Общие сведения о параметрах Office 365 и Azure Active Directory
Summary: Office 365 использует облачную службу проверки подлинности пользователей Azure Active Directory для управления пользователями.
Instructions
При настройке учетных записей пользователей и управлении ими в Office 365 можно выбрать одну из трех основных моделей удостоверений:
|
|
|
|
| Управляйте учетными записями пользователей только в Office 365. Для управления пользователями не требуются локальные серверы; Все это делается в облаке. |
Синхронизированная идентификация Синхронизируйте локальные объекты каталога с Office 365 и управляйте пользователями в локальной среде. Вы также можете синхронизировать пароли, чтобы у пользователей был одинаковый пароль в локальной среде и в облаке, но для использования Office 365 им придется снова входить в систему. |
Синхронизируйте локальные объекты каталога с Office 365 и управляйте пользователями в локальной среде. Пользователи используют один и тот же пароль локально и в облаке, и им не нужно повторно входить в систему, чтобы использовать Office 365. Это часто называют единым входом. |
Важно тщательно продумать, какую модель идентификации использовать для начала работы. Подумайте о времени, существующей сложности и стоимости. Эти факторы различны для каждой организации; В этом разделе мы рассмотрим эти ключевые понятия для каждой модели идентификации, чтобы помочь вам выбрать удостоверение, которое вы хотите использовать для развертывания.
Вы также можете переключиться на другую модель идентификации, если ваши требования изменятся.
Удостоверение в Office 365 для бизнеса
В этой модели вы создаете пользователей и управляете ими на портале Microsoft Office и храните учетные записи в Azure AD. Azure AD проверяет пароли. Azure AD — это облачный каталог, используемый Office 365. Локальные серверы не требуются — Microsoft сделает все это за вас. Если идентификация и проверка подлинности полностью обрабатываются в облаке, можно управлять учетными записями пользователей и лицензиями пользователей с помощью портала Microsoft Online или командлетов Windows PowerShell.
На следующем рисунке показано, как управлять пользователями в облачной модели удостоверений.
-
Администратор подключается к порталу Microsoft Online на облачной платформе Майкрософт для создания пользователей или управления ими.
-
Запросы на создание или управление передаются в Azure AD.
-
Если это запрос на изменение, оно будет внесено и скопировано обратно на портал Microsoft Office
-
Новые учетные записи пользователей и изменения существующих учетных записей пользователей копируются обратно на портал Microsoft Office.
Когда следует использовать облачную идентификацию? Облачная идентификация является хорошим выбором, если:
- У вас нет другого локального каталога пользователей.
- У вас очень сложный локальный каталог, и вы просто хотите избежать работы по интеграции с ним.
- У вас уже есть локальный каталог, но вы хотите запустить пробную версию или пилотный проект Office 365. Позже, когда будете готовы подключиться к локальному каталогу, вы сможете сопоставить пользователей облака с локальными пользователями
Интеграция Office 365 с существующей службой каталогов
Если у вас есть локальная среда каталогов, вы можете интегрировать Office 365 с вашим каталогом, используя синхронизированные удостоверения или единый вход и федеративные удостоверения для создания пользователей в Office 365 и управления ими.
Синхронизированная идентификация
В этой модели вы управляете удостоверениями пользователей на локальном сервере и синхронизируете учетные записи и, при необходимости, пароли с облаком. Пользователь вводит тот же пароль в локальной среде, что и в облаке, и при входе в систему он проверяется Azure AD. Эта модель использует средство синхронизации каталогов для синхронизации локальных удостоверений с Office 365.
Чтобы настроить синхронизированную модель удостоверения, необходимо иметь локальный каталог для синхронизации и установить средство синхронизации каталогов. Перед синхронизацией учетных записей вы выполните несколько проверок согласованности в локальном каталоге.
Когда следует использовать синхронизированные или федеративные удостоверения:
| Данная модель: |
Работает в таких ситуациях: |
| Синхронизированные удостоверения |
Если у вас есть локальный каталог и вы хотите синхронизировать учетные записи пользователей и, опционально, пароли. Если вы также синхронизируете пароли, пользователи будут использовать один и тот же пароль для доступа к локальным ресурсам и Office 365. Если вам в конечном итоге нужны федеративные удостоверения, но вы запускаете пилотный проект Office 365 или по какой-то другой причине еще не готовы уделять время развертыванию серверов служб федерации Active Directory (AD FS). |
| Федеративные удостоверения |
Когда требуется расширенный сценарий, например существующая федерация, политика или технические требования |
На следующей схеме показан сценарий синхронизации удостоверений с синхронизацией паролей. Средство синхронизации синхронизирует удостоверения корпоративных пользователей в локальной и облачной средах.
-
Вы устанавливаете Microsoft Azure Active Directory Connect.
-
Вы создаете новых пользователей в локальном каталоге.
-
Средство синхронизации будет периодически проверять локальный каталог на наличие новых созданных удостоверений. Затем он подготавливает эти удостоверения в Azure AD, связывает локальные и облачные удостоверения друг с другом, синхронизирует пароли и делает их видимыми для вас через портал Microsoft Office.
-
По мере внесения изменений для пользователей в локальном каталоге эти изменения синхронизируются с Azure AD и становятся доступными через портал Microsoft Office.
Для этой модели требуется синхронизированное удостоверение, но с одним изменением: пароль пользователя проверяется локальным поставщиком удостоверений. Это означает, что хэш пароля не нужно синхронизировать с Azure AD. В этой модели используются службы федерации Active Directory (AD FS) или сторонний поставщик удостоверений.
Причины для использования федеративного удостоверения включают:
Существующая инфраструктура
- Если у вас уже есть развернутая AD FS по какой-либо другой причине, вы, скорее всего, захотите использовать ее и для Office 365.
- Если вы уже используете другой поставщик удостоверений, вы захотите использовать федеративные удостоверения с Office 365.
- Если вы используете Forefront Identity Manager, вы также захотите использовать федеративные удостоверения с Office 365.
Технические требования
- В локальных доменных службах Active Directory (AD DS) есть несколько лесов.
- У вас есть локальное интегрированное решение для смарт-карт.
- У вас есть пользовательское гибридное приложение, например с SharePoint или Microsoft Exchange Server.
Требования политики
- Требуется аудит входа и/или немедленная блокировка.
- Требуется единый вход.
- Существуют ограничения на вход в систему по сетевому расположению или рабочим часам.
- Существуют и другие политики, требующие объединения удостоверений.
На следующей схеме показан сценарий федеративной идентификации с гибридным локальным и облачным развертыванием. Локальный каталог в данном примере — AD FS. Средство синхронизации синхронизирует удостоверения корпоративных пользователей в локальной и облачной средах.
-
Вы устанавливаете Azure Active Directory Connect Средство синхронизации помогает поддерживать Azure AD в актуальном состоянии в соответствии с последними изменениями, вносимыми в локальный каталог. Для настройки единого входа необходимо использовать пользовательскую установку Azure AD Connect.
-
Вы создаете новых пользователей в локальной службе Active Directory.
-
Средство синхронизации будет периодически проверять созданный вами локальный сервер Active Directory на наличие новых удостоверений. Затем он подготавливает эти удостоверения в Azure AD, связывает локальные и облачные удостоверения друг с другом и делает их видимыми для вас через портал Microsoft Office.
-
По мере внесения изменений в удостоверение в локальной службе Active Directory эти изменения синхронизируются с Azure AD.
-
Эти изменения доступны через портал Microsoft Office.
-
Ваши федеративные пользователи входят в систему AD FS.
-
AD FS создает маркер безопасности, и этот маркер передается в Azure AD. Маркер проверяется и подтверждается, после чего пользователи получают авторизацию в Office 365.
