одним і робить їх видимими для вас через портал Microsoft Office.
-
Коли зміни вносяться до профілю в локальній службі Active Directory, ці зміни синхронізуються з Azure AD.
-
Ці зміни доступні через портал Microsoft Office.
-
Ваші об'єднані користувачі входять у систему за допомогою AD FS.
-
AD FS генерує токен безпеки, і цей токен передається в Azure AD. Токен перевіряється та підтверджується, після чого користувачі отримують дозвіл на Office 365.
