При настройке учетных записей пользователей и управлении ими в Office 365 можно выбрать одну из трех основных моделей удостоверений:
Управляйте учетными записями пользователей только в Office 365. Для управления пользователями не требуются локальные серверы; Все это делается в облаке. |
Синхронизированная идентификация Синхронизируйте локальные объекты каталога с Office 365 и управляйте пользователями в локальной среде. Вы также можете синхронизировать пароли, чтобы у пользователей был одинаковый пароль в локальной среде и в облаке, но для использования Office 365 им придется снова входить в систему. |
Синхронизируйте локальные объекты каталога с Office 365 и управляйте пользователями в локальной среде. Пользователи используют один и тот же пароль локально и в облаке, и им не нужно повторно входить в систему, чтобы использовать Office 365. Это часто называют единым входом. |
Важно тщательно продумать, какую модель идентификации использовать для начала работы. Подумайте о времени, существующей сложности и стоимости. Эти факторы различны для каждой организации; В этом разделе мы рассмотрим эти ключевые понятия для каждой модели идентификации, чтобы помочь вам выбрать удостоверение, которое вы хотите использовать для развертывания.
Вы также можете переключиться на другую модель идентификации, если ваши требования изменятся.
В этой модели вы создаете пользователей и управляете ими на портале Microsoft Office и храните учетные записи в Azure AD. Azure AD проверяет пароли. Azure AD — это облачный каталог, используемый Office 365. Локальные серверы не требуются — Microsoft сделает все это за вас. Если идентификация и проверка подлинности полностью обрабатываются в облаке, можно управлять учетными записями пользователей и лицензиями пользователей с помощью портала Microsoft Online или командлетов Windows PowerShell.
На следующем рисунке показано, как управлять пользователями в облачной модели удостоверений.
Администратор подключается к порталу Microsoft Online на облачной платформе Майкрософт для создания пользователей или управления ими.
Запросы на создание или управление передаются в Azure AD.
Если это запрос на изменение, оно будет внесено и скопировано обратно на портал Microsoft Office
Новые учетные записи пользователей и изменения существующих учетных записей пользователей копируются обратно на портал Microsoft Office.
Когда следует использовать облачную идентификацию? Облачная идентификация является хорошим выбором, если:
Если у вас есть локальная среда каталогов, вы можете интегрировать Office 365 с вашим каталогом, используя синхронизированные удостоверения или единый вход и федеративные удостоверения для создания пользователей в Office 365 и управления ими.
Синхронизированная идентификация
В этой модели вы управляете удостоверениями пользователей на локальном сервере и синхронизируете учетные записи и, при необходимости, пароли с облаком. Пользователь вводит тот же пароль в локальной среде, что и в облаке, и при входе в систему он проверяется Azure AD. Эта модель использует средство синхронизации каталогов для синхронизации локальных удостоверений с Office 365.
Чтобы настроить синхронизированную модель удостоверения, необходимо иметь локальный каталог для синхронизации и установить средство синхронизации каталогов. Перед синхронизацией учетных записей вы выполните несколько проверок согласованности в локальном каталоге.
Когда следует использовать синхронизированные или федеративные удостоверения:
Данная модель: |
Работает в таких ситуациях: |
Синхронизированные удостоверения |
Если у вас есть локальный каталог и вы хотите синхронизировать учетные записи пользователей и, опционально, пароли. Если вы также синхронизируете пароли, пользователи будут использовать один и тот же пароль для доступа к локальным ресурсам и Office 365. Если вам в конечном итоге нужны федеративные удостоверения, но вы запускаете пилотный проект Office 365 или по какой-то другой причине еще не готовы уделять время развертыванию серверов служб федерации Active Directory (AD FS). |
Федеративные удостоверения |
Когда требуется расширенный сценарий, например существующая федерация, политика или технические требования |
На следующей схеме показан сценарий синхронизации удостоверений с синхронизацией паролей. Средство синхронизации синхронизирует удостоверения корпоративных пользователей в локальной и облачной средах.
Вы устанавливаете Microsoft Azure Active Directory Connect.
Вы создаете новых пользователей в локальном каталоге.
Средство синхронизации будет периодически проверять локальный каталог на наличие новых созданных удостоверений. Затем он подготавливает эти удостоверения в Azure AD, связывает локальные и облачные удостоверения друг с другом, синхронизирует пароли и делает их видимыми для вас через портал Microsoft Office.
По мере внесения изменений для пользователей в локальном каталоге эти изменения синхронизируются с Azure AD и становятся доступными через портал Microsoft Office.
Для этой модели требуется синхронизированное удостоверение, но с одним изменением: пароль пользователя проверяется локальным поставщиком удостоверений. Это означает, что хэш пароля не нужно синхронизировать с Azure AD. В этой модели используются службы федерации Active Directory (AD FS) или сторонний поставщик удостоверений.
Причины для использования федеративного удостоверения включают:
Существующая инфраструктура
Технические требования
Требования политики
На следующей схеме показан сценарий федеративной идентификации с гибридным локальным и облачным развертыванием. Локальный каталог в данном примере — AD FS. Средство синхронизации синхронизирует удостоверения корпоративных пользователей в локальной и облачной средах.
Вы устанавливаете Azure Active Directory Connect Средство синхронизации помогает поддерживать Azure AD в актуальном состоянии в соответствии с последними изменениями, вносимыми в локальный каталог. Для настройки единого входа необходимо использовать пользовательскую установку Azure AD Connect.
Вы создаете новых пользователей в локальной службе Active Directory.
Средство синхронизации будет периодически проверять созданный вами локальный сервер Active Directory на наличие новых удостоверений. Затем он подготавливает эти удостоверения в Azure AD, связывает локальные и облачные удостоверения друг с другом и делает их видимыми для вас через портал Microsoft Office.
По мере внесения изменений в удостоверение в локальной службе Active Directory эти изменения синхронизируются с Azure AD.
Эти изменения доступны через портал Microsoft Office.
Ваши федеративные пользователи входят в систему AD FS.
AD FS создает маркер безопасности, и этот маркер передается в Azure AD. Маркер проверяется и подтверждается, после чего пользователи получают авторизацию в Office 365.